웹 브라우저나 이메일 클라이언트에 저장되어있는 사용자 계정 정보를 탈취하는 인포스틸러(정보 탈취) 악성코드는 실질적으로 일반 사용자나 기업 사용자들을 대상으로 하는 공격의 대부분을 차지한다. 이와 관련된 내용은 작년 12월의 ASEC 블로그를 통해 공유된 바 있다.[1]
명명된 악성코드의 주요 기능마다 유포방식이 조금 다르기는 하지만, 일반적으로 인포스틸러 유형의 악성코드는 정상 프로그램을 다운로드하는 페이지로 위장한 악성 사이트를 유포 경로로 삼거나, 스팸메일의 첨부파일 혹은 Word/Excel 과 같은 MS Office 문서를 통해 활발히 유포되는 경향을 보여왔다.
본 블로그에서는 기존의 MS Office 문서를 통한 악성파일의 유포비중이 크게 감소한 내용과, 그 과정에서 확인된 악성코드 유포방식의 변화 동향을 분석한 내용을 기술한다. 통계 데이터를 생성한 수치는 2022년 1월부터 현재까지 약 1년 10개월 간 자사(AhnLab) 내부 인프라에 수집된 파일 중, 전체 Non-PE 악성파일 대비 MS OFFICE 문서 악성코드의 비율 기반임을 밝혀둔다.
Figure 1. 2022-2023 Malicious MS Office Files
1. 변화 동향
그간 다운로더 매개체로 활발하게 사용된 MS Office 문서 파일들은 문서프로그램 실행 과정에서 최종적으로 다운로드 하던 인포스틸러 유형의 악성코드 이외에 APT 악성코드를 다운로드 하는 과정에서도 많이 사용되었다. 유포 매개체로 MS Office 제품군이 사용되지 않게 된 개괄적인 변화 동향을 요약하면 다음과 같다.
먼저, Word/Excel 문서에 삽입된 매크로코드 상에서 외부 악성URL을 통해 추가 실행파일(PE)형태의 악성코드가 다운로드 되던 방식에서, 실행파일 자체가 ZIP, R00, GZ, RAR와 같은 압축파일로 압축되거나 IMG 디스크 이미지 파일포맷을 활용하여 이메일에 첨부되는 방식으로 변화된 양상을 보였다. 이는, 난독화된 Office VBA 매크로코드 혹은 Excel 4.0(XLM) 매크로를 이용하여 다운로더 매개체로서 유포되는 Word/Excel 유형의 파일의 수량이 감소한 것을 나타낸다.
또한, 사회적 이슈나 사용자가 관심을 가질만한 이메일 제목, 내용 혹은 첨부파일명을 활용한 사회공학기법의 APT 공격은 지속적으로 확인되었다. 다만, 이러한 공격에 주로 활용되던 유포 방식도 Word/Excel 문서파일의 매크로를 활용한 것이 아닌, 윈도우 도움말 파일(CHM)/바로가기 파일(LNK) 등을 활용하는 양상이 두드러졌다.
1-1. CHM
윈도우 도움말 파일(*.chm) 파일의 경우 2022년 1~2분기부터 급격한 유포 증가세를 보여왔다.[2] 자사 인프라를 통해 수집된 샘플들의 수량을 근거로 작성한 위의 Figure 1. 을 확인해보면, 같은 기간에 MS Office의 대표적인 제품군인 Word/Excel 을 이용한 악성코드 유포는 약 40% 감소한 것을 알 수 있다.
악성 CHM 유포 초기에는, 스크립트 내부에 명시된 디컴파일 대상의 악성 파일(ex. [3] & [4], ‘chmext.exe’)이 비슷한 시기에 Word 파일을 통해 유포된 파일과 동일한 것도 확인되었다. 즉, 이는 Word 파일을 통해 악성코드를 유포하던 공격자가 MS Office 제품군이 아닌 다른 파일 포맷을 통해 공격 시도를 한 것으로 보여진다. 당시 유포되던 CHM 파일명은 코로나 확진 안내문, 문서 편집 및 메신저 프로그램 사용방법과 같이, 사용자의 관심을 끌어 열어볼 수 밖에 없도록 의도하였다.
1-2. LNK
주로 MS Office 제품군의 파일을 통해 유포되던 Emotet 악성코드가 LNK 파일을 통해 유포되는 동향이 확인된 것도 2022년 2분기를 기점으로 한다.[5] Emotet 악성코드는 그동안 VBA 매크로코드/Excel 4.0(XLM)매크로를 통해 활발한 유포를 보여왔기 때문에 이러한 유포 매개체의 변화가 AntiVirus 제품의 대응 관점에서도 매우 유의미한 부분이라고 할 수 있다.
또한, 기존에 Word 파일을 통해 악성코드를 유포하던 공격방식이 악성 LNK 파일 유포에서 확인되기도 하였다.[6] AhnLab 에서는 분석 대상이 되는 악성코드의 동작방식 혹은 공격자의 C2 URL 포맷과 같은 다양한 정보를 고려하여 해당 공격 소행의 배후를 판단하고 있다. 이를 근거로 악성 CHM 유포과정에서도 확인된 바와 같이, 최초 실행 매개체를 MS Office 제품군에서 LNK 파일포맷으로 변경해보려는 동일한 공격자의 시도로 보인다.
2. 요약
이렇게 Word/Excel 을 활용한 전형적인 공격에서 벗어나 다른 포맷의 파일을 통해 악성코드를 유포하려는 행위는, 실행 매개체가 되는 문서편집 프로그램의 정적정보에 대한 탐지를 우회 하려는 것 뿐만 아니라, 악성 데이터를 로드하는 과정에서 윈도우 정상 프로세스를 이용하거나 Fileless 형태로 악성코드가 실행되어 사용자가 어떤 유형의 악성코드가 실행되었는지 파악하기 어렵도록 한 것이다.
MS Office 제품군의 파일을 악성코드 유포 매개체로 사용하는 비중이 크게 감소한 것은 2021년 초/중순부터 공지된 Microsoft의 Excel 매크로 사용설정이 기본적으로 비활성화 된 조치로부터 기인하여, AntiVirus 제품의 탐지 회피를 위한 공격자의 다양한 시도가 엿보이는 부분이다.[7][8]
앞으로도 악성코드를 유포하는 매개체의 변화는 지속적으로 있을 것으로 보여진다. 개별 사용자 뿐만 아니라 기업과 정부 주요 기관, 사회기반 시설을 대상으로 한 APT 공격도 날이 갈수록 보다 더 지능화/고도화 되고 있으므로 사용자의 각별한 주의가 필요하다.
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보