EndPoint 악성코드

워드문서로 유포되는 다나봇 악성코드의 EDR탐지

  • 4월 30 2024
워드문서로 유포되는 다나봇 악성코드의 EDR탐지

최근 이메일을 통해 유포되는 문서 악성코드는 수식 편집기 취약점 문서와 외부 External 연결 주소가 포함된 문서가 주로 유포된다. 해당 블로그는 후자의 방식인 외부 External 연결 주소가 포함된 문서로 유포되는 다나봇(Danabot) 악성코드의 감염 흐름을 설명하고, 자사 EDR 제품의 다이어그램을 통해 확인 가능한 증적 및 탐지를 설명한다.  [그림 1]은 External 연결 주소가 포함된 워드문서가 첨부된 스팸메일 본문이다. 본문 내용을 보면 알 수 있듯이 수신자를 속이기 위해 정교하게 위장된 입사 지원서 이메일이다. 첨부된 문서(.docx)는 External 연결 주소가 포함된 워드문서이다.

[그림 1] 문서 악성코드가 첨부된 메일 본문      [그림 2]는 해당 이메일을 열람하고 첨부파일을 실행한 PC의 EDR 증적이다. 아웃룩(outlook.exe)프로세스를 통해 문서파일(.docx) 가 생성 및 실행된 증적이 확인된다. 다이어그램엔 메일을 열람한 아웃룩(outlook.exe)부터 워드(winword.exe) -> 명령창(cmd.exe) -> 파워쉘(powershell.exe) -> 실행파일(iu4t4.exe)- rundll32.exe 순서로 이어지는 의심스러운 프로세스 트리 흔적이 확인된다.

[그림 2] outlook.exe 로 부터 생성된 악성 워드문서(.docx)      [그림 3]은 첨부된 워드문서(.docx) 내부에 존재하는 외부 External 연결 주소이다. 해당 기능을 통해 워드문서(.docx)를 실행하면 해당 주소에 접속하여 추가 문서 파일을 다운로드하고 로드 된다. [그림 4]는 워드문서(.docx) 실행시, 외부 연결로 인해 다운로드된 매크로문서(w1p3nx.dotm)가 로드된 화면이다. [그림 5]와 같이 EDR 다이어그램을 통해 워드파일이 실행되는 WINWORD.EXE 프로세스로부터 추가 다운로드되는 문서(w1p3nx.dotm) 파일의 생성되고 로드된 증적이 확인된다.

[그림 3] 첨부된 악성 워드문서의 기능(External 연결 주소를 통한 w1p3nx.dotm 문서파일 다운로드) 

[그림 4] 워드문서(.docx)를 통해 로드된 매크로문서(w1p3nx.dotm) 

[그림 5] EDR 다이어그램(w1p3nx.dotm 문서 파일 생성 및 실행 증적)      [그림 6]은 추가로 다운로드된 매크로문서(w1p4nx.dotm)에 포함된 매크로코드이다. 인코딩된 cmd 명령어를 디코딩하여 실행하는 매크로 코드가 확인된다. [그림 7]의 EDR 다이어그램을 통해 디코딩된 명령어가 확인되며 C2로부터 DanaBot 악성코드(iu4t4.exe)을 다운로드하는 파워쉘 명령이 확인된다.

[그림 6] w1p4nx.dotm 문서 파일의 매크로 코드 기능(인코딩된 cmd 명령 실행) 

[그림 7] EDR 다이어그램 (복호화된 cmd 명령어가 증적으로 확인 – EXE 파일 다운로드)      [그림 8]은 다운로드 되는 경로(C:\Users\Public)에 생성된 DanaBot 악성코드(iu4t4.exe)이며, [그림 9]와 같이 EDR 다이어그램을 통해 파워쉘을 통해 DanaBot 악성코드(iu4t4.exe)가 생성된 증적이 확인된다.

[그림 8] 다운로드된 EXE 파일(DanaBot 악성코드) 

[그림 9] EDR 다이어그램 (DanaBot 악성코드 EXE 생성 증적)      [그림 10]은 실행된 DanaBot 악성코드(iu4t4.exe)는 rundll32.exe 를 통해 shell32.dll 의 파라미터로 자신을 재실행한다. 따라서 shell32.dll 내에서 작동하여 행위 주체 프로세스는 rundll32.exe이다.

[그림 10] EDR 다이어그램 (셀프 인젝션 및 rundll32.exe 를 통한 재실행)      Danabot 악성코드[1]는 감염시 PC의 여러 정보를 탈취하는 기능이 존재하며, C2와 연결되지 않더라도 정보 수집 행위가 발현된다. EDR 다이어그램 내 rundll32.exe 의 행위 증적을 확인해보면 [그림 11] 과 같이 화면 캡처, PC 정보, 브라우져 계정정보를 수집하는 증적을 확인할 수 있다.

[그림 11] EDR 다이어그램 (화면캡처, PC정보, 브라우져 계정정보 탈취)  External 연결 주소가 포함된 문서로 유포되는 다나봇(Danabot) 악성코드의 감염 흐름과 해당 감염 흐름에 맞춰 EDR 제품의 다이어그램서 확인 가능한 증적에 대해 설명하였다. 공격자는 실제 첨부파일은 외부 연결이 포함된 문서를 사용함으로 교묘하게 첨부파일로 부터 악성 매크로를 노출하지 않는다. 유포 이메일 또한 일반적인 입사 지원서처럼 본문 내용을 정교하게 위장하여 수신자를 속여 문서파일의 실행을 유도 한다. 첨부파일을 열어볼 때는 악성코드가 실행 가능한 확장자가 존재하는지 항상 주의하여야 하고 보안 제품을 이용한 모니터링을 통해 공격자로부터의 접근을 파악하고 대응 및 예방에 주의를 기울여야 한다. [행위 진단] Execution/MDP.Scripting.M10747 Execution/EDR.Malware.M10459 [파일 진단] Downloader/XML.External Downloader/DOC.Generic.S2503 Trojan/Win.DANABOT.C5608053 

MD5

0bb0ae135c2f4ec39e93dcf66027604d
28fd189dc70f5bab649e8a267407ae85
e29e4a6c31bd79d90ab2b89f57075312

AhnLab EDR의 행위 기반 탐지 및 대응 기능에 대해 더 알고 싶으시면, 아래 배너를 클릭하여 확인해 보세요.
Previous Post

Next Post