매크로

매크로 시트를 이용한 악성 엑셀 국내 유포 중

ASEC 분석팀은 매크로 시트(Excel 4.0 macro sheet)를 이용한 악성 엑셀 문서가 피싱 메일을 통해 국내에 다수 유포 중임을 확인하였다. 매크로 시트를 이용한 방식은 악성코드 유포자가 자주 사용하는 방식으로, 지난 10월 Qakbot 유포에도 사용되었다. 피싱 메일은 아래와 같으며, 한국어가 사용된 점으로 보아 국내 사용자를 대상으로 유포된 것으로 추정된다. 또한 해당 메일은 실제 발송된 정상 메일을 활용한 것을 확인할 수 있다. 사용자는 해당 부분으로 인해 정상 메일로 인지할 수 있어, 큰 주의가 필요하다. 메일에는 압축 파일(ZIP)이 첨부되어 있으며, 압축 파일 내부에 악성…

암호 걸린 첨부 파일로 유포 중인 Emotet 악성코드

ASEC 분석팀은 메일에 암호 걸린 압축 파일로 첨부되어 이모텟(Emotet) 악성코드가 유포 중인 것을 확인하였다. 메일 본문에 압축 파일을 풀기 위한 암호가 적혀있어서, 메일을 수신한 사람만 파일을 실행할 수 있다. 또한 압축 파일 내의 파일을 안티바이러스 제품에서 탐지하고 있더라도, 압축 파일 자체에 암호가 걸려있기 때문에 암호 해제 전까지는 자동으로 탐지가 어렵다. 메일은 10월 17일 발송되었고, 다음과 같이 기업 관계자를 위장하고 있다. 첨부된 파일은 압축 파일로서, 압축 해제 시 ‘MYTNXTOJ3 202010月17.doc’ 이름의 워드 파일이 존재한다. ‘MYTNXTOJ3 202010月17.doc’ 워드 문서 파일의 내용은 위와…

주의! 21대 국회의원 선거관련 악성 워드문서 유포 중

ASEC분석팀은 21대 국회의원 선거관련 문서를 다운로드 받는 악성 워드문서를 발견하였다. 해당 문서파일은 실행 시 특정 URL에서 악성 파일을 다운로드 받는다. 확인된 외부 다운로드 주소는 아래와 같다. http[:]//saemaeul.mireene.com/skin/board/basic/bin 해당 파일을 성공적으로 다운로드 받은 경우, 아래와 같은 국회의원 선거관련 내용이 사용자에게 보여진다. 사용자에게 보여지는 내용 문서파일을 열 경우 아래와 같이 다운로드 시도 화면이 사용자에게 보여진다. 워드 실행 시 접속 URL  이러한 외부 다운로드 기능은 아래의 그림에서 알 수 있듯이 워드문서 내부 개체 중 “settings.xml.rels” 파일의 Target 항목에 의해 발생한다. External Link 다운로드에…

엑셀 매크로 코드에서 확인된 Anti-VM 기능 (very hidden)

ASEC분석팀은 3월 25일 악성 매크로 코드를 ‘좀 더’ 숨긴 엑셀파일에서 Anti-VM 기능까지 추가 된 것을 확인하였다. 해당 엑셀파일을 실행 시, 사용자는 아래의 그림과 같이 왼쪽 하단에 ‘Sheet1’ 이름의 시트만 확인이 가능하다. 실제 악성코드가 사용하는 매크로 코드는 ‘Sheet1’이 아닌 숨겨진 시트에서 확인이 가능하다. 매크로 시트를 구성하는 바이너리를 보면 ’01’ (Excel 4.0 macro sheet)가 ’02’ (very hidden)로 값이 되어 있음을 확인할 수 있고, 02를 00 으로 수정 시 숨겨져 있는 악성 Sheet를 확인 할 수 있다. very hidden에 대한 자세한 내용은 아래 글을…

문서에 포함된 매크로 악성코드

순간의 호기심이 매크로를 On!   인간의 호기심은 끝이 없고 같은 실수를 반복하게 된다. 불분명한 발신으로부터, 혹은 익숙하지만 살짝 의심스러운 발신자에게서 온 메일의 열람은 금기시 되어야 한다는 것은 공공연한 사실이다. 더불어 의심스러운 메일에 첨부된 파일의 다운 및 실행은 절대 해선 안 되는, 21세기를 살아가는 자들의 필수적인 IT 보안 상식이다. 하지만 첨부된 파일이 호기심을 자극하는, 매우 매력적인 제목의 문서파일이라면 어떨까? 수 없이 전해 듣고 교육받고 심지어 일전에 악성코드에 큰 피해를 본 사람이라도, 매뉴얼처럼 숙지한 철옹성과 같던 보안 상식은 모래성 마냥 한순간에 무너져 내릴 것이며, 인간의 무한한 호기심과 궁금증을 풀고자 하는 끝없는 욕망에 이끌려 자의적으로 마우스 포인터는 첨부 파일을 향할 것이다.   일반인들에게 PE파일이란 생소한 단어이다. PE 파일, 즉 실행 파일이란 개념보다 확장자가 'EXE'인 파일이 이들에게 더 친숙할 것이며, 정보의 바닷속에 무수히 많은…