엑셀

정상 엑셀파일 감염 기능의 Virus/XLS.Xanpei 바이러스 주의

Posted By ,

최근 ASEC 분석팀은 엑셀문서 열람 시 바이러스 형태로 전파되는 악성코드들이 지속적으로 유포되고 있는 것을 확인하였다. 해당 악성코드는 정상 엑셀파일을 감염시키는 바이러스 기능뿐만 아니라, Downloader, DNS Spoofing 등의 추가적인 악성 행위를 수행하고 있어 사용자의 큰 주의가 필요하다. 해당 악성코드들은 공통적으로 엑셀파일 내부에 포함되어 있는 VBA(Visual Basic for Applications) 코드를 통해 바이러스 전파를 수행한다. 감염된 엑셀문서 실행 시 바이러스 전파를 위해, 바이러스 VBA 코드가 포함된 엑셀 문서를 엑셀 시작 경로에 드랍한다. 이후 임의의 엑셀 문서 실행 시, 엑셀 시작 경로에 드랍된 악성…

엑셀 4.0 매크로 악성코드 실행 예방 가이드 – Microsoft Office 365 제품

Posted By ,

엑셀 4.0 매크로 (XLM) 악성코드는 마이크로소프트 오피스 엑셀 문서 파일을 이용한 공격 방식으로, VBA (Visual Basic Application)을 뒤이어 새로운 문서 악성코드 흐름으로 자리 잡았다. 엑셀 4.0 매크로 악성코드는 엑셀 프로그램의 ‘매크로 시트’ 기능을 이용한다. 시트를 구성하는 각 셀이 실행 가능한 함수 흐름으로 되어 있는 것이 특징이다. 엑셀 4.0 매크로 악성코드는 최근 오피스 문서를 이용한 악성코드 유포 방식에서 가장 활발하게 쓰이고 있다. 매크로 코드가 저장되는 파일 바이너리의 특징과 코드 난독화 등을 이유로 안티바이러스 제품의 탐지가 VBA 방식에 비해 상당히 어렵다는 점을…

블랙프라이데이 시즌을 노린 기업 타겟 악성 엑셀 문서 유포

Posted By ,

블랙프라이데이 시즌을 노린 악성 엑셀 문서가 기업을 대상으로 유포되고 있다. 오늘 11월 25일 확인된 이메일은 국내 모 기업에서 접수되었다. 이메일은 엑셀 문서를 첨부 파일로 포함하고 있었다. 엑셀 문서는 XLSB 엑셀 바이너리 포맷의 Excel 4.0 Macro (XLM) 매크로시트를 포함한 파일로서, 실행 대상 시스템의 도메인 컨트롤러 여부를 확인하여 추가 악성 기능이 실행한다. 첨부된 엑셀 문서는 파일명이 ‘promo details-[숫자].xlsb’ 형식이고 XLSB 파일 포맷인 것이 특징이다. XLSB은 엑셀 바이너리 파일 포맷으로서, 기존의 XLS 또는 XLSX 파일과는 다소 다른 파일 구조를 보인다. XLSX가 스트링 기반의…

Excel 4.0 매크로를 통해 유포되는 Dridex

Posted By ,

최근 ASEC 분석팀은 엑셀 문서를 통해 Dridex 가 유포되는 방식이 빠른 주기로 변화되고 있는 것을 확인하였다. 작년부터 Dridex 유포 방식에 대해 ASEC 블로그를 통해 소개 해왔으며, 지난달 작업 스케줄러를 이용하여 Dridex 를 유포하는 엑셀 문서를 마지막으로 소개하였다. 현재 유포 중인 엑셀 문서에서는 이전과 달리 VBA 매크로가 사용되지 않았으며, Excel 4.0 매크로만 사용되고 있다. 이러한 변화는 백신 탐지를 우회하기 위한 것으로 추정되며 변화 주기가 짧아지고 있다. 최근 유포되고 있는 엑셀 문서의 실행 화면은 아래와 같다. 다양한 이미지를 이용하여 사용자가 매크로 사용…

더욱 정교해진 Excel 문서 (Dridex, Cobalt Strike 유포)

Posted By ,

엑셀 문서를 통해 Dridex 가 유포되는 방식은 작년부터 꾸준히 확인되었으며 ASEC 블로그에도 게시되었다. 최근 ASEC 분석팀은 기존과 비슷한 방식으로 Dridex 와 함께 Cobalt Strike 툴이 함께 유포되는 정황을 포착하였다. 최근 유포되는 엑셀 문서에는 기존과 달리 작업 스케줄러를 이용하여 특정 시간 이후 악성 행위를 수행하는 것으로 확인되었다. 이러한 동작방식의 변화는 샌드박스 환경에서의 탐지 및 행위탐지를 우회하기 위한 시도로 추정된다. 또한, Dridex, Cobalt Strike 악성코드는 과거 도플페이머(DopplePaymer) 랜섬웨어, CLOP 랜섬웨어 감염으로 이어진 피해 사례가 있음으로 기업 사용자 환경의 경우 더욱 주의가 요구된다….