|
'매크로' 포함된 첨부 파일, 주의! AhnLab / 2016-05-18
워드 파일을 이용한 지능형 보안 위협(APT, Advanced Persistent Threat)이 지속적으로 발견되고 있는 가운데, 최근에는 한 유명 대학병원의 소식지로 위장한 악성 워드 파일이 유포되기도 했다. 메일의 수신자는 신뢰할 수 있는 기관이 보낸 메일로 오해해 악성코드에 감염될 우려가 있는 만큼 메일의 첨부 파일을 열 때는 사용자들의 각별한 주의가 필요하다.
[그림 1] 병원 소식지로 위장한 악성 메일
해당 파일은 매크로를 포함하고 있었다. 매크로란, 자주 사용하는 여러 개의 명령어를 묶어서 하나의 키 입력 동작으로 만든 것을 말한다. 일반적으로 매크로를 포함한 파일은 문서 프로그램에서 기본적으로 차단해 매크로 포함 여부를 사용자에게 확인한다. 공격자는 이 부분을 우회하기 위해 [그림 2]와 같은 경로를 문서 상단에 포함시켰다.
[그림 2] 매크로 동작을 유도하기 위한 문구
매크로를 허용하게 되면 악성 행위가 동작하고 사용자에게는 [그림 3]과 같은 정상적인 문서를 보여준다.
[그림 3] 매크로 동작 전 (왼쪽) / 매크로 동작 후 (오른쪽)
공격자는 내부에 저장돼 있는 매크로를 보여주지 않기 위해 암호를 설정해뒀다. 분석을 위해 해당 매크로를 보려고 하자 [그림 4]와 같은 암호 입력 창이 나타났다. 또한 내부 매크로는 상세 확인을 방해하기 위해 난독화돼 있었는데 실행 시 외부 주소에서 rtmonsvc.exe의 이름으로 악성코드를 받아 실행하고 사용자에게 정상적인 워드 문서를 보여주는 동작을 했다.
[그림 4] 매크로를 암호로 보호
실행된 악성코드는 ‘c:\Windows\system32’ 아래에 있는 정상 프로그램 중 하나를 실행한 뒤 내부에 가지고 있던 악성코드를 주입해 실행한다. 주입된 악성코드는 ‘netstat –na’, ‘systeminfo’, ‘tasklist’의 명령을 통해 시스템 정보를 수집해 서버로 전송하고 추가 악성코드를 ‘%temp%\gfxmon64.exe’의 이름으로 다운로드 받는다.
[그림 5] 시스템 정보 Base64로 인코딩해 유출
현재는 서버가 동작하지 않아 최종 악성코드의 정확한 확인은 이루어지지 않았다. 하지만 서버에서 추가 파일을 다운로드 받아 실행하는 기능이 존재할 것으로 추정된다.
이 때문에 신뢰할 수 있는 기관이 보낸 메일이라 할지라도 첨부 문서 파일을 열어 볼 때는 악성코드에 감염되지 않도록 각별한 주의를 기울여야 한다. 해당 파일이 매크로를 사용하는 파일이라면 더욱 그렇다.
V3 제품에서는 아래와 같이 진단이 가능하다.
<V3 제품군의 진단명> W97M/Downloader (2016.05.08.00) Trojan/Win32.Agent (2016.05.12.08) |
'<정보 및 지식> > ◈ 컴퓨터 & IT' 카테고리의 다른 글
| 소중한 내 '개인정보', 어디까지가 개인정보일까? (0) | 2016.06.02 |
|---|---|
| DLL 이용한 CryptXXX 랜섬웨어 분석 보고서 (0) | 2016.06.01 |
| 랜섬웨어의 표적은 누구인가? (0) | 2016.05.30 |
| “배터리 잔량 3%!” 안드로이드나 아이폰을 되살리는 7가지 방법 (0) | 2016.05.19 |
| 인공지능 + 인간 = 강력한 사이버 보안 (0) | 2016.05.13 |