본문 바로가기
<정보 및 지식>/◈ 컴퓨터 & IT

'매크로' 포함된 첨부 파일, 주의!

by 파스칼바이런 2016. 5. 31.

'매크로' 포함된 첨부 파일, 주의!

AhnLab / 2016-05-18

 

 

 

 

워드 파일을 이용한 지능형 보안 위협(APT, Advanced Persistent Threat)이 지속적으로 발견되고 있는 가운데, 최근에는 한 유명 대학병원의 소식지로 위장한 악성 워드 파일이 유포되기도 했다. 메일의 수신자는 신뢰할 수 있는 기관이 보낸 메일로 오해해 악성코드에 감염될 우려가 있는 만큼 메일의 첨부 파일을 열 때는 사용자들의 각별한 주의가 필요하다.

 

[그림 1] 병원 소식지로 위장한 악성 메일

 

해당 파일은 매크로를 포함하고 있었다. 매크로란, 자주 사용하는 여러 개의 명령어를 묶어서 하나의 키 입력 동작으로 만든 것을 말한다. 일반적으로 매크로를 포함한 파일은 문서 프로그램에서 기본적으로 차단해 매크로 포함 여부를 사용자에게 확인한다. 공격자는 이 부분을 우회하기 위해 [그림 2]와 같은 경로를 문서 상단에 포함시켰다.

 

[그림 2] 매크로 동작을 유도하기 위한 문구

 

매크로를 허용하게 되면 악성 행위가 동작하고 사용자에게는 [그림 3]과 같은 정상적인 문서를 보여준다.

 

[그림 3] 매크로 동작 전 (왼쪽) / 매크로 동작 후 (오른쪽)

 

공격자는 내부에 저장돼 있는 매크로를 보여주지 않기 위해 암호를 설정해뒀다. 분석을 위해 해당 매크로를 보려고 하자 [그림 4]와 같은 암호 입력 창이 나타났다. 또한 내부 매크로는 상세 확인을 방해하기 위해 난독화돼 있었는데 실행 시 외부 주소에서 rtmonsvc.exe의 이름으로 악성코드를 받아 실행하고 사용자에게 정상적인 워드 문서를 보여주는 동작을 했다.

 

[그림 4] 매크로를 암호로 보호

 

실행된 악성코드는 ‘c:\Windows\system32’ 아래에 있는 정상 프로그램 중 하나를 실행한 뒤 내부에 가지고 있던 악성코드를 주입해 실행한다. 주입된 악성코드는 ‘netstat –na’, ‘systeminfo’, ‘tasklist’의 명령을 통해 시스템 정보를 수집해 서버로 전송하고 추가 악성코드를 ‘%temp%\gfxmon64.exe’의 이름으로 다운로드 받는다.

 

[그림 5] 시스템 정보 Base64로 인코딩해 유출

 

현재는 서버가 동작하지 않아 최종 악성코드의 정확한 확인은 이루어지지 않았다. 하지만 서버에서 추가 파일을 다운로드 받아 실행하는 기능이 존재할 것으로 추정된다.

 

이 때문에 신뢰할 수 있는 기관이 보낸 메일이라 할지라도 첨부 문서 파일을 열어 볼 때는 악성코드에 감염되지 않도록 각별한 주의를 기울여야 한다. 해당 파일이 매크로를 사용하는 파일이라면 더욱 그렇다.

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

W97M/Downloader (2016.05.08.00)

Trojan/Win32.Agent (2016.05.12.08)