국내 사용자를 대상으로 유포 중인 악성 Excel 문서 파일

최근 국내 사용자를 대상으로 하는 악성 문서 파일이 유포 중이다.

이 문서 파일은 최종적으로 "Flawed Ammyy" 라고 불리는 RAT(Remote Access Tool) 원격제어 기능의 백도어 악성코드를 사용자의 PC에 설치하는데, 해당 악성코드는 작년에도 스팸 메일의 첨부 파일 형태로 유포된 이력이 있다. 

작년의 사례를 보면 스팸 메일 자체는 영어로 작성되어 있었지만, 악성코드가 검사하는 백신 프로그램 이름 중에 안랩의 V3가 포함되어 있어서 국내 사용자도 대상에 포함될 수 있다는 사실을 추정할 수 있었다. 하지만 최근 접수된 샘플의 경우 직접적으로 국내 사용자를 대상으로 엑셀 문서 파일을 한글로 작성하여 유포되었다는 점이 차이점이라고 할 수 있다.

또한 악성 exe 파일을 직접적으로 다운로드 받는 대신, MSI(Microsoft Installer) 형태의 인스톨러 프로그램을 거쳐 실제 악성코드도 인코딩된 형태로 다운로드 받아 디코딩하여 설치하는 등 여러 단계에 걸친 설치 방식이 특징이다.

해당 파일을 실행하면 아래와 같은 그림을 보여주는데, 이는 MS 오피스에서 기본적으로 매크로 사용이 꺼져 있는 관계로 사회공학적 기법을 사용하여 사용자가 위의 "콘텐츠 사용" 버튼을 클릭하도록 유도하는 방식이다.

"콘텐츠 사용" 버튼을 클릭하면 내부에 포함된 악성 매크로가 실행되는데 다음 url을 통해 외부의 msi 파일을 다운로드 받고 실행하게 된다.

hxxp://update365office.com/agp

다운로드 된 msi 파일은 내부에 exe 파일을 포함하는데 이 파일은 또 다른 악성코드를 다운로드 받는 기능을 가진다. 이 Downloader 악성코드는 현재 실행 중인 프로세스를 검사하고 특정 프로세스가 실행 중인 경우에는 종료한다.

검사하는 프로세스들로는 위와 같이 안랩의 제품들 외에도 다수의 해외 백신 프로그램들이 있다. 즉 백신 프로그램이 설치된 환경에서는 동작하지 않도록 만들어진 것이다.

이후 다음과 같은 경로의 파일 및 디렉터리를 삭제한다.

마지막으로 아래의 url에서 인코딩된 형태의 파일을 다운로드한다.

hxxp://185.17.123.201/dat1.omg hxxp://185.17.123.201/dat2.omg hxxp://185.17.123.201/dat3.omg

다운로드된 파일을 디코딩 과정을 거쳐 exe 형태로 다음 경로에 생성하고 "MicrosoftsSOftWare"라는 이름으로 Run 키에 등록 및 실행한다.

C:\ProgramData\Microsofts Help\wsus.exe

다운로더는 이후 자가 삭제하게 되며, 삭제하기 전 실행된 최종 형태의 악성코드가 실질적인 백도어로서의 기능을 담당하는 "Flawed Ammyy" 악성코드이다. 해당 악성코드의 경우에도 초기 루틴을 보면 앞의 다운로더와 유사하게 현재 실행 중인 프로세스를 검사하는 루틴이 존재한다.

"Flawed Ammyy" RAT 악성코드는 "Ammyy Admin" (version 3) 이라는 원격 관리 도구 (RAT : Remote Administrate Tool)의 유출된 소스 코드를 기반으로 만들어졌으며, 공격자의 서버에서 명령을 받아 사용자의 PC에 대한 원격 제어를 가능케 한다.

C&C 통신에 사용되는 IP 및 Port 주소는 다음과 같다.

169.239.128[.]148:80

최초 연결 후 C&C 서버로 보내는 패킷을 확인해보면 다음과 같이 사용자 PC에 대한 랜덤한 고유 ID 외에도 OS 정보, 권한, 사용자 이름, 컴퓨터 이름 등의 기본 정보를 전송하는 것을 확인할 수 있다.

안랩에서는 위의 악성코드들에 대해 다음과 같이 진단 중이다.

-  XLS/Downloader

-  MSI/Downloader

-  MSI/Installer

-  BinImage/Encoded

-  Trojan/Win32.Agent

-  Trojan/Win32.Downloader

-  Backdoor/Win32.Agent