악성 워드 공격, 해커는 같은 방법을 택하지 않는다
많은 사용자들의 일상에 자리잡은 워드(WORD), 해당 파일을 활용한 공격은 지속적으로 변화를 거듭하며 발전하고 있다. ASEC은 그 동안 지속적으로 관련 공격들을 소개해왔으며, 최근에도 여러 공격들을 포착해 분석을 진행했다. 이번 글에서는 악성 워드 매크로를 활용한 최신 공격에 대해 알아본다.
계속되는 악성 워드 문서 유포
ASEC은 지난 6월 9일과 6월 30일, 블로그 게시물을 통해 각각 ‘사례비 지급 의뢰서’, ‘하계 학술대회 약력 작성 양식’ 제목의 워드(WORD) 문서 악성코드가 유포 중임을 소개했다. 이후 유사한 공격 형태를 모니터링 하던 중, 지난 6월과 7월 1일에도 동일한 제작자에 의해 새로운 악성 워드 문서가 유포된 정황을 확인했다.
새로 포착된 악성 워드 문서 제목
- 민주평통-한국정치외교사학회 공동 학술 회의 프로그램 (최종본).docx – 6월 추가 확보
- [남북회담본부 정책자문위원] 약력 작성 양식.docx – 7월 1일 추가 확보
7월 1일 확인된 유포 파일명은 ‘[남북회담본부 정책자문위원] 약력 작성 양식.docx‘로, 문서 내 외부 연결(External) 링크를 통해 외부 ‘dotm' 매크로가 포함된 워드 파일을 다운로드 받는 구조이다.
[그림 1] ‘[남북회담본부 정책자문위원] 약력 작성 양식.docx’ 내부 External 주소
실제 악성 행위를 수행하는 매크로 코드는 ‘InterKoreanSummit.dotm'이 갖고 있으며, 난독화된 코드도 존재한다. 해당 매크로는 지난 5월 24일 ASEC 블로그를 통해 공개한 ‘정상 엑셀/워드 문서로 위장한 악성코드’에 사용된 매크로와 유사한 형태이다.
매크로 실행 시 공격자 서버(C2)에 접속해 스크립트를 다운로드하며, C:\windows\temp\DMI5CA06.tmp 파일을 삭제(kill)하는 행위를 수행한다. 스크립트는 지난 5월 ‘정상 엑셀/워드 문서로 위장한 악성코드’에서 확인된 스크립트와 동일한 코드로 C2 주소만 차이가 있다.
[그림 2] C2에서 확인된 악성 스크립트
아울러 6월에는 해당 유형의 악성 파일이 ‘민주평통-한국정치외교사학회 공동 학술 회의 프로그램 (최종본).docx‘ 명으로 유포된 것을 확인했다. [그림 3]은 해당 파일 내부에 있는 External 링크다.
[그림 3] 파일 내부 External 주소
해당 주소로부터 다운로드된 ‘Seminarfinal.dotm' 파일에는 앞서 설명한 InterKoreanSummit.dotm 파일과 유사한 매크로가 존재한다. 해당 매크로 역시 C2에 접속하여 추가 스크립트를 다운로드한다. 이 스크립트 또한 앞서 언급한 스크립트와 동일하다.
이 파일들은 모두 사용자(User)명 ‘Naeil_영문시작‘으로부터 수집되었다. 이는 지난 ‘[** 하계학술대회]_양력.doc’와 ‘사례비지급 의뢰서’의 작성자와 일치하는 것으로 보아 같은 공격자로 부터 생성된 파일로 추정된다.
[그림 4] ‘[** 하계학술대회]_양력.doc‘ 문서 속성
지속적으로 변형되는 악성 워드 매크로 포착
ASEC은 위 내용 외에도 악성 워드 매크로 파일에 대해 지속적으로 소개하며 사용자들의 주의를 당부해왔다. 최근에는 공격그룹 ‘TA551’이 유포한 워드 매크로 파일에서 평균 일주일 간격의 변형이 발생하는 것으로 확인되어 이에 대한 분석을 진행했다.
TA551 그룹은 악성코드 유포를 위해 악성 매크로가 포함된 문서를 첨부한 이메일을 주로 활용한다. 기존 동작 방식과 비교했을 때, 문서 매크로 허용 시 HTA 파일을 드롭한 후 추가 악성코드를 내려받는 것은 동일하다. 변형의 주요 골자는 추가로 내려받는 악성코드의 종류에 있다.
[그림 5] TA551 그룹에서 유포하는 악성 워드 매크로 동작 방식
감염 과정에 대해 자세히 알아보자. 공격자는 악성 워드 파일이 첨부된 스팸메일을 유포하고, 사용자가 메일 열람 과정에서 첨부파일을 다운로드 후 매크로를 실행하게 되면 악성 HTA 파일이 드롭된다. 해당 HTA 파일 내부에는 외부 URL에서 추가 악성코드를 다운로드 받을 수 있도록 하는 코드가 있다. 외부 URL의 링크가 유효할 경우 공격자가 최종적으로 의도한 ‘트릭봇(Trickbot)’ 악성코드가 다운로드 및 동작한다.
[그림 6] 트릭봇 악성코드 유포에 사용한 DOC/HTA/DLL 파일명
최근 유포된 샘플을 살펴보면, 악성 매크로가 포함된 워드파일의 매크로 허용 시 HTA 파일이 C:\ProgramData 경로에 드랍된다. HTA 파일 내부 일부 코드의 난독화를 해제하면 외부 악성 URL에서 추가 악성코드(vbaQueryCount.jpg)를 다운로드해 C:\Users\Public 경로에 저장하도록 하는 코드가 확인된다. 여기서 다운로드되는 jpg 파일은 이미지 파일이 아니라 regsvr32.exe 로 실행되는 DLL 악성코드이다.
[그림 7] jpg 확장자로 위장하여 다운로드된 트릭봇 악성코드
최종적으로 다운로드된 트릭봇 악성코드는 사용자 PC에서 웹브라우저 정보 및 금융거래 정보 등 민감 정보를 탈취하는 악성 행위를 시도한다. 특히, 악성코드 변형 추이를 보면 최종적으로 동작하는 악성코드가 달라진 것을 알 수 있는데, 이들은 모두 금융정보 탈취형 악성코드로 확인된다.
최종 동작 악성코드 유형 변화
- IcedID 다운로드 유형
- Ursnif 다운로드 유형
- Trickbot 다운로드 유형
결론: 보안 의식 제고와 기본 수칙 준수 필요
ASEC은 그간 위협의 고도화에 대해 지속적으로 강조해왔으며, 이번 글에서 다룬 내용을 통해 사용자들이 다변화되는 공격에 직접적인 피해를 입을 수 있다는 사실을 알 수 있다.
사용자들은 먼저 이와 같은 공격들이 존재함을 명확히 인지하고, 출처가 불분명한 메일의 첨부파일 실행을 자제해야 한다. 만약 첨부파일을 다운로드 받았을 경우에는 매크로 실행(허용)을 지양해야 한다. 문서 프로그램의 보안 설정이 낮은 경우에는 별도의 경고 문구 없이 바로 매크로가 실행되기 때문에, 보안 설정을 높은 수준으로 유지하여 의도치 않은 기능이 실행되지 않도록 해야한다.
또한, 사용하고 있는 안티바이러스 제품의 엔진 패턴 버전을 최신으로 업데이트하여 사용할 것을 권장한다.
출처 : AhnLab