01. 개요

최근 매크로 시트(Excel 4.0 Macro)를 이용한 악성 엑셀 문서가 피싱 메일을 통해 국내에 다수 유포 중인 것으로 드러났다. 매크로 시트를 이용한 방식은 악성코드 유포자가 자주 사용하는 방식으로 스쿼럴와플(Squirrelwaffle), 칵봇(Qakbot)을 비롯한 다양한 악성코드 유포에도 사용된 이력이 존재하는 것으로 분석됐다. 따라서 이번 호에서는 SPiDER TM V5.0과 SPiDER TM AI Edition 시스템을 통해 매크로 시트를 이용한 악성 엑셀 메일 탐지 및 대응할 수 있는 방법에 대해 기술하고자 한다.

02. 탐지 시나리오

1) 에이전트를 이용한 웹로그 수집

WEB Server에 Agent를 설치하여 웹로그를 SIEM 서버로 수집

2) 수집된 웹로그를 SPiDER TM AI Edition 에서 분석 및 예측 결과 확인

AI 이상행위탐지 예측모델이 수집된 웹로그 중 User-agent가 스캐닝 툴인 로그를 분석하여 예측 결과 확인

3) SPiDER TM AI Edition 예측 결과를 이용한 스캔행위시도 공격 탐지

AI 예측 모델이 예측한 결과를 바탕으로 SIEM에서 경보화하여 스캐닝 공격 행위 탐지

03. AI 모델을 활용한 Tool 스캔 시도 탐지 경보 등록

1) 자동화된 툴을 이용한 스캐닝 공격 탐지

수집된 웹로그 중 User-agent가 dirsearch, nmap, sqlmap인 로그 탐지

2) 수집된 웹로그를 SPiDER TM AI Edition 에서 분석 및 예측 결과 확인

V3 백신에서 ‘Trojan/Win64.Loader.C4175641’ 진단명으로 트로이목마(RAT) 유형의 타이도어 멀웨어 탐지 가 된 이후 백신의 결과 값이 치료불가/치료실패/에러 상태인 로그 확인

3) SPiDER TM AI Edition 예측 결과를 이용한 스캔행위시도 공격 탐지

해커가 감염된 대상 사용자의 장치에 원격으로 액세스하는 행위에 대하여 방화벽 접속 로그 중 외부의 BlackList IP(C&C서버)에서 감염된 대상 PC로 접속한 허용 세션 탐지

04. 상관분석 룰 등록 및 상세 분석

1) 상관분석 시나리오1

앞서 등록한 단일 경보 3가지에 대하여 1단계 부터 4단계까지 상관분석을 등록한다.

① 공문서를 사칭한 피싱 메일 탐지
② 백신에서 타이도어 멀웨어 감염 탐지
③ 외부 C&C 서버에서 사용자PC로 비인가 접근 허용 탐지
④ 감염된 사용자 PC에서 외부 C&C 서버로 정보 유출 탐지

승계 조건을 활용하여 연계 경보 탐지
1단계 -> 2단계 승계 조건 : 1단계 목적지 IP = 2단계 출발지 IP
2단계 -> 3단계 승계 조건 : 2단계 출발지 IP = 3단계 목적지 IP
3단계 -> 4단계 승계 조건 : 3단계 목적지 IP = 4단계 출발지 IP

2) 상세분석

상세분석 기능을 이용한 근거데이터, 경보 트렌드 분석이 가능하다.
발생된 룰셋에 대한 발생건수, 차트 및 근거이벤트 대표 출발지IP, 목적지IP 의 상세정보, 경보의 원본로그 정보/페이로드 변환 정보, 경보발생 그래프를 확인할 수 있다.

05. 결론

지금까지 엑셀 매크로 시트를 이용한 악성코드 탐지하는 방법에 대해 알아보았다. 다수의 유사한 파일명으로 대량 유포하는 방법을 사용하였기에 사용자들은 출처를 알 수 없는 의심스러운 메일을 수신했을 경우 첨부파일을 실행하는 것은 지양해야 한다. 또한, 사용하고 있는 백신을 항상 최신 버전으로 업데이트할 필요가 있다. 이와 같이 보안전문가의 관제 기술 및 솔루션 활용 능력과 AI의 분석 기술로 보안 운영에 효율적인 효과를 기대해 볼 수 있다.

엑셀 예방 대책
① 엑셀 파일 열람 시 팝업창을 좀 더 주의 깊게 내용을 확인 후 실행
②디지털 서명된 매크로만 포함 설정하여 악의적인 매크로가 자동으로 실행되는 것을 제한