보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
엑셀 매크로 시트를 이용한 악성코드 탐지
2022.02.09
1,801
SPiDER TM V5.0은 이글루시큐리티 보안 관제 경험과 빅테이터 활용 역량이 집약된 통합보안관리 솔루션으로 최초 탐지부터 로그/네트워크 패킷 분석까지 일원화된 관제 환경 구성을 통해 관제업무의 기민성과 효율성을 높이는 동시에 인프라 전반에 대한 가시성을 확보할 수 있다.
01. 개요
최근 매크로 시트(Excel 4.0 Macro)를 이용한 악성 엑셀 문서가 피싱 메일을 통해 국내에 다수 유포 중인 것으로 드러났다. 매크로 시트를 이용한 악성코드 유포는 사이버범죄자들이 자주 활용하는 방식으로 SquirrelWaffle, Qakbot을 비롯한 다양한 악성코드 유포에도 사용된 이력이 존재하는 것으로 분석됐다.
따라서 이번 호에서는 SPiDER-TM 5.0을 통해 매크로 시트를 이용한 악성 엑셀 메일 탐지 및 대응할 수 있는 방법에 대해 기술하고자 한다.
02. 탐지 시나리오
1) 악성코드가 포함 된 엑셀 매크로 시트를 첨부한 메일 탐지
Spam Mail 탐지 솔루션을 이용하여 제목에 ‘biz’, ‘recital’, ‘proto’, ‘miss’, ‘record’ 문구 등을 포함하는 엑셀 첨부파일이 존재하는 메일을 탐지한다.
2) 엑셀파일 클릭 시 은닉된 매크로 코드로 외부 URL 접속 후 악성코드 다운
최초 엑셀 파일을 실행하면 텍스트가 분산 은닉된 시트가 확인되고, URLDownloadToFileA 함수를 이용하여 시트에 존재하는 외부 URL로 접근하여 추가 악성코드를 내려받도록 한다.
3) 사용자 PC 에서 외부 C&C 서버로 접근 탐지
방화벽 장비를 통해 악성코드가 감염된 사용자 PC 에서 외부 C&C 서버로 허용된 로그를 탐지한다.
03. 악성코드 탐지 시나리오 단일 등록
1) 악성코드가 포함 된 엑셀 매크로 시트를 첨부한 메일 탐지
Spam Mail 탐지 솔루션을 이용하여 제목에 ‘biz’, ‘recital’, ‘proto’, ‘miss’, ‘record’ 문구 등을 포함하는 엑셀 첨부파일이 존재하는 메일을 탐지한다.
[그림 2] 악성코드가 포함 된 엑셀 매크로 시트를 첨부한 메일 탐지
2) 엑셀파일 클릭 시 은닉된 매크로 코드로 외부 URL 접속 후 악성코드 다운 탐지
최초 엑셀 파일을 실행하면 텍스트가 분산 은닉된 시트가 확인되고, URLDownloadToFileA 함수를 이용하여 시트에 존재하는 외부 URL로 접근하여 추가 악성코드를 내려받도록 한다.
V3 백신에서 ‘Qakbot, SquirrelWaffle’ 진단명으로 탐지된 이후 백신 결과값이 치료 불가/치료 실패/에러 상태인 로그를 확인할 수 있다.
[그림 3] Qakbot, SquirrelWaffle 악성코드 탐지
3) 사용자 PC 에서 외부 C&C 서버로 접근 탐지
방화벽 장비를 통해 악성코드가 감염된 사용자 PC 에서 외부 C&C 서버로 허용된 로그를 탐지한다.
[그림 4] 사용자 PC에서 외부 C&C 서버로 접근 탐지
04. SIEM 상관분석 룰 등록
• 앞서 등록한 단일 경보 3가지에 대하여 1단계부터 3단계까지 상관분석 등록
① 악성코드가 포함된 엑셀 매크로 시트를 첨부한 메일 탐지
② Qakbot, SquirrelWaffle 악성코드 탐지
③ 사용자 PC에서 외부 C&C 서버로 접근 탐지
[그림 5] 상관분석 등록 화면
[그림 6] 상관분석 발생 결과
05. 상세분석 결과
상관분석 상세 분석 결과를 통해 발생건수, 출발지 IP, 목적지 IP, 발생 URI 및 시그니처를 한눈에 확인 할 수 있다.
[그림 7] 상관분석 상세분석 결과
06. 결론
지금까지 엑셀 매크로 시트를 이용한 악성코드 탐지하는 방법에 대해 알아보았다. 다수의 유사한 파일명으로 대량 유포하는 방법을 사용하였기에 사용자들은 출처를 알 수 없는 의심스러운 메일을 수신했을 경우 첨부파일을 실행하는 것은 지양해야 한다. 또한, 사용하고 있는 백신을 항상 최신 버전으로 업데이트할 필요가 있다.
• 예방 대책
엑셀 파일 열람 시 팝업창을 좀 더 주의 깊게 내용을 확인 후 실행
보안센터의 디지털 서명된 매크로만 포함 설정하여 악의적인 매크로가 자동으로 실행되는 것을 제한
DDE(Dynamic Data Exchange)에서 다른 응용프로그램 실행 제한 설정
07. 참고자료
[1] 보안뉴스
[2] 안랩 최신 보안뉴스