[악성코드 분석]송장(Invoice)을 위장한 엑셀파일 주의

송장(Invoice)을 위장한 엑셀파일 주의

1. 개요

최근 국내 기업을 대상으로 악성 파일이 첨부된 메일이 유포되고 있다. 해당 메일에는 송장(invoice)을 위장한 엑셀 파일이 첨부되어 있고, 해당 엑셀 파일의 매크로를 통해 백도어 기능을 하는 악성파일을 다운받아 사용자 PC에 설치한다. 이와 유사한 방식의 첨부파일을 포함한 형태의 메일이 꾸준히 유포되고 있어 사용자들의 주의를 요한다.

 

이번 보고서에는 최근에 발견 된 송장(Invoice)을 위장한 엑셀 파일에 대해서 알아보고자 한다.

 

 

 

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	L680273.xls
파일크키	216,064 byte
진단명	Suspicious/X97M.Obfus.Gen.1
악성동작	매크로 실행을 통한 악성파일 다운

구분	내용
파일명	wsus.exe
파일크키	840,408 byte
진단명	Backdoor/W32.Ammyy.840408
악성동작	사용자 정보 탈취

 

2-2. 유포 경로

해당 메일은 5월 21일 오전, 국내 여러 기업을 대상으로 유포되었다. 송장(Invoice)을 위장한 엑셀파일을 첨부하고 있고, 첨부파일 내용을 확인 해보길 권하는 내용을 담고 있다. 이전에도 반출 신고서나 출근부 등으로 위장하여 유포된 사례가 있다.

 

[그림 1] invoice 위장 엑셀파일이 첨부된 메일

 

2-3. 실행 과정

첨부된 엑셀파일을 실행 시, 내부 문서가 제대로 표시되지 않는다는 이유로 매크로 사용을 유도한다. 옵션을 통해 매크로를 사용하여 ‘콘텐츠 사용’ 을 선택할 시 정보 탈취가 가능한 악성파일을 다운로드하여 실행한다.

 

[그림 2] 매크로 실행을 유도하는 엑셀파일

 

 

 

 

3. 악성 동작

3-1. 매크로를 이용한 악성파일 다운

사용자가 옵션을 통해 매크로를 사용할 시, [그림 3]과 같은 코드가 실행된다. 해당 코드는 원격 서버에서 ‘11.exe’ 라는 파일을 다운로드 받아 실행 시키는 코드이다.

 

[그림 3] 악성파일을 다운 후 실행하는 매크로 코드

 

 

‘11.exe’ 파일이 실행되면 추가로 ‘C:\ProgramData\NuGets’ 경로에 ‘wsus.exe’ 라는 파일을 다운로드 한다.

 

[그림 4] 추가로 다운로드 된 악성파일

 

3-2. 사용자 정보 탈취

‘wsus.exe’ 파일이 실행되면 특정 원격지와의 통신을 지속적으로 하는 것이 확인된다.

 

[그림 5] 원격지와의 통신

 

 

 

현재 C&C 서버와의 연결이 원활하지 않아, 사용자 PC의 ‘고유id’, ‘os정보’ 등 일부 정보만이 전송된다. 연결 상태에 따라 명령을 받아 사용자 PC에 대한 원격 제어가 가능 할 것으로 보인다.

 

[그림 6] 전송되는 패킷

 

 

 

값 이름	설 명
id=	고유 id값
os=	운영체제 정보
priv=	실행 권한 정보
cred=	유저 경로
pcname=	시스템 명
avname=	등록된 백신 정보
build=	악성코드 실행 시각
card=	NFC 정보

[표 1] 전송되는 패킷에 대한 설명

 

 

 

 

4. 결론

이번 보고서에서 알아 본 송장(invoice) 위장 파일은 올해 초 부터 반출 신고서, 출근부 등을 사칭해서 다양한 방법으로 유포되고 있다. 모두 엑셀 파일에 포함된 매크로를 통한 악성파일 다운 형태로, 사용자들의 매크로 실행에 대한 위험성 인식이 필요하다.

또한 이러한 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 사전에 백신 프로그램을 설치할 것을 권고한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

 

[그림 7] TACHYON Internet Security 5.0 진단 및 치료 화면