EtterSilent Office 악성문서 빌더

 

최근 EtterSilent라는 Office 악성문서 빌더가 발견되었다. 해당 악성 빌더는 2020년부터 해커 포럼에 게시되어 판매되고 있으며, 보안 솔루션에서 탐지되지 않고 있어 Trickbot, IcedID, Ursnif 밍 QakBot 등 악명 높은 악성코드 제작자들이 사용하고 있다. EtterSilent 빌더를 통해 생성된 악성문서는 피싱 메일을 통해 사용자들에게 유포되며, 매크로 혹은 취약점을 사용해 파일을 다운로드하여 추가적인 악성행위를 수행한다.

 

[그림 1] 해커 포럼 판매 광고

 

 

판매자는 해커 포럼에서 EtterSilent 빌더를 판매하고 있으며, 악성 빌더의 두 가지 버전과 함께 Windows Defender, Smart Screen, Gmail 및 이메일 서비스 우회 기능에 대해 홍보하고 있다.

첫 번째 버전은 취약점을 사용하는 버전으로 $200 가격에 판매되며, CVE-2017-8570, CVE-2017-11882, CVE-2018-0802 취약점을 이용하여 악성행위를 수행한다.

 

[그림 2] 취약점 사용 버전 설명

 

두 번째 버전은 매크로를 사용하는 버전으로 $25 가격에 판매되며, Excel Macro 4.0을 사용하여 악성행위를 수행한다. 외신에 따르면 현재 저렴한 가격으로 인해 매크로 버전이 많이 사용되고 있다고 알려져 있다.

 

 

[그림 3] 매크로 사용 버전 설명

 

또한, 보안 솔루션 탐지 여부를 체크하는 사이트를 통해 EtterSilent 악성 빌더를 통해 생성한 악성 파일이 진단되지 않는다고 주장하며, 악성 문서가 보안 솔루션에서 탐지되지 않고 실행되는 영상을 게시하고 있다.

 

[그림 4] 시연 영상

 

 

빌더를 통해 생성된 악성문서는 사용자의 매크로 실행 유도를 위해 “DocuSign 서비스를 통해 문서내용이 암호화 되었으며 이를 복호화하기 위해서 매크로를 활성화” 하라는 내용의 이미지를 보여준다.

 

[그림 5] 매크로 활성 유도

 

 

실행된 악성 매크로를 통해 공격자의 서버로 연결하여 추가 파일을 다운로드한다. 다운로드한 파일을 regsvr32 또는 rundll32 프로세스에 인젝션하여 추가적인 악성행위를 수행한다.

 

[그림 6] 악성 매크로

 

 

[그림 7] 파일 다운로드

 

EtterSilent Office 악성문서 빌더는 저렴한 가격으로 인해 악성코드 제작자들에게 인기를 얻고 있으며, 최근 해당 빌더를 이용한 악성코드 유포 사례가 지속적으로 발견되고 있다. 따라서 출처가 불분명한 메일에 첨부된 파일 실행을 지양해야 하며, 이후에도 발생할 수 있는 사이버 공격에 대비하여 보안 동향에 관심을 가질 필요가 있다.