울지않는벌새 : Security, Movie & Society

엑셀(Excel) 파일로 위장한 정보 수집 악성코드 유포 주의 (2018.9.29)

벌새::Analysis

최근 파일 공유 서비스를 통해 유포가 이루어진 것으로 추정되는 Microsoft Excel 파일 아이콘으로 위장한 정보 수집용 악성코드가 발견되어 살펴보도록 하겠습니다.



참고로 해당 악성코드는 기존에도 다양한 형태로 유포되었던 변종이 존재하였으므로 참고하시기 바랍니다.


  • "Microsoft Wind" 디지털 서명 사용한 악성 파일 (SHA-1 : 32c9a6b54572cac5aa94852fec4b0185d3fea354) - 알약(ALYac) : Trojan.Keylogger.njRAT / Microsoft : Backdoor:MSIL/Bladabindi
  • "Microsoft Corporation" 디지털 서명 사용한 악성 파일 (SHA-1 : 2d7cfd1831983f525f20d8ed7eb37a04ef0cad3d) - ESET : a variant of MSIL/Kryptik.PKI

확인된 2종의 악성 파일은 모두 유효하지 않은 디지털 서명이 포함되어 있으며 실행 시 다음과 같은 형태로 자가 복제를 시도합니다.


생성된 "C:\Users\Public\EXCEL.exe" 악성 파일은 Microsoft Excel 파일 아이콘으로 구성되어 있으며, Windows 부팅 시 자동 실행되도록 다음과 같은 시작 프로그램 등록값을 등록합니다.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 - 78265b083f4e9d64c29dbca7e6eab7d7 = "C:\Users\Public\EXCEL.EXE" ..


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - 78265b083f4e9d64c29dbca7e6eab7d7 = "C:\Users\Public\EXCEL.EXE" ..


※ "78265b083f4e9d64c29dbca7e6eab7d7" 값은 변종마다 다른 값으로 등록됩니다.



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules

 - {37A4D3A6-7D80-4668-A6A7-788CD1CB73B0} = v2.28|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Users\Public\EXCEL.EXE|Name=EXCEL.EXE|

 - {A6C1DD7D-2D69-40E9-945A-212995857972} = v2.28|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Users\Public\EXCEL.EXE|Name=EXCEL.EXE|


또한 방화벽 차단을 우회 목적으로 Windows 방화벽의 인바운드 규칙에 EXCEL.EXE 이름으로 "C:\Users\Public\EXCEL.exe" 악성 파일이 TCP/UDP 프로토콜을 이용한 통신을 차단하지 않도록 허용합니다.



실행된 "C:\Users\Public\EXCEL.exe" 악성 파일은 자동 실행되어 메모리에 상주하며 지속적으로 시작 프로그램 등록값(Run)에 등록된 키가 삭제되지 않도록 감시하며, 다음과 같은 악의적인 기능을 수행합니다.



우선 1차적으로 국내 단축 URL 서비스를 제공하는 "sprze.ze.am (211.219.155.16)" C&C 서버와의 통신을 지속적으로 시도합니다.



HKEY_CURRENT_USER\Software\78265b083f4e9d64c29dbca7e6eab7d7

 - [kl] = <키로깅 정보 수집>

핵심적인 기능은 감염된 환경에서 사용자가 실행하는 프로그램 이름, 입력 키보드 값 정보를 [kl] 레지스트리 값 영역에 저장하여 외부로 유출할 수 있으며, 이를 통해 사이트 로그인 정보 및 금융 정보 등을 수집할 수도 있습니다.


2018년 9월 21일경부터 추석 명절 기간까지 유포된 것으로 추정되는 해당 악성코드는 수집된 정보를 기반으로 추가적인 금전적 피해 등을 유발할 수 있으므로 만약 감염이 확인된 경우에는 사이트 비밀번호 변경 등을 반드시 하시기 바랍니다.