울지않는벌새 : Security, Movie & Society

MS Office DDE(동적 데이터 교환) 필드를 악용한 Morty 스파이웨어 유포 주의 (2019.2.12)

벌새::Analysis

최근 수신된 메일 중 MS Word 프로그램의 동적 데이터 교환(Dynamic Data Exchange, DDE) 필드 기능을 악용하여 악성코드를 자동 다운로드하는 방식이 확인되어 살펴보도록 하겠습니다.



참고로 마이크로소프트(Microsoft) 업체에서는 2017년 11월경에 Microsoft Office 프로그램의 DDE 필드가 포함된 문서와 관련된 보안 권고를 통해 기능을 비활성화할 수 있는 방법을 공개하고 있으며, 현재 MS Word 프로그램은 업데이트를 통해 기본적으로 비활성화된 것으로 알고 있습니다.


감염 방식을 확인해보면 "Houston Procurement Service Center" 제목을 가진 메일을 통해 본문에서 제공하는 링크(URL)를 클릭하여 주문서를 다운로드하도록 유도하고 있습니다.


링크를 클릭할 경우 SendSpace 파일 전송 서비스를 통해 PO 10003FEB.doc 파일명을 가지는 MS Word 문서(SHA-1 : 46f901f7d9e9891cb3402f9385c02b48a5680e82 - F-Secure : Exploit:W97M/CVE-2017-0199.B)를 다운로드하도록 구성되어 있습니다.



사용자가 MS Word 문서를 오픈하는 경우 "이 문서에 다른 파일을 참조하는 링크가 있습니다. 연결된 파일의 데이터로 이 문서를 업데이트하시겠습니까?" 메시지 창이 생성되며, 이 과정에서 최신 업데이트가 적용되지 않은 MS Word 프로그램인 경우에는 자동으로 악의적인 기능이 동작할 수 있습니다.



세부적으로 살펴보면 오픈된 MS Word 문서("C:\Program Files\Microsoft Office\Office<숫자>\WINWORD.EXE" /n /dde)에서는 사각형 모양의 도형만 표시되며 해당 도형 내에는 악의적인 스크립트가 포함되어 자동으로 연결이 이루어질 수 있습니다.



우선 MS Word 문서 오픈과 동시에 "C:\Users\%UserName%\AppData\Local\Temp\abctfhghghghghg.sct" Windows Script Component 파일(SHA-1 : ad9f7a90dccd7a55938d9fa0effa3cd32cf7dbbc - Avast : JS:ScriptIP-inf [Trj])이 생성되어 실행됩니다.



실행된 스크립트에서는 특정 웹 서버에 업로드되어 있는 DHLBILL.exe 파일(SHA-1 : 11d4912114a992ae6aa914de022061ea9de1eb9f - Avira : TR/AD.MortyStealer.pxina) 다운로드를 통해 "C:\Users\%UserName%\AppData\Roaming\putty.exe" 파일명으로 저장을 한 후 실행을 시키도록 구성되어 있습니다.



이후 실행된 putty.exe 악성 파일은 "C:\Users\%UserName%\AppData\Roaming\images.exe" 파일명으로 자가 복제하여 실행되는 방식으로 동작합니다.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 - Images = C:\Users\%UserName%\AppData\Roaming\images.exe


정상적으로 감염이 이루어진 환경에서는 Windows 시작 시 Images 시작 프로그램 등록값을 통해 자동 실행되도록 구성되어 있습니다.



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2456258C-74E5-4B64-B73A-6353946C82C0}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Updates\BIjRmsiRh


또한 "Updates\BIjRmsiRh" 작업 스케줄러를 추가하여 로그온 시마다 "C:\Windows\debug\WIA\BIjRmsiRh.exe" 파일을 실행하도록 구성되어 있지만 실제 BIjRmsiRh.exe 파일은 생성되지는 않습니다.



이를 통해 실행된 images.exe 악성 파일은 웹 브라우저, FTP, 이메일 클라이언트 등의 응용 프로그램이 저장하고 있는 계정 정보 수집을 통해 "eazeeflo.warzonedns.com" 서버와의 통신을 통해 외부로 수집된 정보를 유출할 것으로 추정됩니다.



참고로 해당 유포 방식 및 악성코드는 2018년 3월경에 유포되었던 부분과 유사성이 강하므로 참고하시기 바랍니다.



이번에 살펴본 정보 수집 목적의 Morty 스파이웨어(Spyware)는 AppCheck 안티랜섬웨어에서 제공하는 클리너 기능 또는 MZK 도구를 통해서 추가적인 업데이트 없이 탐지 및 치료가 가능한 것을 확인하였습니다.


DDE 필드 기능은 MS Word 또는 MS Excel 프로그램에서 악용 소지가 있으므로 Windows 업데이트 기능을 통해 제공되는 MS Office 관련 업데이트를 항상 최신 상태로 유지하여 피해를 당하지 않도록 하시기 바라며, 특히 매크로(Macro) 기능을 악용하는 방식과는 다르게 사용자의 추가적인 동작없이 문서를 오픈하는 행위만으로도 감염으로 연결될 수 있으므로 메일을 통해 다운로드한 문서 파일은 각별한 주의가 요구됩니다.