참가신청서 양식으로 위장한 문서 악성코드 유포 사례

최근 다양한 기업의 업무용 이메일을 타겟으로 특정 행사 참여를 사칭한 '참가신청서양식.doc'라는 문서형 악성코드가 유포되었다고 합니다. 지금까지 다양한 악성코드에 대해 설명드렸지만 요즘은 문서형 악성코드를 통해 감염시키는 것 트렌드로 보이는데요. 이 악성코드도 결국 몇 가지 과정을 거치긴 하지만, 결국에는 사용자의 PC를 랜섬웨어에 감염시켜 금전적인 요구를 한다고 합니다. 오늘은 이 문서형 악성코드의 동작 과정에 대해서 간단히 말씀드려보도록 하겠습니다.

​

문서형 악성코드에 대한 기본적인 내용은 "매크로를 사용한 부고 안내문 사칭 메일 사례"에서 이미 소개드렸었는데요. 다시 간단히 리마인드를 하자면, 워드(Word)나 엑셀(Excel) 같은 문서에서는 자주 사용되는 작업을 매크로라는 기능으로 정의해서 자동화할 수 있는데, 이 매크로는 VBA(Visual Basic for Application)이라는 스크립트 언어로 작성되고 사용자가 코드를 수정할 수 있다고 말씀드렸죠. 문제는 해커가 악성 행위를 하는 매크로를 삽입해 문서형 악성코드를 만들고 유포하면, 특정 사용자가 해당 문서를 열고 '콘텐츠 사용'이라는 버튼을 누르는 순간 매크로가 자동으로 실행된다고 설명했습니다.

​

이번 악성코드도 매크로를 이용한 사례로 총 세 단계 과정으로 이루어 집니다. 첫 번재 과정은 사용자를 속이기 위해 문서를 열면 그럴싸한 내용을 표시해서 악성 매크로가 실행되도록 만드는 겁니다. 아마 여기서 사용자가 '콘텐츠 사용' 버튼을 누르도록 유도했을 가능성이 높았을 것으로 생각되는데, 악성 매크로가 실행되면 문서에 숨겨져 있는 HTA라는 파일을 꺼내서 자동으로 실행하게끔 합니다. HTA 파일은 저에게도 좀 생소하지만, 웹 브라우저 기반으로 HTML이나 자바스크립트 같이 스크립트 언어가 실행되는 윈도우 프로그램으로 알려져 있는데요. 이 HTA는 사용자에게 허용/거부 창을 띄우지 않고 프로그램을 설치하는 등 보안에 굉장히 취약한 것으로 알려져 있습니다.

​

두 번째 과정에서는 이 HTA 파일이 실행되서 해커의 C2(C&C, Command & Control) 서버와 통신을 해서 추가적인 악성코드를 받게 되는데, 여기서는 크롬 아이콘과 파일명을 사용해서 정상적인 웹 브라우저로 위장했다고 합니다. 그리고 마지막 세 번째 과정은 다운로드 받은 악성코드를 실행시켜서 현재 시스템이 가상 환경인지 확인하고, 해커가 미리 정의한 명령을 실행하거나 백도어를 심어서 랜섬웨어를 실행시키게 되죠. 여기까지 악성코드 일련의 동작을 설명드렸는데 결국은 추가적인 공격을 위해 사용자 PC를 모니터링하거나 랜섬웨어에 감염시키는 것으로 마무리가 된다고 보시면 될 것 같습니다.

한국 기업 노린 ‘참가신청서양식.doc’ 랜섬웨어... 北 추정 안다리엘 소행?

인용한 기사에서는 APT(Advanced Persistent Threat, 지능형 지속 공격) 조직에서 워드 뿐만 아니라 PDF 프로그램의 취약점을 이용해서 악성코드 유포를 시도했다고 하는데요. 이 뿐만 아니라 금전적인 이득을 위해 한국의 ATM기를 해킹하는 등 금융기관을 노렸다고 합니다. 특히나 ATM기와 같은 기기도 꽤 오래된 운영체제를 사용하고 있을 것이기 때문에 보안이 상당히 취약할 것으로 보이는데, 금융 당국에서 관리를 잘 해줘야할 것으로 보입니다. 이번에 말씀드릴 내용은 여기까지 입니다. 그럼 여기서 마치죠. 감사합니다.