블랙프라이데이 노린 악성 엑셀 문서 유포 사례

미국에서는 추수감사절 다음 날인 금요일에 플랙프라이데이라는 세일 시즌이 존재하는데요. 아마존과 같은 이커머스 기업에서 엄청난 할인을 해주기 때문에 많은 사람들이 몰리곤 하죠. 최근에는 이 블랙프라이데이 시즌을 노려서 기업을 타겟으로 악성 엑셀 문서를 유포하고 있다고 합니다. 오늘은 이 부분에 대해서 간략한 설명과 함께 기술적인 내용에 대해서도 쉽게 풀어 써보도록 하죠.

​

이전 글인 "참가신청서 양식으로 위장한 문서 악성코드 유포 사례"에서 기업을 대상으로 한 문서형 악성코드 사례에 대해 설명드렸던 적이 있었는데요. 위의 사례에서는 워드 문서인 doc 파일에 악성 매크로를 삽입해서 유포가 되었는데, 이번에는 엑셀 파일에 매크로를 삽입했습니다. 다만 우리가 흔히 사용하는 엑셀의 확장자인 xls가 아닌 xlsb라고 하는 엑셀의 특수한 바이너리 포맷입니다. 기존에 사용하는 xls나 xlsx과 비교했을 때 문서 저장 속도 측면에서 이점이 있지만, 여기서는 백신이나 보안 솔루션을 우회하기 위해 사용한 것으로 보입니다.

​

또한 엑셀에서 사용하는 매크로 또한 일반적인 VBA 매크로를 이용한 방법이 아닌, 엑셀의 초기 버전인 Excel 4.0 Macro(XLM)의 매크로시트를 사용한 것으로 확인되는데요. 기존의 악성 문서들이 대부분 일반적인 doc나 xls로 배포되었기 때문에, 보안 솔루션에서도 해당 문서 구조를 분석하고 악성 유무를 탐지하는데 많이 특화되었을텐데요. 악성 문서 제작을 xlsb 포맷에 XLM 매크로시트를 사용함으로써 분석하기 어렵고 보안 솔루션을 우회하기 쉽도록 만든 것으로 보입니다.

​

해당 악성 엑셀 문서를 실행하면 이미지를 하나가 포함된 시트가 열리게 되는데, 이전에 말씀드렸던 것처럼 매크로가 동작하기 위해서는 매크로 허용 버튼을 눌러야 하고, 시트에 포함된 이미지를 눌러야 비로서 악성 행위를 수행하는데요. 단순히 매크로 허용 버튼을 눌렀을 때 악성 행위를 수행하는 것이 아닌 특정 동작이 발생해야 악성 행위를 수행하는 케이스가 상당히 많아졌습니다. 아마 이와 같이 악성코드가 조금씩 디테일해지는 것도 보안 업체에서 악성코드를 자동 분석하는데 사용되는 동적 분석 시스템을 우회하기 위함으로 보이고 있습니다.

 

블랙프라이데이 시즌 노린 기업 타깃 악성 엑셀 문서 유포

워드나 엑셀 같은 문서의 경우 사람들이 굉장히 많이 사용하기 때문에, 사실 이런 메일을 받으신다면 의심 없이 열어볼 가능성이 크죠. 물론 문서를 실행하는 것만으로는 매크로가 수행되지 않는다는 점이 그나마 다행이기 하지만, 교묘하게 매크로를 수행시키도록 유도하는 문서들이 많이 존재합니다. 또한 네이버나 구글의 메일 서버에 적용된 보안 솔루션에 의해서 탐지된다고 해도, 이를 우회하기 위한 기법들은 나날이 발전하고 있기 때문에 좀 더 조심하셔야 할 것 같습니다. 그럼 오늘은 여기까지 설명드리도록 하고 이만 줄이도록 하죠. 다음 에세이에서 뵙겠습니다. 감사합니다.