|
사이버 범죄자 Excel 4.0 매크로를 통한 악성 코드 유포 침해사고분석팀 2021.04.29 |
|
|
Excel 4.0은 VBA 프로그램의 호환을 위해 XLM 매크로를 지원하고 있다. 거의 30년 째 사용하고 있는 이 문서는 매크로를 통해 악성 코드를 배포와 같은 악성 행위로 활용되고 있다.
최근 위협 행위자들이 Excel 4.0 문서를 이용하여 ZLoader 와 Quakbot 같은 악성 코드를 유포하고 있다. 조사에 따르면 이러한 행위들이 점점 증가하고 있는 것으로 나타났다.
2020년 11월부터 2021년 3월까지 Excel 4.0 문서를 조사한 결과, 매크로가 담긴 16만 개의 Excel 4.0 문서 중 90%이상의 악의적이거나 의심스러운 문서로 분류되었다.
[그림 1.XML 매크로가 들어있는 Excel 4.0문서 분류]
이 악성 Excel 4.0 문서가 치명적인 이유는 탐지하는데 많은 문제를 가지고 있기 때문이다. 시그니처 기반이거나 YARA rule로 악성 코드를 탐지하는 정책으로는 악성 Excel 4.0 문서를 탐지가 어렵다.
악성 문서에 의해 배포되는 QakBot의 경우, 2007년에 발견된 이후로 은행의 자격 증명 및 금융 정보를 훔칠 수 있는 트로이 목마로 알려져 있다. 현재는 QakBot의 변종이 악성 문서에 의해 배포되어 키로거 기능이나 백도어를 생성하는 등 다양한 악성 코드들을 전달하고 있다.
ReversingLabs는 악성 Excel 4.0 문서가 사용자를 속여 매크로를 실행시키는 것에서 끝나지 않고 악성 코드들을 다운로드 실행하는 기능을 가지고 있음을 알아냈다. 또 하나의 악성 문서에서는 Base64로 암호화 된 악성 코드가 포함되어 있으며 공격자 서버에서 추가 악성 코드를 다운로드하려고 시도하는 것을 확인하였다.
ReversingLabs 연구진은 VBA와 같은 이전 버전의 호환을 유지하는 것도 중요하지만 보안 관점으로 볼 때, 매크로는 더 이상 사용되지 않은 것이 가장 좋다고 주장했다.
출처 http://feedproxy.google.com/~r/TheHackersNews/~3/20QcOf9fqo0/cybercriminals-widely-abusing-excel-40.html https://blog.reversinglabs.com/blog/excel-4.0-macros |
