보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

아이스드아이디 악성 워드 문서 악용한 안티 샌드박스 회피 기법 발견

입력 : 2023-03-22 18:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
1단계 팝업 창 발생, 2단계 사용자 입력 요구하는 폼 입력창 발생
입력값 전송, 취소, 종료 등 폼 종료 위한 3가지 방법 모두 악성행위 발현코드로 이어져


[보안뉴스 김영명 기자] 아이스드아이디(IcedID) 악성 워드 문서의 버튼 폼을 악용한 안티 샌드박스(anti-sandbox) 기법이 꾸준히 증가하고 있다. IcedID 악성 워드 문서(convert.dot)는 버튼 폼을 악용한 안티 샌드박스 기법이 존재하고, 악성 행위를 발현시키기 위해서는 2단계에 걸치는 사용자의 행동이 요구된다.

▲convert.dot 실행시 발생하는 팝업 창[자료=안랩 ASEC 분석팀]


안랩 ASEC 분석팀에서는 샌드박스를 우회하기 위한 다양한 안티 샌드박스(anti-sandbox) 기법을 모니터링하고 있다. IceID로 알려진 워드 문서(convert.dot)을 실행한 직후의 모습을 보면, 1단계로 매크로 코드를 통해 오류 메시지를 위장한 팝업 창을 띄운다. 해당 팝업 창은 ‘확인’, ‘종료’ 버튼을 입력해야만 매크로 코드의 다음 단계로 진행된다.

▲첫번째 팝업창 종료시 발생하는 폼 입력창[자료=안랩 ASEC 분석팀]


첫 번째 팝업 창의 버튼을 클릭하면 다음 단계로 이어진다. 첫 번째 팝업창을 종료하면 폼 입력창(2단계)이 새롭게 나타난다. 폼을 종료하기 위해서는 입력값 전송(btnSend_Click), 취소(btnClose_Click), 종료(UserForm_QueryClose) 총 3가지 입력 가운데 하나를 선택할 수 있다. 하지만, 매크로 코드를 보면, 위 3가지 입력 중 어떤 입력을 하더라도 악성 행위(feedbackAction)가 발현되는 코드로 이어진다.

앞에서 설명한 2단계의 안티 샌드박스 트릭을 지나고 나면 악성 행위를 수행하는 코드가 나오게 된다. 해당 코드는 명령제어(C&C) 서버로부터 추가 명령을 받아 실행하는 백도어의 기능이 수행된다.

▲폼 입력창 입력 후 발생하는 C&C 접속 행위[자료=안랩 ASEC 분석팀]


이와 관련 안랩 ASEC 분석팀은 안랩 MDS 제품은 악성 행위 발현을 위한 안티-샌드박스 우회 기능이 있다고 밝혔다. APT 탐지 솔루션인 MDS 제품은 이러한 파일이 유입될 경우 MDS Agent에 의해 먼저 샌드박스 환경에서 실행해 해당 파일이 악성인지 확인하게 된다.

▲안랩 MDS에서 안티-샌드박스 우회 기능을 통해 탐지된 화면[자료=안랩 ASEC 분석팀]


안랩 ASEC 분석팀 관계자는 “MDS 제품은 팝업 창 입력과 관련한 안티-샌드박스 회피 기능으로 인해 최종 악성 행위(파일 다운로드 등의 원격 명령)를 발현시켜 해당 파일이 악성임을 알려준다”며 “샌드박스 기반 동적 분석으로 알려지지 않은 위협을 탐지 대응하는 안랩 MDS에 대한 자세한 정보도 확인할 수 있다”고 밝혔다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)