보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

백신 탐지 우회하는 악성 엑셀파일 발견

입력 : 2018-12-19 11:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
DDE 기능 이용해 웹 리소스에 접근한 뒤 악성파일 추가로 다운로드 받아
원격제어 백도어와 정보유출 목적 실행 파일 다운로드하는 파일로 분석


[보안뉴스 김경애 기자] DDE(Dynamic Data Exchange)를 이용한 악성 엑셀 파일이 포착됐다. 특히, 백신을 우회하는 수법으로 메일로 유포되고 있어 이용자들의 주의가 필요하다.

[이미지=iclickart]


DDE는 마이크로소프트 오피스 제품과 애플리케이션 사이에서 데이터 전달을 위해 제공하는 프로토콜로, 외부로 데이터 등을 전달할 수 있다. 일반적으로 VBA 매크로 코드를 이용해 악성기능을 수행하는데, 최근 포착된 공격 방식에선 VBA 매크로 코드를 이용하지 않고도 악성기능을 수행하는 것으로 분석됐다.

DDE를 이용한 악성 문서 파일은 워드와 엑셀파일로 2017년 하반기부터 본격 유포됐다. 이에 대해 마이크로소프트는 2017년 12월 DDE 기능을 기본적으로 비활성화 한 바 있다. 그러나 엑셀 파일은 DDE 기능을 비활성화하지 않아 수식(Formula) 표현으로 여전히 프로세스를 실행할 수 있어 악성행위가 가능하다.

DDE 프로토콜을 통해 엑셀은 클라이언트, cmd는 접속 대상 원격 서버가 된다. 애플리케이션 사이의 데이터 전달 과정에서 데이터를 읽어 cmd 커맨드를 실행할 수 있다.

안랩 ASEC은 최근 몇 개월 동안 위와 같은 DDE를 이용한 악성 엑셀 파일이 스팸 메일 등을 통해 다수 유포되는 정황을 확인했다. 특히, 엑셀 문서 파일 형식인 *.xls 나 *.xlsx가 아닌 쉼표로 분리되는 텍스트 형태의 *.csv 파일 형식을 이용했다. 이는 정해진 파일 포맷이 아니기 때문에 무의미한 랜덤 문자를 다수 삽입해 파일 크기를 늘리는 등 다양화시킴으로써 백신 진단을 우회할 수 있는 것으로 드러났다. 유포 당시 확장자는 엑셀 프로그램으로 인식 및 실행될 수 있게 *.csv, *.xls, *.slk 등 다양하다.

악성 엑셀 파일이 DDE를 이용해 cmd 커맨드를 실행하게 되면 Powershell 프로세스 또는 bitsadmin 등을 이용해 웹 리소스에 접근한 뒤 악성 파일을 추가 다운로드 받는다. 다운로드 받은 최종 페이로드는 *.jar 확장자로 유포되는 Adwind 계열의 원격제어 백도어 파일이 가장 많았으나, 정보유출 목적의 실행 파일을 다운로드 하는 *.ps1 나 *.vbs 확장자의 스크립트 파일도 확인됐다.

[이미지=안랩]


이에 대해 안랩 ASEC 측은 “실행 과정에서 DDE를 이용해 원격 데이터에 접근하려고 하는 오피스 문서를 실행할 때, 사용자에게 원격 데이터 접근을 위해서 CMD.EXE 와 같은 응용 프로그램을 수행하는 것을 허용할 것인지 확인하는 메시지 창이 뜬다”며 “의심스러운 메일에 첨부된 엑셀 파일일 경우에는 창에서 ‘아니오’를 클릭해 악성 프로세스가 실행되는 것을 방지해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

나나기기 2018.12.25 02:41

"★카카오톡해킹 010-9529-3950 ■스마트폰복제 전문




필독!,,,,,,,,,,,,,,,,,,,,,,,,,,,,

★★프로그램동영상보여주고 카톡만사용하는 중국업체 조심주의!! ★★



안녕하십니까!~안심플랜입니다,읽어보시고 꼭 전화주세요 상담은다해드립니다!\


통화내용감청! 위치실시간확인! 주변촬영! 문자.주소록,카톡열람! ★★★ 전화주세요!
카톡해킹~ 문자열람~ 조회 통화기록 스파이앱작업 유심
복제폰/쌍둥이폰팝니다!!!!010-9529-3950 ■ 카카오톡해킹



★가출한아내 딸. 불륜이 의심되는 배우자 애인. 그들의 사생활과 위치를 알고싶으면 전화주세요
★전화번호만 알고있으면 됩니다
타인의 개인정보를 알고싶으신분 . 생각은있으나 혼자는 실행하기어려운일 의뢰받습니다



통화내역서♣도청♣위치추적♣통화녹취♣문자내역서☜판매/작업/도청기/복사폰/쌍둥이폰

/휴대폰실시간위치추적/문자내역/통화내역서 / 문자내역서


통신사관련업무▷ 통신사 조회 (SKT,KTF,LGT,일반전화)▷ 휴대폰 위치추적 & 핸드폰 위치추적

문자열람▷ 쌍둥이폰 제작▷ 통화내역서 발급◈신용통신 ◑


( 휴대폰으로 실시간,이동경로, 차량위치추적)- 도청기의뢰하는 방법 : 휴대폰번호, 가입자성함 제공해주시면 됩니다.
- 배 송 : 전지역 당일 배송 !!



ㅁㅁㅁㅁ 무엇보다 고객님의 비밀보장해드립니다 ㅁㅁㅁㅁㅁ




◐ 070번호는 중국입니다 주의하세요!~!!!

★★프로그램동영상보여주고 카톡만사용하는 중국업체 조심주의!! ★★




#쌍둥이폰 #복제폰 #휴대폰복제 #복사폰 #스파이앱 #용산복제폰 #it흥신소
#스마트폰복제 #휴대폰위치추적 #심부름센터 #카톡해킹 #스마트폰해킹 #통화내역 #감청도청



안전플랜 010 - 9529 - 3950"


  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)