Home > 전체기사

아이스드아이디 악성 워드 문서 악용한 안티 샌드박스 회피 기법 발견

  |  입력 : 2023-03-22 18:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
1단계 팝업 창 발생, 2단계 사용자 입력 요구하는 폼 입력창 발생
입력값 전송, 취소, 종료 등 폼 종료 위한 3가지 방법 모두 악성행위 발현코드로 이어져


[보안뉴스 김영명 기자] 아이스드아이디(IcedID) 악성 워드 문서의 버튼 폼을 악용한 안티 샌드박스(anti-sandbox) 기법이 꾸준히 증가하고 있다. IcedID 악성 워드 문서(convert.dot)는 버튼 폼을 악용한 안티 샌드박스 기법이 존재하고, 악성 행위를 발현시키기 위해서는 2단계에 걸치는 사용자의 행동이 요구된다.

▲convert.dot 실행시 발생하는 팝업 창[자료=안랩 ASEC 분석팀]


안랩 ASEC 분석팀에서는 샌드박스를 우회하기 위한 다양한 안티 샌드박스(anti-sandbox) 기법을 모니터링하고 있다. IceID로 알려진 워드 문서(convert.dot)을 실행한 직후의 모습을 보면, 1단계로 매크로 코드를 통해 오류 메시지를 위장한 팝업 창을 띄운다. 해당 팝업 창은 ‘확인’, ‘종료’ 버튼을 입력해야만 매크로 코드의 다음 단계로 진행된다.

▲첫번째 팝업창 종료시 발생하는 폼 입력창[자료=안랩 ASEC 분석팀]


첫 번째 팝업 창의 버튼을 클릭하면 다음 단계로 이어진다. 첫 번째 팝업창을 종료하면 폼 입력창(2단계)이 새롭게 나타난다. 폼을 종료하기 위해서는 입력값 전송(btnSend_Click), 취소(btnClose_Click), 종료(UserForm_QueryClose) 총 3가지 입력 가운데 하나를 선택할 수 있다. 하지만, 매크로 코드를 보면, 위 3가지 입력 중 어떤 입력을 하더라도 악성 행위(feedbackAction)가 발현되는 코드로 이어진다.

앞에서 설명한 2단계의 안티 샌드박스 트릭을 지나고 나면 악성 행위를 수행하는 코드가 나오게 된다. 해당 코드는 명령제어(C&C) 서버로부터 추가 명령을 받아 실행하는 백도어의 기능이 수행된다.

▲폼 입력창 입력 후 발생하는 C&C 접속 행위[자료=안랩 ASEC 분석팀]


이와 관련 안랩 ASEC 분석팀은 안랩 MDS 제품은 악성 행위 발현을 위한 안티-샌드박스 우회 기능이 있다고 밝혔다. APT 탐지 솔루션인 MDS 제품은 이러한 파일이 유입될 경우 MDS Agent에 의해 먼저 샌드박스 환경에서 실행해 해당 파일이 악성인지 확인하게 된다.

▲안랩 MDS에서 안티-샌드박스 우회 기능을 통해 탐지된 화면[자료=안랩 ASEC 분석팀]


안랩 ASEC 분석팀 관계자는 “MDS 제품은 팝업 창 입력과 관련한 안티-샌드박스 회피 기능으로 인해 최종 악성 행위(파일 다운로드 등의 원격 명령)를 발현시켜 해당 파일이 악성임을 알려준다”며 “샌드박스 기반 동적 분석으로 알려지지 않은 위협을 탐지 대응하는 안랩 MDS에 대한 자세한 정보도 확인할 수 있다”고 밝혔다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)