[Malware analysis] 엑셀 4.0 (XLM) 매크로를 이용한 악성코드

[Malware analysis] 엑셀 4.0 (XLM) 매크로를 이용한 악성코드

참조

> https://www.virustotal.com/gui/file/ee0400adcec67d05e4b6825df53ff7e5fb5d86680a65264976940239c322d9fb/detection

자주 보았던 VBA 매크로 방식이 아닌 다른 방식으로 악성 파일을 다운로드 받는 악성코드를 확인할 수 있다.

아래와 같은 메일 내용과 함께 파일을 첨부하는 방식으로 유포되고 있다.

악성 엑셀 파일을 실행하면 내용을 보기 위해 상단의 노란색 바 콘텐츠 사용을 클릭하라는 것을 확인할 수 있다.

이전 작성한 여러 게시글에서 말하였듯이 콘텐츠 사용을 허용하게 되면 매크로 코드 동작에 대한 허용을 의미한다.

기존의 VBA 매크로와 다르게 VBA를 살펴보아도 내용이 없는 것을 확인할 수 있다. 과거 엑셀 XLM 매크로 기능을 지원하기에 해당 기능을 이용하는데 다시 생각해보면 VBA 매크로는 비교적 AV에 탐지되기에 해당 기능을 사용한 것으로 추측할 수 있다.

시트 부분을 살펴보면 아래와 같이 난독화가 되어있는 것을 확인할 수 있다. 살펴보았을 때 코드의 분기 흐름을 파악하기가 어렵다는 걸 느낄 수 있었다.

VBA 매크로와 같이 난독화 되어있는 악성 오피스 파일을 디코딩 하듯이 엑셀 매크로도 아래와 같이 매크로를 하나씩 살펴보면 값을 알 수 있다.

URLDownloadToFile()을 이용하여 statik.exe 파일을 다운로드 받는 것을 확인 할 수 있다. 이후 ShellExecute()을 이용하여 실행까지 진행하는 것을 알 수 있다.

해당 다운로드 한 파일은 아래와 같은 경로에 생성하는 것을 확인할 수 있으며, 아래와 같은 프로세스 트리를 알 수 있다.

이후 시작 프로그램까지 등록을 하는 것을 확인할 수 있다.