원노트 내부 개체인 HTA 파일이 실제 악성 행위 수행

[보안뉴스 김영명 기자] 최근 칵봇(Qakbot)과 같은 상업용 악성코드들이 마이크로소프트(Microsoft) 오피스 매크로를 사용하는 기존의 유포 방식을 대신해 원노트(OneNote)를 이용해 악성코드를 퍼뜨리는 새로운 사례가 늘어나고 있다. 최근 원노트를 통해 유포된 칵봇 악성코드의 유포사례를 보면 공격자는 아웃룩의 첨부 파일 형태로 원노트 악성코드를 유포했다.

[보안뉴스 / 2.10.] 칵봇 악성코드, 원노트 활용한 새로운 방식으로 유포중

▲아웃룩 메일에 첨부된 원노트 악성코드[자료=안랩 ASEC 분석팀]

안랩 ASEC 분석팀에 따르면, 사용자가 첨부파일을 실행했을 때 해당 악성코드는 전형적인 MS 오피스 매크로 악성코드와 유사하게 ‘Open’ 버튼 클릭을 유도한다. 실제 ‘Open’ 버튼 위치 근처에는 HTA(HTML Application) 개체가 숨어 있다. 즉, 사용자는 ‘Open’을 클릭한 것처럼 보이지만, 실제로는 HTA 개체가 실행된다.

[보안뉴스 / 2.10.] 칵봇 악성코드, 원노트 활용한 새로운 방식으로 유포중

▲원노트에 삽입된 악성 HTA 개체[자료=안랩 ASEC 분석팀]

사용자가 ‘Open’ 버튼을 클릭하면 원노트에 첨부된 개체인 HTA 파일이 임시 경로에 생성되고, HTA 확장자 연결 프로그램인 mshta 프로세스에 의해 악성 HTA 파일이 최종 실행된다. HTA는 내부에 악성 VBS 코드를 포함하고 있으며 윈도 정상 유틸리티인 curl 프로그램을 통해 칵봇 악성코드를 내려받는다. 최종으로 rundll32.exe에 의해 칵봇 악성코드가 실행된다.

[보안뉴스 / 2.10.] 칵봇 악성코드, 원노트 활용한 새로운 방식으로 유포중

▲아티팩트 정보[자료=안랩 ASEC 분석팀]

탐지 대상에서 확인되는 Open.hta 파일이 실제 악성 스크립트 파일이며, 행위분석을 통해서는 파일, 레지스트리, 프로세스, 네트워크 관련 아티팩트 정보도 확인 가능하다. 이번 원노트 악성코드 사례의 경우 원노트 내부 개체인 HTA 파일이 실제 악성행위를 수행한다.

칵봇 악성코드는 최초 침투 이후 내부 확산(Lateral Movement)을 거쳐 최종으로 랜섬웨어를 조직 내 감염시키기도 한다. 초기에 칵봇 위협을 감지하면 피해 확산을 막기 위해 우선으로 감염 PC에 대해 네트워크 격리 조치하는 것이 필요하다.

안랩 ASEC 분석팀 측은 “안랩 EDR(Endpoint Detection and Response) 제품에서는 원노트 유형의 악성코드 위협에 대해 행위 정보 기록과 탐지를 하고 있다”며, “따라서 EDR 운영 담당자는 EDR 이력 검색을 통해 사내 인프라에 원노트 관련 위협이 있는지 확인할 수 있다”고 밝혔다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>