□ 개요
파일 오픈시 악성 스크립트를 활성화하도록 유도하고 다른 악성코드를 다운로드 받아 감염시키는 파일이다.
□ 내용
세계적인 물류 운송업체 UPS 로 사칭한 피싱메일이 유포되고 있어 사용자의 주의가 요구된다.
[그림 1] 악성 엑셀 문서가 첨부된 이메일
문서 파일을 열면 2개의 그림과 1개의 버튼이 삽입되어 있다.
[그림 2] 그림과 버튼이 삽입된 문서
레이아웃이 변경되거나 버튼을 클릭하면 셀 B50에 존재하는 문자열을 복호화하고 WMIC를 이용하여 파워쉘 스크립트를 실행한다.
- 값 : WMIC process call create <파워쉘 스크립트>
[그림 3] WMIC를 이용하여 파워쉘 스크립트 실행하는 매크로 실행
파워쉘 스크립트에 암호화되어있는 스크립트를 복호화하고 실행한다.
[그림 4] 암호화 되어있는 스크립트 복호화
C&C서버와 통신하여 데이터를 받아와 복호화하고 %temp%폴더에 존재하는 폴더 또는 파일에서 1개를 랜덤으로 선택하여 뒤에서 4자리를 제거한 이름으로 파일을 생성한다. [표 1]과 같이 생성되는 파일 이름이 “.” 이거나 기존에 존재하는 폴더 이름과 동일하면 파일 생성에 실패한다.
- C&C : hxxps://par***og[.]com/part?=[SID값]
[그림 5] C&C에서 데이터 다운로드 및 생성될 폴더 이름 결정
[표 1] 생성되는 파일이름 결정
[그림 5]에서 다운로드받은 데이터를 특정 구분자 기준으로 나누고 Base64 디코딩과 XOR 복호화를 수행하여 복호화된 데이터값을 [표 1]에서 결정된 파일에 쓴다.
- XOR 키 값 : (offset 1 에서 1바이트 값)
- 구분자 : “!”
- 파일 : %temp%\([표 1]에서 결정된 파일 이름)
[그림 6] 다운로드된 데이터 복호화 및 파일 생성
생성된 파일을 레지스트리에 등록한다. 현재 C&C 접속이 되지 않아 생성된 파일을 확인할 수는 없지만 regsvr32명령어를 사용하는 것으로 봐서 DLL 파일로 추정된다.
- 값 : regsvr32 %temp%\([표 1]에서 결정된 파일 이름)
[그림 7] 레지스트리 등록
□ 바이로봇 업데이트 내역
VBS.S.Downloader
