IOC:
bef1a9a49e201095da0bb26642f65a78
http://fusuri-solt-down.com/ecm/ibm/1629235716/feedback
요약:
정보가 없습니다.
내용:
AhnLab Security Emergency response Center(ASEC)에서는 샌드박스를 우회하기 위한 다양한 안티 샌드박스(anti-sandbox) 기법을 모니터링 하고 있다. 해당 블로그를 통해 IcedID 악성 워드 문서의 버튼 폼을 악용한 다소 집요한 안티 샌드박스(anti-sandbox) 기법을 설명하고 악성 행위 발현을 위한 자사 MDS 회피기능을 소개한다. 설명할 IcedID 악성 워드 문서(convert.dot)는 버튼 폼을 악용한 안티 샌드박스(anti-sandbox) 기법이 존재하고, 악성 행위를 발현시키기 위해서는 2 단계에 걸치는 사용자의 행동을 요구된다. [그림 1] 은 IceID로 알려진 워드 문서(convert.dot)을 실행한 직후의 모습이다. [그림 2] 의 매크로 코드를 통해 오류 메시지를 위장한 팝업 창(1단계)을 발생시킨다. 해당 팝업 창을 [ 확인], [종료] 버튼을 입력하여야만 매크로 코드의 다음 단계로 진행된다.
[그림 1] convert.dot 실행시 발생하는 팝업 창
[그림 2] 첫번째 팝업 창을 발생시키는 매크로 코드
[그림 3] 은 [그림 1] 의 팝업창의 버튼을 클릭하여 다음 단계로 이어진 화면이다. [그림 3] 과 같이 사용자 입력을 요구하는 폼 입력창(2단계)이 발생한다. 폼을 종료하기 위한 입력값전송(btnSend_Click), 취소(btnClose_Click), 종료(UserForm_QueryClose) 총 3 가지 입력이 있을 수 있지만, [그림 4] 의 매크로 코드를 보면, 위 3 가지 입력 중 어떤 입력을 하더라도 악성 행위(feedbackAction)가 발현되는 코드로 이어진다.
[그림 3] 첫번째 팝업창 종료시 발생하는 폼 입력창
[그림 4] 폼 입력창을 발생시키는 매크로 코드
[그림 5]는 위에 설명한 2 단계의 anti-sandbox 트릭을 지나고 나서 비로소 발생하는 악성 행위를 수행하는 코드이다. 해당 코드는 C2 로부터 추가 명령을 받아 실행하는 백도어의 기능이 수행된다.
[그림 5] 폼 입력창 입력 후 발생하는 C2 접속 행위
MDS 제품은 악성 행위 발현을 위한 Anti-SandBox 우회 기능이 있다. APT 탐지 솔루션인 MDS 제품은 이러한 파일이 유입될 경우 MDS Agent에 의해 먼저 샌드박스 환경에서 실행하여 해당 파일이 악성인지 확인한다. [그림 6] 은 MDS 제품은 이러한 팝업 창 입력과 관련한 Anti-SandBox 회피 기능으로 인해 최종 악성 행위(파일 다운로드 등의 원격 명령)를 발현 시켜 해당 파일이 악성임을 알려준다.
[그림 6] Anti-SandBox 우회 기능을 통해 탐지된 화면 (안랩 MDS)
안랩은 현재 Anti-SandBox 기법이 사용된 IcedID 악성 워드 문서에 대해 아래와 같이 진단하고 있다. [ 파일 진단 ] Trojan/DOC.Agent (2021.08.19.00) [IOC 정보 ]
MD5 – bef1a9a49e201095da0bb26642f65a78 : convert.dot
C&C 주소 – hxxps[:]//fusuri-solt-down[.]com/ecm/ibm/1629235716/feedback
샌드박스 기반 동적 분석으로 알려지지 않은 위협을 탐지 대응하는 AhnLab MDS 에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다 .
Categories: 안랩 탐지
Tagged as: anti sandbox , anti- , anti-vm , MDS.....
MDS의 팝업 창을 이용한 안티 샌드박스(anti-sandbox) 회피 기능 - ASEC BLOG:
https://asec.ahnlab.com/ko/49700/
댓글0