2017년 10월 Ursnif 스팸메일 공격에 사용된 샌드박스 우회 기법

( 1 ) Ursnif 은행 트로이 목마

Ursnif 은행 트로이 목마는 2016 년 금융 부문에서 가장 활발히 발생된 악성코드로 그 추세는 2017년 지금까지도 계속됨.
2007 년 전문가들에 의해 처음 발견되었으며 2009 년에는 소스코드가 유출되어 새로운 웹 주입 기술 및 기타 기능으로 수년 동안 개선된 위협의 지속적으로 진화됨.
일본, 북미, 유럽 및 호주의 사용자들을 대상으로 했으나 현재 크래커들은 회피 기술을 개선하여 일본 사용자들을 대상으로 함.
최신 Ursnif 은행 트로이 목마의 v2 에서는 아래와 같이 악의적인 행위를 수행함.

1. 스크립트 기반 브라우저 조작
2. 웹 인젝션 및 MITB(Man-In-The-Browser) 기능
3. 폼 그래빙(Form Grabbing) : 키로깅이나 스니핑과 함께 개인정보를 탈취하는 기술
4. 스크린 캡쳐 및 세션 비디오 그래빙(Session Video Grabbing)
5. VNC 은닉 및 SOCKS 프록시 공격

( 2 ) 최근 Ursnif 스팸메일 공격에 사용된 샌드박스 우회 기법

최근 발생된 Ursnif 스팸메일 공격은 아래와 같이 샌드박스 우회 기법을 활용함.

1. AutoClose 이벤트

< 출처 - TrendLabs Security Intelligence Blog >

사용자가 악의적인 Office 파일을 닫은 때 PowerShell 스크립트를 실행할 수 있는 AutoClose 이벤트 기능을 사용함.
일반적으로 샌드박스 환경은 문서를 종료시키지 않는 점을 역이용하여 악성코드 감지를 방지할 수 있음.
AutoClose 이벤트 참고 사이트 : https://msdn.microsoft.com/en-us/vba/word-vba/articles/auto-macros

2. xlAutomaticAllocation

< 출처 - TrendLabs Security Intelligence Blog >

샌드박스 환경에서 MS Office 2007 을 주로 사용한다는 점을 착안하여 2007 버전에는 없는 열거형 xlAutomaticAllocation 을 사용하여 매크로를 실행시킴.
아래 스샷을 보면 0 보다 크면 PowerShell 스크립트가 포함된 코드의 난독화 및 실행이 진행됨. 그렇지 않으면 매크로가 종료됨.

3. 파일 이름의 길이 검사