대부분의 Office류 악성코드들은 현재까지 공격자들이 많이 사용되는 형태로 대부분 이메일 첨부파일로 유입된다.
가장 많이 사용되는 것은 Doc, Xls, RTF로 보여지며 대부분 매크로 혹은 Exlpoit을 이용한다.
간단히 악성 이메일의 루틴은 이메일을 받아 첨부파일을 열게 되면 doc/xls 파일을 확인할 수 있다. 이때 파일을 실행 시키면 매크로 실행 여부가 나타나게 된다. 메크로까지 허용한다면 파일 다운로드 및 실행을 시도한다.
아래는 각각의 특징을 정리한 것으로 참고하자.
이메일의 특징은 간단하게 정리할 수 있다.
1. 시대적, 글로벌한 이슈들을 이용한다.
- 코로나 백신, 치료제 혹은 북한 관련 뉴스 등
2. 목표를 정하거나 혹은 무작위로 뿌려진다.
- 국제 배송 관련 메일 혹은 세금, 저작권, 계약서 등
Doc/Xls 파일은 이메일에 관련된 첨부파일로 압축 형태로 유포된다. 이때 파일을 열 경우 특징으론
1. 파일 실행 시 비밀번호가 걸린 경우도 있다.
- 대부분 샘플만 넘기기 때문에 악성코드 분석시 어려움을 주기 위함으로 파악된다.
2. 매크로가 포함되어 있다.
- 실직적인 악성행위를 하는 악성코드를 다운로드 및 실행하기 위한 장치로 매크로가 사용된다.
3. 매크로를 확인인 시 비밀번호가 걸린 경우도 있다.
- 1번과 같은 이유로 판단되며, 간단한 우회로 열 수 있다.
4. 매크로가 실행되며 본문의 내용이 달라진다.
- 사용자를 속이기 위함도 있지만 사용된 매크로를 삭제시키는 경우도 존재한다.
단순 Doc/Xls 파일로 피해 컴퓨터에 악성 행위를 하는 것은 어려움이 크므로 다운로드를 시도한다. 이때 받는 것으론
1. 다운로드
- 다른 파일을 다운로드를 받는 경우도 존재한다. (빽도어일 수도)
2. 랜섬웨어
- 랜섬웨어를 다운받아 실행시 파일 암호화를 진행하며 금전적인 요구를 한다.
3. 정보탈취
- PC의 기본적인 웹 브라우저 자동로그인 혹은 가상화폐 관련, SNS 계정에 대한 정보 등을 탈취 시도한다.
4. 기타
- 코인 체굴기, 웜, 바이러스, 빽도어,