WMF 트로이목마 제작 툴 발견

WMF 취약점 이용, Exploit 제작 프로그램 추가 발견

지오트 바이러스 분석실(GCERT)에 따르면 “WMF 취약점을 이용한 악성프로그램 유포를 모니터링 과정에서 여러 외국 웹사이트에서 추가적으로 트로이목마를 발견했으며, WMF 취약점을 이용하는 Exploit 제작 프로그램도 추가 발견했다”고 발표했다.

이 제작프로그램은 중국에서 제작된 것으로 추정되며, 아래와 같은 방식으로 WMF 파일을 생성한다.

지오트 관계자에 따르면 “웹에 링크되는 파일이 아닌 로컬 컴퓨터의 윈도우 폴더에 있는 노트패드 프로그램을 연결시켜 모의로 테스트 해 본 결과 정상적으로 시스템폴더에 a.exe 라는 파일로 노트패드 프로그램을 생성하는 것을 확인했다”고 전했다.

먼저 C 드라이브 루트에 test_wmf.exe 라는 생성기를 놓아두고, 취약점을 통해서 설치되는 파일을 URL 이 아닌 notepad.exe 로 링크하였다.

실제로는 특정 웹사이트의 파일을 링크시킨다.

정상적으로 프로그램이 완료된다.

C 드라이브에 exploit.wmf 라는 파일명으로 WMF 익스플로잇 코드가 생성된다.

보안취약점으로 exploit.wmf 가 실행되면 시스템폴더에 a.exe 라는 이름으로 노트패드 프로그램이 생성된다.

지오트 관계자는 “악의적인 의도를 가진 사람이 이 프로그램을 이용하면 특정 웹사이트에서 어떠한 악성프로그램(웜, 바이러스, 트로이목마등)도 사용자 몰래 설치할 수 있기 때문에 사용자들의 각별한 주의가 요망된다”고 당부했다.

Exploit.Win32.IMG-WMF.s 분석 정보

[길민권 기자(is21@infothe.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)