µÎ ¹ø° ¹®¼µµ MSÀÇ ÆíÁý ±â´É È°¿ë...±âÁ¸ ¼Ö·ç¼ÇÀ¸·Ð ŽÁö ¾î·Á¿ö
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¾Ç¼º ¹®¼¸¦ È°¿ëÇÑ ´Ù´Ü°è ½Ã½ºÅÛ Ä§Åõ Ä·ÆäÀÎÀÌ »õ·Ó°Ô ¹ß°ßµÆ´Ù. ÀÌ °ø°ÝÀº .docx ¹®¼¿Í RTF ¹®¼ÀÇ ¼³°è»ó Ư¼º°ú CVE-2017-8570À̶ó´Â Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ Çؼ ÆûºÏ(Forbook)À̶ó´Â ÆäÀ̷ε带 µå·Ó½ÃÅ°´Â °ÍÀ¸·Î ¾Ë·ÁÁ³´Ù.
[À̹ÌÁö = iclickart]
ÀÌ Ä·ÆäÀÎÀ» ¹ß°ßÇÑ °Ç º¸¾È ¾÷ü ¸à·Î ½ÃÅ¥¸®Æ¼ ·¦½º(Menlo Security Labs)·Î, ÀÌ°÷ Àü¹®°¡µéÀº µÎ ¹ø° ´Ü°è¿¡¼ ¹èÆ÷µÇ´Â ¹®¼¸¦ °í¸³½ÃÅ°°í ºÐ¼®ÇÏ´Â µ¥ ¼º°øÇß´Ù. ¡°ÀÌ ¹®¼°¡ º¸¿©ÁØ °ø°Ý ¹æ½ÄÀº »õ·Î¿î °ÍÀÔ´Ï´Ù. º¸¾È ÀåÄ¡¸¦ ¿ìȸÇϱâ À§ÇØ ¿Â°® ¹æ¹ýÀ» °í¾ÈÇÏ´Â ÇØÄ¿µé »çÀÌ¿¡¼´Â ºü¸£°Ô ÆÛÁö°í Àֱ⵵ ÇÕ´Ï´Ù.¡±
¸à·Î ½ÃÅ¥¸®Æ¼ ÃøÀÌ ¹ß°ßÇÑ °Ç ´ÙÀ½°ú °°´Ù. ¡°¿©·¯ ´Ü°è¸¦ °ÅÃÄ ÃÖÁ¾ ÆäÀ̷ε带 ´Ù¿î·Îµå ¹Þ´Â °ø°Ý ¹æ½ÄÀº ÀÌÀü¿¡µµ ÀÖ¾úÁÒ. ÇÏÁö¸¸ ÀúÈñ°¡ ºÐ¼®ÇÑ ¹Ù À©µµ¿ì ½Ã½ºÅÛÀÌ µÎ ¹ø° ÆäÀ̷ε带 ´Ù¿î·Îµå ¹ÞÀ» ¶§ ƯÀÌÇÑ Á¡ÀÌ ÀÖ¾ú½À´Ï´Ù. º¸Åë ¾Ç¼º ¹®¼¸¦ È°¿ëÇÑ´Ù°í Çϸé, ¸ÅÅ©·Î°¡ ¸ÕÀú ¶°¿À¸£´Âµ¥, À̹ø Ä·ÆäÀο¡ »ç¿ëµÈ ¹®¼¿¡´Â ¸ÅÅ©·Îµµ ¾ø°í ¼ÐÄڵ嵵 ¾ø¾ú½À´Ï´Ù. URL»ÓÀ̾ú¾î¿ä. ÇÇÇØÀÚ°¡ ¹®¼¸¦ ¿¸é ÀÌ URLÀ» ÅëÇØ ¿ø°Ý¿¡ È£½ºÆÃµÈ ¿ä¼ÒµéÀ» °¡Á®¿Í ·Îµå½ÃÅ°´Â °ÍÀÌÁÒ.¡±
¼³¸íÀÌ À̾îÁø´Ù. ¡°ÃÖÃÊ¿¡´Â ÈçÈ÷ ¹ß°ßµÇ´Â ÇÇ½Ì À̸ÞÀÏ ¼ö¹ýÀÌ È°¿ëµË´Ï´Ù. À̸ÞÀÏ¿¡ ¾Ç¼º .docx ¹®¼°¡ ÷ºÎµÇ¾î ÀÖ¾î¿ä. ÀÌ°Ô ¹Ù·Î ±× ¸ÅÅ©·Îµµ ¾ø°í ÀͽºÇ÷ÎÀÕµµ ¾ø´Â ¹®¼ÀÔ´Ï´Ù. URL¸¸ ÇÁ·¹ÀÓ¿¡ ¿¥º£µå µÇ¾î ÀÖÁÒ. ¿©´Â ¼ø°£ HTTP ¿äûÀÌ ÇØ´ç URL·Î Àü´ÞµÇ°í, ¿ø°Ý °´Ã¼°¡ ´Ù¿î·Îµå µË´Ï´Ù. ¶Ç ´Ù¸¥ URL·Î ÇÑ ¹ø ´õ ¿¬°áµÇ´Â °æ¿ìµµ ÀÖ°í¿ä. ±× ³¡¿¡´Â ¾Ç¼º RTF ÆÄÀÏÀÌ ÀÖ½À´Ï´Ù.¡±
°ø°ÝÀÚµéÀÌ È°¿ëÇÏ´Â °Ç MS ¿öµå¿¡ Àִ ƯÁ¤ ±â´ÉµéÀ̱⵵ ÇÏ´Ù. ¸à·Î¿¡ ÀÇÇÏ¸é ¡°ÇÑ ¶§ MS ¿öµå´Â HTML ÆíÁý±â·Î¼ ³Î¸® È°¿ëµÈ ÀûÀÌ ÀÖ´Ù¡±°í ÇÑ´Ù. ¡°¹°·Ð Áö±ÝÀº ±×·¸Áö ¾Ê½À´Ï´Ù¸¸, ÃÊâ±â¿£ ±×·¨¾î¿ä. ±×·¡¼ MS°¡ ÀÌ ¿öµå ÆíÁý±â¿¡ HTML ÆíÁýÀ» À§ÇÑ ±â´Éµé°ú APT È£Ãâ ±â´ÉÀ» žÀçÇß°í, ±×°ÍÀÌ Áö±Ýµµ ³²¾ÆÀÖ½À´Ï´Ù. ½ÉÁö¾î ¸Å´º¾ó¿¡ ¼³¸íµÇ¾î ÀÖ´Â, ³Î¸® °ø°³µÈ ±â´ÉµéÀ̱⵵ ÇÕ´Ï´Ù. À̹ø¿¡ ¹ß°ßµÈ Ä·ÆäÀÎÀÇ °ø°ÝÀÚµéÀº ±×°É È°¿ëÇÏ°í ÀÖ½À´Ï´Ù.¡±
¾Ç¼º RTF ÆÄÀÏ¿¡´Â ½ºÅ©¸³Æ®¿Í ÀͽºÇ÷ÎÀÕ Çϳª°¡ ¿¥º£µå µÇ¾î ÀÖ´Ù. RTF ¹®¼ °íÀ¯ÀÇ Æ¯¼º°ú CVE-2017-8570 Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕÇÏ´Â ±â´ÉÀ» ¹ßÈÖÇÑ´Ù. ¡°ÀÌ ¹®¼°¡ ÇÇÇØÀÚÀÇ ½Ã½ºÅÛ¿¡¼ ¿¸®¸é À©µµ¿ìÀÇ %TEMP% µð·ºÅ丮¿¡ °´Ã¼°¡ ÀÚµ¿À¸·Î µå·ÓµË´Ï´Ù.¡±
¿©±â±îÁö °ø°ÝÀÌ ÁøÇàµÆÀ¸¸é ÀÌÁ¦ µå·ÓµÈ °´Ã¼¸¦ ½ÇÇàÇØ¾ß ±â±â¿¡ ´ëÇÑ Ä§Çظ¦ ¿ÏÀüÈ÷ ¸¶Ä¥ ¼ö ÀÖ´Ù. ÀÌ ¶§ È°¿ëµÇ´Â °ÍÀÌ CVE-2017-8750 Ãë¾àÁ¡ÀÌ´Ù. ¡°ÀÌ °úÁ¤ÀÌ ³¡³ ÈÄ¿¡´Â ÃÖÁ¾ ÆäÀ̷εåÀÎ ÆûºÏ(Formbook) ¸Ö¿þ¾î°¡ ½Ã½ºÅÛ¿¡ ¼³Ä¡µË´Ï´Ù.¡± ÆûºÏÀº ½ºÅ©¸°¼¦À» ³²±â°í, °³Àνĺ°Á¤º¸¸¦ ÈÉÄ¡¸ç, Å°º¸µå¸¦ ·Î±ëÇÏ°í C&C ¼¹ö·ÎºÎÅÍ Ãß°¡ ¿ä¼ÒµéÀ» ´Ù¿î·Îµå ¹Þ´Â ±â´ÉÀ» °¡Áö°í ÀÖ´Ù.
¶ÇÇÑ ÆûºÏ¿¡´Â ¹ðÅ· Æ®·ÎÀ̸ñ¸¶¿Í ºñ½ÁÇÑ ±â´Éµµ ¹ß°ßµÆ´Ù. ¡°ÇÏÁö¸¸ ÀºÇà°ú °ü·ÃµÈ ÇÇÇظ¦ ÀÔÈ÷±â À§ÇØ °³¹ßµÈ °ÍÀ̶ó±âº¸´Ù, ¿ø°Ý Á¦¾î Åø¿¡ ¿©·¯ ±â´ÉÀ» Ãß°¡ÇÑ °Í°ú °°Àº ¸ð¾ç»õÀÔ´Ï´Ù.¡±
¸à·Î ½ÃÅ¥¸®Æ¼´Â ¡°°ø°ÝÀÚµéÀÌ ´Ù´Ü°è Á¢±Ù¹ýÀ» Á¡Á¡ ´õ ¸¹ÀÌ È°¿ëÇÏ°í ÀÖÀ»»Ó ¾Æ´Ï¶ó, ±× ¹æ¹ýÀÇ ¼¼ºÎÀûÀÎ ºÎºÐ¿¡ º¯È¸¦ ÁÖ°í ÀÖ´Ù¡±°í °æ°íÇÑ´Ù. ÀÌ´Â º¸¾È ¼Ö·ç¼Çµé·Î ŽÁöÇϱⰡ ¸Å¿ì ¾î·Á¿î ¹æÇâÀ¸·ÎÀÇ ÁøÈ´Ù. ¡°À۳⸸ Çصµ ¿ø°Ý¿¡¼ °´Ã¼¸¦ ºÒ·¯¿Í ±×°É ¿öµå ȯ°æ¿¡¼ ÀͽºÇ÷ÎÀÕÇÏ´Â Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ÀÌ ¸¹ÀÌ ¹ß°ßµÆ¾î¿ä. ±×·±µ¥ ÀÌÁ¦´Â ¼ÒÇÁÆ®¿þ¾î º»¿¬ÀÇ ±â´É±îÁöµµ ¿«¾î¼ ÇÔ²² ÀͽºÇ÷ÎÀÕÇÏ°í Àֳ׿ä. ±×·¯´Ï º¸¾È ¼Ö·ç¼ÇÀÌ ÀÌ»óÇÏ°Ô »ý°¢ÇÒ ¼ö°¡ ¾ø½À´Ï´Ù.¡±
À̹ø Ä·ÆäÀο¡ ÀÖ¾î °ø°ÝÀڵ鿡°Ô ÇÊ¿äÇÑ °Ç »ç¿ëÀÚ°¡ ù ¹ø° ÷ºÎÆÄÀÏÀ» ¿©´Â °ÍÀÌ´Ù. ¡°±×°Í ÇÑ ¹ø¸¸À¸·Î 2´Ü°è¿Í 3´Ü°è °ø°Ý±îÁöµµ ÁøÇàµË´Ï´Ù. ±×·¯°í ³ª¼´Â ÇÇÇØ°¡ À̾îÁö°í¿ä. °á±¹ µü ÇÑ ¹øÀÇ ½Ç¼ö¸¶Àú ¾ø¾î¾ß ÀÌ °ø°ÝÀ» ¸·À» ¼ö ÀÖ´Ù´Â ¶æÀÌ µË´Ï´Ù.¡±
¸à·ÎÀÇ CTOÀÎ ÄÚ¿ì½Ä ±¸·ç½º¿Í¹Ì(Kowsik Guruswamy)´Â ¡°ÃÖÃÊ ¹®¼´Â ¿ÜºÎ URL¸¸ °¡Áö°í Àֱ⠶§¹®¿¡ ¾ö¹ÐÈ÷ ¸»ÇØ ¾Ç¼º ¹®¼°¡ ¾Æ´Ï°í, ±×·¯´Ï º¸¾È ¼Ö·ç¼ÇµéÀÌ Å½ÁöÇÒ ¼ö ¾ø´Ù¡±°í ¼³¸íÇÑ´Ù. ¡°°ø°ÝÀÌ Á¡Á¡ ´õ ¡®ÁøÂ¥¡¯Ã³·³ µÇ°í ÀÖ¾î¿ä. ±âÁ¸ÀÇ Á¤»óÀûÀÎ Åë·Î¸¦ ÅëÇؼ °ø°ÝÀÌ ÀÌ·ïÁö°í ÀÖ¾î Á¤¸»·Î »õ·Î¿î ¹æ¾î ü°è°¡ ÇÊ¿äÇÑ ¶§°¡ µÇ°í ÀÖ½À´Ï´Ù.¡±
À̹ø °ø°ÝÀÇ º¸´Ù »ó¼¼ÇÑ ³»¿ëÀº ¿©±â(https://info.menlosecurity.com/multi-stage-document-attack-report.html)¼ ¿¶÷ÀÌ °¡´ÉÇÏ´Ù.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>