MS 워드의 기본 기능까지 공격에 활용하는 공격자들

입력 : 2018-04-10 11:47

최초 첨부파일에는 URL만 있어, “실질적으론 악성 아냐”
두 번째 문서도 MS의 편집 기능 활용...기존 솔루션으론 탐지 어려워

[보안뉴스 문가용 기자] 악성 문서를 활용한 다단계 시스템 침투 캠페인이 새롭게 발견됐다. 이 공격은 .docx 문서와 RTF 문서의 설계상 특성과 CVE-2017-8570이라는 취약점을 익스플로잇 해서 폼북(Forbook)이라는 페이로드를 드롭시키는 것으로 알려졌다.


이 캠페인을 발견한 건 보안 업체 멘로 시큐리티 랩스(Menlo Security Labs)로, 이곳 전문가들은 두 번째 단계에서 배포되는 문서를 고립시키고 분석하는 데 성공했다. “이 문서가 보여준 공격 방식은 새로운 것입니다. 보안 장치를 우회하기 위해 온갖 방법을 고안하는 해커들 사이에서는 빠르게 퍼지고 있기도 합니다.”

멘로 시큐리티 측이 발견한 건 다음과 같다. “여러 단계를 거쳐 최종 페이로드를 다운로드 받는 공격 방식은 이전에도 있었죠. 하지만 저희가 분석한 바 윈도우 시스템이 두 번째 페이로드를 다운로드 받을 때 특이한 점이 있었습니다. 보통 악성 문서를 활용한다고 하면, 매크로가 먼저 떠오르는데, 이번 캠페인에 사용된 문서에는 매크로도 없고 셸코드도 없었습니다. URL뿐이었어요. 피해자가 문서를 열면 이 URL을 통해 원격에 호스팅된 요소들을 가져와 로드시키는 것이죠.”

설명이 이어진다. “최초에는 흔히 발견되는 피싱 이메일 수법이 활용됩니다. 이메일에 악성 .docx 문서가 첨부되어 있어요. 이게 바로 그 매크로도 없고 익스플로잇도 없는 문서입니다. URL만 프레임에 엠베드 되어 있죠. 여는 순간 HTTP 요청이 해당 URL로 전달되고, 원격 객체가 다운로드 됩니다. 또 다른 URL로 한 번 더 연결되는 경우도 있고요. 그 끝에는 악성 RTF 파일이 있습니다.”

공격자들이 활용하는 건 MS 워드에 있는 특정 기능들이기도 하다. 멘로에 의하면 “한 때 MS 워드는 HTML 편집기로서 널리 활용된 적이 있다”고 한다. “물론 지금은 그렇지 않습니다만, 초창기엔 그랬어요. 그래서 MS가 이 워드 편집기에 HTML 편집을 위한 기능들과 APT 호출 기능을 탑재했고, 그것이 지금도 남아있습니다. 심지어 매뉴얼에 설명되어 있는, 널리 공개된 기능들이기도 합니다. 이번에 발견된 캠페인의 공격자들은 그걸 활용하고 있습니다.”

악성 RTF 파일에는 스크립트와 익스플로잇 하나가 엠베드 되어 있다. RTF 문서 고유의 특성과 CVE-2017-8570 취약점을 익스플로잇하는 기능을 발휘한다. “이 문서가 피해자의 시스템에서 열리면 윈도우의 %TEMP% 디렉토리에 객체가 자동으로 드롭됩니다.”

여기까지 공격이 진행됐으면 이제 드롭된 객체를 실행해야 기기에 대한 침해를 완전히 마칠 수 있다. 이 때 활용되는 것이 CVE-2017-8750 취약점이다. “이 과정이 끝난 후에는 최종 페이로드인 폼북(Formbook) 멀웨어가 시스템에 설치됩니다.” 폼북은 스크린샷을 남기고, 개인식별정보를 훔치며, 키보드를 로깅하고 C&C 서버로부터 추가 요소들을 다운로드 받는 기능을 가지고 있다.

또한 폼북에는 뱅킹 트로이목마와 비슷한 기능도 발견됐다. “하지만 은행과 관련된 피해를 입히기 위해 개발된 것이라기보다, 원격 제어 툴에 여러 기능을 추가한 것과 같은 모양새입니다.”

멘로 시큐리티는 “공격자들이 다단계 접근법을 점점 더 많이 활용하고 있을뿐 아니라, 그 방법의 세부적인 부분에 변화를 주고 있다”고 경고한다. 이는 보안 솔루션들로 탐지하기가 매우 어려운 방향으로의 진화다. “작년만 해도 원격에서 객체를 불러와 그걸 워드 환경에서 익스플로잇하는 제로데이 취약점이 많이 발견됐어요. 그런데 이제는 소프트웨어 본연의 기능까지도 엮어서 함께 익스플로잇하고 있네요. 그러니 보안 솔루션이 이상하게 생각할 수가 없습니다.”

이번 캠페인에 있어 공격자들에게 필요한 건 사용자가 첫 번째 첨부파일을 여는 것이다. “그것 한 번만으로 2단계와 3단계 공격까지도 진행됩니다. 그러고 나서는 피해가 이어지고요. 결국 딱 한 번의 실수마저 없어야 이 공격을 막을 수 있다는 뜻이 됩니다.”

멘로의 CTO인 코우식 구루스와미(Kowsik Guruswamy)는 “최초 문서는 외부 URL만 가지고 있기 때문에 엄밀히 말해 악성 문서가 아니고, 그러니 보안 솔루션들이 탐지할 수 없다”고 설명한다. “공격이 점점 더 ‘진짜’처럼 되고 있어요. 기존의 정상적인 통로를 통해서 공격이 이뤄지고 있어 정말로 새로운 방어 체계가 필요한 때가 되고 있습니다.”

이번 공격의 보다 상세한 내용은 여기(https://info.menlosecurity.com/multi-stage-document-attack-report.html)서 열람이 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  [bnTV] 증권가가 주목한 이 기업, 19...

• 2

  오이스터 백도어, MS 팀즈 설치파일로 위장...

• 3

  기업의 최대 보안 구멍, 문서형 악성코드 “...

• 4

  SK하이닉스, ‘SK hynix’ 사칭 사이...

• 5

  정부 관리 보안장비 1,822대 중 329대...

• 1

  기업의 최대 보안 구멍, 문서형 악성코드 “...

• 2

  전 세계 ‘딥페이크 스캠 및 피싱’ 공격 확...

• 3

  [bnTV] 위험한 ‘중고거래’, 안전하지 ...

• 4

  금융권 망분리 규제개선, ‘개봉박두’ 했지만...

• 5

  미국 CISA, 이반티에서 발견된 취약점의 ...

• 1

  KISIA 클라우드 보안 협의체, 금융권 망...

• 2

  ‘월드코인’ 관계사 개인정보 보호법 위반.....

• 3

  전 세계 ‘딥페이크 스캠 및 피싱’ 공격 확...

• 4

  북한 IT 노동자들, 서방 국가들에 위장 취...

• 5

  금융권 망분리 규제개선 3단계 키포인트