메뉴 건너뛰기

오에스매니아

조회 수 135 추천 수 0 댓글 6
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄

MS 오피스의 내장 기능, 자가 복제 멀웨어를 생성하는데 악용될 수 있어

MS Office Built-In Feature Could be Exploited to Create Self-Replicating Malware


이탈리아의 보안 전문가가 누구나 마이크로소프트의 보안을 우회하고 MS 워드 문서에 숨겨진 자가 복제 멀웨어를 생성할 수 있는 간단한 기술을 소개했습니다.

이 연구원은 지난 10월 마이크로소프트에 이 이슈를 제보하였으나, 마이크로소프트는 이를 보안 결점으로 인정하지 않았습니다. 마이크로소프트는 이 기능이 MS 오피스 DDE 기능처럼 원래 의도된 대로 동작한다고 밝힌 바 있습니다. DDE 기능은 현재 해커들이 활발히 악용 중입니다.



새로운 'qkG 랜섬웨어', 자가확산 기술 사용


연구원들이 베트남의 누군가가 VirusTotal에 업로드 한 qkG 랜섬웨어 샘플들을 발견했습니다. 그들은 이 랜섬웨어가 “실제로 활발히 사용 되는 멀웨어보다는 실험적인 프로젝트나 PoC같아 보인다”고 밝혔습니다.

qkG 랜섬웨어는 Auto Close VBA 매크로를 사용합니다. 이는 피해자가 문서를 닫을 때 악성 매크로를 실행하는 기술입니다.

qkG 랜섬웨어의 가장 최근 샘플은 비트코인 약 $300 상당을 요구하는 랜섬노트를 포함합니다.

랜섬노트에 포함된 비트코인 주소로 아직까지 입금 된 돈이 없는 것으로 미루어보아, 아직 사람들을 대상으로 배포되지 않았음을 의미합니다.

또한 이 랜섬웨어는 현재 하드코딩 된 동일한 패스워드를 사용하고 있습니다. 영향을 받은 파일의 잠금을 해제하는 패스워드는 "I’m QkG@PTM17! by TNA@MHT-TT2"입니다.



새로운 공격 기술이 동작하는 방법


PoC 1: Macro-Based Self-Replicating Malware (영상): 

https://www.youtube.com/watch?v=JVTZYBkXLKc


해당 연구원은 악성 VBA코드가 포함 된 MS 워드 문서가 어떻게 자가 복제 다단계 멀웨어를 전달하는지 보여주는 영상을 공개했습니다.


 

998C62335A1D163A0D706C



“VBA 프로젝트 개체 모델에 안전하게 액세스할 수 있음” 세팅을 활성화 하면, MS 오피스는 모든 매크로를 신뢰하고 사용자에게 보안 경고를 보여주거나 허가를 받지 않고 모든 코드를 실행합니다.

연구원은 이 설정이 윈도우 레지스트리를 수정하는 것 만으로 활성화/비활성화 될 수 있다는 것을 발견했습니다. 이로 인해 사용자의 동의나 인지 없이 더 많은 매크로를 활성화 할 수 있게 됩니다.

 

영상에서 보여진 대로, 악성 MS Doc 파일도 동일합니다. 먼저 윈도우 레지스트리를 수정 후 동일한 매크로 페이로드(VBA) 코드를 희생양이 생성, 수정 또는 오픈하는 모든 doc 파일에 삽입합니다.



피해자, 자신이 알지 못하는 사이 멀웨어 확산시켜


즉, 피해자가 실수로 매크로를 실행하게 되면 그의 시스템은 매크로 기반 공격에 노출 됩니다.

게다가 이 사실을 알지 못하는 피해자는 악성 코드가 포함 된 문서를 다른 사용자들에게 퍼뜨려 자신도 모르는 사이 멀웨어를 확산시킬 수 있습니다.

이 공격이 더욱 걱정스러운 점은, 악성 파일을 수신하는 사람이 신뢰하는 사람으로부터 파일을 받는다는 것입니다. 또한 수신자 역시 다음 공격 벡터가 됩니다.


이 기술은 아직 실제로 악용 되지는 않았지만, 연구원들은 곧 위험한 자가복제 멀웨어를 확산시키는데 악용될 수 있다고 밝혔습니다. 또한 이는 정상적인 기능이기 때문에, 대부분의 안티바이러스 솔루션들은 이에 대한 경고를 표시하거나 VBA 코드가 포함 된 MS 오피스 문서를 차단하지 않습니다. 또한 마이크로소프트도 이 기능을 제한할 패치를 발표할 계획이 없습니다.


연구원은 “이 취약점을 부분적으로 완화시키기 위해서는 AccessVBOM 레지스트리 키를 HKCU 하이브에서 HKLM으로 이동시켜 시스템 관리자만이 이를 수정할 수 있도록 하는 것입니다”라고 말했습니다.



999457335A1D16FF21A1BA



참고 : 

https://thehackernews.com/2017/11/ms-office-macro-malware.html

  • os
    mania
    루인루 2017.12.07 00:26

    정보 잘보고 갑니다

  • os
    mania
    블로거준 2017.12.09 04:44

    매크로를 통한 자가복제 멀웨어 확산이라 이건 처음 들으면서도 무섭네요. 참고되었습니다.

  • os
    mania
    은희사랑 2017.12.09 13:13

    좋은 정보 감사합니다.

  • os
    mania
    두리번 2017.12.14 16:48

    좋은 정보 감사합니다

  • os
    mania
    mantoman 2017.12.27 16:21

    좋은자료 고맙습니다..

  • profile
    suhyou 2018.01.10 09:09
    좋은 정보 감사합니다

밀리터리 게시물


보안 소식

보안 관련 최신 소식 정보 공유

List of Articles
번호 분류 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 8 file Op 2016.10.16 99
375 일반 검찰, 가상화폐 거래소 업비트 압수수색… 장부거래 혐의 file Op 2018.05.14 287
374 보안 소식 중견기업도 당했다…이메일로 전파되는 '이모텟' 악성코드 주의보 파란하늘 2018.05.01 441
373 일반 한국 세계 6번째 타깃 3 update 파란하늘 2018.04.25 409
372 보안 소식 카카오톡 보안에도 구멍이? 2 파란하늘 2018.04.05 428
371 보안 소식 이력서로 위장한 ‘시그마 랜섬웨어’ 전세계 유포 5 파란하늘 2018.03.27 313
370 보안 소식 지인인척 현금 요구… 카톡 계정 해킹 `기승` 1 파란하늘 2018.03.25 257
369 MS가 투자한 오픈소스 보안테스팅툴 국내출시 8 file Op 2018.02.18 534
368 보안 소식 제로데이 취약점 발견.. '어도비 플래시 플레이어 사용 자제를' 8 file Op 2018.02.02 480
367 일반 경찰, 빗썸 압수수색…해킹 파문 일파만파 4 file Op 2018.02.02 521
366 “가상화폐 거래소 10개사, 보안기준 통과업체 0곳” 10 Op 2018.01.25 279
365 보안 소식 "액티브 X"가 한국에서만 사라지지 않는 진짜 이유... ㄷㄷㄷ 22 file Op 2018.01.18 522
364 보안 자료 인텔 컴퓨터, 또 해킹 취약점 나와…"노트북 해킹 30초면 돼" 7 file Op 2018.01.14 301
363 보안 소식 2017 결산-보안]지구촌 '울린' 랜섬웨어 3 덕애 2017.12.30 130
362 보안 소식 리투아니아, 보안 우려로 카스퍼스키 소프트웨어 사용 금지 3 티오피 2017.12.25 143
361 보안 소식 윈도우 정품 인증 툴로 유명한 KMSpico, 가상화폐 채굴 악성코드 포함되어 있어 10 티오피 2017.12.23 469
360 보안 소식 Windows10에 포함되어 있는 비밀번호 관리 프로그램, 해킹 가능한 취약점 발견 5 티오피 2017.12.19 193
359 보안 소식 새로운 악성코드 Satori 발견! 9 티오피 2017.12.09 291
358 보안 소식 한컴오피스 NEO 보안 업데이트 12월 7일 9 티오피 2017.12.07 230
357 보안 소식 [주의] 가짜 HWP2018 무설치 인증판으로 둔갑한 해킹 프로그램 17 티오피 2017.12.06 2690
356 보안 소식 카스퍼스키 미국에 이어 영국에서도 사용 금지? 5 티오피 2017.12.05 249
355 보안 소식 한컴오피스 보안 업데이트 권고 5 티오피 2017.12.01 257
» 보안 소식 MS 오피스의 내장 기능, 자가 복제 멀웨어를 생성하는데 악용될 수 있어 6 티오피 2017.11.28 135
353 보안 소식 구글, 위치 서비스가 비활성화인 상태에서도 안드로이드 위치 데이터 수집해 8 티오피 2017.11.23 133
352 보안 소식 파이어폭스, 내년부터 캔버스 지문 채취 차단 6 티오피 2017.11.14 317
351 보안 소식 LockCrypt 랜섬웨어가 Satan RaaS를 통해 시작 돼, 변종 배포 시작 4 티오피 2017.11.14 314
목록
Board Pagination Prev 1 2 3 4 5 6 7 8 9 10 ... 15 Next
/ 15
위로