Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

MS 오피스의 내장 기능, 자가 복제 멀웨어를 생성하는데 악용될 수 있어

MS Office Built-In Feature Could be Exploited to Create Self-Replicating Malware


이탈리아의 보안 전문가가 누구나 마이크로소프트의 보안을 우회하고 MS 워드 문서에 숨겨진 자가 복제 멀웨어를 생성할 수 있는 간단한 기술을 소개했습니다.

이 연구원은 지난 10월 마이크로소프트에 이 이슈를 제보하였으나, 마이크로소프트는 이를 보안 결점으로 인정하지 않았습니다. 마이크로소프트는 이 기능이 MS 오피스 DDE 기능처럼 원래 의도된 대로 동작한다고 밝힌 바 있습니다. DDE 기능은 현재 해커들이 활발히 악용 중입니다.



새로운 'qkG 랜섬웨어', 자가확산 기술 사용


연구원들이 베트남의 누군가가 VirusTotal에 업로드 한 qkG 랜섬웨어 샘플들을 발견했습니다. 그들은 이 랜섬웨어가 “실제로 활발히 사용 되는 멀웨어보다는 실험적인 프로젝트나 PoC같아 보인다”고 밝혔습니다.

qkG 랜섬웨어는 Auto Close VBA 매크로를 사용합니다. 이는 피해자가 문서를 닫을 때 악성 매크로를 실행하는 기술입니다.

qkG 랜섬웨어의 가장 최근 샘플은 비트코인 약 $300 상당을 요구하는 랜섬노트를 포함합니다.

랜섬노트에 포함된 비트코인 주소로 아직까지 입금 된 돈이 없는 것으로 미루어보아, 아직 사람들을 대상으로 배포되지 않았음을 의미합니다.

또한 이 랜섬웨어는 현재 하드코딩 된 동일한 패스워드를 사용하고 있습니다. 영향을 받은 파일의 잠금을 해제하는 패스워드는 "I’m QkG@PTM17! by TNA@MHT-TT2"입니다.



새로운 공격 기술이 동작하는 방법


PoC 1: Macro-Based Self-Replicating Malware (영상): 

https://www.youtube.com/watch?v=JVTZYBkXLKc


해당 연구원은 악성 VBA코드가 포함 된 MS 워드 문서가 어떻게 자가 복제 다단계 멀웨어를 전달하는지 보여주는 영상을 공개했습니다.


 

998C62335A1D163A0D706C



“VBA 프로젝트 개체 모델에 안전하게 액세스할 수 있음” 세팅을 활성화 하면, MS 오피스는 모든 매크로를 신뢰하고 사용자에게 보안 경고를 보여주거나 허가를 받지 않고 모든 코드를 실행합니다.

연구원은 이 설정이 윈도우 레지스트리를 수정하는 것 만으로 활성화/비활성화 될 수 있다는 것을 발견했습니다. 이로 인해 사용자의 동의나 인지 없이 더 많은 매크로를 활성화 할 수 있게 됩니다.

 

영상에서 보여진 대로, 악성 MS Doc 파일도 동일합니다. 먼저 윈도우 레지스트리를 수정 후 동일한 매크로 페이로드(VBA) 코드를 희생양이 생성, 수정 또는 오픈하는 모든 doc 파일에 삽입합니다.



피해자, 자신이 알지 못하는 사이 멀웨어 확산시켜


즉, 피해자가 실수로 매크로를 실행하게 되면 그의 시스템은 매크로 기반 공격에 노출 됩니다.

게다가 이 사실을 알지 못하는 피해자는 악성 코드가 포함 된 문서를 다른 사용자들에게 퍼뜨려 자신도 모르는 사이 멀웨어를 확산시킬 수 있습니다.

이 공격이 더욱 걱정스러운 점은, 악성 파일을 수신하는 사람이 신뢰하는 사람으로부터 파일을 받는다는 것입니다. 또한 수신자 역시 다음 공격 벡터가 됩니다.


이 기술은 아직 실제로 악용 되지는 않았지만, 연구원들은 곧 위험한 자가복제 멀웨어를 확산시키는데 악용될 수 있다고 밝혔습니다. 또한 이는 정상적인 기능이기 때문에, 대부분의 안티바이러스 솔루션들은 이에 대한 경고를 표시하거나 VBA 코드가 포함 된 MS 오피스 문서를 차단하지 않습니다. 또한 마이크로소프트도 이 기능을 제한할 패치를 발표할 계획이 없습니다.


연구원은 “이 취약점을 부분적으로 완화시키기 위해서는 AccessVBOM 레지스트리 키를 HKCU 하이브에서 HKLM으로 이동시켜 시스템 관리자만이 이를 수정할 수 있도록 하는 것입니다”라고 말했습니다.



999457335A1D16FF21A1BA



참고 : 

https://thehackernews.com/2017/11/ms-office-macro-malware.html

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

루인루

2017.12.07 00:26
가입일:
총 게시물수: 1
총 댓글수: 104

정보 잘보고 갑니다

profile

블로거준

2017.12.09 04:44
가입일:
총 게시물수: 0
총 댓글수: 2

매크로를 통한 자가복제 멀웨어 확산이라 이건 처음 들으면서도 무섭네요. 참고되었습니다.

profile

은희사랑

2017.12.09 13:13
가입일: 2017:11.18
총 게시물수: 81
총 댓글수: 360

좋은 정보 감사합니다.

profile

두리번

2017.12.14 16:48
가입일:
총 게시물수: 0
총 댓글수: 16

좋은 정보 감사합니다

profile

mantoman

2017.12.27 16:21
가입일:
총 게시물수: 0
총 댓글수: 185

좋은자료 고맙습니다..

profile

suhyou

2018.01.10 09:09
가입일:
총 게시물수: 1
총 댓글수: 784
좋은 정보 감사합니다
List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 565
370 보안 소식 지인인척 현금 요구… 카톡 계정 해킹 `기승` + 3 파란하늘 03-25 367
369 MS가 투자한 오픈소스 보안테스팅툴 국내출시 file + 9 Op 02-18 627
368 보안 소식 제로데이 취약점 발견.. '어도비 플래시 플레이어 사용 자제를' file + 9 Op 02-02 588
367 일반 경찰, 빗썸 압수수색…해킹 파문 일파만파 file + 5 Op 02-02 662
366 “가상화폐 거래소 10개사, 보안기준 통과업체 0곳” + 11 Op 01-25 360
365 보안 소식 "액티브 X"가 한국에서만 사라지지 않는 진짜 이유... ㄷㄷㄷ file + 23 Op 01-18 666
364 보안 자료 인텔 컴퓨터, 또 해킹 취약점 나와…"노트북 해킹 30초면 돼" file + 9 Op 01-14 457
363 보안 소식 2017 결산-보안]지구촌 '울린' 랜섬웨어 + 3 덕애 12-30 210
362 보안 소식 리투아니아, 보안 우려로 카스퍼스키 소프트웨어 사용 금지 + 3 티오피 12-25 225
361 보안 소식 윈도우 정품 인증 툴로 유명한 KMSpico, 가상화폐 채굴 악성코드 포함되어 있어 + 11 티오피 12-23 725
360 보안 소식 Windows10에 포함되어 있는 비밀번호 관리 프로그램, 해킹 가능한 취약점 발견 + 5 티오피 12-19 689
359 보안 소식 새로운 악성코드 Satori 발견! + 9 티오피 12-09 721
358 보안 소식 한컴오피스 NEO 보안 업데이트 12월 7일 + 9 티오피 12-07 398
357 보안 소식 hit [주의] 가짜 HWP2018 무설치 인증판으로 둔갑한 해킹 프로그램 + 17 티오피 12-06 4120
356 보안 소식 카스퍼스키 미국에 이어 영국에서도 사용 금지? + 5 티오피 12-05 344
355 보안 소식 한컴오피스 보안 업데이트 권고 + 5 티오피 12-01 436
» 보안 소식 MS 오피스의 내장 기능, 자가 복제 멀웨어를 생성하는데 악용될 수 있어 + 6 티오피 11-28 237
353 보안 소식 구글, 위치 서비스가 비활성화인 상태에서도 안드로이드 위치 데이터 수집해 + 8 티오피 11-23 248
352 보안 소식 파이어폭스, 내년부터 캔버스 지문 채취 차단 + 6 티오피 11-14 379
351 보안 소식 LockCrypt 랜섬웨어가 Satan RaaS를 통해 시작 돼, 변종 배포 시작 + 4 티오피 11-14 631
350 보안 소식 [주의] 한국에서 제작된 것으로 추정되는 Blacklistcp 랜섬웨어 등장 + 5 티오피 11-13 373
349 보안 소식 Vault 8: 위키리크스, CIA의 멀웨어 제어 시스템인 Hive 소스 공개해 + 3 티오피 11-13 217
348 백신 자료 카스퍼스키 무료(프리 버전) 한글 다운로드 설치하기 + 10 철인 11-11 649
347 보안 소식 150일 만에 리눅스 서버 랜섬웨어 감염...공격 방식·규모 촉각 + 3 티오피 11-09 297
346 보안 소식 치명적인 Tor 브라우저 취약점, 사용자의 실제 IP 노출 시켜 – 지금 업데이트 하세요 + 3 티오피 11-07 1229