Category

  1. 오에스매니아


보안/해킹
스폰서링크

MS 오피스의 내장 기능, 자가 복제 멀웨어를 생성하는데 악용될 수 있어

MS Office Built-In Feature Could be Exploited to Create Self-Replicating Malware


이탈리아의 보안 전문가가 누구나 마이크로소프트의 보안을 우회하고 MS 워드 문서에 숨겨진 자가 복제 멀웨어를 생성할 수 있는 간단한 기술을 소개했습니다.

이 연구원은 지난 10월 마이크로소프트에 이 이슈를 제보하였으나, 마이크로소프트는 이를 보안 결점으로 인정하지 않았습니다. 마이크로소프트는 이 기능이 MS 오피스 DDE 기능처럼 원래 의도된 대로 동작한다고 밝힌 바 있습니다. DDE 기능은 현재 해커들이 활발히 악용 중입니다.



새로운 'qkG 랜섬웨어', 자가확산 기술 사용


연구원들이 베트남의 누군가가 VirusTotal에 업로드 한 qkG 랜섬웨어 샘플들을 발견했습니다. 그들은 이 랜섬웨어가 “실제로 활발히 사용 되는 멀웨어보다는 실험적인 프로젝트나 PoC같아 보인다”고 밝혔습니다.

qkG 랜섬웨어는 Auto Close VBA 매크로를 사용합니다. 이는 피해자가 문서를 닫을 때 악성 매크로를 실행하는 기술입니다.

qkG 랜섬웨어의 가장 최근 샘플은 비트코인 약 $300 상당을 요구하는 랜섬노트를 포함합니다.

랜섬노트에 포함된 비트코인 주소로 아직까지 입금 된 돈이 없는 것으로 미루어보아, 아직 사람들을 대상으로 배포되지 않았음을 의미합니다.

또한 이 랜섬웨어는 현재 하드코딩 된 동일한 패스워드를 사용하고 있습니다. 영향을 받은 파일의 잠금을 해제하는 패스워드는 "I’m QkG@PTM17! by TNA@MHT-TT2"입니다.



새로운 공격 기술이 동작하는 방법


PoC 1: Macro-Based Self-Replicating Malware (영상): 

https://www.youtube.com/watch?v=JVTZYBkXLKc


해당 연구원은 악성 VBA코드가 포함 된 MS 워드 문서가 어떻게 자가 복제 다단계 멀웨어를 전달하는지 보여주는 영상을 공개했습니다.


 

998C62335A1D163A0D706C



“VBA 프로젝트 개체 모델에 안전하게 액세스할 수 있음” 세팅을 활성화 하면, MS 오피스는 모든 매크로를 신뢰하고 사용자에게 보안 경고를 보여주거나 허가를 받지 않고 모든 코드를 실행합니다.

연구원은 이 설정이 윈도우 레지스트리를 수정하는 것 만으로 활성화/비활성화 될 수 있다는 것을 발견했습니다. 이로 인해 사용자의 동의나 인지 없이 더 많은 매크로를 활성화 할 수 있게 됩니다.

 

영상에서 보여진 대로, 악성 MS Doc 파일도 동일합니다. 먼저 윈도우 레지스트리를 수정 후 동일한 매크로 페이로드(VBA) 코드를 희생양이 생성, 수정 또는 오픈하는 모든 doc 파일에 삽입합니다.



피해자, 자신이 알지 못하는 사이 멀웨어 확산시켜


즉, 피해자가 실수로 매크로를 실행하게 되면 그의 시스템은 매크로 기반 공격에 노출 됩니다.

게다가 이 사실을 알지 못하는 피해자는 악성 코드가 포함 된 문서를 다른 사용자들에게 퍼뜨려 자신도 모르는 사이 멀웨어를 확산시킬 수 있습니다.

이 공격이 더욱 걱정스러운 점은, 악성 파일을 수신하는 사람이 신뢰하는 사람으로부터 파일을 받는다는 것입니다. 또한 수신자 역시 다음 공격 벡터가 됩니다.


이 기술은 아직 실제로 악용 되지는 않았지만, 연구원들은 곧 위험한 자가복제 멀웨어를 확산시키는데 악용될 수 있다고 밝혔습니다. 또한 이는 정상적인 기능이기 때문에, 대부분의 안티바이러스 솔루션들은 이에 대한 경고를 표시하거나 VBA 코드가 포함 된 MS 오피스 문서를 차단하지 않습니다. 또한 마이크로소프트도 이 기능을 제한할 패치를 발표할 계획이 없습니다.


연구원은 “이 취약점을 부분적으로 완화시키기 위해서는 AccessVBOM 레지스트리 키를 HKCU 하이브에서 HKLM으로 이동시켜 시스템 관리자만이 이를 수정할 수 있도록 하는 것입니다”라고 말했습니다.



999457335A1D16FF21A1BA



참고 : 

https://thehackernews.com/2017/11/ms-office-macro-malware.html

엮인글 :

놀이터 인기 글


루인루 

2017.12.07 00:26:33
*.14.128.143

정보 잘보고 갑니다

블로거준 

2017.12.09 04:44:50
*.121.19.131

매크로를 통한 자가복제 멀웨어 확산이라 이건 처음 들으면서도 무섭네요. 참고되었습니다.

은희사랑 

2017.12.09 13:13:15
*.200.48.48

좋은 정보 감사합니다.

두리번 

2017.12.14 16:48:15
*.203.206.175

좋은 정보 감사합니다


나울PC 정치 베스트
List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file [7] Op 16.10.16 85
359 보안 소식 새로운 악성코드 Satori 발견! [3] 티오피 17.12.9 112
358 보안 소식 한컴오피스 NEO 보안 업데이트 12월 7일 [4] 티오피 17.12.7 114
357 보안 소식 [주의] 가짜 HWP2018 무설치 인증판으로 둔갑한 해킹 프로그램 [9] 티오피 17.12.6 227
356 보안 소식 카스퍼스키 미국에 이어 영국에서도 사용 금지? [3] 티오피 17.12.5 130
355 보안 소식 한컴오피스 보안 업데이트 권고 [3] 티오피 17.12.1 187
» 보안 소식 MS 오피스의 내장 기능, 자가 복제 멀웨어를 생성하는데 악용될 수 있어 [4] 티오피 17.11.28 101
353 보안 소식 구글, 위치 서비스가 비활성화인 상태에서도 안드로이드 위치 데이터 수집해 [4] 티오피 17.11.23 95
352 보안 소식 파이어폭스, 내년부터 캔버스 지문 채취 차단 [4] 티오피 17.11.14 289
351 보안 소식 LockCrypt 랜섬웨어가 Satan RaaS를 통해 시작 돼, 변종 배포 시작 [2] 티오피 17.11.14 266
350 보안 소식 [주의] 한국에서 제작된 것으로 추정되는 Blacklistcp 랜섬웨어 등장 [3] 티오피 17.11.13 224
349 보안 소식 Vault 8: 위키리크스, CIA의 멀웨어 제어 시스템인 Hive 소스 공개해 [1] 티오피 17.11.13 137
348 백신 자료 카스퍼스키 무료(프리 버전) 한글 다운로드 설치하기 [6] 철인 17.11.11 287
347 보안 소식 150일 만에 리눅스 서버 랜섬웨어 감염...공격 방식·규모 촉각 [1] 티오피 17.11.9 237
346 보안 소식 치명적인 Tor 브라우저 취약점, 사용자의 실제 IP 노출 시켜 – 지금 업데이트 하세요 [1] 티오피 17.11.7 265
345 보안 소식 한글문서 ‘자료연결’ 기능 악용한 국내 표적 악성코드 주의 file [1] 파란하늘 17.11.7 241
344 보안 소식 네트워크를 통해 퍼지는 Bad Rabbit 랜섬웨어, 우크라이나와 러시아 공격 중 [5] 티오피 17.10.27 153
343 보안 소식 로키봇- 삭제 시도 하면 랜섬웨어로 변신하는 뱅킹 트로이목마 [2] 티오피 17.10.25 129
342 보안 소식 카스퍼스키, 신뢰를 얻기 위해 백신 소스 코드 공개해 [4] 티오피 17.10.25 154
341 보안 소식 구멍 뻥 뚫린 무선랜…사용자 대처법은 [7] 티오피 17.10.24 183
340 보안 소식 패치 되지 않은 마이크로소프트 DDE 익스플로잇, 광범위한 악성코드 공격에 사용 돼 [2] 티오피 17.10.24 102