Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

MS 오피스의 내장 기능, 자가 복제 멀웨어를 생성하는데 악용될 수 있어

MS Office Built-In Feature Could be Exploited to Create Self-Replicating Malware


이탈리아의 보안 전문가가 누구나 마이크로소프트의 보안을 우회하고 MS 워드 문서에 숨겨진 자가 복제 멀웨어를 생성할 수 있는 간단한 기술을 소개했습니다.

이 연구원은 지난 10월 마이크로소프트에 이 이슈를 제보하였으나, 마이크로소프트는 이를 보안 결점으로 인정하지 않았습니다. 마이크로소프트는 이 기능이 MS 오피스 DDE 기능처럼 원래 의도된 대로 동작한다고 밝힌 바 있습니다. DDE 기능은 현재 해커들이 활발히 악용 중입니다.



새로운 'qkG 랜섬웨어', 자가확산 기술 사용


연구원들이 베트남의 누군가가 VirusTotal에 업로드 한 qkG 랜섬웨어 샘플들을 발견했습니다. 그들은 이 랜섬웨어가 “실제로 활발히 사용 되는 멀웨어보다는 실험적인 프로젝트나 PoC같아 보인다”고 밝혔습니다.

qkG 랜섬웨어는 Auto Close VBA 매크로를 사용합니다. 이는 피해자가 문서를 닫을 때 악성 매크로를 실행하는 기술입니다.

qkG 랜섬웨어의 가장 최근 샘플은 비트코인 약 $300 상당을 요구하는 랜섬노트를 포함합니다.

랜섬노트에 포함된 비트코인 주소로 아직까지 입금 된 돈이 없는 것으로 미루어보아, 아직 사람들을 대상으로 배포되지 않았음을 의미합니다.

또한 이 랜섬웨어는 현재 하드코딩 된 동일한 패스워드를 사용하고 있습니다. 영향을 받은 파일의 잠금을 해제하는 패스워드는 "I’m QkG@PTM17! by TNA@MHT-TT2"입니다.



새로운 공격 기술이 동작하는 방법


PoC 1: Macro-Based Self-Replicating Malware (영상): 

https://www.youtube.com/watch?v=JVTZYBkXLKc


해당 연구원은 악성 VBA코드가 포함 된 MS 워드 문서가 어떻게 자가 복제 다단계 멀웨어를 전달하는지 보여주는 영상을 공개했습니다.


 

998C62335A1D163A0D706C



“VBA 프로젝트 개체 모델에 안전하게 액세스할 수 있음” 세팅을 활성화 하면, MS 오피스는 모든 매크로를 신뢰하고 사용자에게 보안 경고를 보여주거나 허가를 받지 않고 모든 코드를 실행합니다.

연구원은 이 설정이 윈도우 레지스트리를 수정하는 것 만으로 활성화/비활성화 될 수 있다는 것을 발견했습니다. 이로 인해 사용자의 동의나 인지 없이 더 많은 매크로를 활성화 할 수 있게 됩니다.

 

영상에서 보여진 대로, 악성 MS Doc 파일도 동일합니다. 먼저 윈도우 레지스트리를 수정 후 동일한 매크로 페이로드(VBA) 코드를 희생양이 생성, 수정 또는 오픈하는 모든 doc 파일에 삽입합니다.



피해자, 자신이 알지 못하는 사이 멀웨어 확산시켜


즉, 피해자가 실수로 매크로를 실행하게 되면 그의 시스템은 매크로 기반 공격에 노출 됩니다.

게다가 이 사실을 알지 못하는 피해자는 악성 코드가 포함 된 문서를 다른 사용자들에게 퍼뜨려 자신도 모르는 사이 멀웨어를 확산시킬 수 있습니다.

이 공격이 더욱 걱정스러운 점은, 악성 파일을 수신하는 사람이 신뢰하는 사람으로부터 파일을 받는다는 것입니다. 또한 수신자 역시 다음 공격 벡터가 됩니다.


이 기술은 아직 실제로 악용 되지는 않았지만, 연구원들은 곧 위험한 자가복제 멀웨어를 확산시키는데 악용될 수 있다고 밝혔습니다. 또한 이는 정상적인 기능이기 때문에, 대부분의 안티바이러스 솔루션들은 이에 대한 경고를 표시하거나 VBA 코드가 포함 된 MS 오피스 문서를 차단하지 않습니다. 또한 마이크로소프트도 이 기능을 제한할 패치를 발표할 계획이 없습니다.


연구원은 “이 취약점을 부분적으로 완화시키기 위해서는 AccessVBOM 레지스트리 키를 HKCU 하이브에서 HKLM으로 이동시켜 시스템 관리자만이 이를 수정할 수 있도록 하는 것입니다”라고 말했습니다.



999457335A1D16FF21A1BA



참고 : 

https://thehackernews.com/2017/11/ms-office-macro-malware.html

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

루인루

2017.12.07 00:26
가입일:
총 게시물수: 1
총 댓글수: 104

정보 잘보고 갑니다

profile

블로거준

2017.12.09 04:44
가입일:
총 게시물수: 0
총 댓글수: 2

매크로를 통한 자가복제 멀웨어 확산이라 이건 처음 들으면서도 무섭네요. 참고되었습니다.

profile

은희사랑

2017.12.09 13:13
가입일: 2017:11.18
총 게시물수: 81
총 댓글수: 360

좋은 정보 감사합니다.

profile

두리번

2017.12.14 16:48
가입일:
총 게시물수: 0
총 댓글수: 16

좋은 정보 감사합니다

profile

mantoman

2017.12.27 16:21
가입일:
총 게시물수: 0
총 댓글수: 185

좋은자료 고맙습니다..

profile

suhyou

2018.01.10 09:09
가입일:
총 게시물수: 1
총 댓글수: 784
좋은 정보 감사합니다
List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 565
445 보안 소식 삼성전자, 핀테크 중심축으로 ‘블록체인‧암호화폐 지갑’ 내세워 돌까루 05-28 69
444 보안 소식 천만원 넘은 비트코인..블록체인 업계 숨통 트이나 돌까루 05-28 63
443 보안 소식 오픈소스DB '마이SQL' 노린 랜섬웨어 공격 발생 돌까루 05-28 51
442 보안 소식 서울에 모인 이더리움 개발자들 "블록체인으로 세상 바꾸자" 돌까루 05-28 50
441 보안 소식 '안면인식' 논쟁 불붙은 美…"범죄자 추적 유용" vs "사생활 침해" 돌까루 05-28 52
440 보안 소식 갠드크랩 다음은 블루크랩? 신종 랜섬웨어 '비상' 돌까루 05-28 50
439 보안 소식 금융시장 불안에 살아난 비트코인, 1년만에 1000만원 탈환 돌까루 05-28 25
438 보안 소식 "삼성 스마트폰은 디지털 금고" 돌까루 05-27 29
437 보안 소식 유니클로 모회사, 사이버공격당해 46만명 이상 고객 데이터 유출 kargans 05-27 30
436 보안 소식 TA505 해킹조직, 피싱 메일 살포해 악성 설치파일 유포중...주의 kargans 05-27 43
435 보안 소식 새로운 인텔 부채널 보안취약점, 좀비로드에 대한 리눅스 진영의 대응 kargans 05-27 32
434 보안 소식 프랑스 해커, 모든 삼성 스마트폰 벽돌로 만들 수 있는 방법 발견 kargans 05-27 52
433 일반 유명 인스타그램 사용자들의 개인정보 다량으로 유출 루릿페 05-27 60
432 보안 소식 아이넷캅, 모바일 안티 바이러스 ‘온백신’, 정식 서비스 돌입 kargans 05-24 84
431 보안 소식 윈도우10 로컬 권한상승 제로데이 취약점 온라인에 공개돼 kargans 05-24 95
430 보안 자료 인텔 CPU서 새로운 보안 취약점 발견…구형일수록 ‘위험’ + 2 소금과빛 05-22 99
429 일반 스마트폰 블랙마켓이란 무엇일까요? + 1 소금과빛 05-11 234
428 보안 소식 구글 플레이 스토어 ... 악성앱 + 2 루릿페 04-28 208
427 보안 소식 MS, 엣지용 애플리케이션 가드 구동 위한 크롬·파이어폭스 애드온 공개 루시드림 03-28 275
426 일반 Live Update ASUS 서버 해킹 + 3 루릿페 03-26 347
425 바이러스 [주의] 국내에 확산되고 있는 SMB취약점(MS17-010) 공격시도 루시드림 03-26 385
424 바이러스 컴퓨터에서 감염된 파일을 수동으로 직접 제거하는 방법 file 루시드림 03-26 336
423 보안 자료 암호화된 트래픽 속 악성 활동을 감시하는 3가지 방법 루시드림 03-22 93
422 보안 자료 최고의 무료 보안 도구 20선 루시드림 03-22 163
421 보안 소식 가장 사랑받는 취약점 10개 중 8개가 MS 오피스 버그 파란하늘 03-21 87