Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

MS 오피스의 내장 기능, 자가 복제 멀웨어를 생성하는데 악용될 수 있어

MS Office Built-In Feature Could be Exploited to Create Self-Replicating Malware


이탈리아의 보안 전문가가 누구나 마이크로소프트의 보안을 우회하고 MS 워드 문서에 숨겨진 자가 복제 멀웨어를 생성할 수 있는 간단한 기술을 소개했습니다.

이 연구원은 지난 10월 마이크로소프트에 이 이슈를 제보하였으나, 마이크로소프트는 이를 보안 결점으로 인정하지 않았습니다. 마이크로소프트는 이 기능이 MS 오피스 DDE 기능처럼 원래 의도된 대로 동작한다고 밝힌 바 있습니다. DDE 기능은 현재 해커들이 활발히 악용 중입니다.



새로운 'qkG 랜섬웨어', 자가확산 기술 사용


연구원들이 베트남의 누군가가 VirusTotal에 업로드 한 qkG 랜섬웨어 샘플들을 발견했습니다. 그들은 이 랜섬웨어가 “실제로 활발히 사용 되는 멀웨어보다는 실험적인 프로젝트나 PoC같아 보인다”고 밝혔습니다.

qkG 랜섬웨어는 Auto Close VBA 매크로를 사용합니다. 이는 피해자가 문서를 닫을 때 악성 매크로를 실행하는 기술입니다.

qkG 랜섬웨어의 가장 최근 샘플은 비트코인 약 $300 상당을 요구하는 랜섬노트를 포함합니다.

랜섬노트에 포함된 비트코인 주소로 아직까지 입금 된 돈이 없는 것으로 미루어보아, 아직 사람들을 대상으로 배포되지 않았음을 의미합니다.

또한 이 랜섬웨어는 현재 하드코딩 된 동일한 패스워드를 사용하고 있습니다. 영향을 받은 파일의 잠금을 해제하는 패스워드는 "I’m QkG@PTM17! by TNA@MHT-TT2"입니다.



새로운 공격 기술이 동작하는 방법


PoC 1: Macro-Based Self-Replicating Malware (영상): 

https://www.youtube.com/watch?v=JVTZYBkXLKc


해당 연구원은 악성 VBA코드가 포함 된 MS 워드 문서가 어떻게 자가 복제 다단계 멀웨어를 전달하는지 보여주는 영상을 공개했습니다.


 

998C62335A1D163A0D706C



“VBA 프로젝트 개체 모델에 안전하게 액세스할 수 있음” 세팅을 활성화 하면, MS 오피스는 모든 매크로를 신뢰하고 사용자에게 보안 경고를 보여주거나 허가를 받지 않고 모든 코드를 실행합니다.

연구원은 이 설정이 윈도우 레지스트리를 수정하는 것 만으로 활성화/비활성화 될 수 있다는 것을 발견했습니다. 이로 인해 사용자의 동의나 인지 없이 더 많은 매크로를 활성화 할 수 있게 됩니다.

 

영상에서 보여진 대로, 악성 MS Doc 파일도 동일합니다. 먼저 윈도우 레지스트리를 수정 후 동일한 매크로 페이로드(VBA) 코드를 희생양이 생성, 수정 또는 오픈하는 모든 doc 파일에 삽입합니다.



피해자, 자신이 알지 못하는 사이 멀웨어 확산시켜


즉, 피해자가 실수로 매크로를 실행하게 되면 그의 시스템은 매크로 기반 공격에 노출 됩니다.

게다가 이 사실을 알지 못하는 피해자는 악성 코드가 포함 된 문서를 다른 사용자들에게 퍼뜨려 자신도 모르는 사이 멀웨어를 확산시킬 수 있습니다.

이 공격이 더욱 걱정스러운 점은, 악성 파일을 수신하는 사람이 신뢰하는 사람으로부터 파일을 받는다는 것입니다. 또한 수신자 역시 다음 공격 벡터가 됩니다.


이 기술은 아직 실제로 악용 되지는 않았지만, 연구원들은 곧 위험한 자가복제 멀웨어를 확산시키는데 악용될 수 있다고 밝혔습니다. 또한 이는 정상적인 기능이기 때문에, 대부분의 안티바이러스 솔루션들은 이에 대한 경고를 표시하거나 VBA 코드가 포함 된 MS 오피스 문서를 차단하지 않습니다. 또한 마이크로소프트도 이 기능을 제한할 패치를 발표할 계획이 없습니다.


연구원은 “이 취약점을 부분적으로 완화시키기 위해서는 AccessVBOM 레지스트리 키를 HKCU 하이브에서 HKLM으로 이동시켜 시스템 관리자만이 이를 수정할 수 있도록 하는 것입니다”라고 말했습니다.



999457335A1D16FF21A1BA



참고 : 

https://thehackernews.com/2017/11/ms-office-macro-malware.html

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

루인루

2017.12.07 00:26
가입일:
총 게시물수: 1
총 댓글수: 104

정보 잘보고 갑니다

profile

블로거준

2017.12.09 04:44
가입일:
총 게시물수: 0
총 댓글수: 2

매크로를 통한 자가복제 멀웨어 확산이라 이건 처음 들으면서도 무섭네요. 참고되었습니다.

profile

은희사랑

2017.12.09 13:13
가입일: 2017:11.18
총 게시물수: 81
총 댓글수: 360

좋은 정보 감사합니다.

profile

두리번

2017.12.14 16:48
가입일:
총 게시물수: 0
총 댓글수: 16

좋은 정보 감사합니다

profile

mantoman

2017.12.27 16:21
가입일:
총 게시물수: 0
총 댓글수: 185

좋은자료 고맙습니다..

profile

suhyou

2018.01.10 09:09
가입일:
총 게시물수: 1
총 댓글수: 784
좋은 정보 감사합니다
List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 565
470 보안 소식 윈도우 취약점 악용한 랜섬웨어 ‘Sodin’ 한국도 노렸다 file anonymous 09-24 354
469 보안 소식 윈도에 'PC 제어권' 통째로 빼앗길 취약점 있다 + 1 파란하늘 06-15 507
468 보안 소식 WPA3에서 발견된 드래곤블러드 취약점 때문에 비밀번호 위험 senny 06-12 422
467 보안 소식 [긴급] 성유리의 이력서 사칭 랜섬웨어 이메일 주의 + 2 senny 06-12 590
466 보안 소식 아라드네트웍스, SH공사 스마트홈에 ‘세대 간 사이버 경계벽’ 납품 senny 06-12 329
465 보안 소식 CVE-2019-9510 취약점 통해 윈도우 잠금 화면 RDP 세션 우회 가능해 file kargans 06-10 361
464 보안 소식 '비정상적인 로그인 알림' 위장 메일 주의…악성코드 감염 위험 kargans 06-10 320
463 보안 소식 이진규 네이버 CISO "국내 데이터 규제, GDPR 보다 심각" + 3 돌까루 06-05 370
462 보안 소식 2019년 1분기, 모바일 뱅킹 악성코드 증가해 kargans 05-31 296
461 보안 소식 마크애니, 경기도의료원에 CCTV영상반출시스템 구축...“무분별한 영상 유출 방지” kargans 05-30 324
460 보안 소식 엔피코어 ‘좀비제로인스팩터V4.0’, 국제 CC인증 획득 kargans 05-30 301
459 보안 소식 국내 기업 표적으로 한 Clop 랜섬웨어의 지속적인 공격 주의 kargans 05-30 285
458 보안 소식 공공기관 서버에 몰래 '암호화폐 채굴' 프로그램 설치 돌까루 05-30 293
457 보안 소식 2019년 1분기, 모바일 뱅킹 악성코드 증가해 kargans 05-29 285
456 보안 소식 스패로우, 일본 시장에서 성과 올리고 있어 kargans 05-29 305
455 보안 소식 악성코드 가득한 노트북, 14억에 팔렸다 + 2 돌까루 05-29 339
454 보안 소식 악성코드 가득한 노트북, 14억에 팔렸다 + 4 돌까루 05-29 311
453 보안 소식 블록체인 서비스들 속속 ‘지갑 독립 선언’ 돌까루 05-29 274
452 보안 소식 4개월만에 입연 정부, 암호화폐 규제공백 기조 '유지' 돌까루 05-29 276
451 보안 소식 5G보안 기술자문협 내달 초 종료…화웨이 논란 변수될까 + 1 돌까루 05-29 310
450 보안 소식 비트코인 가격 상승하자, "北 추정 해커, 암호화폐 거래소 공격" 돌까루 05-29 81
449 보안 소식 대우조선해양, 블랙베리 QNX 도입...“혁신적인 제조과정 및 용접 로봇 컨트롤러 보안 강화” kargans 05-28 88
448 보안 소식 美 법무부, 미국 회사 4곳 해킹해 7천800만 명 정보 유출한 中 해커 기소 kargans 05-28 86
447 보안 소식 애플의 새로운 iOS, 심각한 보안 문제 발견 kargans 05-28 84
446 보안 소식 구글, 자체 비디오 게임 스트리밍 플랫폼 '스타디아' 공개 kargans 05-28 70