check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

MS 오피스, 자가 복제 멀웨어 생성 가능한 취약점 발견…패치 계획도 없어

백신도 탐지 못해…피해자, 자신이 알지 못하는 사이 멀웨어 확산시켜

길민권 기자 mkgil@dailysecu.com 2017년 12월 04일 월요일

최근 이탈리아 보안전문가가 마이크로소프트(이하 MS)의 보안을 우회하고 MS 워드 문서에 숨겨진 자가 복제 멀웨어를 생성할 수 있는 간단한 기술을 소개한 바 있다.

이 연구원은 지난 10월 MS에 이 이슈를 제보했으나, MS는 이를 보안 결점으로 인정하지 않았다. MS는 이 기능이 MS 오피스 DDE 기능처럼 원래 의도된 대로 동작한다고 밝힌 바 있다. DDE 기능은 현재 해커들이 활발히 악용 중이다.

연구원들이 베트남의 누군가가 바이러스토탈에 업로드 한 qkG 랜섬웨어 샘플들을 발견했다. 그들은 이 랜섬웨어가 “실제로 활발히 사용 되는 멀웨어보다는 실험적인 프로젝트나 PoC같아 보인다”고 밝혔다.

qkG 랜섬웨어는 Auto Close VBA 매크로를 사용한다. 이는 피해자가 문서를 닫을 때 악성 매크로를 실행하는 기술이다.

qkG 랜섬웨어의 가장 최근 샘플은 비트코인 약 $300 상당을 요구하는 랜섬노트를 포함한다.

랜섬노트에 포함된 비트코인 주소로 아직까지 입금 된 돈이 없는 것을 봐서, 아직 사람들을 대상으로 배포되지 않았음을 의미한다.

또한 이 랜섬웨어는 현재 하드코딩 된 동일한 패스워드를 사용하고 있다. 영향을 받은 파일의 잠금을 해제하는 패스워드는 "I’m QkG@PTM17! by TNA@MHT-TT2"다.

▲ 보안을 우회하고 MS 워드 문서에 숨겨진 자가 복제 멀웨어를 생성할 수 있는 기술

해당 연구원은 악성 VBA코드가 포함 된 MS 워드 문서가 어떻게 자가 복제 다단계 멀웨어를 전달하는지 보여주는 영상을 공개했다.

‘VBA 프로젝트 개체 모델에 안전하게 액세스할 수 있음’ 세팅을 활성화 하면, MS 오피스는 모든 매크로를 신뢰하고 사용자에게 보안 경고를 보여주거나 허가를 받지 않고 모든 코드를 실행한다.

연구원은 이 설정이 윈도우 레지스트리를 수정하는 것 만으로 활성화/비활성화 될 수 있다는 것을 발견했다. 이로 인해 사용자의 동의나 인지 없이 더 많은 매크로를 활성화 할 수 있게 된다.

영상에서 보여진 대로, 악성 MS Doc 파일도 동일하다. 먼저 윈도우 레지스트리를 수정 후 동일한 매크로 페이로드(VBA) 코드를 희생양이 생성, 수정 또는 오픈하는 모든 doc 파일에 삽입한다.

즉 피해자가 실수로 매크로를 실행하게 되면 그의 시스템은 매크로 기반 공격에 노출된다.

게다가 이 사실을 알지 못하는 피해자는 악성코드가 포함 된 문서를 다른 사용자들에게 퍼뜨려 자신도 모르는 사이 멀웨어를 확산시킬 수 있다.

이 공격이 더욱 걱정스러운 점은 악성 파일을 수신하는 사람이 신뢰하는 사람으로부터 파일을 받는다는 것이다. 또한 수신자 역시 다음 공격 벡터가 된다는 점이다.

이 기술은 아직 실제로 악용 되지는 않았지만, 연구원들은 곧 위험한 자가복제 멀웨어를 확산시키는데 악용될 수 있다고 밝혔다. 또한 이는 정상적인 기능이기 때문에, 대부분의 안티바이러스 솔루션들은 이에 대한 경고를 표시하거나 VBA 코드가 포함 된 MS 오피스 문서를 차단하지 않는다. 또한 마이크로소프트도 이 기능을 제한할 패치를 발표할 계획이 없다.

연구원은 “이 취약점을 부분적으로 완화시키기 위해서는 AccessVBOM 레지스트리 키를 HKCU 하이브에서 HKLM으로 이동시켜 시스템 관리자만이 이를 수정할 수 있도록 하는 것”이라고 말했다. [정보출처. 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록