[보안뉴스]북한 추정의 DDE 취약점 이용한 공격 징후 포착

북한 추정의 DDE 취약점 이용한 공격 징후 포착

 

입력 : 2017-11-01 09:58

 

북한 추정 해커조직, 최신 MS 워드 문서에 DDE 취약점 이용한 공격징후 포착
이메일 첨부파일 워드 문서에 ‘편집 사용’ 버튼 클릭 유도로 명령제어서버 접속

 

[보안뉴스 김경애 기자] 북한 추정의 해커조직이 최신 MS 워드 문서에 DDE(Dynamic Data Exchange) 취약점을 이용한 새로운 공격징후가 포착됐다. 이러한 취약점 공격은 기존에 매크로 기능을 이용한 것과 다른 양상이며, 악명 높은 록키 랜섬웨어까지 연결돼 있다. 향후 기존 매크로 방식을 대체해 공격에 많이 사용될 것으로 보인다. 따라서 MS워드 문서를 인터넷에 다운로드 받아 이용할 시 각별한 주의와 관심이 필요하다.

[이미지=보안뉴스]

DDE는 마이크로소프트 윈도우 응용체제에서 응용프로그램 간 데이터 전송을 위해 사용되는 프로토콜이다. 정보가 변경되는 즉시 데이터 교환을 위해 프로그램들을 동시에 실행시킬 수 있다.

그런데 최근 북한 추정의 해커들이 최신 MS 워드 DDE 취약점을 사용한 정황이 포착됐다. 국내에도 이메일 첨부파일을 통해 다수 유입되는 것으로 확인되고 있다. 하우리에서 탐지된 표적 공격에 사용된 악성 워드문서는 ‘연구용역’, ‘부품구매’ 등과 관련된 내용이며, 이메일을 통해 유포됐다.

[이미지=하우리]

수신자가 해당 문서를 실행할 경우 DDE 취약점이 발생한다. 해당 취약점은 두 번의 메시지 창을 띄우며, 사용자가 확인 버튼을 누를 경우 악성 파워쉘 스크립트가 동작하도록 설계됐다. 동작한 악성 파워쉘 스크립트는 국내 소재 인재서비스 전문기업 홈페이지에서 추가 악성코드를 받아와 실행한다. 이는 기존에 한글문서 취약점을 통해 유포되고 있는 악성코드와 동일한 기능을 포함하고 있으며, 동일한 제작자의 소행으로 추정되고 있다.

이와 관련 하우리 CERT실은 “워드DDE 취약점은 이미 해외에서 랜섬웨어를 비롯한 여러 악성코드 유포에 사용하고 있다”며 “이번에 발견된 워드문서의 경우 국내 표적 공격에 사용된 첫 사례”라고 전했다. 또한 “DDE는 기존의 오피스 매크로 방식에 비해 제작이 쉽고, 일반인들에게 알려지지 않았다”라며, “앞으로 공격자들이 워드문서DDE 취약점을 많이 사용할 것으로 예상되기 때문에 사용자들의 각별한 주의가 필요하다”고 덧붙였다.

이스트시큐리티 역시 주의를 당부하며 “최근 세계적으로 록키(Locky) 랜섬웨어 유포 방식에 새로운 변화가 생기고 있다”며 “기존에는 주로 MS 워드(Word) ‘DOC’ 파일의 매크로(Macro) 기능이나 ‘JS’, ‘JSE’, ‘Java’, ‘VBS’ 등의 스크립트를 이메일에 첨부해 감염을 유도하는 기법을 사용했다. 그런데 최근 한달 사이에 MS Word의 매크로 기능이 아닌 DDE 프로토콜을 활용해 대대적인 공격이 탐지되고 있다”고 밝혔다.

[이미지=이스트시큐리티]

이스트시큐리티에서 탐지한 악성파일은 대체로 영문기반으로 작성된 이메일 형식을 갖추고 있으며, 이메일 제목과 본문, 첨부파일 이름 등은 유포시점에 따라 다양하게 변경되고 있다. 주로 스캔한 팩스 데이터나 인보이스 워드 DOC 파일처럼 위장하고 있는 것이 특징이다.

악성파일을 열면 ‘제한된 보기’ 기능의 ‘주의하세요-인터넷에서 가져온 파일에는 바이러스가 있을 수 있습니다. 편집하지 않는다면 제한된 보기에서 여는 것이 안전합니다’라는 보안주의 메시지 창이뜨며, ‘편집 사용’ 버튼 클릭을 유도한다.

[이미지=이스트시큐리티]

만약 ‘편집 사용’ 버튼을 클릭할 경우 ‘이 문서에 다른 파일을 참조하는 링크가 있습니다. 연결된 파일의 데이터로 이 문서를 업데이트하시겠습니까?’라는 메시지가 창이 뜬다.

예 버튼을 클릭하게 되면 공격자는 파워쉘(Powershell) 명령을 통해 또 다른 응용프로그램 실행을 요청하며 추가 메시지 창을 띄워 여러 웹 사이트에 연결을 시도한다. 그리곤 파워쉘 명령을 통해 다수의 명령제어서버(C2)로 접속을 유도한다.

만약 초반에 서버 접속에 실패할 경우 공격자는 추가적인 웹 사이트 접속을 시도해 록키 랜섬웨어를 다운로드하고 실행시킨다. 특정 해외 명령제어서버(C2)와 연결이 성공되면 악성파일이 이용자의 임시폴더(Temp) 경로에 다운로드되고 실행된다.

최근 록키 랜섬웨어는 유포지 차단을 회피하기 위해 다양한 명령제어서버(C2)를 구축해 사용하고 있는 특징이 있다.

다운로드된 ‘hti4.exe’는 다수의 변종이 존재하는 형태로 유포되고 있으며, 감염되면 주요 파일들을 암호화하고 확장자를 ‘.asasin’로 추가한다. 암호화 작업이 완료되면 바탕화면을 변경하고, 랜섬노트 화면 등을 강제로 보여준다.

[이미지=하우리]

물론 모든 ‘편집 사용’ 버튼에 문제가 되진 않는다. 평소 아무 문제없이 인터넷을 통해 MS Word ‘.doc’ 파일을 자주 다운로드해 사용하는 이용자라면 ‘편집 사용’ 버튼을 충분히 사용할 수 있다. 다만 앞서 언급한 유사한 형태와 내용의 파일을 접한다면 무심코 클릭하지 않도록 주의해야 한다. 특히 이번 공격은 북한 해커 공격으로 의심되고 있는 만큼 ‘편집 사용’버튼을 클릭하지 않도록 주의하고 종료를 선택해 추가적인 보안위협에 노출되지 않도록 예방해야 한다.

워드 DDE 취약점 피해 예방 방법은 워드 프로그램에서 파일-> 옵션-> 고급-> 일반-> 문서를 열 때 자동 연결 업데이트” 항목의 체크를 해제하면 된다.

[김경애 기자(boan3@boannews.com)]

 

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

 

기사 출처 URL: http://www.boannews.com/media/view.asp?idx=57805&kind=1