윈도의 검색 프로토콜을 악용해 멀웨어를 퍼트리는 공격 발견돼

2024-06-17 16:40
  • 카카오톡
  • 네이버 블로그
  • url
윈도 시스템 내 존재하는 강력한 프로토콜을 활성화시키도록 사용자를 유도함으로써 멀웨어를 퍼트리는 공격 수법이 발견됐다. 대단히 큰 위협이라기보다 능구렁이 같은 심리전술이라 주목할 만하다고 전문가들은 말한다.

[보안뉴스 문정후 기자] 누구나 한 번쯤 써봤음직한 윈도 탐색기의 검색 기능을 통해 멀웨어를 유포하는 공격이 발견됐다. 보안 업체 트러스트웨이브(Trustwave)에 의하면 “HTML 코드 내에 임베드 된 검색 기능을 악용하여 멀웨어를 퍼트리는 방법을 공격자들이 알아냈다”고 한다. 여기에 더해 피해자 시스템의 취약점과 행동 패턴도 상세하게 이해하고 있기 때문에 가능한 공격이기도 하다고 트러스트웨이브는 강조했다.


[이미지 = gettyimagesbank]

공격의 진행 과정
공격자들은 먼저 HTML 파일이 첨부된 이메일을 피해자들에게 보낸다. 일반적인 업무 문서 혹은 영수증 따위로 보이도록 해당 파일은 만들어진다. 파일은 집(zip)으로 압축되나 형태이며, 이 때문에 일부 이메일 보안 솔루션을 회피할 수 있게 된다. 하지만 압축의 이점은 이것만이 아니라고 트러스트웨이브는 지적한다. “파일 용량을 줄여 멀웨어 전송이 더 빨라지고, 스캐너가 압축 파일을 건너뛰도록 설정된 경우 걸리지 않을 수 있으며, 사용자가 한 가지 과정을 더 거치게 함으로써 보안과 관련된 사항을 떠올리는 걸 방해할 수 있습니다.”

피해자가 압축을 해제하여 HTML 파일을 추출할 경우 표준 웹 프로토콜들을 통해 윈도 시스템의 기능들이 나쁜 쪽으로 악용되기 시작한다. “이 악성 HTML 코드의 핵심은 meta http-equiv="refresh"라는 부분입니다. 이 때문에 페이지가 자동으로 재로딩 되며, 새로운 URL로 우회 접속됩니다. 우회 접속까지 지연 시간은 0초로 설정되어 있는데, 이 때문에 사람이 우회 접속되는 걸 보고도 막을 수 없게 됩니다.”

하지만 보안 설정 혹은 브라우저 자체 설정을 통해 이러한 우회 접속이 통하지 않을 때가 있다. 공격자들은 이 경우까지 염두에 두고 공격을 기획했다. 또 다른 코드 행을 통해 피해자가 클릭 가능한 링크를 하나 마련한 것이다. 즉 자동으로 페이지가 로딩되지 않는다면, 피해자가 클릭을 통해 해당 페이지로 접속해 들어갈 수 있도록 함정을 판 거라고 볼 수 있다.

자동으로든 수동으로든 공격자가 의도한 페이지로 사용자가 접속했을 때, 보통은 프롬프트 창이 하나 뜬다. 검색 행위를 허용해달라는 요청이 담겨져 있다. 이를 통해 search: 프로토콜을 활용할 수 있게 되는 건데, 이를 활성화시킬 경우 애플리케이션들이 사용자를 거치지 않고 윈도 탐색기의 검색 기능을 곧바로 쓸 수 있게 된다. 강력하지만 위험할 수 있어 활성화되지 않는 프로토콜이다.

프로토콜을 활성화시킨 후
트러스트웨이브는 공격이 여기까지 진행됐을 때 공격자가 여러 매개변수를 활용해 검색을 활용할 수 있게 된다고 한다.
1) query : INVOICE라고 이름이 붙은 아이템을 검색하도록 search 프로토콜을 설정한다.
2) crumb : 검색의 범위를 설정한다. 이 캠페인에서 공격자들은 클라우드플레어를 통해 터널링 작업이 된 악성 서버에서 검색이 진행되도록 했다.
3) displayname : 검색 결과 창의 이름을 Downloads로 바꾼다. 이 때문에 공격자들의 악성 행위가 한 번 더 가려지게 된다.
4) location : 원격에 있는 자원이 로컬에 있는 것처럼 속일 수 있으며, 이 때문에 악성 파일을 진짜 파일처럼 위장할 수 있게 된다.

이를 종합하면 다음과 같은 공격 시나리오가 완성된다.
1) 원격 서버로부터
2) ‘인보이스’와 관련이 있을 것 같은 파일 이름이 다운로드 되고,
3) 검색 결과 창에는 딱 한 개의 파일(주로 lnk 파일)만 나타나며,
4) 이 파일을 실행할 경우 같은 서버에 호스팅 된 BAT 파일로 연결되고,
5) BAT에 입력된 악성 행위(예 : 추가 멀웨어 유포)가 실행된다.

피해 방지
트러스트웨이브가 제안한 대책안은 search-ms/search URI 프로토콜과 관련이 있는 핸들러들을 비활성화시키는 것이다. 이 작업은 다음 명령을 실행시킴으로서 가능해진다.
reg delete HKEY_CLASSES_ROOT\search /f
reg delete HKEY_CLASSES_ROOT\search-ms /f


“이번 공격은 멀웨어가 자동으로 설치되게 한다거나, 사용자 몰래 뒤에서 모든 공격이 완성된다거나 하는 종류의 위협은 아닙니다. 오히려 사용자들이 더 많이 개입하도록 유도하고 있죠. 하지만 공격자들의 궁극적 목적을 영리하게 숨겨놓은 공격이긴 합니다. 사용자들에게 익숙한 화면이나 인터페이스가 나오도록 하고, 이메일 첨부파일을 열게끔 하는 등 익숙한 것들을 차례 차례 지나게 하면서 자신들의 의도가 좀처럼 드러나지 않도록 하는 것이죠. 그래서 방어가 까다로워집니다.”

그렇기에 사용자들을 대상으로 한 교육이 꾸준히 진행되는 게 중요하다고 트러스트웨이브는 강조한다. “결국 대부분의 해킹 공격은 속고 속이는, 사기술의 연속이라고 할 수 있습니다. 즉 심리적인 기술이 된 것이라고 할 수 있겠지요. 이럴 때는 계속해서 경계심을 유지하도록 하고, 최신 사기 기술에 대한 끊임없는 교육이 가장 효과적입니다.”

3줄 요약
1. 윈도 탐색기의 ‘검색’ 프로토콜, 매우 강력하지만 위험하기도 함.
2. 최근 공격자들이 이 프로토콜을 활성화시켜 멀웨어를 퍼트림.
3. 익숙한 것들을 겹겹이 배치해 공격의 참 의도를 숨긴 전략, 교육으로 대응.

[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 씨프로

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 지인테크

    • 인텔리빅스

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 한국씨텍

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 디비시스

    • 다후아테크놀로지코리아

    • (주)우경정보기술

    • 투윈스컴

    • 세연테크

    • 위트콘

    • 구네보코리아주식회사

    • 유에치디프로

    • 넥스트림

    • 주식회사 에스카

    • 포엠아이텍

    • 에이티앤넷

    • 세렉스

    • 한국드론혁신협회

    • 네이즈

    • 이노뎁

    • 다누시스

    • 시만텍

    • 테이텀시큐리티

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 사라다

    • 아이엔아이

    • (주)일산정밀

    • 새눈

    • 에이앤티코리아

    • 유투에스알

    • 태정이엔지

    • 네티마시스템

    • 에이치지에스코리아

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 미래시그널

    • 두레옵트로닉스

    • 엘림광통신

    • 에스에스티랩

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 모스타

    • 지와이네트웍스

    • 보문테크닉스

    • 엔에스티정보통신

    • 메트로게이트
      시큐리티 게이트

    • 포커스에이치앤에스

    • 엔시드

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기