윈도 시스템 내 존재하는 강력한 프로토콜을 활성화시키도록 사용자를 유도함으로써 멀웨어를 퍼트리는 공격 수법이 발견됐다. 대단히 큰 위협이라기보다 능구렁이 같은 심리전술이라 주목할 만하다고 전문가들은 말한다.
[보안뉴스 문정후 기자] 누구나 한 번쯤 써봤음직한 윈도 탐색기의 검색 기능을 통해 멀웨어를 유포하는 공격이 발견됐다. 보안 업체 트러스트웨이브(Trustwave)에 의하면 “HTML 코드 내에 임베드 된 검색 기능을 악용하여 멀웨어를 퍼트리는 방법을 공격자들이 알아냈다”고 한다. 여기에 더해 피해자 시스템의 취약점과 행동 패턴도 상세하게 이해하고 있기 때문에 가능한 공격이기도 하다고 트러스트웨이브는 강조했다.
[이미지 = gettyimagesbank]
공격의 진행 과정
공격자들은 먼저 HTML 파일이 첨부된 이메일을 피해자들에게 보낸다. 일반적인 업무 문서 혹은 영수증 따위로 보이도록 해당 파일은 만들어진다. 파일은 집(zip)으로 압축되나 형태이며, 이 때문에 일부 이메일 보안 솔루션을 회피할 수 있게 된다. 하지만 압축의 이점은 이것만이 아니라고 트러스트웨이브는 지적한다. “파일 용량을 줄여 멀웨어 전송이 더 빨라지고, 스캐너가 압축 파일을 건너뛰도록 설정된 경우 걸리지 않을 수 있으며, 사용자가 한 가지 과정을 더 거치게 함으로써 보안과 관련된 사항을 떠올리는 걸 방해할 수 있습니다.”
피해자가 압축을 해제하여 HTML 파일을 추출할 경우 표준 웹 프로토콜들을 통해 윈도 시스템의 기능들이 나쁜 쪽으로 악용되기 시작한다. “이 악성 HTML 코드의 핵심은 meta http-equiv="refresh"라는 부분입니다. 이 때문에 페이지가 자동으로 재로딩 되며, 새로운 URL로 우회 접속됩니다. 우회 접속까지 지연 시간은 0초로 설정되어 있는데, 이 때문에 사람이 우회 접속되는 걸 보고도 막을 수 없게 됩니다.”
하지만 보안 설정 혹은 브라우저 자체 설정을 통해 이러한 우회 접속이 통하지 않을 때가 있다. 공격자들은 이 경우까지 염두에 두고 공격을 기획했다. 또 다른 코드 행을 통해 피해자가 클릭 가능한 링크를 하나 마련한 것이다. 즉 자동으로 페이지가 로딩되지 않는다면, 피해자가 클릭을 통해 해당 페이지로 접속해 들어갈 수 있도록 함정을 판 거라고 볼 수 있다.
자동으로든 수동으로든 공격자가 의도한 페이지로 사용자가 접속했을 때, 보통은 프롬프트 창이 하나 뜬다. 검색 행위를 허용해달라는 요청이 담겨져 있다. 이를 통해 search: 프로토콜을 활용할 수 있게 되는 건데, 이를 활성화시킬 경우 애플리케이션들이 사용자를 거치지 않고 윈도 탐색기의 검색 기능을 곧바로 쓸 수 있게 된다. 강력하지만 위험할 수 있어 활성화되지 않는 프로토콜이다.
프로토콜을 활성화시킨 후
트러스트웨이브는 공격이 여기까지 진행됐을 때 공격자가 여러 매개변수를 활용해 검색을 활용할 수 있게 된다고 한다.
1) query : INVOICE라고 이름이 붙은 아이템을 검색하도록 search 프로토콜을 설정한다.
2) crumb : 검색의 범위를 설정한다. 이 캠페인에서 공격자들은 클라우드플레어를 통해 터널링 작업이 된 악성 서버에서 검색이 진행되도록 했다.
3) displayname : 검색 결과 창의 이름을 Downloads로 바꾼다. 이 때문에 공격자들의 악성 행위가 한 번 더 가려지게 된다.
4) location : 원격에 있는 자원이 로컬에 있는 것처럼 속일 수 있으며, 이 때문에 악성 파일을 진짜 파일처럼 위장할 수 있게 된다.
이를 종합하면 다음과 같은 공격 시나리오가 완성된다.
1) 원격 서버로부터
2) ‘인보이스’와 관련이 있을 것 같은 파일 이름이 다운로드 되고,
3) 검색 결과 창에는 딱 한 개의 파일(주로 lnk 파일)만 나타나며,
4) 이 파일을 실행할 경우 같은 서버에 호스팅 된 BAT 파일로 연결되고,
5) BAT에 입력된 악성 행위(예 : 추가 멀웨어 유포)가 실행된다.
피해 방지
트러스트웨이브가 제안한 대책안은 search-ms/search URI 프로토콜과 관련이 있는 핸들러들을 비활성화시키는 것이다. 이 작업은 다음 명령을 실행시킴으로서 가능해진다.
reg delete HKEY_CLASSES_ROOT\search /f
reg delete HKEY_CLASSES_ROOT\search-ms /f
“이번 공격은 멀웨어가 자동으로 설치되게 한다거나, 사용자 몰래 뒤에서 모든 공격이 완성된다거나 하는 종류의 위협은 아닙니다. 오히려 사용자들이 더 많이 개입하도록 유도하고 있죠. 하지만 공격자들의 궁극적 목적을 영리하게 숨겨놓은 공격이긴 합니다. 사용자들에게 익숙한 화면이나 인터페이스가 나오도록 하고, 이메일 첨부파일을 열게끔 하는 등 익숙한 것들을 차례 차례 지나게 하면서 자신들의 의도가 좀처럼 드러나지 않도록 하는 것이죠. 그래서 방어가 까다로워집니다.”
그렇기에 사용자들을 대상으로 한 교육이 꾸준히 진행되는 게 중요하다고 트러스트웨이브는 강조한다. “결국 대부분의 해킹 공격은 속고 속이는, 사기술의 연속이라고 할 수 있습니다. 즉 심리적인 기술이 된 것이라고 할 수 있겠지요. 이럴 때는 계속해서 경계심을 유지하도록 하고, 최신 사기 기술에 대한 끊임없는 교육이 가장 효과적입니다.”
3줄 요약
1. 윈도 탐색기의 ‘검색’ 프로토콜, 매우 강력하지만 위험하기도 함.
2. 최근 공격자들이 이 프로토콜을 활성화시켜 멀웨어를 퍼트림.
3. 익숙한 것들을 겹겹이 배치해 공격의 참 의도를 숨긴 전략, 교육으로 대응.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 누구나 한 번쯤 써봤음직한 윈도 탐색기의 검색 기능을 통해 멀웨어를 유포하는 공격이 발견됐다. 보안 업체 트러스트웨이브(Trustwave)에 의하면 “HTML 코드 내에 임베드 된 검색 기능을 악용하여 멀웨어를 퍼트리는 방법을 공격자들이 알아냈다”고 한다. 여기에 더해 피해자 시스템의 취약점과 행동 패턴도 상세하게 이해하고 있기 때문에 가능한 공격이기도 하다고 트러스트웨이브는 강조했다.
[이미지 = gettyimagesbank]
공격의 진행 과정
공격자들은 먼저 HTML 파일이 첨부된 이메일을 피해자들에게 보낸다. 일반적인 업무 문서 혹은 영수증 따위로 보이도록 해당 파일은 만들어진다. 파일은 집(zip)으로 압축되나 형태이며, 이 때문에 일부 이메일 보안 솔루션을 회피할 수 있게 된다. 하지만 압축의 이점은 이것만이 아니라고 트러스트웨이브는 지적한다. “파일 용량을 줄여 멀웨어 전송이 더 빨라지고, 스캐너가 압축 파일을 건너뛰도록 설정된 경우 걸리지 않을 수 있으며, 사용자가 한 가지 과정을 더 거치게 함으로써 보안과 관련된 사항을 떠올리는 걸 방해할 수 있습니다.”
피해자가 압축을 해제하여 HTML 파일을 추출할 경우 표준 웹 프로토콜들을 통해 윈도 시스템의 기능들이 나쁜 쪽으로 악용되기 시작한다. “이 악성 HTML 코드의 핵심은 meta http-equiv="refresh"라는 부분입니다. 이 때문에 페이지가 자동으로 재로딩 되며, 새로운 URL로 우회 접속됩니다. 우회 접속까지 지연 시간은 0초로 설정되어 있는데, 이 때문에 사람이 우회 접속되는 걸 보고도 막을 수 없게 됩니다.”
하지만 보안 설정 혹은 브라우저 자체 설정을 통해 이러한 우회 접속이 통하지 않을 때가 있다. 공격자들은 이 경우까지 염두에 두고 공격을 기획했다. 또 다른 코드 행을 통해 피해자가 클릭 가능한 링크를 하나 마련한 것이다. 즉 자동으로 페이지가 로딩되지 않는다면, 피해자가 클릭을 통해 해당 페이지로 접속해 들어갈 수 있도록 함정을 판 거라고 볼 수 있다.
자동으로든 수동으로든 공격자가 의도한 페이지로 사용자가 접속했을 때, 보통은 프롬프트 창이 하나 뜬다. 검색 행위를 허용해달라는 요청이 담겨져 있다. 이를 통해 search: 프로토콜을 활용할 수 있게 되는 건데, 이를 활성화시킬 경우 애플리케이션들이 사용자를 거치지 않고 윈도 탐색기의 검색 기능을 곧바로 쓸 수 있게 된다. 강력하지만 위험할 수 있어 활성화되지 않는 프로토콜이다.
프로토콜을 활성화시킨 후
트러스트웨이브는 공격이 여기까지 진행됐을 때 공격자가 여러 매개변수를 활용해 검색을 활용할 수 있게 된다고 한다.
1) query : INVOICE라고 이름이 붙은 아이템을 검색하도록 search 프로토콜을 설정한다.
2) crumb : 검색의 범위를 설정한다. 이 캠페인에서 공격자들은 클라우드플레어를 통해 터널링 작업이 된 악성 서버에서 검색이 진행되도록 했다.
3) displayname : 검색 결과 창의 이름을 Downloads로 바꾼다. 이 때문에 공격자들의 악성 행위가 한 번 더 가려지게 된다.
4) location : 원격에 있는 자원이 로컬에 있는 것처럼 속일 수 있으며, 이 때문에 악성 파일을 진짜 파일처럼 위장할 수 있게 된다.
이를 종합하면 다음과 같은 공격 시나리오가 완성된다.
1) 원격 서버로부터
2) ‘인보이스’와 관련이 있을 것 같은 파일 이름이 다운로드 되고,
3) 검색 결과 창에는 딱 한 개의 파일(주로 lnk 파일)만 나타나며,
4) 이 파일을 실행할 경우 같은 서버에 호스팅 된 BAT 파일로 연결되고,
5) BAT에 입력된 악성 행위(예 : 추가 멀웨어 유포)가 실행된다.
피해 방지
트러스트웨이브가 제안한 대책안은 search-ms/search URI 프로토콜과 관련이 있는 핸들러들을 비활성화시키는 것이다. 이 작업은 다음 명령을 실행시킴으로서 가능해진다.
reg delete HKEY_CLASSES_ROOT\search /f
reg delete HKEY_CLASSES_ROOT\search-ms /f
“이번 공격은 멀웨어가 자동으로 설치되게 한다거나, 사용자 몰래 뒤에서 모든 공격이 완성된다거나 하는 종류의 위협은 아닙니다. 오히려 사용자들이 더 많이 개입하도록 유도하고 있죠. 하지만 공격자들의 궁극적 목적을 영리하게 숨겨놓은 공격이긴 합니다. 사용자들에게 익숙한 화면이나 인터페이스가 나오도록 하고, 이메일 첨부파일을 열게끔 하는 등 익숙한 것들을 차례 차례 지나게 하면서 자신들의 의도가 좀처럼 드러나지 않도록 하는 것이죠. 그래서 방어가 까다로워집니다.”
그렇기에 사용자들을 대상으로 한 교육이 꾸준히 진행되는 게 중요하다고 트러스트웨이브는 강조한다. “결국 대부분의 해킹 공격은 속고 속이는, 사기술의 연속이라고 할 수 있습니다. 즉 심리적인 기술이 된 것이라고 할 수 있겠지요. 이럴 때는 계속해서 경계심을 유지하도록 하고, 최신 사기 기술에 대한 끊임없는 교육이 가장 효과적입니다.”
3줄 요약
1. 윈도 탐색기의 ‘검색’ 프로토콜, 매우 강력하지만 위험하기도 함.
2. 최근 공격자들이 이 프로토콜을 활성화시켜 멀웨어를 퍼트림.
3. 익숙한 것들을 겹겹이 배치해 공격의 참 의도를 숨긴 전략, 교육으로 대응.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
