MS 오피스 앱들이 가진 매크로 기능, 오염의 주요 표적
지난 90년대 때보다 훨씬 발전하고 세련돼져
[보안뉴스 문가용] “경고 : 본 문서에는 매크로가 포함되어 있습니다.” 90년대 유행하던 이 경고문구가 다시 돌아왔다. 이젠 아무도 열 것 같지 않았던 매크로 감염 문서를 열게 하는 방법을 해커들이 고안했기 때문이다. 그 방법이란 애초에 매크로 기능을 자주 활용하는 사용자들을 노리는 건데, 하필 이런 사용자들은 대부분 대형 기업체나 기관에 소속된 경우가 많아서 안성맞춤이라고 한다. 이런 해커들의 새로운 공격 방법을 최근 맥아피에서 발견해 보고서를 발표했다.
.jpg)
▲ 첨부의 내용이 얼마나 매력적이든, 의심을 하고 보아야...
매크로 멀웨어 제작자들이 가장 자주 노리는 건 MS 오피스 문서들이다. 그중에서도 워드 파일이 가장 인기가 높다. 워드 사용자들 중에는 현재 작업 중인 문서를 닫고 새 파일을 여는 등의 매크로를 활용하는 사람들이 꽤나 많기 때문이다. 매크로가 인기가 많은 환경에서 매크로에 대해 거부감을 갖고 의심하는 사람은 드물다.
이렇게 오염된 매크로를 활용한 멀웨어 공격은 보통 이메일 첨부파일의 형태로 시작된다. 너무나 당연한 얘기지만 이 이메일과 첨부파일은 ‘정상’ ‘합법’ 파일로 보이도록 꾸며져 있다. 게다가 소셜 엔지니어링 기법과 맞물려 표적이 된 개인의 취향과 상황에 어울리도록 해 열 수밖에 없도록 만든다. 표적이 된 개인이 인사부서에 있다면 채용정보나 구인정보와 같은 내용의 메일을 보낸다든가 재무부서에 있는 표적에게는 영수증 요청이라든가 인보이스와 같은 제목을 사용한다. 그리고 메일 내용 또한 충실해 그걸 읽어본 사람이라면 자연스럽게 첨부파일로 손이 가도록 한다. 여기엔 공식 서명과 로고처럼 보이는 요소들도 있어 사용자는 속은 사실 자체를 모를 때도 많다.
그렇게, 사용자가 첨부파일을 연다면 MS 오피스의 기본 경고 기능이 ‘문서에 매크로가 있다’는 메시지를 출력한다. 당연히 문서 파일 내에는 ‘이는 안전한 문서이며 매크로 기능을 활성화 시켜야 최적화된 상태로 열람이 가능하다’는 따위의 내용이 큰 글자로 써 있는 것이 보통이다. 그러나 사용자가 매크로를 활성화시킨다고 하는 순간 악성코드가 실행된다. 멀웨어 다운로더를 시스템에 심고, 이 다운로더는 실제 멀웨어 페이로드를 다운로드 받기 시작한다. 페이로드의 다운로드가 완료되면 다운로더는 스스로를 삭제한다. 악성코드는 문서 내에 Active Object의 형태로 임베드 된다.
90년대와 비교하여 현대 새롭게 나타난 매크로 멀웨어의 가장 큰 차이점은 스스로 숨고 탐지가 어렵도록 요리 조리 잘 피해다닌다는 것이다. 매크로 멀웨어의 제작자들이 그동안 세상에 등장했던 다른 종류의 멀웨어들이 가진 장점과 특성들을 배워서 접목시켰기 때문이다. 그래서 지금의 매크로 멀웨어는 난독화 되어 있고, 글자 변환과 같은 간단한 기능을 다수 가지고 있어 악성 URL을 이메일 게이트웨이와 멀웨어 키워드 스캐너로부터 숨기기도 한다.
매크로 멀웨어의 가장 큰 장점은 제작이 간단하다는 것이다. 그래서 범죄의 의도만 가지고 있다면 누구나 금방 배워 사용할 수 있고, 그렇기 때문에 실제 다양한 사람들이 뛰어들고 있다. 이는 무슨 말이냐 하면, 비교적 신세대들인 젊은 직원들에게는 매크로 멀웨어라는 신종 공격법이 등장했다고 알려주고, 비교적 구세대들에게는 안 좋은 옛 추억을 떠올려 경각심을 심어야 한다는 것이다. 누가? 회사가.
또한 회사 내 사용되고 있는 앱, 특히 MS 오피스 관련 앱들을 얼른 최신화시켜야 한다. MS 오피스 제품의 환경 설정에서 매크로 관련 보안성을 가장 높게 설정하는 것도 중요하다. 혹시 이메일의 첨부파일이 자동으로 열리게 설정되어 있다면 이 역시 해제시켜야 한다. 이메일 게이트웨이와 바이러스 스캐너들도 어느 정도 위험한 이메일을 걸러낼 수 있는데, 이때 매크로가 있는 이메일도 걸러질 수 있도록 설정을 맞추면 큰 도움이 된다.
글 : 빈센트 위퍼(Vincent Weafer)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
지난 90년대 때보다 훨씬 발전하고 세련돼져
[보안뉴스 문가용] “경고 : 본 문서에는 매크로가 포함되어 있습니다.” 90년대 유행하던 이 경고문구가 다시 돌아왔다. 이젠 아무도 열 것 같지 않았던 매크로 감염 문서를 열게 하는 방법을 해커들이 고안했기 때문이다. 그 방법이란 애초에 매크로 기능을 자주 활용하는 사용자들을 노리는 건데, 하필 이런 사용자들은 대부분 대형 기업체나 기관에 소속된 경우가 많아서 안성맞춤이라고 한다. 이런 해커들의 새로운 공격 방법을 최근 맥아피에서 발견해 보고서를 발표했다.
▲ 첨부의 내용이 얼마나 매력적이든, 의심을 하고 보아야...
매크로 멀웨어 제작자들이 가장 자주 노리는 건 MS 오피스 문서들이다. 그중에서도 워드 파일이 가장 인기가 높다. 워드 사용자들 중에는 현재 작업 중인 문서를 닫고 새 파일을 여는 등의 매크로를 활용하는 사람들이 꽤나 많기 때문이다. 매크로가 인기가 많은 환경에서 매크로에 대해 거부감을 갖고 의심하는 사람은 드물다.
이렇게 오염된 매크로를 활용한 멀웨어 공격은 보통 이메일 첨부파일의 형태로 시작된다. 너무나 당연한 얘기지만 이 이메일과 첨부파일은 ‘정상’ ‘합법’ 파일로 보이도록 꾸며져 있다. 게다가 소셜 엔지니어링 기법과 맞물려 표적이 된 개인의 취향과 상황에 어울리도록 해 열 수밖에 없도록 만든다. 표적이 된 개인이 인사부서에 있다면 채용정보나 구인정보와 같은 내용의 메일을 보낸다든가 재무부서에 있는 표적에게는 영수증 요청이라든가 인보이스와 같은 제목을 사용한다. 그리고 메일 내용 또한 충실해 그걸 읽어본 사람이라면 자연스럽게 첨부파일로 손이 가도록 한다. 여기엔 공식 서명과 로고처럼 보이는 요소들도 있어 사용자는 속은 사실 자체를 모를 때도 많다.
그렇게, 사용자가 첨부파일을 연다면 MS 오피스의 기본 경고 기능이 ‘문서에 매크로가 있다’는 메시지를 출력한다. 당연히 문서 파일 내에는 ‘이는 안전한 문서이며 매크로 기능을 활성화 시켜야 최적화된 상태로 열람이 가능하다’는 따위의 내용이 큰 글자로 써 있는 것이 보통이다. 그러나 사용자가 매크로를 활성화시킨다고 하는 순간 악성코드가 실행된다. 멀웨어 다운로더를 시스템에 심고, 이 다운로더는 실제 멀웨어 페이로드를 다운로드 받기 시작한다. 페이로드의 다운로드가 완료되면 다운로더는 스스로를 삭제한다. 악성코드는 문서 내에 Active Object의 형태로 임베드 된다.
90년대와 비교하여 현대 새롭게 나타난 매크로 멀웨어의 가장 큰 차이점은 스스로 숨고 탐지가 어렵도록 요리 조리 잘 피해다닌다는 것이다. 매크로 멀웨어의 제작자들이 그동안 세상에 등장했던 다른 종류의 멀웨어들이 가진 장점과 특성들을 배워서 접목시켰기 때문이다. 그래서 지금의 매크로 멀웨어는 난독화 되어 있고, 글자 변환과 같은 간단한 기능을 다수 가지고 있어 악성 URL을 이메일 게이트웨이와 멀웨어 키워드 스캐너로부터 숨기기도 한다.
매크로 멀웨어의 가장 큰 장점은 제작이 간단하다는 것이다. 그래서 범죄의 의도만 가지고 있다면 누구나 금방 배워 사용할 수 있고, 그렇기 때문에 실제 다양한 사람들이 뛰어들고 있다. 이는 무슨 말이냐 하면, 비교적 신세대들인 젊은 직원들에게는 매크로 멀웨어라는 신종 공격법이 등장했다고 알려주고, 비교적 구세대들에게는 안 좋은 옛 추억을 떠올려 경각심을 심어야 한다는 것이다. 누가? 회사가.
또한 회사 내 사용되고 있는 앱, 특히 MS 오피스 관련 앱들을 얼른 최신화시켜야 한다. MS 오피스 제품의 환경 설정에서 매크로 관련 보안성을 가장 높게 설정하는 것도 중요하다. 혹시 이메일의 첨부파일이 자동으로 열리게 설정되어 있다면 이 역시 해제시켜야 한다. 이메일 게이트웨이와 바이러스 스캐너들도 어느 정도 위험한 이메일을 걸러낼 수 있는데, 이때 매크로가 있는 이메일도 걸러질 수 있도록 설정을 맞추면 큰 도움이 된다.
글 : 빈센트 위퍼(Vincent Weafer)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
_m.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
