공격자들, 비밀번호를 피해자가 직접 입력하지 않아도 되도록 하는 기법 개발
비밀번호에 보호되므로 방어 장치는 피해가고, 피해자 개입 줄여 감염은 쉬워지고
[보안뉴스 문가용 기자] 공격자들이 굉장히 오래된 엑셀 멀웨어 공격 기술을 업그레이드 했다. 더 이상 피해자가 악성 문서를 열 때 비밀번호를 입력하지 않아도 된다고 한다. 감염이 더 편리해진 것이고, 따라서 공격 성공 확률이 올라간 것이라고 볼 수 있다.
[이미지 = iclickart]
보안 업체 트러스트웨이브(Trustwave)에 의하면 최근 새로운 스팸 캠페인이 발견됐다고 한다. 엑셀 4.0 파일이 포함되어 있으며, 역시나 ‘코로나19’에서부터 ‘인보이스’, ‘영수증’과 같은 흔한 피싱용 키워드를 사용하고 있다.
과거에도 이런 공격이 종종 출현하곤 했었다. 비밀번호로 보호된 엑셀 4.0 문서가 피싱 메일을 타고 퍼지던 경우였다. 메일 본문에는 비밀번호와 관련된 내용과 함께, 꼭 열어보고 싶게 만드는 여러 가지 내용이 적혀 있었다.
사실 이 문서는 마이크로소프트 강화 암호화 제공 프로그램(Microsoft Enhanced Cryptographic Provider) 1.0 버전을 통해 전송되는 것이었다. 이 암호화 기능에 한 번 포장이 된 채 전송되는 것이었기 때문에 이메일 방지 도구들을 피해갈 수 있었다. 대신 피해자가 비밀번호를 입력해야만 본 문서가 열렸다. 엑셀 문서 자체에는 매크로 쉬트가 여러 개 저장되어 있는데, 이 중 하나가 악성 매크로를 포함하고 있었다.
이번 공격은 어떻게 달라졌을까? 일단 암호화 처리된(그러므로 비밀번호가 걸려 있는) 엑셀 문서는 그대로 유지된다. 사용자가 여전히 악성 파일을 받아 열어야 한다는 것에도 변함이 없다. 다만 비밀번호를 입력해야 할 필요가 없다. 해커들이 물리적인 방법으로 비밀번호를 입력하지 않아도 문서가 열리도록 해두었기 때문이다.
트러스트웨이브의 연구원인 다이애나 로페라(Diana Lopera)가 자사 블로그에 작성한 바에 의하면 “현재 돌아다니고 있는 악성 엑셀 파일들에도 비밀번호가 적용되어 있고, 이 비밀번호를 통해 마이크로소프트 강화 암호화 제공 프로그램 v1.0 알고리즘이 암호화와 복호화를 진행하도록 되어 있다”고 한다. 여기까지는 기존 공격과 다를 바가 없다.
이어서 로페라는 “비밀번호가 걸려 있는 문서들의 경우 올바른 비밀번호가 입력되지 않으면 열리지 않는 게 맞다”며 “이번 캠페인에서 발견된 엑셀 파일들의 경우, 제일 먼저 프로그램의 디폴트 비밀번호인 VelvetSweatshop을 대입해 파일 열기를 시도 한다”고 썼다. 피해자의 물리적 타이핑 대신 디폴트 비밀번호가 대입되도록 한 것이다.
이와 비슷한 공격에 대해서는 4월 초 본지가 보도한 바 있다(https://www.boannews.com/media/view.asp?idx=87352&kind=). 당시 마임캐스트(Mimecast)의 보안 전문가들이 발표한 보고서 내용에도 VelvetSweatshop이라는 디폴트 비밀번호를 통해 라임랫(LimeRAT)이라는 트로이목마가 퍼지고 있다는 부분이 포함되어 있었다.
이번 공격도 비슷하다. 로페라는 “디폴트 비밀번호가 대입되는 것이 배경에서 사용자 몰래 발생한다”며 “사용자가 실제로 비밀번호를 입력하는 게 아니기 때문에 애플리케이션이나 OS에서 경고 프롬프트를 내보내지 않는다”고 설명을 덧붙였다. “사용자 입장에서는 더블 클릭 한 번으로 엑셀 파일 안의 콘텐츠가 고스란히 화면에 나타나는 것이죠.”
파일이 열리고 나서부터 공격은 시작된다. 미리 심겨져 있던 악성 매크로가 발동되는 것이다. “악성 매크로를 통해 바이너리가 추가로 다운로드 됩니다. 이 바이너리는 C 드라이브에 저장되고, 곧바로 실행되죠.” 이 바이너리가 호스팅 된 사이트에는 고지(Gozi)라는 뱅킹 트로이목마가 호스팅 되어 있기도 하다. 매크로가 피해자의 장비를 이 사이트와 연결하기 때문에 피해자들은 고지에 감염될 가능성도 있다.
트러스트웨이브의 전문가들은 “얼마 전 마임캐스트에서도 비슷한 전략을 가진 캠페인을 발견한 바 있다”며 “엑셀 4.0 문서에 디폴트 비밀번호를 걸어 퍼트림으로써 보다 은밀한 악성 행위를 하는 것이 유행할 가능성이 충분히 존재한다”고 경고했다.
3줄 요약
1. 악성 매크로를 품은 엑셀 파일, 비밀번호 걸려 방어 장치들 우회 가능해짐.
2. 이전에도 있었던 공격 기법이지만, 옛날에는 이 비밀번호를 피해자들이 풀도록 함.
3. 최근에는 디폴트 비밀번호를 대입함으로써 2번의 과정을 생략하는 전략이 활용됨.
[국제부 문가용 기자(globoan@boannews.com)]
비밀번호에 보호되므로 방어 장치는 피해가고, 피해자 개입 줄여 감염은 쉬워지고
[보안뉴스 문가용 기자] 공격자들이 굉장히 오래된 엑셀 멀웨어 공격 기술을 업그레이드 했다. 더 이상 피해자가 악성 문서를 열 때 비밀번호를 입력하지 않아도 된다고 한다. 감염이 더 편리해진 것이고, 따라서 공격 성공 확률이 올라간 것이라고 볼 수 있다.
[이미지 = iclickart]
보안 업체 트러스트웨이브(Trustwave)에 의하면 최근 새로운 스팸 캠페인이 발견됐다고 한다. 엑셀 4.0 파일이 포함되어 있으며, 역시나 ‘코로나19’에서부터 ‘인보이스’, ‘영수증’과 같은 흔한 피싱용 키워드를 사용하고 있다.
과거에도 이런 공격이 종종 출현하곤 했었다. 비밀번호로 보호된 엑셀 4.0 문서가 피싱 메일을 타고 퍼지던 경우였다. 메일 본문에는 비밀번호와 관련된 내용과 함께, 꼭 열어보고 싶게 만드는 여러 가지 내용이 적혀 있었다.
사실 이 문서는 마이크로소프트 강화 암호화 제공 프로그램(Microsoft Enhanced Cryptographic Provider) 1.0 버전을 통해 전송되는 것이었다. 이 암호화 기능에 한 번 포장이 된 채 전송되는 것이었기 때문에 이메일 방지 도구들을 피해갈 수 있었다. 대신 피해자가 비밀번호를 입력해야만 본 문서가 열렸다. 엑셀 문서 자체에는 매크로 쉬트가 여러 개 저장되어 있는데, 이 중 하나가 악성 매크로를 포함하고 있었다.
이번 공격은 어떻게 달라졌을까? 일단 암호화 처리된(그러므로 비밀번호가 걸려 있는) 엑셀 문서는 그대로 유지된다. 사용자가 여전히 악성 파일을 받아 열어야 한다는 것에도 변함이 없다. 다만 비밀번호를 입력해야 할 필요가 없다. 해커들이 물리적인 방법으로 비밀번호를 입력하지 않아도 문서가 열리도록 해두었기 때문이다.
트러스트웨이브의 연구원인 다이애나 로페라(Diana Lopera)가 자사 블로그에 작성한 바에 의하면 “현재 돌아다니고 있는 악성 엑셀 파일들에도 비밀번호가 적용되어 있고, 이 비밀번호를 통해 마이크로소프트 강화 암호화 제공 프로그램 v1.0 알고리즘이 암호화와 복호화를 진행하도록 되어 있다”고 한다. 여기까지는 기존 공격과 다를 바가 없다.
이어서 로페라는 “비밀번호가 걸려 있는 문서들의 경우 올바른 비밀번호가 입력되지 않으면 열리지 않는 게 맞다”며 “이번 캠페인에서 발견된 엑셀 파일들의 경우, 제일 먼저 프로그램의 디폴트 비밀번호인 VelvetSweatshop을 대입해 파일 열기를 시도 한다”고 썼다. 피해자의 물리적 타이핑 대신 디폴트 비밀번호가 대입되도록 한 것이다.
이와 비슷한 공격에 대해서는 4월 초 본지가 보도한 바 있다(https://www.boannews.com/media/view.asp?idx=87352&kind=). 당시 마임캐스트(Mimecast)의 보안 전문가들이 발표한 보고서 내용에도 VelvetSweatshop이라는 디폴트 비밀번호를 통해 라임랫(LimeRAT)이라는 트로이목마가 퍼지고 있다는 부분이 포함되어 있었다.
이번 공격도 비슷하다. 로페라는 “디폴트 비밀번호가 대입되는 것이 배경에서 사용자 몰래 발생한다”며 “사용자가 실제로 비밀번호를 입력하는 게 아니기 때문에 애플리케이션이나 OS에서 경고 프롬프트를 내보내지 않는다”고 설명을 덧붙였다. “사용자 입장에서는 더블 클릭 한 번으로 엑셀 파일 안의 콘텐츠가 고스란히 화면에 나타나는 것이죠.”
파일이 열리고 나서부터 공격은 시작된다. 미리 심겨져 있던 악성 매크로가 발동되는 것이다. “악성 매크로를 통해 바이너리가 추가로 다운로드 됩니다. 이 바이너리는 C 드라이브에 저장되고, 곧바로 실행되죠.” 이 바이너리가 호스팅 된 사이트에는 고지(Gozi)라는 뱅킹 트로이목마가 호스팅 되어 있기도 하다. 매크로가 피해자의 장비를 이 사이트와 연결하기 때문에 피해자들은 고지에 감염될 가능성도 있다.
트러스트웨이브의 전문가들은 “얼마 전 마임캐스트에서도 비슷한 전략을 가진 캠페인을 발견한 바 있다”며 “엑셀 4.0 문서에 디폴트 비밀번호를 걸어 퍼트림으로써 보다 은밀한 악성 행위를 하는 것이 유행할 가능성이 충분히 존재한다”고 경고했다.
3줄 요약
1. 악성 매크로를 품은 엑셀 파일, 비밀번호 걸려 방어 장치들 우회 가능해짐.
2. 이전에도 있었던 공격 기법이지만, 옛날에는 이 비밀번호를 피해자들이 풀도록 함.
3. 최근에는 디폴트 비밀번호를 대입함으로써 2번의 과정을 생략하는 전략이 활용됨.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
