오피스 매크로 이용한 공격, 최소 1999년부터 있어와...매크로 관리 철저해야
매크로 통해 샌드박스 밖에 자동실행 파일 생성하는 것 가능...각종 공격 이어질 수 있어
[보안뉴스 문가용 기자] 마이크로소프트의 대표 솔루션인 오피스에서는 취약점이 자주 발굴되고, 실제 공격도 자주 일어난다. 심지어 최근에는 마이크로소프트 오피스를 통과해 맥OS로까지 가는 것도 가능하다는 사실이 블랙햇 행사를 통해 공개되기도 했다. 이에 대해 잼프(Jamf)의 수석 보안 분석가인 패트릭 워들(Patrick Wardle)이 발표했다.
[이미지 = utoimage]
워들에 의하면 공격은 매크로를 통해 성립될 수 있다고 한다. 매크로는 오피스 문서 안에 합법적으로 삽입되는 실행 코드를 말한다. 매크로를 익스플로잇 하는 공격은 최소 1999년부터였다고 워들은 설명했다. 그러나 지난 3~4년 정도 맥OS 환경을 노리는 공격이 빠르게 증가했는데, 이는 사업 환경에서 맥OS의 인기가 높아지고 있기 때문이라고 한다. 따라서 오피스를 통한 맥OS 공격을 연구하는 건 자연스러운 흐름이었을 뿐이라고 그는 밝혔다.
“매크로를 활용한 공격의 특징은 피해자가 최소 한 번 이상은 개입해야만 한다는 겁니다. 보통은 두 번 개입을 필요로 하죠. 먼저는 이메일 첨부 파일을 다운로드 받거나 악성 링크를 클릭해 악성 파일을 열어야만 합니다. 그 다음으로는 매크로 실행을 허용하겠다는 버튼을 클릭해야 합니다. 디폴트로 매크로를 활성화시킨 경우라면 최초 한 번 개입만으로도 공격이 성립되겠죠.”
그 다음으로 매크로 공격은 보통 두 단계에 걸쳐 진행된다고 워들은 설명을 이어갔다. “먼저는 시스템 상태와 백신 프로그램 유무 등을 확인하고 2단계 멀웨어를 다운로드 받는 공격이 진행됩니다. 이 두 번째 단계 멀웨어는 실제 공격자의 의도를 실행할 수 있는 기능을 가지고 있습니다. 크리덴셜을 훔친다거나, 봇넷을 만든다거나, 랜섬웨어 공격을 할 수 있는 것들이 이 단계에서 실행되죠.”
여기까지는 기존의 매크로 공격이 일반적으로 띠었던 양상이다. “현대의 멀웨어 제작자들은 하나의 장애물을 더 넘어가야 합니다. MS가 모든 매크로를 ‘샌드박스’ 환경 내에서 실행하기 시작했기 때문입니다. 즉 오피스 매크로를 통해 OS로 넘어가는 길목에 높다란 담장이 하나 설치된 것입니다. 이걸 넘는 것이 멀웨어 제작자들의 또 다른 목표가 되고 있습니다.”
그러면서 워들은 “최근 보안 전문가 피터 실렌(Pieter Ceelen)과 스탠 헥트(Stan Hegt)가 SYLK 파일들과 XLM 코드를 삽입함으로써 매크로들이 허용되든 안 되든 실행될 수 있게 만드는 방법을 발견했다”고 설명했다. 물론 이렇게 하더라도 매크로들은 여전히 샌드박스 내에서만 실행된다. “하지만 이 매크로를 통해 파일을 만들 수 있습니다. 이 파일은 매크로 환경 밖에 위치시킬 수 있고, 거기서부터 자동으로 실행되도록 꾸며질 수 있습니다. 이렇게 함으로써 공격 지속성을 확보할 수 있게 되는데, 이는 공격자들에게 대단히 유리한 조건을 만듭니다.”
이렇게 만들 수 있는 파일 유형 중 하나는 집(zip) 파일이다. “집 압축파일의 경우 제대로 된 하위 폴더에 위치시키기만 한다면, 자동으로 압축이 풀리며 실행되게 만들 수 있습니다. 이를 활용해 맥OS를 기반으로 한 엔드포인트에서 악성 코드를 실행할 수 있습니다.” 워들은 이러한 개념을 블랙햇 강연을 통해 시연하기도 했다. “다만 최신 맥OS의 경우 이러한 식의 파일 생성을 자체적으로 막는 시스템이 도입되었습니다. 따라서 최신 버전에서의 공격법은 조금 더 연구해야 합니다.”
맥OS는 아이폰의 iOS처럼 반 강제적으로 업데이트가 되는 시스템이 아니다. 따라서 아직도 수많은 맥 컴퓨터 사용자들이 오래된 맥OS를 유지하고 있다. 워들은 “오래된 맥OS에서 MS 오피스를 사용하는 경우 매크로를 반드시 꺼두고, 완전히 확실한 경우가 아니라면 매크로 활성화에 동의하지 말라”고 권고했다. 또한 북한의 APT 단체인 라자루스가 최근 들어 맥OS를 겨냥한 공격 프레임워크를 적극 개발 중에 있다는 경고도 덧붙었다.
3줄 요약
1. 오피스의 매크로 기능 악용하면 샌드박스 넘어 OS로 진출하는 게 가능.
2. 맥OS 최신 버전은 이런 공격이 어려우나, 사용자들마다 최신 버전 가지고 있는 게 아님.
3. 맥OS 노리는 북한의 공격이 최근 빈번해지고 있으니 OS 업데이트나 오피스 매크로 관리가 필수.
[국제부 문가용 기자(globoan@boannews.com)]
매크로 통해 샌드박스 밖에 자동실행 파일 생성하는 것 가능...각종 공격 이어질 수 있어
[보안뉴스 문가용 기자] 마이크로소프트의 대표 솔루션인 오피스에서는 취약점이 자주 발굴되고, 실제 공격도 자주 일어난다. 심지어 최근에는 마이크로소프트 오피스를 통과해 맥OS로까지 가는 것도 가능하다는 사실이 블랙햇 행사를 통해 공개되기도 했다. 이에 대해 잼프(Jamf)의 수석 보안 분석가인 패트릭 워들(Patrick Wardle)이 발표했다.
[이미지 = utoimage]
워들에 의하면 공격은 매크로를 통해 성립될 수 있다고 한다. 매크로는 오피스 문서 안에 합법적으로 삽입되는 실행 코드를 말한다. 매크로를 익스플로잇 하는 공격은 최소 1999년부터였다고 워들은 설명했다. 그러나 지난 3~4년 정도 맥OS 환경을 노리는 공격이 빠르게 증가했는데, 이는 사업 환경에서 맥OS의 인기가 높아지고 있기 때문이라고 한다. 따라서 오피스를 통한 맥OS 공격을 연구하는 건 자연스러운 흐름이었을 뿐이라고 그는 밝혔다.
“매크로를 활용한 공격의 특징은 피해자가 최소 한 번 이상은 개입해야만 한다는 겁니다. 보통은 두 번 개입을 필요로 하죠. 먼저는 이메일 첨부 파일을 다운로드 받거나 악성 링크를 클릭해 악성 파일을 열어야만 합니다. 그 다음으로는 매크로 실행을 허용하겠다는 버튼을 클릭해야 합니다. 디폴트로 매크로를 활성화시킨 경우라면 최초 한 번 개입만으로도 공격이 성립되겠죠.”
그 다음으로 매크로 공격은 보통 두 단계에 걸쳐 진행된다고 워들은 설명을 이어갔다. “먼저는 시스템 상태와 백신 프로그램 유무 등을 확인하고 2단계 멀웨어를 다운로드 받는 공격이 진행됩니다. 이 두 번째 단계 멀웨어는 실제 공격자의 의도를 실행할 수 있는 기능을 가지고 있습니다. 크리덴셜을 훔친다거나, 봇넷을 만든다거나, 랜섬웨어 공격을 할 수 있는 것들이 이 단계에서 실행되죠.”
여기까지는 기존의 매크로 공격이 일반적으로 띠었던 양상이다. “현대의 멀웨어 제작자들은 하나의 장애물을 더 넘어가야 합니다. MS가 모든 매크로를 ‘샌드박스’ 환경 내에서 실행하기 시작했기 때문입니다. 즉 오피스 매크로를 통해 OS로 넘어가는 길목에 높다란 담장이 하나 설치된 것입니다. 이걸 넘는 것이 멀웨어 제작자들의 또 다른 목표가 되고 있습니다.”
그러면서 워들은 “최근 보안 전문가 피터 실렌(Pieter Ceelen)과 스탠 헥트(Stan Hegt)가 SYLK 파일들과 XLM 코드를 삽입함으로써 매크로들이 허용되든 안 되든 실행될 수 있게 만드는 방법을 발견했다”고 설명했다. 물론 이렇게 하더라도 매크로들은 여전히 샌드박스 내에서만 실행된다. “하지만 이 매크로를 통해 파일을 만들 수 있습니다. 이 파일은 매크로 환경 밖에 위치시킬 수 있고, 거기서부터 자동으로 실행되도록 꾸며질 수 있습니다. 이렇게 함으로써 공격 지속성을 확보할 수 있게 되는데, 이는 공격자들에게 대단히 유리한 조건을 만듭니다.”
이렇게 만들 수 있는 파일 유형 중 하나는 집(zip) 파일이다. “집 압축파일의 경우 제대로 된 하위 폴더에 위치시키기만 한다면, 자동으로 압축이 풀리며 실행되게 만들 수 있습니다. 이를 활용해 맥OS를 기반으로 한 엔드포인트에서 악성 코드를 실행할 수 있습니다.” 워들은 이러한 개념을 블랙햇 강연을 통해 시연하기도 했다. “다만 최신 맥OS의 경우 이러한 식의 파일 생성을 자체적으로 막는 시스템이 도입되었습니다. 따라서 최신 버전에서의 공격법은 조금 더 연구해야 합니다.”
맥OS는 아이폰의 iOS처럼 반 강제적으로 업데이트가 되는 시스템이 아니다. 따라서 아직도 수많은 맥 컴퓨터 사용자들이 오래된 맥OS를 유지하고 있다. 워들은 “오래된 맥OS에서 MS 오피스를 사용하는 경우 매크로를 반드시 꺼두고, 완전히 확실한 경우가 아니라면 매크로 활성화에 동의하지 말라”고 권고했다. 또한 북한의 APT 단체인 라자루스가 최근 들어 맥OS를 겨냥한 공격 프레임워크를 적극 개발 중에 있다는 경고도 덧붙었다.
3줄 요약
1. 오피스의 매크로 기능 악용하면 샌드박스 넘어 OS로 진출하는 게 가능.
2. 맥OS 최신 버전은 이런 공격이 어려우나, 사용자들마다 최신 버전 가지고 있는 게 아님.
3. 맥OS 노리는 북한의 공격이 최근 빈번해지고 있으니 OS 업데이트나 오피스 매크로 관리가 필수.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
(1).jpg){kind=spacer}
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
