매크로, OLE 등 사용자 위해 탑재한 소프트웨어 기능으로 공격자가 악성코드 실행
최근에는 윈도우 데이터 보호 기능 악용하는 랜섬웨어 공격도 등장
[보안뉴스 이상우 기자] 소프트웨어나 운영체제의 여러 기능은 사용자 편의를 위해 구현 및 탑재되는 경우가 대부분이다. 간혹 왜 만들었는지 알 수 없는 기능이 있더라도, 누군가에게는 꼭 필요한 기능인 경우가 많다. 안타깝게도 이런 기능은 사용자뿐만 아니라 사이버 범죄자도 사용한다.
[이미지=utoimage]
소프트웨어나 운영체제의 정상적인 기능을 사이버 범죄자가 악용해 사용자가 의도하지 않게 ‘악성 기능’이 되는 셈이다. 특히, 이러한 형태의 사이버 공격에서 기능이 실행되더라도 ‘정상적인’ 기능이기 일부 보안 소프트웨어를 우회할 수도 있다.
매크로
대표적인 기능 악용 사례는 매크로다. 매크로는 MS 워드, 엑셀, 파워포인트 등에 포함된 기본 기능으로, 사용자가 단순한 반복 작업을 줄이고 평소 문서에 입력하는 기본적인 내용이나 양식 등을 자동으로 삽입하는 유용한 기능이다.
하지만 사이버 범죄자는 이 기능을 악용해 자신이 원하는 코드를 실행하는데 사용한다. 대부분의 매크로 악용 파일은 ‘Sub Auto_open()’ 같은 매크로 명령어를 통해 사용자가 파일을 여는 동시에 문서나 시트에 숨겨놓은 코드를 작동한다. 이 코드가 작동하면 통해 자동으로 명령제어(C&C) 서버의 URL 접속해 악성 파일을 내려받아 실행한다. 악성 파일의 기능에 따라 사용자 계정과 비밀번호를 유출하는 키로깅이나 주기적으로 화면을 캡처해 공격자에게 전송하는 등의 공격도 가능하다.
[자료=보안뉴스]
특히, 표적형 공격에서는 각종 시스템 정보를 수집한 뒤 서버로 전송해 실제 공격 대상이 맞는지 확인하고, 샌드박스 같은 보안 환경일 경우 악성 행위를 멈추는 등 지능적인 방식으로 발전하고 있다. 이러한 악용 사례 때문에 워드, 엑셀 등에서는 매크로 기능이 포함된 문서를 실행할 때 기본적으로 이를 차단하고 있다.
객체연결삽입(OLE)
객체연결삽입 기능을 악용한 HWP 문서로 공격하는 사례도 늘고 있다. 국내 사용자를 대상으로 하는 공격에서는 주로 한글로 작성된 문서와 HWP 파일을 이용하는 경향이 나타난다. 이는 한국에서 많이 사용하는 문서 포맷이며, 특히 공공기관이나 교육기관, 해당 기관과 관련 있는 민간기업에서 주로 사용하는 만큼 특정 사용자를 노린 표적 공격에 활용하는 사례가 많다.
과거 HWP 문서를 통한 공격에서 주로 사용한 방식은 EPS(Encapsulated PostScript) 파일 취약점을 이용한 코드 실행이었다. EPS 파일은 포스트 스크립트 코드를 이용해 이미지를 표현하는 파일로, 공격자는 악성 코드를 포함한 EPS 파일을 HWP 문서에 첨부해 악성 기능을 수행한다. 하지만, 한글과컴퓨터가 지난 2017년 초, EPS 파일에서 더 이상 악성 기능이 수행되지 않도록 보안 업데이트를 진행한 바 있다. 이에 따라 최근 공격자는 EPS 대신 객체연결삽입 기능을 악용하기 시작했다.
▲OLE 기능으로 악성 코드를 실행하는 HWP 파일[자료=이스트시큐리티]
객체연결삽입, 한컴 오피스에서는 ‘OLE 개체’라고 부르는 이 기능은 표나 이미지, 음악 파일 등 다른 객체를 문서와 연결하고, 문서 내에 삽입할 수 있게 하는 기능이다. 특히, 이를 통해 다른 파일을 포맷 변환 없이 원본 그대로 문서에 삽입할 수 있어 효과적이고 입체적인 문서 작성이 가능하다.
하지만 해커가 이 기능을 악용할 경우 일반적인 문서나 파일 대신, 스크립트 파일을 연결하고 코드를 실행하는 것이 가능하다. 스크립트 파일이 실행되면 앞서 언급한 매크로 기능과 마찬가지로 명령제어 서버와 통신해 정보를 유출하거나 추가 파일을 내려받는 등 악성 기능을 수행할 수 있다.
윈도우 비트로커
최근에는 랜섬웨어 공격에도 윈도우 운영체제의 기본 기능을 악용한 사례가 발견됐다. 일반적으로 랜섬웨어 공격은 악성 소프트웨어를 이용해 사용자나 기업의 파일을 암호화해 쓸 수 없게 만들고, 이를 원래 상태로 되돌려주는 대가로 금전을 요구하는 공격 방식이다. 결국 랜섬웨어 공격을 수행하기 위해서 공격자는 PC나 서버에 침투한 뒤 악성 소프트웨어를 직접 실행해야 한다.
윈도우 운영체제 중 고급 버전과 윈도우 서버 운영체제는 사용자 데이터 유출 방지를 위해 ‘비트로커’라는 암호화 기능을 제공한다. 이는 정보보호 관점에서 아주 유용하게 쓸 수 있는 기능이지만, 해당 기능이 사이버 범죄자에 의해 실행될 경우 ‘랜섬웨어 없는 랜섬웨어 공격’이 가능해진다.
▲윈도우 운영체제에서 지원하는 디스크 암호화 기능[자료=보안뉴스]
물론 공격자는 이를 위해 서버나 PC 등에 사전 침투해 관리자 권한을 획득하는 과정을 거쳐야 한다. 하지만, 악성 소프트웨어 설치 및 실행이 필요한 기존 랜섬웨어와 달리, 운영체제의 기본 기능을 이용하기 때문에 악성 파일 실행을 탐지하는 호스트 기반 탐지 솔루션을 대부분 우회할 수 있다.
어떻게 대응해야 하나
매크로와 OLE를 이용한 공격은 이미 오래 전부터 사이버 범죄자가 애용하던 수법이다. 사용자가 속을 만한 피싱 메일에 해당 기능을 넣은 DOC, XLS, HWP 파일을 첨부하고, 이를 실행하길 기다리는 형태가 대부분이다. 따라서 사용자는 우선 알 수 없는 상대가 보낸 파일을 실행하지 않는 습관을 기본적으로 들여야 한다.
또한, 소프트웨어 개발사 역시 이러한 기능을 공격자가 악용할 수 있다는 점을 알고 있기 때문에 보안 설정에서 해당 기능이 바로 실행되지 않도록 막고 있다. 매크로가 포함된 문서를 실행하면 상단에 있는 경고 메시지에서 사용자가 직접 ‘콘텐츠 사용’을 누르기 전까지는 매크로가 작동하지 않는다. 차단 기능이 설정돼 있지 않다면 사용자가 직접 설정 > 보안 센터 > 보안 센터 설정 > 매크로 설정 항목에서 이 차단 기능을 켤 수 있다. 권장하는 설정은 ‘모든 메크로 제외(알림 표시)’다.
[자료=보안뉴스]
OLE 기능 역시 사용자가 OLE 개체를 직접 클릭할 경우 ‘보안 경고’ 창을 통해 연결된 파일을 열 것인지 물어본다. 이 경우에도 사용자가 ‘열기’나 ‘한 번 허용’을 누르기 전까지는 연결된 파일이 실행되지 않는다. 만약 차단 기능이 설정돼 있지 않다면 보안 > 문서 보안 설정에서 보안 수준 항목을 ‘높음’으로 지정하면 된다.
[자료=이스트시큐리티]
비트로커를 악용하는 랜섬웨어 공격은 사용자가 침입할 수 있는 경로를 차단하고, 주기적인 모니터링을 해야 한다. 네트워크 침입은 물론, 웹셸 업로드 같은 기법에 당하지 않도록 각종 보안취약점을 개선하는 것은 물론, 주기적인 모니터링을 통해 알 수 없는 관리자 계정이 생성되지는 않았는지 확인해야 한다. 또한, 정기적인 백업을 수행하되, 백업 이미지는 망분리 등을 통해 인터넷에 연결되지 않은 상태로 보관하는 것이 좋다.
[이상우 기자(boan@boannews.com)]
최근에는 윈도우 데이터 보호 기능 악용하는 랜섬웨어 공격도 등장
[보안뉴스 이상우 기자] 소프트웨어나 운영체제의 여러 기능은 사용자 편의를 위해 구현 및 탑재되는 경우가 대부분이다. 간혹 왜 만들었는지 알 수 없는 기능이 있더라도, 누군가에게는 꼭 필요한 기능인 경우가 많다. 안타깝게도 이런 기능은 사용자뿐만 아니라 사이버 범죄자도 사용한다.
[이미지=utoimage]
소프트웨어나 운영체제의 정상적인 기능을 사이버 범죄자가 악용해 사용자가 의도하지 않게 ‘악성 기능’이 되는 셈이다. 특히, 이러한 형태의 사이버 공격에서 기능이 실행되더라도 ‘정상적인’ 기능이기 일부 보안 소프트웨어를 우회할 수도 있다.
매크로
대표적인 기능 악용 사례는 매크로다. 매크로는 MS 워드, 엑셀, 파워포인트 등에 포함된 기본 기능으로, 사용자가 단순한 반복 작업을 줄이고 평소 문서에 입력하는 기본적인 내용이나 양식 등을 자동으로 삽입하는 유용한 기능이다.
하지만 사이버 범죄자는 이 기능을 악용해 자신이 원하는 코드를 실행하는데 사용한다. 대부분의 매크로 악용 파일은 ‘Sub Auto_open()’ 같은 매크로 명령어를 통해 사용자가 파일을 여는 동시에 문서나 시트에 숨겨놓은 코드를 작동한다. 이 코드가 작동하면 통해 자동으로 명령제어(C&C) 서버의 URL 접속해 악성 파일을 내려받아 실행한다. 악성 파일의 기능에 따라 사용자 계정과 비밀번호를 유출하는 키로깅이나 주기적으로 화면을 캡처해 공격자에게 전송하는 등의 공격도 가능하다.
[자료=보안뉴스]
특히, 표적형 공격에서는 각종 시스템 정보를 수집한 뒤 서버로 전송해 실제 공격 대상이 맞는지 확인하고, 샌드박스 같은 보안 환경일 경우 악성 행위를 멈추는 등 지능적인 방식으로 발전하고 있다. 이러한 악용 사례 때문에 워드, 엑셀 등에서는 매크로 기능이 포함된 문서를 실행할 때 기본적으로 이를 차단하고 있다.
객체연결삽입(OLE)
객체연결삽입 기능을 악용한 HWP 문서로 공격하는 사례도 늘고 있다. 국내 사용자를 대상으로 하는 공격에서는 주로 한글로 작성된 문서와 HWP 파일을 이용하는 경향이 나타난다. 이는 한국에서 많이 사용하는 문서 포맷이며, 특히 공공기관이나 교육기관, 해당 기관과 관련 있는 민간기업에서 주로 사용하는 만큼 특정 사용자를 노린 표적 공격에 활용하는 사례가 많다.
과거 HWP 문서를 통한 공격에서 주로 사용한 방식은 EPS(Encapsulated PostScript) 파일 취약점을 이용한 코드 실행이었다. EPS 파일은 포스트 스크립트 코드를 이용해 이미지를 표현하는 파일로, 공격자는 악성 코드를 포함한 EPS 파일을 HWP 문서에 첨부해 악성 기능을 수행한다. 하지만, 한글과컴퓨터가 지난 2017년 초, EPS 파일에서 더 이상 악성 기능이 수행되지 않도록 보안 업데이트를 진행한 바 있다. 이에 따라 최근 공격자는 EPS 대신 객체연결삽입 기능을 악용하기 시작했다.
▲OLE 기능으로 악성 코드를 실행하는 HWP 파일[자료=이스트시큐리티]
객체연결삽입, 한컴 오피스에서는 ‘OLE 개체’라고 부르는 이 기능은 표나 이미지, 음악 파일 등 다른 객체를 문서와 연결하고, 문서 내에 삽입할 수 있게 하는 기능이다. 특히, 이를 통해 다른 파일을 포맷 변환 없이 원본 그대로 문서에 삽입할 수 있어 효과적이고 입체적인 문서 작성이 가능하다.
하지만 해커가 이 기능을 악용할 경우 일반적인 문서나 파일 대신, 스크립트 파일을 연결하고 코드를 실행하는 것이 가능하다. 스크립트 파일이 실행되면 앞서 언급한 매크로 기능과 마찬가지로 명령제어 서버와 통신해 정보를 유출하거나 추가 파일을 내려받는 등 악성 기능을 수행할 수 있다.
윈도우 비트로커
최근에는 랜섬웨어 공격에도 윈도우 운영체제의 기본 기능을 악용한 사례가 발견됐다. 일반적으로 랜섬웨어 공격은 악성 소프트웨어를 이용해 사용자나 기업의 파일을 암호화해 쓸 수 없게 만들고, 이를 원래 상태로 되돌려주는 대가로 금전을 요구하는 공격 방식이다. 결국 랜섬웨어 공격을 수행하기 위해서 공격자는 PC나 서버에 침투한 뒤 악성 소프트웨어를 직접 실행해야 한다.
윈도우 운영체제 중 고급 버전과 윈도우 서버 운영체제는 사용자 데이터 유출 방지를 위해 ‘비트로커’라는 암호화 기능을 제공한다. 이는 정보보호 관점에서 아주 유용하게 쓸 수 있는 기능이지만, 해당 기능이 사이버 범죄자에 의해 실행될 경우 ‘랜섬웨어 없는 랜섬웨어 공격’이 가능해진다.
▲윈도우 운영체제에서 지원하는 디스크 암호화 기능[자료=보안뉴스]
물론 공격자는 이를 위해 서버나 PC 등에 사전 침투해 관리자 권한을 획득하는 과정을 거쳐야 한다. 하지만, 악성 소프트웨어 설치 및 실행이 필요한 기존 랜섬웨어와 달리, 운영체제의 기본 기능을 이용하기 때문에 악성 파일 실행을 탐지하는 호스트 기반 탐지 솔루션을 대부분 우회할 수 있다.
어떻게 대응해야 하나
매크로와 OLE를 이용한 공격은 이미 오래 전부터 사이버 범죄자가 애용하던 수법이다. 사용자가 속을 만한 피싱 메일에 해당 기능을 넣은 DOC, XLS, HWP 파일을 첨부하고, 이를 실행하길 기다리는 형태가 대부분이다. 따라서 사용자는 우선 알 수 없는 상대가 보낸 파일을 실행하지 않는 습관을 기본적으로 들여야 한다.
또한, 소프트웨어 개발사 역시 이러한 기능을 공격자가 악용할 수 있다는 점을 알고 있기 때문에 보안 설정에서 해당 기능이 바로 실행되지 않도록 막고 있다. 매크로가 포함된 문서를 실행하면 상단에 있는 경고 메시지에서 사용자가 직접 ‘콘텐츠 사용’을 누르기 전까지는 매크로가 작동하지 않는다. 차단 기능이 설정돼 있지 않다면 사용자가 직접 설정 > 보안 센터 > 보안 센터 설정 > 매크로 설정 항목에서 이 차단 기능을 켤 수 있다. 권장하는 설정은 ‘모든 메크로 제외(알림 표시)’다.
[자료=보안뉴스]
OLE 기능 역시 사용자가 OLE 개체를 직접 클릭할 경우 ‘보안 경고’ 창을 통해 연결된 파일을 열 것인지 물어본다. 이 경우에도 사용자가 ‘열기’나 ‘한 번 허용’을 누르기 전까지는 연결된 파일이 실행되지 않는다. 만약 차단 기능이 설정돼 있지 않다면 보안 > 문서 보안 설정에서 보안 수준 항목을 ‘높음’으로 지정하면 된다.
[자료=이스트시큐리티]
비트로커를 악용하는 랜섬웨어 공격은 사용자가 침입할 수 있는 경로를 차단하고, 주기적인 모니터링을 해야 한다. 네트워크 침입은 물론, 웹셸 업로드 같은 기법에 당하지 않도록 각종 보안취약점을 개선하는 것은 물론, 주기적인 모니터링을 통해 알 수 없는 관리자 계정이 생성되지는 않았는지 확인해야 한다. 또한, 정기적인 백업을 수행하되, 백업 이미지는 망분리 등을 통해 인터넷에 연결되지 않은 상태로 보관하는 것이 좋다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.png){kind=spacer}
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
