Home > 전체기사

[긴급] 북한 추정의 DDE 기능 악용한 공격 징후 포착

  |  입력 : 2017-11-01 09:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
북한 추정 해커조직, 최신 MS 워드 문서에 DDE 기능 악용한 공격징후 포착
이메일 첨부파일 워드 문서에 ‘편집 사용’ 버튼 클릭 유도로 명령제어서버 접속


[보안뉴스 김경애 기자] 북한 추정의 해커조직이 최신 MS 워드 문서에 DDE(Dynamic Data Exchange) 기능을 악용한 새로운 공격징후가 포착됐다. 이러한 공격은 기존에 매크로 기능을 이용한 것과 다른 양상이며, 악명 높은 록키 랜섬웨어까지 연결돼 있다. 향후 기존 매크로 방식을 대체해 공격에 많이 사용될 것으로 보인다. 따라서 MS워드 문서를 인터넷에 다운로드 받아 이용할 시 각별한 주의와 관심이 필요하다.

[이미지=보안뉴스]


DDE는 마이크로소프트 윈도우 응용체제에서 응용프로그램 간 데이터 전송을 위해 사용되는 프로토콜이다. 정보가 변경되는 즉시 데이터 교환을 위해 프로그램들을 동시에 실행시킬 수 있다.

그런데 최근 북한 추정의 해커들이 최신 MS 워드 DDE 기능을 사용한 정황이 포착됐다. 국내에도 이메일 첨부파일을 통해 다수 유입되는 것으로 확인되고 있다. 하우리에서 탐지된 표적 공격에 사용된 악성 워드문서는 ‘연구용역’, ‘부품구매’ 등과 관련된 내용이며, 이메일을 통해 유포됐다.

[이미지=하우리]


수신자가 해당 문서를 실행할 경우 DDE기능이 악용돼 두 번의 메시지 창이 뜬다. 만약 사용자가 확인 버튼을 누를 경우 악성 파워쉘 스크립트가 동작하도록 설계됐다. 동작한 악성 파워쉘 스크립트는 국내 소재 인재서비스 전문기업 홈페이지에서 추가 악성코드를 받아와 실행한다. 이는 기존에 한글문서 취약점을 통해 유포되고 있는 악성코드와 동일한 기능을 포함하고 있으며, 동일한 제작자의 소행으로 추정되고 있다.

이와 관련 하우리 CERT실은 “워드DDE 기능의 악용은 이미 해외에서 랜섬웨어를 비롯한 여러 악성코드 유포에 사용하고 있다”며 “이번에 발견된 워드문서의 경우 국내 표적 공격에 사용된 첫 사례”라고 전했다. 또한 “DDE는 기존의 오피스 매크로 방식에 비해 제작이 쉽고, 일반인들에게 알려지지 않았다”라며, “앞으로 공격자들이 워드문서 DDE 기능을 많이 악용할 것으로 예상되기 때문에 사용자들의 각별한 주의가 필요하다”고 덧붙였다.

이스트시큐리티 역시 주의를 당부하며 “최근 세계적으로 록키(Locky) 랜섬웨어 유포 방식에 새로운 변화가 생기고 있다”며 “기존에는 주로 MS 워드(Word) ‘DOC’ 파일의 매크로(Macro) 기능이나 ‘JS’, ‘JSE’, ‘Java’, ‘VBS’ 등의 스크립트를 이메일에 첨부해 감염을 유도하는 기법을 사용했다. 그런데 최근 한달 사이에 MS Word의 매크로 기능이 아닌 DDE 프로토콜을 활용해 대대적인 공격이 탐지되고 있다”고 밝혔다.

[이미지=이스트시큐리티]


이스트시큐리티에서 탐지한 악성파일은 대체로 영문기반으로 작성된 이메일 형식을 갖추고 있으며, 이메일 제목과 본문, 첨부파일 이름 등은 유포시점에 따라 다양하게 변경되고 있다. 주로 스캔한 팩스 데이터나 인보이스 워드 DOC 파일처럼 위장하고 있는 것이 특징이다.

악성파일을 열면 ‘제한된 보기’ 기능의 ‘주의하세요-인터넷에서 가져온 파일에는 바이러스가 있을 수 있습니다. 편집하지 않는다면 제한된 보기에서 여는 것이 안전합니다’라는 보안주의 메시지 창이뜨며, ‘편집 사용’ 버튼 클릭을 유도한다.

[이미지=이스트시큐리티]


만약 ‘편집 사용’ 버튼을 클릭할 경우 ‘이 문서에 다른 파일을 참조하는 링크가 있습니다. 연결된 파일의 데이터로 이 문서를 업데이트하시겠습니까?’라는 메시지가 창이 뜬다.

예 버튼을 클릭하게 되면 공격자는 파워쉘(Powershell) 명령을 통해 또 다른 응용프로그램 실행을 요청하며 추가 메시지 창을 띄워 여러 웹 사이트에 연결을 시도한다. 그리곤 파워쉘 명령을 통해 다수의 명령제어서버(C2)로 접속을 유도한다.

만약 초반에 서버 접속에 실패할 경우 공격자는 추가적인 웹 사이트 접속을 시도해 록키 랜섬웨어를 다운로드하고 실행시킨다. 특정 해외 명령제어서버(C2)와 연결이 성공되면 악성파일이 이용자의 임시폴더(Temp) 경로에 다운로드되고 실행된다.

최근 록키 랜섬웨어는 유포지 차단을 회피하기 위해 다양한 명령제어서버(C2)를 구축해 사용하고 있는 특징이 있다.

다운로드된 ‘hti4.exe’는 다수의 변종이 존재하는 형태로 유포되고 있으며, 감염되면 주요 파일들을 암호화하고 확장자를 ‘.asasin’로 추가한다. 암호화 작업이 완료되면 바탕화면을 변경하고, 랜섬노트 화면 등을 강제로 보여준다.

[이미지=하우리]


물론 모든 ‘편집 사용’ 버튼에 문제가 되진 않는다. 평소 아무 문제없이 인터넷을 통해 MS Word ‘.doc’ 파일을 자주 다운로드해 사용하는 이용자라면 ‘편집 사용’ 버튼을 충분히 사용할 수 있다. 다만 앞서 언급한 유사한 형태와 내용의 파일을 접한다면 무심코 클릭하지 않도록 주의해야 한다. 특히 이번 공격은 북한 해커 공격으로 의심되고 있는 만큼 ‘편집 사용’버튼을 클릭하지 않도록 주의하고 종료를 선택해 추가적인 보안위협에 노출되지 않도록 예방해야 한다.

워드 DDE 기능 악용으로 인한 피해 예방 방법은 워드 프로그램에서 파일-> 옵션-> 고급-> 일반-> 문서를 열 때 자동 연결 업데이트” 항목의 체크를 해제하면 된다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)