Home > 전체기사
비밀번호 걸린 엑셀 파일 통해 퍼지는 라임랫 트로이목마
  |  입력 : 2020-04-02 10:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
비밀번호 걸렸다는 건 암호화 되었다는 것...따라서 페이로드 탐지 확률 낮아져
사용된 비밀번호는 엑셀의 디폴트 비밀번호...사용자가 번거롭게 입력할 필요 없어


[보안뉴스 문가용 기자] 마임캐스트(Mimecast)의 보안 전문가들이 마이크로소프트 엑셀의 파일 암호화 기능을 사용해 멀웨어를 퍼트리는 캠페인을 발견했다. 공격자들은 엑셀 파일에 악성 코드를 심겨두고, 파일을 읽기 전용으로 만든 다음 피싱 이메일을 통해 퍼트렸다고 한다. 이 공격은 디폴트 비밀번호인 VelvetSweatshop을 악용한 것이라고 한다.

[이미지 = iclickart]


엑셀 파일은 비밀번호를 걸어 둠으로써 보다 안전하게 전송이 가능하다. 보통 암호화와 복호화에 비밀번호가 이용되며, 생성한 사람이 지정한 값을 받는 사람이 그대로 입력하면 암호를 풀 수 있는 게 보통이다. 공격자들은 엑셀 파일에 비밀번호를 걸고, 비밀번호를 이메일 본문에 언급함으로써 피해자들이 파일을 받아 원활하게 열람할 수 있도록 꾸몄으며, 이를 통해 멀웨어가 심겨지도록 했다.

공격자들이 이러한 전략으로 퍼트리고 있는 멀웨어는 라임랫(LimeRAT)이라는 트로이목마인 것으로 알려져 있다. “공격자들은 엑셀 문서에 라임랫을 심어둔 뒤 ‘읽기 전용’ 파일로 속성을 맞춰서 저장하고 있습니다. 이 때문에 엑셀 파일은 자동으로 암호화가 됩니다. 이 때 사용되는 비밀번호는 엑셀의 기본 디폴트 비밀번호인 VelvetSweatshop이 됩니다.” 마임캐스트의 보안 책임자인 매튜 가디너(Matthew Gardiner)의 설명이다.

“‘읽기 전용’ 파일이기 때문에 사용자가 다운로드 받아 열 경우, 엑셀이 자동으로 디폴트 비밀번호를 대입해서 열기를 시도합니다. 그래서 열리면 엑셀이 ‘이건 읽기 전용 파일이 맞구나’라고 확인하고, 그에 적절한 모드를 사용해 파일을 엽니다. 동시에 심겨져 있던 악성 코드가 실행되기 시작합니다. 물론 엔드포인트 보안 솔루션이 이를 탐지해 방해할 수 있습니다만, 공격자들이 엑셀의 실제 콘텐츠와 익스플로잇 페이로드를 암호화 했기 때문에 회피 가능성이 높아집니다.”

디폴트 비밀번호를 사용해 악성 파일을 읽기 전용으로 만들었기 때문에 생기는 이득은 두 가지라고 가디너는 설명한다. “암호화 된 파일이기 때문에 탐지 솔루션을 어느 정도 속일 수 있게 되지만, 디폴트 비밀번호를 사용했기 때문에 사용자들이 비밀번호를 따로 입력해야 한다거나 하는 수고를 더 하지 않아도 된다는 겁니다. 즉 기계도 속이고 사람도 속일 확률이 높아진다는 겁니다.”

물론 엑셀의 디폴트 비밀번호를 적용한 ‘읽기 전용’ 파일이 사이버 공격에 활용된 건 이번이 처음이 아니다. 가디너는 “이런 류의 공격은 잊을 만하면 한 번씩 나타나곤 한다”고 말한다. “주로 고급 기술을 가진 공격자들 사이에서 이런 기술이 사용되는 편이기도 합니다. 그래서 엑셀 암호화 기능을 사용한 피싱 공격이 유행한다 싶으면, 조금 더 긴장이 되긴 합니다.”

가디너는 앞으로도 이런 기술이 지속적으로 등장할 거라고 예상한다. “고급 공격자들이 멀웨어를 심으려고 할 때 사용하는 여러 전략 중 하나입니다. 어지간해서는 사라지지 않을 겁니다. 매번 사용되는 건 아니지만, 이따금씩 활용되기 때문에 더 강력한 것이지요. 이렇게 오래된 기술을 가끔 사용하면서 잠재력을 발휘하는 게 공격자들의 영리한 점 중 하나입니다.”

3줄 요약
1. 라임랫이라는 트로이목마가 비밀번호 걸린 엑셀 문서 통해 퍼지고 있음.
2. 이 엑셀 문서는 디폴트 비밀번호로 암호화가 되어 있어 엑셀이 자동으로 풀어버림.
3. 암호화 되어 있어서 솔루션을 속이고, 비밀번호 입력할 필요 없어서 사용자를 속이고.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)