Home > 전체기사
악성 오피스 문서 제작 툴에서 나타나고 있는 세대 교체
  |  입력 : 2018-09-14 10:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
MS 오피스 악용하는 ‘악성 문서 빌더’, 최근 급격한 업그레이드
취약점 생애주기 짧아지고 있어 패치 중요도 올라간다는 뜻


[보안뉴스 문가용 기자] 악성 마이크로소프트 오피스 문서를 대량으로 만드는 데 활용됐던 툴들이 있다. 그런데 이 툴을 만든 자들이 그간 잘 사용해왔던 익스플로잇들 다수를 버린 것으로 나타났다. 그리고 새로운 익스플로잇으로 대체했다. 이는 굉장히 드문 일이다.

[이미지 = iclickart]


이는 보안 업체 소포스(Sophos)의 연구원들이 발견한 것으로, 올해 초부터 이런 움직임이 포착되기 시작했다고 한다. 그러면서 이렇게까지 짧은 시간 안에 자신들이 사용해오던 익스플로잇들과 툴들을 완전히 배제하는 일은 처음 본다고 밝혔다.

“아마도 악성 문건 제작 툴에서 사용되어 온 취약점들 중 상당수가 패치가 된 게 아닐까 싶습니다. 그래서 공격자들이 발 빠르게 움직여가며 적응하는 것을 저희가 발견한 것이라고 봅니다.” 수석 멀웨어 분석가인 가버 자파노스(Gabor Szappanos)의 설명이다.

이러한 현상이 일반 기업 및 방어자들에게는 어떤 의미를 가지고 있을까? “익스플로잇이 악용되는 생애주기가 크게 줄었다는 뜻이 됩니다. 작년만 해도 새로운 오피스 익스플로잇이 등장했을 경우, 1~2달 안에 패치하면 큰 공격에 당할 일이 별로 없었습니다. 대규모 감염 캠페인이 발동되는 데에 그만큼 시간이 걸렸기 때문이죠.”

1~2개월 걸리던 것이 이제는 수주로 줄었다고 자파노스는 설명한다. “심지어 취약점 및 익스플로잇 발표 후 며칠 안에 공격이 시작되는 사례도 등장하기 시작했어요. 그러니 패치는 더욱 중요한 보안 실천 사항이 되었지요.”

이번에 완전히 새롭게 바뀐 툴은 ‘익스플로잇 빌더(exploit builder)’라고 분류되는 것인데, 이는 기술적으로 조금은 뒤처지는 범죄자들이 특정 멀웨어를 공격 표적에 쉽게 전달하고자 할 때 사용하는 것이다. 악성 오피스 문서에 익스플로잇 내용물을 자동으로 심어준다.

이런 익스플로잇 빌더 중 유명한 것이 쓰레드키트(ThreadKit)이다. 몇몇 러시아 지하 암시장에서 800달러에 거래된다. 소포스가 여태까지 발견하고 분석한 모든 악성 오피스 문건의 1/3이 쓰레드키트로 만들어진 것이라고 할 정도로 인기가 높다고 한다.

“빌더가 없다면 범죄 단체는 좀 더 전통적인 방법의 해킹 기법 혹은 사이버 공격 기법들에 의존했을 겁니다. 실행파일을 메일에 첨부한다던가, 악성 스크립트를 주입한다던가, VBA 매크로를 사용해 멀웨어를 퍼트리는 방법들 말이죠.”

이런 빌더를 만들고 판매하는 자들은 보통 사용자(즉 빌더의 구매자)들이 선택할 수 있는 익스플로잇 메뉴도 함께 제공한다. 원하는 공격을 할 수 있도록 한 것이다. 그리고 지난 2년 동안 빌더들에서 발견되는 익스플로잇의 종류는 그리 크게 변하지 않은 채 유지됐다. 하지만 지난 1월부터 인기 높아던 익스플로잇들이 사라지기 시작했다.

이중 하나가 CVE-2017-0199다. 원격 코드 실행 취약점으로 마이크로소프트 오피스와 워드패드가 몇몇 파일을 다루는 방식에 기인한 것이다. 또 다른 예로는 CVE-2012-0158이 있다. 액티브엑스 컨트롤에서 발견된 버퍼 오버플로우 오류로, 범죄자들이 지난 4년 동안 활발하게 사용했던 것이다. 하지만 둘 다 최근 버려졌다.

그 외에도 마이크로소프트 워드 인트루더(Microsoft Word Intruder)라든가 AK빌더(AKBuilder)와 같은 익스플로잇 툴들도 현재 암시장에서 완전히 사라진 상태라고 소포스는 설명한다. 그리고 그 자리에 보다 새로운 취약점과 익스플로잇, 툴들이 자리 잡아가고 있다고 한다.

그래서 현재 가장 인기가 높은 익스플로잇은 CVE-2017-11882이다. MS 오피스의 공식 편집기(Equation Editor)에서 발견된 메모리 커럽션 취약점으로 작년 11월에 공개된 것이다. 약 56%의 악성 오피스 문서에서 발견되고 있다. “사용이 간단하고 패치되지 않은 오피스 버전 모두에서 사용이 가능하기 때문에 인기가 높습니다.”

그 외에도 현재 사용률이 높은 익스플로잇은 CVE-2018-0802(공식 편집기의 또 다른 오류), CVE-2017-8570(MS 오피스의 메모리 처리 오류), CVE-2017-8759(닷넷 프레임워크의 원격 코드 실행 오류)라고 한다.

또한 최근에는 파워셸 등과 같은 정상 툴들을 활용해 악성 페이로드를 다운로드해 실행시키는, 이른바 ‘파일레스 공격’ 기법도 자주 보인다고 소포스는 추가로 경고했다.

3줄 요약
1. 악성 오피스 문서 자동으로 만들어주는 툴들에서 기존 익스플로잇들 사라지고.
2. 패치가 상대적으로 덜 된 최근 익스플로잇들로 대체되고 있음.
3. 이제 방어자 입장에서 패치를 보다 더 빠르게 해야 한다는 소리임.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
7월 1일부터 주 52시간 근무제가 확대 시행됩니다. 보안종사자로서 여러분의 근무시간은 어느 정도 되시나요?
주 32시간 이하
주 40시간
주 48시간
주 52시간
주 58시간
주 60시간 이상
기타(댓글로)
      

티제이원
PTZ 카메라

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

비전정보통신
IP카메라 / VMS / 폴

대명코퍼레이션
DVR / IP카메라

쿠도커뮤니케이션
스마트 관제 솔루션

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

디비시스
CCTV토탈솔루션

에스카
CCTV / 영상개선

엔토스정보통신
DVR / NVR / CCTV

씨오피코리아
CCTV 영상 전송장비

CCTV프랜즈
CCTV

티에스아이솔루션
출입 통제 솔루션

구네보코리아
보안게이트

옵티언스
IR 투광기

디케이솔루션
메트릭스 / 망전송시스템

지와이네트웍스
CCTV 영상분석

KPN
안티버그 카메라

베일리테크
랜섬웨어 방어솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

두레옵트로닉스
카메라 렌즈

퍼시픽솔루션
IP 카메라 / DVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

지에스티엔지니어링
게이트 / 스피드게이트

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

수퍼락
출입통제 시스템

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스시스템즈
스피드 돔 카메라

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

인사이트테크놀러지
방폭카메라

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향