사이트맵 contact us
 
채용정보
인재상
문의/상담
HOME > PROMOTION > 프로모션 & 이벤트
제목 [보안이슈] 매크로 설정'On'하면 악성코드 감염 위험 올라간다!! 등록일 2015.01.29 15:36
글쓴이 주식회사리드솔루션 조회 948



매크로 설정 ‘ON’하면 악성코드 감염 위험↑







발신자가 불분명하거나 의심스러운 사람으로부터 수신된 메일은 열람하지 말아야 한다는 것은 기본 보안 수칙이다. 메일의 첨부 파일 실행 금지 역시 IT 보안 상식으로 통한다. 그럼에도 불구하고 절대 첨부 파일을 열어선 안 된다고 마음을 먹지만, 호기심을 자극하는 매력적인 제목의 문서파일이라면?


 


일반인들에게 PE(Portable Executable) 파일은 생소하다. 실행 파일이라는 개념보다는 확장자가 ‘exe’인 파일이 더 익숙하다. 정보가 넘쳐나는 사이트, 블로그, 게시판 또는 메일 내 첨부된 다수의 실행 파일들이 안전하지 않다는 것은 다 아는 사실이다. 하지만 대부분의 인터넷 사용자들은 문서 파일에 대한 보안 의식이 매우 약하다. 



흔히 APT 공격으로 불리는 지능화된 악성코드의 표적 공격에 문서 파일이 자주 사용된다. 주의만 하면 APT 공격으로부터 안전할 것이라는 방심은 금물이다. 그 누구라도 사회공학적 기법을 이용해 악성코드 공격에 피해자가 될 수 있다는 사실을 인지하고 주의하는 것이 중요하다.


 


 

[그림 1] doc 파일


 


[그림 1]은 최근 접수된 악의적인 매크로 기능이 추가된 MS 워드(.doc) 파일이다. 매크로는 단순히 문서 작업의 효율을 높여주는 유용한 기능이지만 반대로 사용자 몰래 악성코드를 심을 수 있는 위험한 기능이 될 수도 있다.



 

[그림 2] 매크로 기능 On 유도


 


[그림 2]와 같이 해당 문서를 실행하면, 문서 상단 바에 매크로 기능 OFF 알림 메시지가 나타나며 매크로가 자동으로 동작하지 않도록 차단된다. 참고로 매크로 기능은 보안 상의 문제로 기본 설정 값이 OFF로 돼 있다.


 


사용자 입장에서 매크로 기능이 차단됐다는 보안 경고 알림 메시지를 본다면 해당 문서 파일을 닫을 것이다. 하지만 공격자는 매우 지능적으로 “본 문서는 보안 상 모자이크 처리됐으며, 문서 상단의 옵션을 클릭하여 활성화 바람”이라는 본문 내용과 함께 이미지를 흐리게 처리했다. 아무리 보안 의식이 높은 사용자라도, 문서의 내용이 본인이 알고자 하는 정보가 굳이 아니어도 호기심이 생길 것이다.


 




[그림 3] doc 파일에 삽입된 매크로 코드


 


해당 문서의 매크로 기능을 활성화하면 ‘C:\Windows\Temp’ 경로에 파일 ‘adobeacd-update.bat’와 ‘adobeacd-updatexp.vbs’를 생성하며 batch 파일에 의해 ‘adobeacd-updatexp.vbs’가 실행된 후 자가 삭제된다.


 




[그림 4] 파일 ‘adobeacd-updatexp.vbs’의 정보


 


실행된 파일 ‘adobeacd-updatexp.vbs’에 의해 C&C 서버로부터 파일 ‘x.exe’가 추가로 다운 및 실행된다. 이후 파일 ‘x.exe’는 ‘C:\Documents and Settings\[사용자계정]\Local Settings\Temp\msgss.exe’ 경로로 자가 복제한다.


 


또한 ‘HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Outlook’ 레지스트리 키값을 등록하여 시스템 시작 시 자동 실행된다.


 




[그림 5] 사용자가 입력한 키 값을 C&C 서버로 전송


 


이후 파일 ‘x.exe’는 사용 중인 프로그램 정보와 사용자가 입력하는 키 값을 일정 시간마다 C&C서버(1**.2*3.2**.2*9)로 전송한다.


 


위의 악성코드의 경우 매크로 기능을 이용했지만 한글(HWP) 취약점을 이용한 공격도 끊임없이 지속되고 있다. 2014년 12월 한글문서 파일의 알려진 취약점을 이용한 MBR 파괴 기능을 갖는 악성코드가 대표적이다.


 


따라서 점점 더 지능화되고 있는 악성코드의 공격으로부터 피해를 최소화하려면 발신이 불분명한 메일 내 첨부 파일을 호기심 때문에 실행시키는 실수는 하지 말아야 한다.  @














  • AhnLab 로고






  • ASEC 대응팀










이 정보에 대한 저작권은 AhnLab에 있으며 무단 사용 및 도용을 금합니다.


단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 AhnLab임을 밝혀야 합니다.

기업이 이 정보를 사용할 때에는 반드시 AhnLab 의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다. 자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.


정보 이용 문의 : contents@ahnlab.com


파일첨부 :
1. 리드솔루션_최종안.jpg 다운받기 다운로드횟수[1183]