하우리 로고 이미지

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

뉴스 클리핑

악성 오피스 문서 제작 툴에서 나타나고 있는 세대 교체
등록일 :
2018.09.14
MS 오피스 악용하는 ‘악성 문서 빌더’, 최근 급격한 업그레이드
취약점 생애주기 짧아지고 있어 패치 중요도 올라간다는 뜻


[보안뉴스 문가용 기자] 악성 마이크로소프트 오피스 문서를 대량으로 만드는 데 활용됐던 툴들이 있다. 그런데 이 툴을 만든 자들이 그간 잘 사용해왔던 익스플로잇들 다수를 버린 것으로 나타났다. 그리고 새로운 익스플로잇으로 대체했다. 이는 굉장히 드문 일이다.

[이미지 = iclickart]


이는 보안 업체 소포스(Sophos)의 연구원들이 발견한 것으로, 올해 초부터 이런 움직임이 포착되기 시작했다고 한다. 그러면서 이렇게까지 짧은 시간 안에 자신들이 사용해오던 익스플로잇들과 툴들을 완전히 배제하는 일은 처음 본다고 밝혔다.

“아마도 악성 문건 제작 툴에서 사용되어 온 취약점들 중 상당수가 패치가 된 게 아닐까 싶습니다. 그래서 공격자들이 발 빠르게 움직여가며 적응하는 것을 저희가 발견한 것이라고 봅니다.” 수석 멀웨어 분석가인 가버 자파노스(Gabor Szappanos)의 설명이다.

이러한 현상이 일반 기업 및 방어자들에게는 어떤 의미를 가지고 있을까? “익스플로잇이 악용되는 생애주기가 크게 줄었다는 뜻이 됩니다. 작년만 해도 새로운 오피스 익스플로잇이 등장했을 경우, 1~2달 안에 패치하면 큰 공격에 당할 일이 별로 없었습니다. 대규모 감염 캠페인이 발동되는 데에 그만큼 시간이 걸렸기 때문이죠.”

1~2개월 걸리던 것이 이제는 수주로 줄었다고 자파노스는 설명한다. “심지어 취약점 및 익스플로잇 발표 후 며칠 안에 공격이 시작되는 사례도 등장하기 시작했어요. 그러니 패치는 더욱 중요한 보안 실천 사항이 되었지요.”

이번에 완전히 새롭게 바뀐 툴은 ‘익스플로잇 빌더(exploit builder)’라고 분류되는 것인데, 이는 기술적으로 조금은 뒤처지는 범죄자들이 특정 멀웨어를 공격 표적에 쉽게 전달하고자 할 때 사용하는 것이다. 악성 오피스 문서에 익스플로잇 내용물을 자동으로 심어준다.

이런 익스플로잇 빌더 중 유명한 것이 쓰레드키트(ThreadKit)이다. 몇몇 러시아 지하 암시장에서 800달러에 거래된다. 소포스가 여태까지 발견하고 분석한 모든 악성 오피스 문건의 1/3이 쓰레드키트로 만들어진 것이라고 할 정도로 인기가 높다고 한다.

“빌더가 없다면 범죄 단체는 좀 더 전통적인 방법의 해킹 기법 혹은 사이버 공격 기법들에 의존했을 겁니다. 실행파일을 메일에 첨부한다던가, 악성 스크립트를 주입한다던가, VBA 매크로를 사용해 멀웨어를 퍼트리는 방법들 말이죠.”

이런 빌더를 만들고 판매하는 자들은 보통 사용자(즉 빌더의 구매자)들이 선택할 수 있는 익스플로잇 메뉴도 함께 제공한다. 원하는 공격을 할 수 있도록 한 것이다. 그리고 지난 2년 동안 빌더들에서 발견되는 익스플로잇의 종류는 그리 크게 변하지 않은 채 유지됐다. 하지만 지난 1월부터 인기 높아던 익스플로잇들이 사라지기 시작했다.

이중 하나가 CVE-2017-0199다. 원격 코드 실행 취약점으로 마이크로소프트 오피스와 워드패드가 몇몇 파일을 다루는 방식에 기인한 것이다. 또 다른 예로는 CVE-2012-0158이 있다. 액티브엑스 컨트롤에서 발견된 버퍼 오버플로우 오류로, 범죄자들이 지난 4년 동안 활발하게 사용했던 것이다. 하지만 둘 다 최근 버려졌다.

그 외에도 마이크로소프트 워드 인트루더(Microsoft Word Intruder)라든가 AK빌더(AKBuilder)와 같은 익스플로잇 툴들도 현재 암시장에서 완전히 사라진 상태라고 소포스는 설명한다. 그리고 그 자리에 보다 새로운 취약점과 익스플로잇, 툴들이 자리 잡아가고 있다고 한다.

그래서 현재 가장 인기가 높은 익스플로잇은 CVE-2017-11882이다. MS 오피스의 공식 편집기(Equation Editor)에서 발견된 메모리 커럽션 취약점으로 작년 11월에 공개된 것이다. 약 56%의 악성 오피스 문서에서 발견되고 있다. “사용이 간단하고 패치되지 않은 오피스 버전 모두에서 사용이 가능하기 때문에 인기가 높습니다.”

그 외에도 현재 사용률이 높은 익스플로잇은 CVE-2018-0802(공식 편집기의 또 다른 오류), CVE-2017-8570(MS 오피스의 메모리 처리 오류), CVE-2017-8759(닷넷 프레임워크의 원격 코드 실행 오류)라고 한다.

또한 최근에는 파워셸 등과 같은 정상 툴들을 활용해 악성 페이로드를 다운로드해 실행시키는, 이른바 ‘파일레스 공격’ 기법도 자주 보인다고 소포스는 추가로 경고했다.

3줄 요약
1. 악성 오피스 문서 자동으로 만들어주는 툴들에서 기존 익스플로잇들 사라지고.
2. 패치가 상대적으로 덜 된 최근 익스플로잇들로 대체되고 있음.
3. 이제 방어자 입장에서 패치를 보다 더 빠르게 해야 한다는 소리임.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top