HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

워드문서 DDE 취약점을 이용한 국내 표적 공격 주의
등록일 :
2017.11.01

□ 개요

지단 달에 공개된 워드 DDE 취약점은 이미 해외에서 랜섬웨어를 비롯한 여러 악성코드 유포에 사용하고 있다. 이번에 발견된 워드 문서의 경우 국내 표적 공격에 사용된 첫 사례이다. 워드 DDE 취약점은 기존의 오피스 매크로 방식에 비해 제작이 쉽고, 일반인들에게 알려지지 않아 많은 공격자들이 사용할 것으로 예상되기 때문에 사용자들의 각별한 주의가 필요하다.​

 

 

□ 내용 

DDE는 윈도우 응용 프로그램 간에 동일한 데이터를 공유하도록 허용하는 여러 방법 중 하나이며, 마이크로소프트의 엑셀과 워드, 비쥬얼 베이직을 비롯한 여러 응용프로그램에서 사용하고 있다.​

이번 표적 공격에 사용된 악성 워드문서는 “연구용역”, “부품구매” 등과 관련된 내용으로 이메일을 통해 유포되었다. 수신자가 해당 문서를 실행할 경우 “DDE(Dynamic Data Exchange)” 취약점이 발생한다. 해당 취약점은 두 번의 메시지 창을 띄우며, 사용자가 확인 버튼을 누를 경우 악성 파워쉘 스크립트가 동작하도록 설계되었다.

 

동작한 악성 파워쉘 스크립트는 국내 소재 인재서비스 전문기업 홈페이지에서 추가 악성코드를 받아와 실행한다. 이는 기존에 한글문서 취약점을 통해 유포되고 있는 악성코드와 동일한 기능을 포함하고 있으며, 동일한 제작자의 소행으로 추정된다. 

 

   

[그림 1] 연구용역 입금 관련 워드 DDE 취약점 문서

 

  

[그림 2] 악성 파워쉘 스크립트

 

□ 예방법

(1) 출처가 불분명한 이메일 첨부파일 열람을 자제하고, [그림 1]과 같은 메시지창에서 "아니오" 버튼을 누른다.

- "이 문서에 다른 파일을 참조하는 링크가 있습니다. 연결된 파일의 데이터로 이 문서를 업데이트 하시겠습니까?" -> "아니오"

(2) 워드 프로그램에서 “파일 ▶ 옵션 ▶ 고급 ▶ 일반 ▶ 문서를 열 때 자동 연결 업데이트” 항목의 체크를 해제한다. 

 

  

[그림 3] 워드 문서 설정 변경

 

 

 

□ 바이로봇 업데이트 내역

DOC.S.Agent 외 다수​ 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top