오늘은 VBA, Macro, DDE(Dynamic Data Exchange), OLE(객체 연결 삽입) 등 진화하는 문서 유형의 악성코드 환경에 대해 알아보도록 하겠습니다.
Macro( VBA / Macro 4.0 )
- VBA
- VBA(Visual Basic for Application)로 'vbaProject.bin' 개체에 공격 코드가 포함되어 실행되는 형태의 악성코드
- 'DocumentlOpen', 'Auto_Open' 등의 자동 실행 함수를 이용해 문서 열람 시 악성코드가 자동으로 설치되고 실행되는 형태이다.
- 공격 사례 : 북한 공격그룹 APT37, 김수키, Emotet, Lokibot, Revil 등
- Macro
- 1992년 추가된 엑셀 4.0 매크로 시트 기능을 악용한 공격 기법
- 파일 바이너리의 특징, 코드 난독화 등을 이유로 안티 바이러스 제품의 탐지가 VBA 방식에 비해 상당히 어렵다는 점을 악용한다.
- 공격 사례 : 트릭봇(Trickbot), 다나봇(DanaBot), 고지(Gozi), 지로더(Zloader) 등
DDE(Dynamic Data Exchange)
- 윈도우 응용 프로그램 간 동일한 데이터를 공유하도록 허용하는 기능으로 'DDE' 또는 'DDEAUTO' 로 기능을 호출하여 Office가 아닌 cmd, Powershell 등을 로드해 공격하는 기법
DDE(Dynamic Data Exchange)
1. 개요 우리가 문서를 작성할 때 사용하는 대표적인 프로그램으로는 한글, MS word(워드), Excel(엑셀) 등이 있다. 이런 문서 파일에는 매크로(Macro)기능이나 ‘JS’, ‘Java’, ‘VBS’ 등 다양한 기능
www.igloo.co.kr
객체 연결 삽입(OLE)
- MS에서 개발한 기술로 문서와 외부 개체에 대한 연결과 삽입에 사용되는 연결 규약인 OLE를 이용해 'oleObject*.bin' 에 삽입하는 공격 기법
- 자료 내 연결된 본문을 사용자가 클릭하는 경우 악성 행위가 수행되며, 공격 코드로 exe, scr, com, pif, jar, vbs, js, swf, lnk, rar, bat, cmd 등의 실행을 유도한다.
프로필 양식 위장한 한글문서 (OLE개체) - ASEC BLOG
ASEC 분석팀은 최근 OLE 개체 및 플래쉬 취약점 이용한 악성 한글 문서를 확인하였다. 해당 취약점은 2020년 공유한 <한글문서(HWP) 내부 플래쉬 취약점 이용한 새로운 공격> 게시글에서 소개되었으
asec.ahnlab.com
※ Microsoft 에서 발표한 2건의 보안 정책에 의해 악성코드를 이용한 공격 방식은 큰 변화를 맞이한다.
2021년 3월에 Excel 4.0 Macro 인 XLM 차단과 2022년 4월 VBA를 차단함으로써 '신뢰할 수 없는 매크로 기본 차단 정책'을 발표하면서 공격자들은 새로운 공격 벡터를 찾고 활용하기 시작한다.
공격자들은 전자 메일 첨부 및 인턴엣에서 다운로드한 파일인 MOTW(Mark of the Web) 내 매크로 포함 시 차단되기 때문에 Microsoft 의 매크로 기본 차단 정책 발표 이후 MOTW 우회 방안으로 악성 메일에 첨부되는 파일을 ZIP, RAR 등의 형식으로 압축하고, 압축 파일 내에는 기존 매크로가 아닌 ISO, LNK(바로가기 파일), CHM(컴파일된 HTML 도움말 파일)을 공격 벡터로 활용하기 시작하였으며, 일부는 HTML 파일 내부에 압축 파일을 임베딩하는 공격 기법을 사용하기 시작했다.
참고
- ISO
- CD 또는 DVD 이미지 파일로 실행 시 CD 또는 DVD 드라이브에 맵핑
- 내장된 파일 실행 시 파일 종류에 따라 악성 파일 실행, 스크립트 등 실행이 가능하다.
- LNK
- Windows 바로가기(쉘 링크 바이너리) 형식 파일
- 파일 작성자가 입력한 인수(경로, 명령 등)를 이용하여 시스템의 모든 파일을 실행할 수 있다.(ex. Powershell, VBScript, MSHTA 등)
- CHM
- 컴파일된 HTML 파일(도움말)
- CHM 실행 시 사용되는 hh.exe를 악용하여 HTML 파일 내부에 작성된 JavaScript 등 스크립트 코드를 실행하는 공격 기법이다.
'보안 관제 관련 > 악성코드' 카테고리의 다른 글
| 악성 코드 샘플 사이트 (0) | 2022.12.03 |
|---|---|
| 악성 코드 동적 분석 ( 특징, 동적 분석 툴, 가상환경 ) (0) | 2022.11.27 |
| 악성 코드 정적 분석 ( 특징, 방법, 정적 분석 툴, 패킹, PE 구조) (0) | 2022.11.27 |
| Virustotal 기능 / Virustotal 사용법 / 악성 코드 기초 분석 / 바이러스 토탈 (0) | 2022.11.19 |
| 악성 코드의 유형 및 특징 사례 (0) | 2022.11.05 |
