악성 파워포인트 파일을 여는 것 만으로 PC 해킹 가능해

How Just Opening A Malicious PowerPoint File Could Compromise Your PC

Windows Object Linking and Embedding(OLE) 인터페이스에 존재했던 마이크로소프트의 오피스 원격 코드 실행 취약점 (CVE-2017-0199)은 지난 4월 수정이 되었음에도 불구하고, 아직까지 공격자들은 해당 취약점을 악용하고 있는 것으로 나타났습니다. 

보안연구원들은 이 익스플로잇을 악용하는 새로운 악성코드 캠페인을 발견하였는데, 공격자들은 해당 취약점을 악용하는 코드를  파워포인트 파일(PPSX)에 숨겨 유포한 것으로 확인되었습니다. 

이 악성코드 캠페인을 발견한  보안 연구원들에 따르면, 이 타겟 공격은 스피어피싱 이메일 첨부파일을 통해 진행되며, 이 피싱메일은 케이블 제조회사에서 보낸 것으로 위장하고 있으며 주로 전자 제조업계와 연관된 회사들을 노립니다. 

공격방법

전체적인 공격 시나리오는 다음과 같습니다. 

1단계: 주문 요청에 대한 배송 정보가 들어있는 것으로 위장한 악성 파워 포인트 (PPSX) 첨부파일을 통해 공격이 시작됩니다.

<출처 : http://blog.trendmicro.com/trendlabs-security-intelligence/cve-2017-0199-new-malware-abuses-powerpoint-slide-show/>

2단계: 이 PPSX 파일이 실행 되면, 내부에 프로그래밍 된 XML 파일을 호출해 원격으로 “logo.doc” 파일을 다운로드 하고 파워포인트 쇼 애니메이션 기능을 통해 이를 실행합니다.

<출처 : http://blog.trendmicro.com/trendlabs-security-intelligence/cve-2017-0199-new-malware-abuses-powerpoint-slide-show/>

3단계: 악성 Logo.doc 파일은 CVE-2017-0199 취약점을 악용하여 타겟 시스템에서 RATMAN.exe 파일을 다운로드 및 실행합니다.

<출처 : http://blog.trendmicro.com/trendlabs-security-intelligence/cve-2017-0199-new-malware-abuses-powerpoint-slide-show/>

<출처 : http://blog.trendmicro.com/trendlabs-security-intelligence/cve-2017-0199-new-malware-abuses-powerpoint-slide-show/>

4단계: RATMAN.exe는 Remcos 원격 제어 툴의 트로이목마화 된 버전으로, 설치 될 경우 공격자가 감염 된 컴퓨터를 원격으로 C&C 서버에서 제어할 수 있게 됩니다.

<출처 : http://blog.trendmicro.com/trendlabs-security-intelligence/cve-2017-0199-new-malware-abuses-powerpoint-slide-show/>

Remcos는 커스터마이징이 가능한 정식 원격 접속 툴로, 사용자들이 전 세계 어디서든 시스템을 제어할 수 있도록 도와줍니다. 여기에는 다운로드, 명령어 실행, 키로거, 스크린로거, 웹캠 및 마이크 레코더 등의 기능이 포함 되어 있습니다.

이 익스플로잇이 감염 된 RTF 파일을 배포하는데 사용 되었기 때문에, 대부분 CVE-2017-0199를 탐지할 때 RTF 파일에 중점을 둡니다. 따라서 공격자들은 PPSX 파일을 사용해 안티바이러스 프로그램의 탐지를 피할 수 있게 됩니다.

이 공격으로부터 보호 받을 수 있는 가장 쉬운 방법은 마이크로소프트가 4월에 공개한 CVE-2017-0199의 패치를 다운로드 하는 것입니다.

출처 : 

http://thehackernews.com/2017/08/powerpoint-malware-ms-office.html

http://blog.trendmicro.com/trendlabs-security-intelligence/cve-2017-0199-new-malware-abuses-powerpoint-slide-show/