상세 컨텐츠

본문 제목

공격자들, 시스템 프로필 데이터를 훔치기 위해 MS 오피스의 공개 되지 않은 기능 사용해

국내외 보안동향

by 알약(Alyac) 2017. 9. 20. 10:52

본문

ATTACKERS USE UNDOCUMENTED MS OFFICE FEATURE TO LEAK SYSTEM PROFILE DATA


마이크로소프트 오피스의 공개 되지 않은 기능으로 인해 공격자들이 수신자들로 하여금 특별히 제작한 워드 문서를 열도록 속여 타겟 시스템의 중요 구성 정보들을 훔쳐갈 수 있도록 허용하는 것으로 나타났습니다. 


이 문서를 제작하는데는 VBA 매크로, 임베디드 플래시 오브젝트, PE 파일이 필요 하지 않습니다.


연구원들에 따르면, 이 공개 되지 않은 기능은 공격자들이 타겟 시스템에서 먼저 시스템 구성 데이터를 수집하는 다단계 공격의 일환으로 사용 하고 있습니다.


연구원들은 “이 코드는 피해자의 컴퓨터에 어떤 버전의 마이크로소프트 오피스가 설치 되었는지 등을 포함한 설치 된 소프트웨어에 대한 정보를 공격자에게 효과적으로 보냅니다.”고 밝혔습니다.


이 기능은 윈도우용 MS 오피스 뿐만 아니라, iOS 및 안드로이드용 MS 오피스에도 존재합니다. 


연구원들은 이 기술을 사용해 미래의 공격을 준비하기 위해 숨어있는, 악성 첨부파일을 포함하는 스피어 피싱 캠페인 몇 개를 발견했다고 말했습니다.


또한 연구원들은 공격자가 타겟 시스템에서 적절한 익스플로잇을 사용하기 위해서는, 먼저 시스템 OS 버전과 일부 응용 프로그램의 버전을 알아야 하기 때문에 정보를 먼저 수집해야 할 것이라고 밝혔습니다.


이 피싱 캠페인의 이메일에는 OLE2(Object Linking and Embedding) 포맷의 워드 문서가 포함 되어 있었습니다. OLE를 이용하면, 제작자들은 오브젝트를 임베드하고 다수의 리소스나 오브젝트들을 하나의 워드 문서에 링크할 수 있습니다. 예를 들면, 문서 내에 그래픽 파일 등을 단순히 내장 시키는 것이 아니라, 그래픽 파일을 “가리키는” 필드를 만들 수 있다는 이야기입니다.


연구원들이 피싱 캠페인에 사용 된 문제의 워드 첨부파일의 코드를 더욱 자세히 확인해본 결과, “INCLUDEPICTURE” 필드가 원래 사용 되어야 할 ASCII 포맷이 아니라 명령의 일부로 Unicode를 사용하고 있었던 것으로 나타났습니다.


이 유니코드 프레임워크를 사용해, 해커들은 동일한 워드 문서 첨부파일에 숨어있는 난독화 된 악성 URL에 대한 GET 요청을 트리거링 할 수 있도록 코드를 수정했습니다. 이 링크들은 써드파티 웹 리소스에 위치한 PHP 스크립트를 가리킵니다. 결과적으로 공격자는 컴퓨터에 설치 된 소프트웨어에 대한 정보를 받게 됩니다.


연구원들은 공개 되지 않은 마이크로소프트의 기능을 INCLUDEPICTURE 필드로만 식별했습니다. 또한 마이크로소프트 오피스 문서는 INCLUDEPICTURE 필드에 대한 어떠한 설명도 제공하지 않는다고 밝혔습니다.






출처 :

https://threatpost.com/attackers-use-undocumented-ms-office-feature-to-leak-system-profile-data/128011/



관련글 더보기

댓글 영역