MS Word 매크로 기법이 아닌 DDE 방식을 이용한 랜섬웨어 감염 기법 주의
안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
최근 세계적으로 Locky 랜섬웨어 유포 방식에 새로운 변화가 생기고 있습니다. 기존에는 주로 MS Word 'DOC' 파일의 매크로(Macro) 기능이나 'JS', 'JSE', 'Java', 'VBS' 등의 스크립트를 이메일에 첨부해 감염을 유도하는 기법을 사용했습니다.
그런데 최근 한달 사이에 MS Word의 매크로 기능이 아닌 DDE(Dynamic Data Exchange) 프로토콜을 활용해 대대적인 공격을 시작했습니다.
DDE 프로토콜은 윈도우 운영체제에서 응용프로그램 간 데이터 전송을 위해 사용하는 프로토콜 입니다.
[참고자료]
https://msdn.microsoft.com/en-us/library/windows/desktop/ms648774(v=vs.85).aspx
https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/
국내에도 이메일 첨부파일을 통해 유입이 다수 확인되고 있으므로, 이용자 분들의 각별한 주의가 요망됩니다.
우선 국내에 유입된 실제 사례들을 살펴보면, 대체로 영문기반으로 작성된 이메일 형식을 갖추고 있습니다.
[그림 1] 한국에 유입된 DDE 기법의 Locky 랜섬웨어 유포 이메일 사례
이메일 제목과 본문, 첨부파일 이름 등은 유포시점에 따라 다양하게 변경되고 있습니다. 주로 스캔한 팩스 데이터나 인보이스 DOC 파일 처럼 위장하고 있는 것이 특징입니다.
첨부된 파일을 다운로드하여 실행할 경우 다음과 같은 화면이 나타나게 됩니다.
[그림 2] DDE 기능을 사용한 MS Word doc 파일 실행 화면
인터넷에서 다운로드된 파일이기 때문에 기본적으로 제한된 보기 기능을 보안주의 메시지가 보여집니다. 이용자가 이 문서가 위험할 수 있다는 것을 사전에 인지해 종료를 선택하게 되면 추가적인 보안위협에 노출되는 것으로 예방할 수 있습니다.
그러나 평소에 인터넷을 통해 MS Word '.doc' 파일을 자주 다운로드해 사용하거나 큰 문제를 경험한 적이 없는 이용자들의 경우 무심코 [편집 사용] 버튼을 클릭할 가능성은 충분히 존재합니다. 하지만 이와 유사한 형태의 파일을 목격할 경우 절대 실행하지 않아야 합니다.
만약 [편집 사용] 버튼을 클릭하게 되면 다음과 같은 메시지 창들이 순서에 따라 나타나게 됩니다.
[그림 3] 편집 사용 버튼을 클릭 시 보여지는 화면
이 문서에 다른 파일을 참조하는 링크가 존재한다는 주의 안내가 나타나고 이용자로 하여금 연결된 데이터로 문서로 업데이트 할 것인지 선택을 대기하게 됩니다.
물론 여기서도 [아니오] 버튼을 클릭하게 되면 추가적인 보안위협에 노출되는 것을 차단할 수 있습니다. 반대로 [예] 버튼을 클릭하게 되면 다음과 같은 추가 명령 내용이 보여지게 됩니다.
[그림 4] DDE 기능을 통해 파워쉘 명령이 실행되는 화면
파워쉘(Powershell) 명령을 통해 또 다른 응용프로그램 실행을 요청하게 됩니다. 그 과정에 아래와 같은 추가 메시지 창이 나타날 수 있고, 여러 웹 사이트에 연결을 시도합니다.
[그림 5] DDE 기능으로 연결되는 명령제어서버가 동작하지 않는 경우의 화면
공격자는 파워쉘 명령을 통해 접속에 성공할 때까지 다수의 명령제어서버(C2)로 접속을 유도하게 됩니다.
[그림 6] 파워쉘 명령을 통해 명령제어서버로 접속을 시도하는 화면
초반에 서버 접속이 실패하는 경우 추가적인 웹 사이트 접속을 시도하면서 악성파일(Locky 랜섬웨어)을 다운로드하고 실행하게 됩니다.
[그림 7] DDE 기능으로 다수의 명령제어서버로 접속을 시도하고 성공하는 화면
특정 해외 명령제어서버(C2)와 연결이 성공되면 악성파일이 이용자의 임시폴더(Temp) 경로에 다운로드되고 실행됩니다. 아래 화면은 실제 다운로드된 Locky 랜섬웨어의 화면입니다.
최근 Locky 랜섬웨어는 유포지 차단을 회피하기 위해 다양한 명령제어서버(C2)를 구축해 사용하고 있는 특징이 있습니다.
[그림 8] 랜섬웨어가 다운로드되어 생성되고 실행된 화면
다운로드된 'hti4.exe' 는 다수의 변종이 존재하는 형태로 유포가 되고 있으며, 감염이 이뤄지면 다음이 주요 파일들을 암호화하고 확장자를 '.asasin' 이름으로 추가하게 됩니다.
[그림 9] 랜섬웨어가 정상 파일들을 암호화시키고 확장자를 변경한 화면
암호화 작업이 완료되면 바탕화면을 다음과 같이 변경하고, 랜섬노트 화면 등을 강제로 보여주게 됩니다.
[그림 10] 랜섬웨어가 암호화를 완료한 후 바탕화면 등을 변경한 화면
이스트시큐리티 시큐리티대응센터는 한국인터넷진흥원(KISA)과 신속하게 관련 정보를 공유해 한국의 유포지 및 명령제어서버(C2) 차단에 긴밀하게 협력하고 있습니다.
알약에서는 Trojan.Ransom.LockyCrypt 탐지명으로 다수의 변종을 지속적으로 추가하고 있는 상태이며, 또 다른 변종 출현에 대비에 랜섬웨어 보안 모니터링을 강화하고 있습니다.
※ [대응방안] DDE 기능을 특별히 사용하지 않는 경우 다음과 같이 해제하는 것을 권장해 드립니다.
(MS 오피스 워드 2013 기준)
① MS 오피스 워드 실행
ㄴ ② 파일 메뉴
ㄴ ③ 좌측 하단 옵션
ㄴ ④ 고급
ㄴ ⑤ 일반
ㄴ ⑥ [문서를 열 때 자동 연결 업데이트(U)] v 체크 해제