문서 파일과 크롬 브라우저로 위장한 악성코드 유포 중…주의!

문서 파일과 크롬 브라우저로 위장한 악성코드 유포 중…주의! AhnLab ASEC대응팀 / 2017-11-29      지난 9월에 알려진 취약점(CVE-2017-8759)을 이용한 악성코드가 지속적으로 유포되고 있다. 문서프로그램의 취약점을 이용한 이 악성코드는 사용자의 의심을 피하기 위해 최종적인 악성 행위를 수행하는 파일을 크롬 브라우저로 위장하는 등 교묘한 방식을 보이고 있다. 특히 해당 취약점이 알려진 직후 마이크로소프트(이하 MS)가 관련 보안 패치를 배포했음에도 불구하고 여전히 이를 이용한 공격이 지속되고 있어 사용자들의 적극적인 예방이 요구된다.   지난 9월, MS 오피스 RTF(Rich Text File Format) 파일로 위장한 악성코드가 발견되었다. 해당 악성코드는 닷넷 프레임워크(.Net Framework) 취약점(CVE-2017-8759)을 이용한 것으로, 공격자의 원격 명령에 의해 임의의 코드를 실행할 수 있다.   이 악성 RTF 파일이 실행되면 [그림 1]의 오른쪽과 같은 콘텐츠가 나타나며, 이와 동시에 백그라운드에서는 취약점을 이용한 추가 악성 파일이 다운로드 및 실행된다.   [그림 1] 악성 RTF 파일   이 과정에서 다운로드된 .hta 파일은 [그림 2]와 같이 mshta.exe를 통해 실행된다.   [그림 2] mshta.exe를 통해 실행되는 .hta 파일   실행된 .hta 파일은 [그림 3]와 같이 파워쉘 명령을 통해 최종 실행 파일을 다운로드하고 실행한다.   [그림 3] 파워쉘 명령을 통해 최종 실행 파일   이렇게 파워쉘 명령을 통해 실행되는 최종 파일은 [그림 4]와 같이 크롬 브라우저로 위장하고 있다. 크롬으로 위장한 파일은 자기 자신을 복사하고 특정 경로에 자신을 등록하여 컴퓨터가 시작될 때 마다 자동 실행된다.   [그림 4] 최종 악성 실행 파일 정보   자가 복사와 자동 실행 등록까지 마친 악성 파일은 C&C 서버와 접속을 시도하는데, 공격자의 추가 명령에 따라 악의적인 행위를 수행할 수 있다.   V3 제품군은 해당 악성코드를 아래와 같은 진단명으로 탐지하고 있다.   <V3 제품군 진단명> - RTF/Cve-2017-8759 - Trojan/Win32.Agent   CVE-2017-8759 취약점을 이용한 공격이 계속되는 만큼 닷넷 프레임워크(.NET Framework)가 설치된 시스템은 반드시 해당 보안 업데이트를 적용해야 한다. 해당 취약점에 영향을 받는 시스템 및 관련 패치 등 보다 자세한 내용은 아래 MS 보안 업데이트 웹사이트에서 확인할 수 있다.     ▶ MS 보안 업데이트 페이지 바로가기   또한 이번 사례를 통해서 알 수 있듯이 알려진 취약점을 이용한 악성코드 공격이 계속되는 만큼 안전한 PC 이용을 위해 OS 및 주요 애플리케이션의 보안 패치를 신속히 적용하는 습관이 필요하다.