지난 몇 년 동안 개체 연결 삽입(OLE)/Microsoft Office 파일을 통한 매크로 기반 공격이 목격되어 왔습니다. 그러나 현재 공격자들은 Office 파일을 통해 악성 코드를 유포하는 다른 기법, 즉 '동적 데이터 교환(Dynamic Data Exchange)'이라는 새로운 공격 벡터를 사용하고 있습니다.DDE) '.
DDE는 Microsoft Office에서 공식적으로 지원하는 기능으로, 응용 프로그램 간 데이터 전송을 위한 여러 가지 방법을 제공합니다. 통신 프로토콜이 설정되면 사용자 상호 작용 없이도 응용 프로그램 간 데이터 교환이 가능합니다. DDE 기능은 Word 및 Excel 문서뿐만 아니라 RTF 및 Outlook 파일도 지원합니다.
기술적 세부 사항
이 공격은 그림 1에서 볼 수 있듯이 악성 문서 파일을 첨부한 스팸 이메일로 시작됩니다.
마이크로 소프트 워드 응용 프로그램 즉, 'winword.exe' 이 첨부 파일을 엽니다 DDE 코드를 실행합니다. 던졌습니다 사용자 프롬프트가 어떤 라고 그 이 문서 일부 링크가 포함되어 있습니다 5월 참조 다른 파일에서 데이터를 가져오는 방법. 그림 2는 이 프롬프트.
사용자가 선택하는 경우 가능, 원격 데이터 실행 정보를 보여주는 또 다른 사용자 프롬프트가 표시됩니다. 여기서 사용자가 가능, 공격은 성공할 것이다.
그림 3은 원격 데이터에 대한 정보를 보여줍니다(이는 경우에 따라 다를 수 있음).
이러한 사용자 프롬프트 중 하나에서 사용자가 선택하는 경우 아니, 공격은 실패할 것이다.
DDE 코드가 포함된 악성코드는 PowerShell 및 기타 코드를 매개변수로 사용하여 'cmd.exe'를 실행합니다. PowerShell은 백그라운드에서 페이로드를 다운로드하여 자동으로 실행합니다. 페이로드에는 모든 유형의 악성코드가 포함될 수 있습니다. 그림 4는 DDE 코드 유형 중 하나를 보여줍니다.
서명 기반 탐지를 피하기 위해 맬웨어 작성자는 다음을 포함한 다양한 난독화 기술을 사용합니다.
난독화 기술 1
DDE와 PowerShell 코드를 서로 다른 태그로 분할합니다.
난독화 기술 2
base64로 인코딩된 PowerShell 코드입니다.
난독화 기술 3
각 문자의 정수 값으로 인코딩된 PowerShell 코드입니다.
디코딩 위 코드의 버전:
DDE 기반 오피스 악성코드 공격 기법은 공격자에게 매우 간단합니다. 이러한 추세는 앞으로 악성코드 개발자들에 의해 확산될 것으로 예상됩니다.
예방 m확신하다
- DDE를 사용하지 않을 때는 비활성화하는 것을 고려하세요.
- 사용자 인터페이스를 통해 DDE 기능을 비활성화하려면: 파일 -> 옵션 -> 보안 센터 -> 보안 센터 설정 -> 외부 콘텐츠 -> 통합 문서 링크에 대한 보안 설정 = 통합 문서 링크의 자동 업데이트 비활성화.
- 원치 않거나 예상치 못한 출처에서 온 이메일의 첨부 파일은 다운로드하거나 열지 마세요.
- 운영 체제에 권장되는 모든 보안 업데이트와 패치를 적용하세요.
지표 c타협:
53c1d68242de77940a0011d7d108c098
106776A1A0F1F15E17C06C23CBFE550E
31362967C1BFE285DDC5C3AB27CDC62D
주제별 전문가
- 아니루다 돌라스, 프라샨트 타일카르| Quick Heal 보안 연구소
