• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

숨어 있는 오피스 기능 서브독 통해 크리덴셜 도난당한다 2018.01.08

MS 워드의 ‘문서 내 문서 로딩’ 기능인 서브독, 악용 가능
숨어 있는 기능 많아...앞으로도 새로운 공격 기술 더 나올 듯

[보안뉴스 문가용 기자] 마스터 문서로부터 서브 문서를 로딩하게 해주는 마이크로소프트 워드 내 기능이 공격자들에 의해 악용될 수 있다는 연구 결과가 나왔다. 이 공격이 성공적으로 통하면 사용자의 크리덴셜을 훔쳐내는 것이 가능해진다. 보안 업체 라이노 시큐리티(Rhino Security)가 발표한 내용이다.

[이미지 = iclickart]


문제가 된 기능의 이름은 서브독(subDoc)으로 문서 자체를 또 다른 문서의 본문에 삽입해준다. 서브독 기능을 통해 로컬에 있는 문서 파일만이 아니라 인터넷에 있는 원격 파일들 역시 로딩하는 게 가능한데, 이것이 공격의 빌미가 된다. 라이노 시큐리티에 의하면 서브독 기능은 attachedTemplate라는 워드 내 또 다른 기능과 비슷하며, 이 역시 악용될 소지가 있는 부분이라고 한다.

샌드박스에서 실험을 해본 결과 서브독을 어뷰징하는 데 성공하면 attachedTemplate 역시 공략할 수 있다는 걸 알아낼 수 있었다고 라이노 시큐리티는 밝힌다. 둘 다 공격자가 원격 크리덴셜 탈취를 실시할 수 있게 해준다는 것이다. 또한 외부로 송출되는 SMB 요청을 거르지 않는 기업들이 실제로 많다는 것을 지적했는데, 이런 실상들이 결합되면 NTML v2 해시를 유출시킬 수 있다는 뜻이라고 라이노 측은 설명했다.

이를 증명하기 위해 라이노 시큐리티는 다음과 같은 과정으로 실험을 진행했다.
1) 먼저 문서를 만들고,
2) 서브독 기능을 통해 외부 문서를 불러왔다.
3) 이 때 UNC(Universal Naming Convention) 경로를 활용했다.
4) UNC 경로를 통해 라이노가 통제할 수 있는 곳을 링크시켰다.

여기까지 하니 리스폰더(Responder)를 로딩해 내부로 들어오는 SMB 요청을 파악하고 NTML v2 해시를 수집하는 게 가능해졌다. 리스폰더란 LLMNR, NBT-NS, MDNS 포이즈너로 깃허브에 공개되어 있다. 원래는 파일 서버 서비스(File Server Service) 요청에 대응하기 위해 설계됐다. 리스폰더의 깃허브 소스는 여기(https://github.com/SpiderLabs/Responder)서 열람이 가능하다.

“리스폰더 서버를 C&C 서버에서 운영하면서 악성 문서를 몇몇 공격 대상들에게 발송하는 것이 가장 대표적인 공격 과정”이라고 라이노는 설명한다. “피해자들이 문건을 열면 그와 관련된 해시들을 가로채고, 해시캣(hashcat) 등을 활용해 크래킹합니다. 그렇게 찾아낸 크리덴셜을 활용해 네트워크 내에서 횡적으로 움직일 수 있게 되죠.”

사용자가 클릭해 문건이 열리면 서브독 기능은 자동을 문서가 아니라, 문서가 될 뻔했던 링크를 로딩한다. 하지만 사용자가 이 링크를 클릭해야만 악성 페이로드가 발동되는 건 아니다. “그래서 아예 악성 링크를 사용자의 눈으로부터 감추는 게 더 나을 겁니다. 그러면 공격에 대한 단서가 하나 줄어드는 거니까요.”

서브독을 통한 공격법은 현대의 백신 솔루션 대부분이 탐지하지 못한다고 한다. 서브독이라는 기능이 악의적으로 활용된 예가 한 번도 없었기 때문이다. 라이노 시큐리티는 서브독 기능을 보다 안전하게 활용할 수 있도록 돕는 툴을 개발해 공개했다. 이 역시 깃허브에서 열람(https://github.com/RhinoSecurityLabs/Security-Research/blob/master/tools/ms-office/subdoc-injector/subdoc_injector.py)이 가능하다.

“MS 오피스는 문서화 되지 않은 ‘숨어 있는’ 기능을 너무 많이 가지고 있어요. 그래서 보안 전문가들과 해커들이 많이 탐구할 수밖에 없죠. MS 오피스와 관련된 공격들이 자주 등장하는 이유이기도 합니다. 앞으로도 이러한 사례는 계속해서 등장할 것입니다. 늘 보안 전문가들이 해커보다 먼저 새로운 기능의 악용 가능성을 발견하는 건 아니므로, 사용자들 역시 주의 깊게 오피스와 관련된 소식을 살펴보는 게 좋습니다.”

한편 라이노가 공개한 서브독 공격에 대한 내용 전문은 여기(https://rhinosecuritylabs.com/research/abusing-microsoft-word-features-phishing-subdoc/)서 열람이 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>