• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

악성 RTF 파일 통해 정보 탈취 멀웨어 퍼지고 있다 2018.10.17

RTF 표준의 복잡함 악용해 탐지 회피하는 캠페인
최종 페이로드는 에이전트 테슬라와 로키...둘 다 정보 탈취형 멀웨어

[보안뉴스 문가용 기자] 악성 RTF 파일을 사용해 정보를 탈취하는 공격 캠페인이 시스코 탈로스(Cisco Talos) 팀에 의해 발견됐다. 공격은 여러 단계에 거쳐 진행되며, 백신의 탐지를 우회하기 위한 방법도 사용하고 있었다고 한다. 최종 페이로드는 여러 가지인데 에이전트 테슬라 트로얀(Agent Tesla Trojan)과 로키(Loki)도 포함되어 있다고 한다.

[이미지 = iclickart]


공격의 처음은 악성 문건이다. CVE-2017-11882 취약점을 노린 것으로, 이 취약점은 1년 전 마이크로소프트가 패치한 것이다. 당시에도 공격자들이 이 취약점을 중심으로 구성된 공격 인프라를 통해 에이전트 테슬라와 로키를 배포하고 있었다. 그런데 1년이 지나 동일한 공격이 또 다시 발견된 것이다. 심지어 에이전트 테슬라와 로키 외에 가마루(Gamarue) 같은 다른 멀웨어가 배포되고 있기도 했다.

에이전트 테슬라 등을 배포하는 RTF 파일은 바이러스토탈(VirusTotal)의 멀티엔진 백신 스캐닝 웹사이트에서 거의 탐지되지 않는다고 탈로스 팀은 설명한다. “오피스의 수식 편집기(Equation Editor)의 취약한 부분을 악용해 파일을 다운로드 받고 scvhost.exe라는 프로세스를 생성합니다. 그렇게 하고 나서 스스로의 또 다른 인스턴스를 만들고 C&C 통신을 시작합니다.”

RTF 파일은 매크로 언어를 호환하지 않는다. 하지만 MS의 객체 연계 매입(OLE) 객체들과 매킨토시 에디션 관리자(Macintosh Edition Manager)의 구독자 객체들은 호환이 된다. 즉 공격자들은 RTF 내에 객체들을 엠베드 하는 방식으로 수식 편집기를 악용할 수 있다. 또한 이렇게 함으로써 고차원적인 난독화까지 적용된다.

“이와 똑같은 방식으로 시스템을 감염시키는 캠페인을 몇 개 더 발견했습니다. 다만 최종 페이로드가 달랐습니다. 테슬라가 아니라 로키였거든요.” 시스코의 설명이다.

에이전트 테슬라는 기본적으로 정보를 탈취하는 멀웨어이지만, 추가적인 멀웨어를 다운로드 받는 기능도 가지고 있다. 또한 합법적으로 운영하는 기업이 양지에서 판매하고 있는 소프트웨어이기도 하다. 이 회사는 에이전트 테슬라를 두고, “비밀번호 복구 및 자녀 모니터링에 적합한 제품”이라고 설명하고 있다. 하지만 범죄자들은 이 테슬라를 활용해 비밀번호들을 훔쳐내고 있다.

에이전트 테슬라는 비밀번호를 탈취하기 위해 크롬, 파이어폭스, 인터넷 익스플로러, 얀덱스, 오페라, 아웃룩, 썬더버드, 인크레디메일(IncrediMail), 유도라(Eudora), 파일질라(FileZilla), 윈SCP(WinSCP), FTP 내비게이터(FTP Navigator), 팔토크(Paltalk), 인터넷 다운로드 관리자(Internet Download Manager), J다운로더(JDownloader), 애플 키체인(Apple Keychain), 시멍키(SeaMonkey), 코모도 드래곤(Comodo Dragon), 플록(Flock), 딘DNS(DynDNS) 등을 겨냥해 공격한다.

에이전트 테슬라에는 SMTP, FTP, HTTP를 통한 정보 유출 기능이 포함되어 있다. 하지만 현재까지 발견된 건 전부 HTTP POST만을 사용하고 있었다. 테슬라가 훔친 정보는 암호화 되어 C&C 서버로 전송된다.

“테슬라를 악용하고 있는 자들은 RTF 표준을 잘 활용하고 있습니다. 왜냐하면 RTF 표준이라는 것이 상당히 복잡하게 구성되어 있기 때문입니다. 또한 MS 오피스 취약점에 대한 기존 익스플로잇 방법을 살짝 수정하여 사용하고 있기도 합니다. 공격자들이 이를 직접 수정한 건지 혹은 셸코드를 생성해내는 툴을 사용해서 한 건지는 아직 더 조사해야 할 부분입니다.”

3줄 요약
1. CVE-2017-11882 취약점 익스플로잇 하는 RTF로 시작하는 공격 발견됨.
2. 이 공격은 1년 전에도 있었음. 그 때나 지금이나 최종 페이로드는 에이전트 테슬라 혹은 로키.
3. 테슬라와 로키 모두 정보 탈취형 멀웨어. 정보는 암호화되어 C&C 서버로 전달.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>