윈도우 MSDT 0-day 취약점 ‘DogWalk’ V3 탐지

6월 8일 해커뉴스(thehackernews.com)에 의해 DogWalk 이라는 새로운 윈도우 제로데이 취약점이 공개되었다. MS 오피스 문서 대상으로 한 Follina 취약점과 동일하게 MSDT(Microsoft Support Diagnostic Tool)에서 발생하는 취약점으로 압축형식의 “.diagcab” 확장자 파일을 실행 시, 윈도우 시작 폴더에 악성파일이 복사될 수 있는 위험성이 확인되었다. 악성파일이 동작하기 위해서는 재부팅이 필요하다는 제약사항이 있지만 MS 패치가 공개되지 않은 상황에서 공격에 노출될 수 있는 위험한 상황이다.

안랩 분석팀에서는 해당 취약점 공격에 대해 V3 행위탐지 기능을 사용 시, 사전 탐지가 가능함을 소개한다. 웹 브라우저나 아웃룩을 통해 제공받은 “.diagcab” 파일을 다운로드 후, 실행하게되면 msdt.exe 프로세스에 의한 윈도우 시작폴더에 실행파일이 복사되는 행위를 탐지 및 삭제하게 된다.

  • 시작프로그램 경로: C:\Users\사용자계정\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

아래의 사진은 V3 행위탐지 기능을 통해 해당 취약점 발현 시 탐지하는 것을 나타낸다.

[그림-1] DogWalk 취약점 공격 행위탐지 화면(1/2)

msdt.exe 행위 차단 상세 내용은 아래와 같다.

[그림-2] msdt.exe 프로세스 실행 차단 화면(2/2)
V3 설치/미설치 환경 비교 동영상

[V3 행위진단]
– InitialAccess/MDP.Event.M4331 (V3: 2022.06.15.00)

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:, , ,

5 2 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments