6월 8일 해커뉴스(thehackernews.com)에 의해 DogWalk 이라는 새로운 윈도우 제로데이 취약점이 공개되었다. MS 오피스 문서 대상으로 한 Follina 취약점과 동일하게 MSDT(Microsoft Support Diagnostic Tool)에서 발생하는 취약점으로 압축형식의 “.diagcab” 확장자 파일을 실행 시, 윈도우 시작 폴더에 악성파일이 복사될 수 있는 위험성이 확인되었다. 악성파일이 동작하기 위해서는 재부팅이 필요하다는 제약사항이 있지만 MS 패치가 공개되지 않은 상황에서 공격에 노출될 수 있는 위험한 상황이다.
안랩 분석팀에서는 해당 취약점 공격에 대해 V3 행위탐지 기능을 사용 시, 사전 탐지가 가능함을 소개한다. 웹 브라우저나 아웃룩을 통해 제공받은 “.diagcab” 파일을 다운로드 후, 실행하게되면 msdt.exe 프로세스에 의한 윈도우 시작폴더에 실행파일이 복사되는 행위를 탐지 및 삭제하게 된다.
- 시작프로그램 경로: C:\Users\사용자계정\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
아래의 사진은 V3 행위탐지 기능을 통해 해당 취약점 발현 시 탐지하는 것을 나타낸다.
msdt.exe 행위 차단 상세 내용은 아래와 같다.
[V3 행위진단]
– InitialAccess/MDP.Event.M4331 (V3: 2022.06.15.00)
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보