Mark of the Web (MoTW) 우회 취약점
개요
Mark of the Web (MoTW) 은 사용자가 인터넷을 통해 다운로드한 파일을 식별하여 보안 경고를 표시하는 윈도우의 기능이며, 파일 실행 시 보안 경고창을 띄우거나 보호모드에서 실행하도록 제한한다. 하지만 공격자들은 다양한 방식으로 Mark of the Web (MoTW) 를 우회하고 있으며, 초기 침투 혹은 악성코드 유포 시 해당 방법을 활용하고 있다. 본 게시 글에서는 Mark of the Web (MoTW) 의 기본 개념과 구성요소를 살펴보고, 주요 우회 취약점 및 악용 사례에 대해 다루고자 한다.
Mark Of The Web 이란?
Mark of the Web (MoTW) 은 Microsoft Windows 운영체제의 보안 기능 중 하나로, 인터넷에서 다운로드한 파일에 “Zone.Identifier”라는 NTFS Alternate Data Stream(ADS)을 추가하여 해당 파일의 출처를 표시한다. 이를 통해 사용자가 인터넷에서 받은 파일을 실행할 때 보안 경고를 표시하거나 실행을 제한하는 역할을 한다.
Mark of the Web (MoTW) 가 적용된 파일은 다음과 같은 특징을 가진다.
-
Microsoft Office 문서: Protected View 모드에서 열림
- 실행파일(.exe, .dll): Windows SmartScreen 경고 발생
- 스크립트 파일(.js, .vbs, .ps1): 실행 경고 또는 차단
예를 들어, 인터넷에서 다운로드한 실행 파일(.exe), 스크립트 파일(.ps1), 오피스 문서(.docx, .xlsx) 등을 실행할 때 다음과 같은 보안 경고 메시지가 나타난다.
[그림 1] Mark of the Web(MotW)이 적용된 오피스 문서
[그림 2] Mark of the Web(MotW)이 적용된 실행 파일
Zone.Identifier ADS는 “파일명:Zone.Identifier:$DATA” 형태로 파일 경로에 생성되며, 파일의 출처에 관한 정보를 포함한다. 파일의 출처와 관련된 정보를 포함하는 ZoneTransfer 섹션은 다음과 같은 형식을 가진다.
| Zone.Identifier 구조 및 설명 | |
|---|---|
|
[ZoneTransfer] ZoneId= ReferrerUrl= HostUrl= |
Zone.Identifier 섹션임을 표시 파일의 보안 영역 정보 파일을 다운로드한 웹 페이지 실제 파일이 다운로드 된 URL |
윈도우는 파일의 보안 영역 정보(ZoneId)를 다음과 같이 구분한다.
|
ZoneId |
설명 |
|---|---|
| 1 |
로컬 컴퓨터 영역 |
| 2 |
로컬 인트라넷 영역 |
| 3 |
신뢰할 수 있는 사이트영역 |
| 4 |
인터넷영역 (기본적으로 MOTW 적용) |
| 5 |
제한된 사이트 영역 |
특정 파일에 대한 Zone.Identifier는 다음과 같이 확인할 수 있다.
|
CmdLine을 이용한 확인 |
|---|
|
 [그림 3] CmdLine을 이용한 Zone.Identifier 확인 |
|
PowerShell을 이용한 확인 |
|---|
|
 [그림 4] Powershell을 이용한 Zone.Identifier 확인 |
주요 우회 취약점 및 악용 사례
최근 다양한 Mark of the Web (MoTW) 우회 취약점이 발견되었으며, 공격자들은 이를 악용하여 악성코드를 유포하거나 초기 침투 시 활용하고 있다.
1. 7-Zip Mark of the Web(MoTW) 우회 취약점 (CVE-2025-0411)
일반적으로 압축 파일 내부의 파일은 Mark of the Web (MoTW) 속성을 유지한다. 하지만 7-Zip 24.09 이전 버전에서 이중 압축된 파일의 Mark of the Web (MoTW) 플래그가 제대로 전파되지 않는 취약점(CVE-2025-0411)이 발견되었다. 이 취약점을 악용하면 이중 압축 파일 내부의 파일 실행 시 보안 경고가 발생하지 않는다. 이 취약점은 2024년 9월부터 러시아 해커들에 의해 우크라이나의 정부 및 민간 조직을 대상으로 한 제로데이 공격에서 악용되었다. 공격자들은 SmokeLoader와 같은 악성코드를 배포하기 위해 이 취약점을 활용했다.
2. LNK Stomping (CVE-2024-38217)
윈도우 바로가기(.lnk) 파일은 실행 파일을 가리키는 바로가기 파일로 사용자가 이를 클릭하면 해당 프로그램이 실행되며, 기본적으로 MOTW가 적용된다. 그러나 바로가기 파일이 추가 문자(예: 마침표)로 끝나는 실행 파일을 가리키는 경우(예: powershell.exe.) 윈도우는 경로에서 추가문자를 자동으로 제거하고 수정된 바로가기 파일을 디스크에 다시 저장하는데 이 과정에서 MOTW가 제거된다. 이로 인해 SmartScreen과 Smart App Control이 해당 파일을 악성으로 인식하지 못하게 되고, 악성 프로그램이 경고없이 실행될 수 있다. Elastic Security 연구원인 Joe Desimone은 24년 8월에 이 결함에 대한 블로그 게시물을 게시했는데, 공격자들이 수년간 이 취약점을 악용해 왔다고 보고했다.
3. Copy2Pwn (CVE-2024-38213)
WebDAV는 HTTP를 확장한 프로토콜로, 파일 공유 및 버전 관리를 지원하는데 WebDAV 공유 폴더에서 공유되는 파일을 복사하는 경우 윈도우 탐색기(Windows Explorer)가 처리하며 MOTW 속성을 적용하지 않는다. 이 취약점은 DarkGate 캠페인과 같은 실제 공격에서 악용되었다. 공격자들은 WebDAV 공유를 통해 악성 파일을 배포하고, 이를 통해 사용자의 시스템에 LummaStealer와 같은 악성코드를 설치하여 민감한 데이터를 탈취했다.
결론
Mark of the Web (MoTW) 우회 취약점은 악성 파일이 사용자 시스템에서 경고 없이 실행될 수 있도록 하여 보안 위험을 증가시킨다. 이러한 취약점을 악용한 사례는 사용자에게 심각한 피해를 줄 수 있으며, 이를 방지하기 위해서는 최신 보안 업데이트를 적용하고, 의심스러운 파일을 열지 않는 것이 중요하다. 보안 소프트웨어를 사용하여 MOTW 속성을 기반으로 파일의 출처를 확인하고, 악성 파일을 탐지하는 것이 필요하다.
참고자료
- MITRE ATT&CK – Mark of the Web
- https://www.trendmicro.com/en_us/research/25/a/cve-2025-0411-ukrainian-organizations-targeted.html
- https://www.elastic.co/security-labs/dismantling-smart-app-control
- https://veriti.ai/blog/veriti-research/cve-2024-38213
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
