악성 문서와 구글 블로그를 이용한 해킹 사례

날이 갈수록 보안 솔루션에 걸리지 않기 위해 해킹에 사용하는 수법들이 교묘하게 발전하고 있는데요. 이번 글에서는 악성 문서와 구글 블로그를 이용한 해킹 사례에 대해서 말씀드릴까 합니다. 악성 문서는 이전에 설명드린 "매크로를 사용한 부고 안내문 사칭 메일 사례"에서 동작 방식에 대해 충분히 설명드렸으니, 여기서는 다른 사례들과의 차이점에 대해서만 말씀드리고 넘어가도록 하고요. 이번 사례에서 봐야할 것은 구글 블로그를 사용해서 보안 솔루션의 탐지를 우회했다는건데, 이 부분에 대해서 자세하게 설명드려보도록 하겠습니다.

​

이번 해킹 사례에서 사용된 학술대회 참가 양식으로 위장한 워드 문서 악성코드에서는 보안 솔루션을 우회하기 위해 보안 문서처럼 암호를 설정했다고 합니다. 일반적으로 보안 솔루션에서 문서형 악성코드를 탐지하기 위해서는 문서 내부의 매크로를 추출해서 분석해야하는데, 암호가 걸려있다면 이를 복호화하하지 않고서는 분석이 불가능하겠죠. 아마 암호는 메일 본문에에 적혀있었을테고 사용자가 직접 입력해서 실행하는 형태였을 것으로 생각됩니다. 이 방법은 보안 솔루션 탐지를 피하기 위해 해커들이 많이 사용하는 수법인데, 보통 메일 보안 솔루션에서는 메일 내에 암호 관련 문자열을 찾아서 대입하는 방식으로 대응하고 있습니다.

​

또한 인용한 기사 외에 보안 업체의 분석 리포트를 확인해봤는데 해당 리포트에서는 문서를 오픈하는 것만으로는 악성 행위를 하지 않고, 사용자가 문서에 텍스트를 입력할 때 매크로가 실행된다고 합니다. 물론 그 전에 콘텐츠 사용 버튼을 눌러야 매크로가 실행되겠죠. 행위 기반으로 악성코드를 분석하는 동적 분석 시스템을 우회하기 위해 사용자 이벤트가 없다면 악성 행위를 하지 않도록 만든 것으로 보입니다. 최근 문서형 악성코드의 특징이라고도 할 수 있는데, 문서를 50 페이지 이상 열람했을 때 악성 행위가 수행되는 등 사용자가 특정 행위를 할 때 매크로가 동작하도록 만드는 것이 트렌드라고 보시면 됩니다.

​

다음으로 구글 블로그를 이용한 부분에 대해 말씀드리기 전에, 전체적인 악성코드 동작 방식을 언급하고 넘어가도록 하죠. 사용자가 위에서 말씀드린 악성 문서를 실행해서 매크로가 수행되면 해커의 C2 서버를 통해 정상 파일처럼 위장한 'desktop.ini' 파일을 생성하고, PC 부팅 시마다 자동실행되도록 시작 프로그램에 해당 파일의 바로가기를 등록합니다. 'desktop.ini' 파일에서는 해커가 구축한 구글 블로그에 접속을 시도하고 사용자의 시스템 정보를 유출하는 코드가 포함되어 있습니다.

​

구글 블로그를 통신하는 부분 또한 인용한 기사에서 자세한 설명이 없어서 보안 업체의 리포트를 확인했는데, 해커가 구글 블로그를 만들고 악성 스크립트를 Base64 인코딩하여 게시물을 올려놓은 것으로 보입니다. 즉, 위에서 말씀드린 'desktop.ini'에서도 구글 블로그의 Open API나 HTTP 통신을 통해 게시물에서 Base64 인코딩된 문자열을 읽어와서 이를 복호화시키고, 복호화된 악성 스크립트는 시스템 정보를 외부로 유출시키는.. 이렇게 복잡하게 몇 단계를 더 거친 이유는 결국 보안 솔루션을 우회하기 위한 것으로 보입니다.

​

시스템 정보 유출 시 사용자 이름이나 OS 버전, 오피스 버전, 현재 프로세스 목록 등을 확인하는 것으로 언급되었는데, 마치 추후 공격을 위해서 정보를 더 수집하는.. APT 공격의 양상을 보이기도 하죠. 특히 현재 프로세스 목록을 확인하는 것은 사용자 PC에서 실행되는 보안 솔루션이 무엇인지 체크하는 용도가 아닐까 생각해봅니다.

 

[단독] 북한 해커조직 김수키, 민간 전문가도 노렸다! 구글 블로그 이용한 해킹

최근 공식 블로그에 악성 스크립트를 올려두고 명령 제어 서버로 활용하는 사례들이 종종 나오고 있기 때문에 보안 솔루션에서 탐지하기 더 어려운 실정입니다. 그도 당연한게 보안 솔루션에서는 공식 블로그와 통신하는 것을 이상 행위로 보지 않을 것이기 때문이죠. 이 글을 쓰면서 보안 업체에서 이런 공격 시나리오에 모두 대응하려면 정말 끝이 없겠다는 생각이 듭니다. 그럼 오늘은 여기까지 설명을 드리도록 하고 이만 줄이도록 하죠. 다음 에세이에서 뵙겠습니다. 감사합니다.