감염된 PowerPoint 파일을 열면 해커가 컴퓨터에 침입하는 데 어떻게 도움이 됩니까?

Microsoft Office의 원격 코드 실행 취약점(CVE-2017-0199)은 Windows OLE(Object Linking and Embedding)에 존재하므로 올해 4월에 패치가 출시되었습니다. 그러나 위험은 여전히 ​​다른 방식으로 나타날 수 있습니다.

Trend Micro의 사이버 보안 연구원들은 동일한 취약점을 사용하는 새로운 악성 코드 캠페인을 발견했지만 PowerPoint(PPSX) 파일 뒤에 숨겨져 있는 것은 이번이 처음입니다.

이들 연구원에 따르면 공격은 케이블 제공업체의 가짜 이메일 첨부 파일로 시작되며 주로 전자 제조 업계의 회사를 대상으로 합니다. 연구원들은 이러한 유형의 공격이 영업 부서의 실제 이메일로 위장한 보낸 사람 주소를 사용하는 것으로 믿고 있습니다.

파워포인트 파일을 통한 공격 방법

1단계 : 이메일의 첨부 파일에는 감염된 PowerPoint 파일(PPSX)이 포함되어 있어 주문에 대한 배송 정보를 제공하는 것처럼 보입니다.

주문 정보를 제공하는 내용이 포함된 가짜 이메일

2단계 : 실행되면 PPSX 파일은 미리 프로그래밍된 XML 파일을 호출하여 원격 주소에서 logo.doc 파일을 다운로드하고 PowerPoint 쇼 기능을 통해 실행합니다.

3단계 : logo.doc 파일은 CVE-2017-0199 취약점을 악용하여 대상 시스템에서 RATMAN.exe를 다운로드하고 실행합니다.

4단계 : RATMAN.exe는 Remcos 원격 제어 도구의 트로이 목마 버전으로, 이 도구를 설치하면 공격자가 원격 C&C 서버에서 감염된 컴퓨터를 제어할 수 있습니다.

Remcos는 원래 합법적인 도구였지만 해커가 트로이 목마 버전을 만들었습니다.

Remcos는 사용자가 로딩, 명령줄 실행, 책상 활동 기록, 키보드, 화면 및 웹캠 기록, 마이크와 같은 특정 기능을 사용하여 전 세계 어디에서나 시스템을 제어할 수 있는 합법적이고 사용자 정의 가능한 원격 액세스 도구입니다.

이 취약점은 감염된 RTF(서식 있는 텍스트 파일) 파일을 검색하는 데 사용되므로 CVE-2017-0199를 탐지하는 대부분의 방법은 RTF에 중점을 둡니다. 새로운 PPSX 파일을 사용하면 공격자가 바이러스 탐지 도구를 우회할 수도 있습니다.

이러한 유형의 공격으로부터 자신을 보호하는 가장 쉬운 방법은 이 주소에서 4월에 출시된 Microsoft 패치를 다운로드하는 것입니다. https://portal.msrc.microsoft.com/en-US/eula