[문서 파일] 악성 MS Office 일반적인 유형

Office 제품군의 광범위한 사용을 악용하여 맬웨어를 전달하거나 무단 작업을 실행합니다. 이러한 문서는 시스템이나 데이터를 손상시키는 데 사용하는 기술에 따라 분류될 수 있습니다. 일반적인 유형은 다음과 같습니다.

 

1. 매크로 사용 문서

이러한 문서에는 문서를 열 때 다양한 작업을 수행할 수 있는 VBA(Visual Basic for Application)로 작성된 작은 프로그램인 매크로(Macro)가 포함되어 있습니다. 공격자는 일단 활성화되면 맬웨어를 다운로드하거나 백도어를 생성하거나 기타 악의적인 활동을 수행할 수 있는 악성 매크로를 내장합니다. 이러한 파일은 일반적으로 매크로 기능을 나타내는 .docm, .xlsm 또는 .pptm과 같은 확장자를 갖습니다.

2. 문서 악용(Exploit)

악용 문서는 Microsoft Office 제품군 내의 취약점을 이용하여 문서를 여는 것 이상의 사용자 상호 작용 없이 악성 코드를 실행합니다. 이러한 익스플로잇은 소프트웨어의 특정 결함을 표적으로 삼아 기존의 보안 조치를 우회하여 시스템을 손상시킵니다. 문서 자체는 무해해 보일 수 있지만 취약한 응용 프로그램에서 처리할 때 취약점 악용을 트리거하도록 제작되었습니다.

3. DDE(Dynamic Data Exchange)/DDEAUTO 문서

DDE(동적 데이터 교환) 문서는 Office 응용 프로그램이 문서 간에 실시간으로 데이터를 전송할 수 있도록 하는 DDE 프로토콜을 활용합니다. 공격자는 이 기능을 오용하여 악성 코드나 명령을 직접 실행하는 문서를 제작합니다. 업데이트 및 보안 패치로 인해 일반적으로 사용되지는 않았지만 DDE 공격은 과거 공격에서 중요한 위협 벡터였습니다.

4. OLE 개체 문서

OLE(Object Linking and Embedding)는 문서 및 기타 개체를 포함하고 연결할 수 있는 기술입니다. 악성 문서는 OLE를 사용하여 유해한 스크립트나 실행 파일을 포함합니다. 문서가 열리고 포함된 콘텐츠가 상호 작용하면 악성 페이로드가 실행될 수 있습니다.

5. 피싱 문서

이러한 문서가 반드시 소프트웨어 취약점을 악용하거나 매크로를 사용하는 것은 아닙니다. 대신 그들은 소셜 엔지니어링을 사용하여 사용자를 속여 매크로 활성화, 로그인 자격 증명 입력, 추가 악성 파일 다운로드 및 열기 등 위험한 행동을 취하도록 합니다. 피싱 문서에는 사용자에게 보안 기능을 비활성화하거나 악성 사이트 링크를 따르도록 촉구하는 설득력 있는 메시지가 포함될 수 있습니다.

6. 외부 링크 문서

이 유형에는 외부 악성 리소스에 대한 링크가 포함된 문서가 포함됩니다. 문서 자체에는 악성 코드가 직접 포함되어 있지 않을 수 있지만 사용자를 악성 코드가 있는 외부 소스로 연결합니다. 이 방법은 피싱 기술과 함께 사용되어 사용자가 악성 코드를 다운로드하거나 민감한 정보를 제공하도록 유인할 수 있습니다.
문서 내에 있는 "*.xml.rels" 파일을 조사하면 참조하는 내/외부링크 확인 가능

 

---

징후 식별 방법 및 악성행위 판단

• OLEdump등을 이용하여 파일 포멧상 레이아웃 분석하여 [VB, 자바, 포스트]스크립트 파일, DDE, 매크로등 존재여부 확인
• 파일 포멧상 비정상 스트림 또는 속성 값 존재 확인
• 파일 내부에 있는 악성 개체(매크로, 스크립트 등)을 추출하여 악성 행위 있는지 확인
• DDE/DDEAUTO 명령어 확인 
  • 동일 스트림이 같은 사이즈로 여러개 있는지 확인
  • 스트림 안에 PE파일 시그니처 확인
  • Bindata 스토리지에 OLE 존재 확인
  • [.ps .eps .vba .js 등] 스크립트 확인

사용 Tool

• OLEDUMP

 

 

 

xls 파일 포멧 : https://www.loc.gov/preservation/digital/formats/digformatspecs/Excel97-2007BinaryFileFormat%28xls%29Specification.pdf