겹겹이 위장한 PDF 파일, 기업 내부를 노린다

최근 악성 PDF 파일을 이용한 공격 사례가 잇따르고 있다. 특히 업무 내용으로 위장한 이메일 첨부 파일 형태로 유포되고 있어 더욱 주의가 요구된다.

앞서 언급한 사례는 거래처 영업대표의 이메일 계정이 탈취되어 주소록에 포함된 사람들에게 악성 PDF 파일을 첨부한 이메일이 전송된 사례를 재구성한 것이다. 그나마 위의 사례에서는 의심 징후를 찾아볼 수 있다.

우선 PDF 문서에 아무 내용이 없었던 점도 이상하지만 ▲PDF 파일에 MS 워드 문서가 내장되어 있다는 점 ▲MS 워드 파일에도 아무 내용이 없고 매크로가 포함되어 있다는 점 등은 의심해볼 필요가 있다. 대다수의 공격에서는 위와 같은 징후를 알아차리기 쉽지 않다. 위의 사례를 중심으로 PDF 파일을 이용한 최신 공격 방식을 상세히 살펴보고 예방법은 없는지 알아본다.

 

 

[그림 1] 내부에 다른 포맷의 문서 파일 및 exe 파일을 포함하고 있는 악성 PDF

 

 

공격은 어떻게 이루어졌나?

 

우선 이메일에 첨부된 해당 PDF 파일에서 문자열을 추출하여 특정 키워드를 검색하는 툴을 이용해 분석했다. 그 결과, PDF 파일 내부에 자바스크립트가 포함되어 있으며, 또 다른 파일이 내장(embedded)되어 있었다.

 

 

[그림 2] PDF 파일 문자열 검색 결과

[그림 3]은 PDF 파일 속에 내장된 파일의 헤더인데, 이처럼 PK 혹은 50 4B를 헤더로 갖는 파일의 종류는 ZIP, JAR, MS 오피스, Open Document 등이다.

 

 

[그림 3] PDF 내장 파일의 파일 헤더

 

앞서 [그림 1]의 팝업창에 나타난 파일명이 “4.docm"라는 점에서 해당 PDF에 내장된 파일은 매크로가 포함된 MS 오피스 파일 형식(.DOCM)이다.

또한 해당 PDF 파일 내 삽입된 자바스크립트 코드는 특정 객체를 추출하여 실행시키는 명령으로, PDF 파일에 내장된 DOCM 파일을 임시 폴더에 추출하여 실행하기 위한 목적임을 알 수 있다.

 

 

[그림 4] PDF 파일 내 자바스크립트 코드

 

이제 자바스크립트를 통해 실행되는 PDF 내의 DOCM 파일이 어떤 행위를 하는지 알아보자. [그림 5]는 “4.docm" 파일의 OLE 데이터 스트림을 문자열로 변환한 결과다. A3 스트림에서 매크로를 이용하여 ceece.exe를 다운로드 하여 실행하는 것을 확인할 수 있다.

 

 

[그림 5] 매크로에 의한 exe 파일 실행

 

ceece.exe는 파밍 공격에서 주로 사용되는 뱅키(Banki)류의 악성코드로 확인되었다. A3 스트림을 통해 확인한 이 악성코드의 다운로드 경로는 다음과 같다. 

http://kons****au.re****ika.pl/07jhnb4/0kn7b6gf.exe​

악성 PDF 파일에 의한 피해, 어떻게 예방할 것인가

악성 PDF 자체는 어도비 리더의 ‘신뢰 관리자(Trust Manager)’ 기능을 통해 피해를 예방할 수 있다. [그림 6]과 같이 [편집] > [기본설정] > [신뢰 관리자] 경로에서 ‘PDF가 아닌 첨부 파일을 외부 응용 프로그램으로 열기 허용’ 기능을 해제하면 된다.

 

 

[그림 6] 어도비 리더의 신뢰 관리자 화면

 

위의 기능에 대해 선택 해제를 해두면 PDF 파일 내부에 탑재된 파일에 대해 실행 여부를 묻지 않고 [그림 7]과 같이 바로 실행을 차단한다.

 

 

[그림 7] 외부 응용 프로그램 열기 허용 기능 사용 시(왼쪽)와 기능 해제 시(오른쪽)

사용자가 많은 기업의 경우에는 ‘액티브 디렉터리’를 통해 다음과 같은 레지스트리 값을 배포하는 것도 방법이다.

 

 

[레지스트리 설정 가이드]

º 경로: HKLM\SOFTWARE\Policies\Adobe\<product name>\<version>\FeatureLockDown\cDefaultLaunchAttachmentPerms

º 레지스트리 명: tBuiltInPermList

º​ 레지스트리 값

version:1|.ade:3|.adp:3|.app:3|.arc:3|.arj:3|.asp:3|.bas:3|.bat:3|.bz:3|.bz2:3|.cab:3|.chm:3|.class:3|.cmd:3|.com:3|.command:3|.cpl:3|.crt:3|.csh:3|.       desktop:3|.dll:3|.exe:3|.fxp:3|.gz:3|.hex:3|.hlp:3|.hqx:3|.hta:3|.inf:3|.ini:3|.ins:3|.isp:3|.its:3|.job:3|.js:3|.jse:3|.ksh:3|.lnk:3|.lzh:3|.mad:3|.maf:3|.mag:3|.       mam:3|.maq:3|.mar:3|.mas:3|.mat:3|.mau:3|.mav:3|.maw:3|.mda:3|.mdb:3|.mde:3|.mdt:3|.mdw:3|.mdz:3|.msc:3|.msi:3|.msp:3|.mst:3|.ocx:3|.ops:3|.       pcd:3|.pi:3|.pif:3|.prf:3|.prg:3|.pst:3|.rar:3|.reg:3|.scf:3|.scr:3|.sct:3|.sea:3|.shb:3|.shs:3|.sit:3|.tar:3|.taz:3|.tgz:3|.tmp:3|.url:3|.vb:3|.vbe:3|.vbs:3       |.vsmacros:3|.vss:3|.vst:3|.vsw:3|.webloc:3|.ws:3|.wsc:3|.wsf:3|.wsh:3|.z:3|.zip:3|.zlo:3|.zoo:3|.pdf:2|.fdf:2|.jar:3|.pkg:3|.tool:3|.term:3​

 

[그림 8] 레지스트리 설정

단, 어도비 리더의 메뉴를 통해 ‘첨부 파일을 외부 응용 프로그램으로 열기 허용’ 을 해제하면 생성되는 값이 많은 파일 유형을 포함하기 때문에 주의가 필요하다.

 

 

PDF 등 문서 파일 이용한 지능형 공격 증가 추세

 

위와 같은 방법을 통해 파일 내부에 다른 파일을 숨기고 있는 PDF 파일에 대해서는 대응이 가능하다. 문제는 공격자들이 이러한 악성 파일을 기업 내부로 침투시키기 위해 사회공학기법, 스피어피싱 등 교묘하고 다양한 공격 방법을 끊임없이 만들어낸다는 점이다. 앞서 언급한 사례처럼 업무와 관련된 내용 또는 업무 관계자의 계정으로 위장한 경우라면 아무리 보안 의식이 뛰어난 사람이라 해도 의심하기 어려운 것이 사실이다.

실제로 사회공학기법과 PDF, 워드 등 문서 파일을 이용해 기업 내부를 노리는 지능형 위협이 지속적으로 증가하는 추세다. 이에 추가 보안 솔루션 도입 등 지능형 위협 대응 방안을 마련하기 위해 고심하는 기업이 늘고 있다. 그러나 솔루션 도입에 앞서 조직원 하나하나가 기본 보안 수칙을 철저하게 준수하고 의심스러운 파일이 열어봤을 경우 보안 관리자에 즉시 문의하게 하는 등 기업 내 보안 의식을 강화하는 것이 중요하다.

 

 

출처: 안철수 연구소 http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=24223