MS Office 취약점
Macros 취약점
•
주로 VBS 스크립트의 취약점
Features (기능) 취약점
•
Add-on 및 OLE 등 취약점 발생
Scripts
•
VBA macros
•
공격자가 VBA를 지원하는 문서를작성하고 취약한 응용 프로그램을 대상으로 공격 가능
•
악성 매크로는 데이터나 파일 추가, 변경 또는 삭제, 웹 사이트와 통신 또는 하드 드라이브 포맷과 같이 사용자가 수행할 수 있는 권한과 동일한 작업을 수행할 수 있음
Commands
•
내부에 파워쉘 및 명령어 코드를 이용하여 공격
Embedded files
•
DDE 취약점이라고도 함
•
DDE (Dynamic Data Exchange) 라고하며 MS Office 응용 프로그램 간에 데이터를 전송할 수 있도록 설계된 프로토콜
•
매크로가 필요 없는 macroless 공격기법
•
DDE를 사용하면 매크로와 관련된 권한 부여 요청 없이 피해자가 파일을 열면 임베디드 코드를 실행할 수 있음
•
OLE (Object Linking and Embedding) 툴킷으로 DDE가 대체 되었지만 DDE는 이전 버전과 호환성을 위해 여전히 지원
오피스 문서 포맷
•
Open XML : Word, PPT, xls 등에 대해 제안된 오픈 표준으로 여러 플랫폼에서 다양한 응용 프로그램을 구현할 수 있음
•
Storage : 구조화된 스토리지 포맷이라고하며 흔히 COM 또는 OLE 파일 포맷 구조라고 함
Structured Storage 포맷 구조
•
OLE 또는 COM 구조 스토리지 또는 복합 파일 구현 바이너리 파일 형식이라고 하며 Microsoft CFB (Compound File Binary) 파일 형식이라는 새로운 구조를 지정
◦
구조적 저장소는 새 개체가 추가되거나 기존 개체의 크기가 커질 때마다 파일을 ㄹ완전히 다시 작성할 필요가 없어 성능 문제를 해결
디렉토리 → 스토리지
파일 → 스트림
Structured Storage 포맷 분석 도구
oletools
•
멀웨어 분석 및 디버깅을 위해 MS 오피스 문서 또는 Outlook 메시지와 같은 OLE2 파일을 분석하는 파이썬 도구 패키지
olebrowse
•
스트림 보기 및 추출
oletimes
•
추출 시간
oleid
•
악의적인 특징을 분석
olevba
•
VBA 스크립트 추출
Open XML 분석 도구
•
metadata 분석
◦
exiftool
•
시그니처 및 탑지 룰셋
◦
zipdump + yara
•
VBA 스크립트
◦
olevba
Office 문서 분석
1.
문서 유형 결정
2.
파일 식별 도구
3.
악성 지표 검색
4.
추출 및 분석