템플릿 인젝션 공격에서 위장된 URL

이사진 요약

Menlo Labs 연구팀은 최근 무기화된 템플릿 인젝션 문서가 어떻게 작동하는지 및 그것들을 어떻게 예방하는지에 대한 블로그를 게시했습니다. 악성 URL이나 익스플로잇 표시와 같은 특정 흔적이 없으면, 보안 스캐너에 의해 감지되지 않을 수 있습니다.

템플릿 인젝션 공격에 대한 연구를 계속하면서, 우리는 눈에 띄게 URL을 숨기는 흥미로운 위장 기술이 있는 여러 무기화된 문서를 발견했습니다. 문서에는 원격으로 호스팅되는 템플릿을 가져오기 위해 10진수 IP 주소를 사용하거나 모호한 URL 형식이 포함되어 있었습니다.

앞서 언급한 바와 같이, 이러한 공격은 다음과 같은 이유로 주목할 만합니다.

• Menlo Labs 팀이 Legacy URL Reputation Evasion (LURE)이라고 부르는 기술에서 URL 기반 패턴을 찾는 파일 기반 콘텐츠 검사 엔진을 우회하기 위해 위장된 템플릿 인젝션 URL을 사용합니다. 이는 고도로 회피적인 적응 위협 (HEAT) 기술의 예입니다.
• 적들은 문서에 악성 URL을 주입하여 로컬 또는 원격 기계에서 호스팅되는 템플릿을 렌더링할 수 있습니다. 이 무기화된 문서는 열릴 때 악성 템플릿을 다운로드하고 실행하려고 시도합니다. 이 공격의 페이로드를 로드하는 킬 체인은 또한 합법적인 소프트웨어를 사용하여 악의적인 작업을 수행하는 Living off the Land (LotL) 공격으로 분류됩니다.

이 블로그는 위장된 템플릿 인젝션 공격에 대한 우리의 발견을 자세히 설명합니다.

Different IP Address Notations

보통 IP 주소는 XXX.XXX.XXX.XXX 형식의 점이 있는 10진 표기법으로 표시됩니다. 대안으로 IP 주소는 다른 표기법을 사용하여 표시할 수도 있습니다.

google.com의 IP 주소인 42.250.199.142 (이 글 작성 시점)를 사용하여 IP 주소에 대한 다양한 표기법을 보여드리겠습니다:

• 8진 표기법: 8진수 체계로 표시된 IP 주소 → 0052.0372.0307.0216. 이것은 05276543616으로도 표현될 수 있습니다. 선행 0은 8진 표현에 대한 인터프리터 표시로 사용되므로 0의 수는 얼마든지 추가할 수 있습니다. 예를 들어, 0000000000005276543616 또는 0052.0372.0307.000000000216.
• 16진 표기법: 16진수 체계로 표시된 IP 주소 → 0x2afac78e. 이것은 0x2a.0xfa.0xc7.0x8e로도 표현될 수 있습니다.
• 10진/DWORD 표기법: 점 없이 10진수 체계로 표시된 IP 주소 → 721078158
• 2진 표기법: 2진수 체계로 표시된 IP 주소 → 10001110.11111010.11000111.10001110
• 인코딩된 표기법: URL 인코딩된 IP 주소로 표시된 IP 주소 → %34%32%2E%32%35%30%2E%31%39%39%2E%31%34%32
• 혼합 표기법: 위에서 언급한 다른 표기법의 조합으로 표시된 IP 주소 → 0x2a.0372.199%2E%31%34%32

또한 위와 같은 표기법 외에도 0 최적화 점이 있는 10진 표기법이라는 또 다른 표기법이 있습니다. 이 표기법에서 IP 주소의 0은 제거되거나 압축됩니다.

이 예를 위해 라우터에서 사용하는 기본 게이트웨이 IP 주소인 192.168.0.1을 사용하겠습니다. 아래 목록은 IP 주소의 0을 최적화한 표현입니다:

• 192.168.1
• 192.168.000000000000.0000000001
• 192.168.00000001

기본적으로 대부분의 표기법(2진 표기법 제외)은 브라우저에서 허용됩니다. 이러한 표기법을 사용하면 유효한 URL 형식을 찾는 파일 기반 콘텐츠 검사 엔진을 회피할 수 있습니다.

복잡해 보이나요? 흥미롭나요? 기다려 보세요!!!

아직 끝난 것이 아닙니다! 이 판도라의 상자의 또 다른 부분을 살펴봅시다.

혼란스러한 URI 기반 의미 공격

IP 주소 표기법이 파일 기반 콘텐츠 검사 엔진에게 이미 도전 과제를 제시하고 있는 반면, 모호한 URL 사용은 검사를 더 어렵게 만듭니다. 이 방법은 균일 자원 식별자(URI) 체계에서 “@” 사용자 정보 하위 구성 요소를 사용합니다. 이 문자를 사용하면 URI 일반 구문 형식으로 모호한 URL 형식이나 오해를 불러일으키는 URI가 생성되어 URI 기반 의미 공격이 발생합니다. 이해를 돕기 위해 같은 google.com IP 주소 예제를 사용해 보겠습니다. 오해를 불러일으키는 URI의 예는 https://[email protected] 입니다. 이 URL은 브라우저 주소 표시 줄을 통해 방문하면 google.com으로 해석됩니다.

여기서 “@”은 “test”를 무시하고 google.com으로 해석하는 구분 기호 역할을 합니다. 또한, 오해를 불러일으키는 URI를 생성하기 위해 “://” 권한 구성 요소를 사용해야 합니다.

이와 같은 기능은 “@” 반복 횟수에 상관없이 작동합니다:

• https://test!@test!@test!@test!@test@test@test@[email protected]
• https://@@@@@@@@@@@@@@@@@@@@@@@@@@@@@google.com
• https://@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@google.com
• https://@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@0x8efac78e

이것은 8진수, 16진수, 10진수 표기법으로도 수행할 수 있으며, 예를 들어 https://test@0x8efac78e와 https://@721078158 같은 것입니다. 이것은 우리에게 흥미로운 실험이었습니다. 대부분의 애플리케이션이 표준 점이 있는 10진 표기법 외에도 8진수, 16진수 및 10진수/DWORD 표기법을 유효하지 않은 링크로 처리한다는 것을 확인했습니다.

또한, 공격자는 친숙한 URL 뒤에 악성 URL을 숨길 수도 있습니다. 다음 URL을 예로 들어 보겠습니다:

• https://192.168.1@0x2afac78e
• https://[email protected]
• https://[email protected]

이 모든 예에서 URL은 google.com으로 해석되며, 192.168.1, 192.168.0.1 및 youtube.com은 실제 URL이 아닙니다.

위장된 URL

브라우저 지원 비표준 IP 표기법과 오해를 불러일으키는 URI의 사용은 위장 역할을 합니다.

공격자는 다음 방법을 사용하여 URL을 확인하는 콘텐츠 검사 엔진을 우회할 수 있습니다:

• 8진수, 16진수 또는 10진수 표기법을 사용하여 링크를 생성하여 응용 프로그램이 해당 링크를 잘못된 링크로 처리하도록합니다.
• 8진수, 16진수 또는 10진수 표기법을 사용하여 링크를 생성하고, 그것을 잘못된 URI(의미 공격)로 만듭니다.
• 악성 URL을 치장한 정상 URL로 위장하여, 그것을 잘못된 URI(의미 공격)로 만듭니다.

이러한 공격은 새로운 것이 아니며, 10년 이상 사용되어 왔습니다. 2020년 9월, Trustwave는 이러한 URL 회피의 예를 인용하며 자세한 내용을 발표했습니다. 그들은 인코딩 된 16진수 IP 주소 형식과 짧은 URL을 마스킹하는 URL 의미 공격의 사용을 설명했습니다.

템플릿 인젝션 공격에서 위장된 URL

우리의 연구에서, 무기화된 템플릿 인젝션 문서에서 사용된 위장된 URL을 식별했습니다.

다음을 사용하는 위장된 URL이 호스팅 된 템플릿이 있었습니다:

• 10진수 표기법
• 10진수 표기법으로 작성된 잘못된 URI(의미 공격)

우리는 분석에서 식별 된 이러한 표기법의 예를 공유할 것입니다.

10진수 표기법

우리가 분석한 문서에서 10진수 표기법 URL을 사용하는 문서는 그림 1과 같이 몇 가지 “.”과 “-” 문자를 위장으로 사용하고 있습니다.

파일의 세부 정보는 다음과 같습니다:

• 파일 이름: Axis Bank – 67 Account Pending List – 22.09.2022.docx
• 해시: b9cb173c049ab9d289dfde58cfd96cf4
• 경로: word_rels\webSettings.xml.rels
• 템플릿 URL: http[:]//1806450061/…———————-……………..———————–……——-/……….650[.]doc

URL의 10진수/DWORD 1806450061은 점 표기법 IP 주소 형식의 107.172.61.141과 동일합니다.

10진수 표기법으로 작성된 잘못된 URI(의미 공격)

다른 비슷한 문서에서도 10진수 표기법 URL을 사용하고, 여러 개의 “.”과 “-” 문자를 위장으로 사용했습니다. 또한, 공격자는 잘못된 URI 의미 공격을 만들었습니다(그림 2 참조).

파일의 세부 정보는 다음과 같습니다:

• 파일 이름: TT details.docx
• 해시: e732f54857ee57bebe19fb6f3954114c
• 경로: word_rels\webSettings.xml.rels
• 템플릿 URL: http://users@1806450061/..———..————–—-——_————/………………………….89.doc

이전에 설명한 대로, “@”는 구분 기호로 작용하여 “users”를 무시하고 “1806450061”을 고려합니다. 이는 점 표기법 IP 주소 형식인 107.172.61.141로 해석됩니다.

위장의 해제

이제 질문은 사용자 개입 없이 이 위장이 자동으로 노출되는가입니다. 답은 예입니다.

이전에 언급한 두 경우 모두 무기화된 문서를 열면, 위장된 URL이 노출되고 107.172.61.141에서 템플릿을 가져옵니다. 이러한 무기화된 문서 실행 중에 패킷 캡처의 예가 그림 3에 나와 있습니다.

무기화된 문서는 원격 코드 실행으로 이어지는 Equation Editor에서의 스택 버퍼 오버플로 취약점인 CVE-2017-11882를 포함한 RTF 익스플로잇을 포함하는 템플릿을 다운로드했습니다. 이 취약점은 패치되었지만, 여전히 활발히 악용되고 있습니다.

우리의 분석에서 RTF 익스플로잇 템플릿을 사용하는 동안, 무기화된 문서에서는 FormBook, Snake Keylogger, SmokeLoader와 같은 악성 코드가 드롭되었습니다.

Menlo Isolation이 해결책!

이전 글에서 설명한 대로, Menlo의 Isolation Core™를 기반으로 하는 클라우드 보안 플랫폼을 사용하는 고객은 설계상 템플릿 인젝션 공격으로부터 보호됩니다. Menlo 클라우드 보안 플랫폼은 인터넷에서 다운로드 된 모든 문서를 사용자의 엔드포인트에서 떨어뜨린 Isolation Core™에서 엽니다.

Menlo의 Safedoc 기능은 모든 활성 콘텐츠를 제거하여 악성 측면을 제거합니다. 문서는 안전한 버전으로 변환됩니다. 인터넷에서 다운로드 된 모든 문서가 안전한 버전으로 다운로드되도록 정책을 구성할 수도 있습니다.

결론

이 블로그는 Menlo Labs에서 본 다양한 IP 주소 표기법 및 의미 공격에 대한 자세한 내용을 제공합니다. 위협 활동자는 이전에는 브라우저 지원 비표준 표기법을 사용하여 이 전략을 이용해왔습니다. 우리는 이 기법을 사용한 무기화된 템플릿 인젝션 문서의 예를 보여주었으며, 눈에 띄지 않는 “.”과 “-” 문자를 위장으로 사용했습니다. 이 공격은 일부 파일 기반 내용 검사 엔진에서 잘못된 링크로 처리되어 우회됩니다.

우리는 템플릿 인젝션 공격에서 위장된 변형을 몇 가지만 관찰했지만, 더 많은 공격을 예상합니다.

IOCs

해시:
b9cb173c049ab9d289dfde58cfd96cf4
f4c5e11473a31d7fd0151e8e8683f21f
b41225fb45bc78c549f6cc55b7c1ad3a
05fe20851e6f72d31d6147c937a5da98
396a604cc05534cd90291dee5877eea6
130181c1c46545bd9a2c6245e71ebb92
5fa0e9c5e0139f2f332ded2610ee1168
f5bf5c010cf46a24c06e45d191ecbcd5
2fce6e97f53169c6e4c2f1f9086712b7
429b2307c47f8f23fc986c7f48afd03b
e732f54857ee57bebe19fb6f3954114c
aa3354211e2042dbabfc21a47dfba19a
db4db708d8ff5693536d5b98251d2274
71feb287d0b9f215ff34ec25abe5ced1
2384fe43ced9acc7734d49f68a5dcc88
7c58cca4a48205c5c77fb4d44c65be51

URL:
http://1806450055/..—.———————.—-—-—————/……288.doc
http://1806450056/……———————————………————-/…………..17.doc
http://dummy_username@1806450056/….——————………………………………..—————/92.doc
http://users@1806450056/….——————………………………………..—————/93.doc
http://username@1806450056/..-…..———————-…….—————————..—…..—–/136.dothtml
http://1806450056/..-…..———————-…….—————————..—…..—–/137.dothtml
http://1806450061/…———————-……………..———————–……——-/………..77.doc
http://users@1806450061/..———..————–—-——————/…………………….87.doc
http://1806450061/…———————-……………..———————–……——-/……….88.doc
http://users@1806450061/..———..————————————/………………………….89.doc http://users@1806450061/..———..————————————/………99.doc http://1806450061/…———————-……………..———————–……——-/…………390.doc http://1806450061/…———————-……………..———————–……——-/………..400.doc http://1806450061/…———————-……………..———————–……——-/……….650.doc http://1806453907/..————.—–—-.——-––—–…————–.—–—–/o——–O–..—————–D—–-d-Op———-–.dothtml

IP:
107.172.61[.]135
107.172.61[.]136
107.172.61[.]141
107.172.76[.]147