New Report
Menlo Security Named a Leader in GigaOm Radar Report for Secure Enterprise Browsing
Icon Rounded Closed - BRIX Templates

격리: 템플릿 인젝션 공격에 대한 백신

|
__wf_예약_상속

핵심 요약

Menlo Labs 연구팀은 무기화된 유인 문서 몇 개를 사용하여 분석했습니다. 템플릿 주입 기법.악의적인 템플릿을 가져오기 전까지는 문서에 매크로와 같은 의심스러운 지표가 없어도 되기 때문에 공격자들이 이 기술을 활용하고 있습니다.프레임워크는 다음과 같습니다. 엠파이어피싱 무기화된 템플릿 삽입 문서를 생성할 수 있는 기능을 제공합니다.

이러한 공격의 특성을 바탕으로 템플릿 인젝션 공격이 계속 증가할 것이며 심지어 악용 사례를 즉석에서 로드하는 데에도 사용될 것이라고 확신하고 있습니다.

이 기법은 다음과 같은 이유로도 주목할 만합니다.

  • 널리 사용되는 도구를 사용하여 보안 도구 및 솔루션을 회피합니다. 고도로 회피적인 적응형 위협 (HEAT) 기법, 레거시 URL 평판 회피 (루어)웹 필터를 통해 평판이 좋은 것으로 분류된 웹 사이트를 사용하여 멀웨어를 전송합니다.
  • 공격자는 문서에 악성 URL을 삽입하여 로컬 또는 원격 시스템에서 호스팅되는 템플릿을 렌더링할 수 있습니다.무기화된 이 문서를 열면 악성 템플릿을 다운로드하고 실행하려고 시도합니다.페이로드를 로딩하는 이 공격 킬체인은 다음과 같이 분류되기도 합니다. 리빙 오브 더 랜드 (LoTL) 공격 — 합법적인 소프트웨어를 사용하여 악의적인 행동을 수행하는 공격입니다.

이 블로그에서는 템플릿 삽입 공격의 작동 방식과 이러한 공격을 방지하는 방법을 자세히 설명합니다.

백그라운드

오피스 오픈 XML (OOXML) 포맷이 도입되면서 마이크로소프트 오피스는 문서에 리소스를 임베드하는 기능을 제공했습니다.라는 메서드를 사용하여 관계, 소스 부품과 대상 리소스 간의 연결을 XML 파일에서 지정할 수 있습니다.관계는 문서 패키지의.rels (XML) 파일에 캡슐화되어 있습니다.

공격자들은 LoTL 공격을 만들어 이 Microsoft Office 기능을 부당하게 이용했습니다.이러한 공격은 악성 템플릿을 호스팅하는 URL을.rels XML 파일에 삽입하여 수행됩니다 (그림 1 참조).

Screenshot of code for template injection attack
그림 1: 템플릿 삽입 공격

위의 예에서 악성 URL은 “target=”에 대한 입력으로 제공되고 “TargetMode”는 “외부”로 설정되어 있습니다.무기화된 문서를 실행하면 악성 템플릿이 다운로드되고 실행됩니다 (그림 2 참조).

Screenshot of malicious template downloaded in Microsoft Word
그림 2: 악성 템플릿 다운로드

템플릿 인젝션 공격의 흐름은 아래 이미지에 나와 있습니다 (그림 3 참조).

diagram of a template injection attack
그림 3: 템플릿 인젝션 공격

감염 벡터

무기화된 템플릿 삽입 문서는 액면 그대로 무해할 수 있습니다.악성 URL이나 익스플로잇 마커와 같은 특정 흔적이 없는 한 보안 스캐너에 탐지되지 않는 경우가 많습니다.이러한 문서의 대부분이 이메일 첨부 파일로 도착하는 주된 이유 중 하나입니다.

피해자를 설득하기 위해 적대자들도 할 수 있습니다. 기존 이메일 스레드 대화를 하이재킹합니다. 무기화된 템플릿 주입 문서를 첨부합니다.

템플릿 인젝션 공격

템플릿 인젝션 공격은 다양한 유형과 조합으로 광범위한 공격을 수행하는 데 사용되었습니다.공격 범위는 익스플로잇을 로드하기 위한 악성 템플릿을 다운로드하는 것부터 피싱 공격 및 다단계 공격을 수행하는 것까지 다양합니다.

에서 최근 템플릿 인젝션 공격, 공격자가 악의적인 템플릿을 다운로드하도록 속이기 위해 합법적인 Microsoft URL (http://schemas.openxmlformats.org/) 로 위장했습니다 (그림 4 참조).

Screenshot of template injection attack masquerading as a legitimate Microsoft URL
그림 4: 합법적인 마이크로소프트 URL로 가장한 템플릿 인젝션 공격

이 문서 (해시 - ee8aef2974ddcdb3917308f6475100f8) 는 http://www[.]xmlschemeformat[.]com/update/2021/Office/form[.]dotm URL에서 악성 dotm 템플릿을 다운로드했습니다.이 템플릿은 제임스 웹 망원경이 이미지 스테가노그래피를 사용하여 처음 촬영한 이미지 중 하나에 멀웨어를 숨겨 피해자의 엔드포인트로 멀웨어를 다운로드했습니다.

다음으로 무기화된 템플릿 삽입 문서를 사용하여 몇 가지 공격 사례를 분석합니다.

MSDT “폴리나” 제로 취약점 (CVE-2022-30190)

“폴리나” 제로 취약점 (CVE-2022-30190) 마이크로소프트 지원 진단 도구 (MSDT) 에 존재하는 취약점입니다.이 공격의 배후에 있는 공격자들은 외부 공개 URL에서 Follina 익스플로잇을 호스팅했습니다.이 URL은 익스플로잇 마커 “!”와 함께 문서에 삽입되었습니다.익스플로잇 템플릿을 트리거하기 위한 URL 끝에 있습니다.

무기화된 템플릿 주입과 함께 Follina 익스플로잇을 사용하여 수행한 공격 중 하나에서 문서는 “도하 엑스포 2023에 대한 VIP 초대장”이라고 주장했습니다 (그림 5 참조).

Screenshot of VIP invitation to Doha Expo 2023 and associated code
그림 5:2023년 도하 엑스포 VIP 초대

문서 (해시 - 85829b792aa3a5768de66bedb0a0ce) 를 실행하면 폴리나 익스플로잇인 https://files.attend-doha-expo[.]com/inv[.]html 를 가져옵니다.HTML 파일에는 ms-msdt를 호출하여 익스플로잇과 페이로드를 폭발시키는 자바스크립트가 내장되어 있습니다.

패치워크 APT — 루어 (로트) 히트 테크닉

패치워크 외교 및 정부 기관 관련 산업을 대상으로 하는 것으로 알려진 APT 그룹입니다.이 그룹의 운영 방식은 일반적으로 온라인 포럼에서 복사하여 붙여넣는 방식으로 파생된 멀웨어를 사용하는 것입니다.

Patchwork APT 그룹은 최근의 공격 중 하나에서 “파키스탄 국방부”에서 가져온 것이라고 주장하는 무기화된 문서를 사용했습니다 (그림 6 참조).

Weaponized “Ministry of Defense, Pakistan” document with associated code
그림 6: 무기화된 “파키스탄 국방부” 문서

이 문서 (해시 - ccf66fd0fc09ba0ea0d43d3e2f62f5fd) 는 http://office-fonts[.]herokuapp[.]com/en-us URL에서 템플릿을 다운로드했습니다.이렇게 하면 암호로 보호된 PDF 파일인 "Scan03.pdf “가 추가로 다운로드됩니다.

공격에 사용된 URL은 도메인 클라우드 플랫폼인 “Heroku”에서 호스팅되었습니다.멀웨어를 유포한다는 평판이 양호하거나 좋은 웹 사이트를 사용하는 것은 레거시 URL 평판 회피 (LURE) 또는 신뢰할 수 없는 사이트 (LOT) 라는 HEAT 기법에 속합니다.

무기화된 템플릿 삽입 문서를 사용한 표적 공격

몇몇 위협 행위자와 그룹은 무기화된 템플릿 삽입 문서를 사용하여 표적 공격을 수행했습니다.이러한 무기화된 문서를 사용하는 위협 그룹이 여러 개 있지만, 가장 최근 및/또는 진행 중인 공격 중 일부를 나열했습니다.

멘로 프로텍션

Isolation Core™ 로 구동되는 멘로의 클라우드 보안 플랫폼을 사용하는 고객은 설계상 템플릿 삽입 공격으로부터 보호됩니다.Menlo의 클라우드 보안 플랫폼은 인터넷에서 다운로드한 모든 문서를 사용자의 엔드포인트에서 멀리 떨어진 Isolation Core™ 에서 엽니다 (그림 7 참조).

diagram showing Menlo protection against template injection attacks
그림 7: 템플릿 삽입 공격에 대한 Menlo 보호

검사 엔진이 파일의 양호 여부를 판단하는 동안 문서는 사용자가 볼 수 있는 안전한 버전의 문서로 변환됩니다.Menlo의 Safedoc 기능은 활성 콘텐츠를 모두 제거하므로 악의적인 부분이 제거되도록 합니다.또한 인터넷의 모든 문서가 안전한 버전으로 다운로드되도록 정책을 구성할 수도 있습니다.

결론

이 게시물에서는 문서에 악성 URL을 주입하여 무기화된 템플릿 삽입 공격 (LoTL 공격이라고도 함) 을 수행하는 방법을 자세히 설명합니다.이 방법은 악성 템플릿을 가져오기 전까지는 문서에 일반적인 의심스러운 징후가 없기 때문에 보안 도구 및 솔루션을 사용하지 않습니다.또한 이러한 공격에는 널리 사용되는 방법도 사용됩니다. 고도로 회피적인 적응형 위협 (HEAT) 기법 — 레거시 URL 평판 회피 (루어) — 악성 템플릿이 평판이 좋지 않거나 평판이 좋은 웹 사이트 또는 신뢰할 수 없는 사이트 (LOTS) 에서 호스팅되는 경우

Menlo Labs는 템플릿 인젝션 공격을 사용하여 위협 그룹과 캠페인을 지속적으로 모니터링하고 연구 업데이트를 공유할 예정입니다.

블로그 카테고리

Menlo Security

menlo security logo
__wf_예약_상속__wf_예약_상속__wf_예약_상속__wf_예약_상속