템플릿 인젝션 공격에 대한 백신: 격리

핵심 요약

Menlo Labs 연구팀은 템플릿 인젝션 기술을 사용한 무기화된 디코이 문서를 분석했습니다. 이 기술은 악의적인 템플릿이 가져올 때까지 문서에 수상한 지표나 매크로가 필요하지 않기 때문에 공격자들에게 활용되었습니다. Empire 및 Phishery와 같은 프레임워크는 무기화된 템플릿 인젝션 문서를 생성할 수 있는 기능을 제공합니다.

이러한 공격의 성격을 기준으로, 우리는 템플릿 인젝션 공격이 계속 증가하고 심지어 실시간으로 취약점을 로드하는 데 사용될 것으로 판단합니다.

이 기술은 다음과 같은 이유로 주목할 만 합니다:

• 인기 있는 고도로 회피적인 적응 위협(HEAT) 기술인 Legacy URL Reputation Evasion (LURE)를 사용하여 보안 도구 및 솔루션을 회피합니다. 이 기술은 웹 필터에 의해 좋은 평판을 가진 것으로 분류된 웹사이트를 사용하여 악성 소프트웨어를 전달합니다.
• 적들은 문서에 악성 URL을 주입하여 로컬 또는 원격 기계에서 호스팅되는 템플릿을 렌더링할 수 있습니다. 이 무기화된 문서는 열릴 때 악성 템플릿을 다운로드하고 실행합니다. 이 공격 킬 체인은 또한 합법적인 소프트웨어를 사용하여 악의적인 행동을 수행하는 Living off the Land (LotL) 공격으로 분류됩니다.

이 블로그는 템플릿 인젝션 공격이 어떻게 작동하고 이러한 공격을 어떻게 예방할 수 있는지에 대한 정보를 제공합니다.

배경

Office Open XML (OOXML) 형식이 도입되면서 Microsoft Office는 문서에 리소스를 포함하는 기능을 제공했습니다. 관계라는 방법을 사용하여 소스 부분과 대상 리소스 간의 연결을 XML 파일에서 지정할 수 있습니다. 관계는 문서 패키지의 .rels(XML) 파일에 캡슐화됩니다.

적들은 이러한 Microsoft Office 기능을 이용하여 LotL 공격을 수행했습니다. 이 공격은 .rels XML 파일에 악성 템플릿을 호스팅하는 URL을 주입하여 수행됩니다 (그림 1 참조).

위 예에서 악성 URL은 “target=”에 입력되고 “TargetMode”는 “External”로 설정됩니다. 무기화된 문서를 실행하면 악성 템플릿이 다운로드되어 실행됩니다 (그림 2 참조).

템플릿 인젝션 공격의 흐름은 아래 이미지에 표시되어 있습니다 (그림 3 참조).

감염 경로

무기화된 템플릿 인젝션 문서는 처음에는 얼핏 보기에 해롭지 않습니다. 악성 URL이나 취약점 마커와 같은 특정 흔적이 없으면, 보안 스캐너에서 종종 감지되지 않습니다. 이러한 문서가 이메일 첨부 파일로 도착하는 주요 이유 중 하나입니다.

희생자를 설득하기 위해, 공격자들은 기존의 이메일 스레드 대화를 해킹하고 무기화된 템플릿 인젝션 문서를 첨부할 수도 있습니다.

템플릿 인젝션 공격

템플릿 인젝션 공격은 다양한 종류의 공격을 수행하는 데 사용되었습니다. 이러한 공격은 악성 템플릿을 다운로드하여 취약점을 로드하는 것부터 피싱 공격 및 다단계 공격까지 다양합니다.

최근 템플릿 인젝션 공격에서는 공격자들이 합법적인 Microsoft URL(http://schemas.openxmlformats.org/)로 가장하여 희생자를 악성 템플릿을 다운로드하도록 속였습니다 (그림 4 참조).

문서(hash – ee8aef2974ddcdb3917308f6475100f8)는 다음 URL에서 악성 dotm 템플릿을 다운로드합니다: http://www[.]xmlschemeformat[.]com/update/2021/Office/form[.]dotm. 이 템플릿은 이미지 스테가노그래피를 사용하여 James Webb 망원경에서 찍은 첫 번째 이미지 중 하나에 악성 코드를 숨겨 희생자의 엔드포인트에 악성 코드를 다운로드합니다.

다음으로, 무기화된 템플릿 인젝션 문서를 사용한 공격 사례 몇 가지를 분석합니다.

MSDT “Follina” 제로 취약점 (CVE-2022-30190)

Follina 제로 취약점(CVE-2022-30190)은 Microsoft Support Diagnostic Tool(MSDT)에 존재하는 취약점입니다. 이 취약점을 이용한 공격자들은 외부 공개 대면 URL에 Follina 취약점을 호스팅했습니다. 이 URL은 문서에 취약점 마커 “!”가 있는 URL 끝에 주입되어 취약점 템플릿을 트리거합니다.

무기화된 템플릿 인젝션을 사용한 Follina 취약점을 이용한 공격 중 하나에서, 문서는 “VIP Invitation to Doha Expo 2023″이라고 주장했습니다(그림 5 참조).

문서(hash – 85829b792aa3a5768de66beacdb0a0ce)를 실행하면 Follina 취약점이 다음 URL에서 가져옵니다: https://files.attend-doha-expo[.]com/inv[.]html. HTML 파일에는 ms-msdt를 호출하는 JavaScript가 포함되어 있어 취약점과 페이로드를 폭발시킵니다.

Patchwork APT – LURE (LOTS) HEAT 기술

Patchwork는 외교 및 정부 기관과 관련된 산업을 공격하는 것으로 알려진 APT 그룹입니다. 이 그룹의 작전 방식은 일반적으로 온라인 포럼에서 복사-붙여넣기를 통해 얻은 악성 코드를 사용하는 것입니다.

최근 공격에서 Patchwork APT 그룹은 “파키스탄 국방부”로부터 온 것처럼 가장한 무기화된 문서를 사용했습니다(그림 6 참조).

문서(hash – ccf66fd0fc09ba0ea0d43d3e2f62f5fd)는 다음 URL에서 템플릿을 다운로드합니다: http://office-fonts[.]herokuapp[.]com/en-us. 이후 암호로 보호된 PDF 파일인 “Scan03.pdf”를 다운로드합니다.

이 공격에서 사용된 URL은 도메인 클라우드 플랫폼인 “Heroku”에 호스팅되었습니다. 이러한 친절한/좋은 평판의 웹사이트를 사용하여 악성 코드를 전달하는 것은 침해 당하기 어려운 HEAT 기술인 레거시 URL 평판 회피(LURE) 또는 신뢰할 수 있는 사이트를 활용한 공격(LOTS)에 속합니다.

무기화된 템플릿 인젝션 문서를 사용한 공격

여러 위협 그룹 및 공격자들이 무기화된 템플릿 인젝션 문서를 사용하여 표적 공격을 수행했습니다. 이러한 무기화된 문서를 사용하는 많은 위협 그룹들이 있지만, 가장 최근 및/또는 진행 중인 공격 몇 가지를 나열했습니다.

• TA423 / Red Ladon ScanBox 캠페인 – 2021년 6월부터 2022년 5월까지 Proofpoint은 TA423 / Red Ladon이 수행한 지속적인 스캔박스(ScanBox) 피싱 캠페인을 관찰했습니다. 이 공격에서는 템플릿 인젝션을 통해 무기화된 악성 RTF 첨부 파일이 사용되었습니다.
• DoNot Team / APT-C-35 – 2022년 8월, Morphisec는 DoNot 팀의 최근 스피어 피싱 이메일 캠페인에 대한 자세한 정보를 게시했습니다. 이 공격에서는 RTF 템플릿 인젝션 문서를 사용하여 파키스탄 국방 분야를 포함한 표적 정부 부서에 대한 공격을 수행했습니다.
• TA453 / Charming Kitten / PHOSPHORUS /APT42 – 2022년 7월 및 9월, PwC와 Proofpoint는 TA453 그룹이 수행한 공격에 대한 자세한 정보를 게시했습니다. 이 공격에서는 원격 템플릿 인젝션을 사용하여 악성 매크로를 가져오고 실행하는 Microsoft Word 문서 드로퍼가 사용되었습니다.
• Gamaredon APT – 2022년 9월 최근 게시물에서 Cisco는 Gamaredon APT가 우크라이나 정부 기관을 표적으로 한 공격에 대한 정보를 게시했습니다. 이 공격에서는 피싱 이메일을 사용하여 악성 VBScript 매크로가 포함된 원격 템플릿이 있는 Microsoft Office 문서를 전달했습니다.

Menlo 보호

Menlo의 Cloud Security Platform은 Isolation Core™ 기술을 사용하여 템플릿 인젝션 공격으로부터 사용자를 보호합니다. Menlo의 Cloud Security Platform은 인터넷에서 다운로드한 모든 문서를 사용자의 엔드포인트에서 멀리 떨어진 Isolation Core™에서 열어줍니다(그림 7 참조).

문서는 사용자가 볼 수 있는 안전한 버전의 문서로 변환되고, 검사 엔진은 파일이 좋은지 나쁜지를 판단합니다. Menlo의 Safedoc 기능은 모든 활성 콘텐츠를 제거하여 악성 부분이 제거되도록 합니다. 정책을 구성하여 인터넷에서 다운로드한 모든 문서가 안전한 버전으로 다운로드되도록 할 수도 있습니다.

결론

이 포스트에서는 악성 URL을 문서에 주입하여 템플릿 인젝션 공격이 수행되는 방법을 설명했습니다. 이 기술은 악성 템플릿이 가져올 때까지 문서에 의심스러운 표시가 없기 때문에 보안 도구와 솔루션을 회피합니다. 또한 이러한 공격은 친절한/좋은 평판의 웹사이트에서 악성 템플릿이 호스팅되는 인기 있는 고도로 회피적인 적응 위협 (HEAT) 기술인 Legacy URL Reputation Evasion (LURE) 또는 Living Off Trusted Sites (LOTS)를 사용합니다.

Menlo Labs는 템플릿 인젝션 공격을 사용하는 위협 그룹과 캠페인을 계속 모니터링하고 연구 결과를 공유할 것입니다.