지난번 워드와 더불어 업무에 빠질 수 없는 파워포인트
매우 많은 사용자가 매일같이 사용하는 소프트웨어인 만큼 공격자 입장에서 매력적일 수 밖에 없다.
공격자는 피싱 메일을 통해 사용자가 첨부파일로 된 ppt 문서를 실행하도록 유도한다.
주요 공격 방식
 |
| https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=31626 |
악성 PPT 문서는 주문서나 명세서 형태로 위장해 메일로 첨부하는 형태로 공격이 이뤄진다.
이 때 PPT 문서에는 악성 VBA 매크로를 포함(워드, 엑셀 등의 다른 문서 파일에서도 악용됨)하고 있다.
사용자가 파일을 열어 매크로가 실행되면 mshta 프로세스를 통해 특정 url에 접근하여 악성 스크립트를 실행한다.
여기서는 국내에서 활발히 유포중인 악성코드 중 하나인 Agent Tesla 를 기준으로 설명한다.
 |
| https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=31626 |
다음과 같은 형태의 악성메일을 유포한다. 앞서 악성 워드와 같이 특정 기업을 대상으로 관련된 내용의 메일을 전달하거나, 불특정 다수에게 주문서나 명세서 같은 이름의 파일을 보내기도 한다.
21년 유포된 악성 PPT 파일명 중 일부
|
악성 PPT
문서 파일명 |
|
Scan01283전신 송금12pdf.ppam |
|
주문 문의
-FUJICHEMI261120.ppt |
|
Purchase order 4500061977pdf.ppam |
|
Catalog
for new order.pdf.ppam |
|
ReservationId ,pdf.ppam |
|
Purchase
Inquiry_pdf.ppt |
|
Quote and Company Profile.ppam |
|
Purchase
Order From Genbody.ppam |
|
Introduction of GenBody.ppam |
|
DHL
ONLINE SHIPPING PREALERT ADVISORY AWB 9804583234.ppt |
|
FUJI Company Profile Presentation .ppt |
|
INTRODUCTION
OF FUJICHEM.ppt |
|
Request for Offer.ppt |
|
Invoice
copy.ppt |
|
Defence and security Agenda Point.ppt |
|
Distribution
Notice.ppa |
 |
| https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=31626 |
악성 PPT를 실행하면 위와 같이 매크로 포함 여부 선택 알림창이 나온다. 여기에서 포함 버튼을 클릭하면 악성 VBA 매크로가 실행된다.
악성 VBA 매크로 코드는 mshta 프로세스를 통해 특정 URL에 접속하고, 해당 사이트에 포함된 악성 스크립트를 사용자의 PC에 실행하게 된다.
주요 악성 스크립트 유형
주요 악성 스크립트 유형 중 하나는 코인 탈취다.
작업 스케줄러에 등록되어 주기적으로 실행되면서 윈도우 클립보드에 복사된 코인 주소를 확인하고, 공격자의 코인 주소로 변경하는 방식이라 한다.
백신의 존재 여부를 확인하는 스크립트도 존재한다.
백신이 설치되지 않은 경우, 악성코드가 실행될 수 있는 환경으로 설정한다. 보안 알림 메시지를 비활성화 설정하고, 사용자 계정 우회 및 윈도우 디펜더 비활성화 등의 활동을 한다.
더욱 교묘한 수법으로 사용자를 속이기 때문에 사용자는 항상 주의를 해야 할 것이다.
