뉴스1. [AI와 보안] 악성 웹사이트 방문만 해도 오픈클로 제어 권한 뺏길 수 있다

 

정보보안 관련 동향을 파악하기 위해  뉴스 기사를 앞으로 쭉 클리핑해서 올려보려고 한다. 뉴스 클리핑은 기사요약/용어정리/개인의견으로 구성하여 작성할 계획이다. 티스토리 하기 전에 작성했던 것들이 있어 좀 밀렸지만 올려야겠다.

기사 요약: 윈도우 파일 탐색기에 남은 WebDAV 프로토콜을 악용해 웹 브라우저 보안 경고를 우회하는 공격 캠페인이 확산 중이다.

 

공격기법:

1)주로 ‘[file://](file://)’ URL 스킴이나 단축 파일(.url. lnk) 등의 특별제작 링크를 통해 사용자가 폴더를 열게끔 유도한다.

2)악성 파일이 담긴 폴더를 열기만 해도 윈도우 운영체제가 자동으로 DNS 조회를 진행하며 외부 WebDAV 서버 = 공격자에게 연결 활성화 신호를 보낸다.

3)이 과정에서 웹 브라우저 다운로드 차단 기능, 웹 마크(MoTW: Mark-of-the-Web) 기반 보안경고를 우회해 파일이 로컬 드라이브나 기업용 공유 폴더처럼 실행된다.

4)이러한 공격이 2024년 말부터 정교하게 위장된 재무 문서, 송장 메일 형태로 유포되었으며, 관련 공격의 87%가 시스템 전권을 탈취하는 엑스웜(XWorm)과 어싱크랫(AsyncRAT) 등 여러 종류의 RAT를 동시에 배포하여 침투 성공률을 높이려 했다.

결론: 일반적 폴더 검색이라고 생각할 수 있으나, 실제로는 외부 악성 서버와 직접 통신하게끔 만들어 해킹하는 방식이 늘어나고 있다.

 

<용어 정리>

Web: 서버에 저장된 문서를 보여주는 방식

WebDAV란? 마이크로소프트가 2023년 11월 공식 폐지한 기능으로, 웹과 다르게 서버에 저장된 문서를 관리 및 수정(생성, 삭제, 업로드)할 수 있게 하는 것이다.

DNS(Domain Name System): 인터넷 전화번호부.

RAT(Remote Access Trojan): 원격 조종할 수 있게 만드는 악성 프로그램. 트로이 목마를 생각하면 이해하기 쉬움.

 

개인 의견: 링크를 눌러 해킹을 하는 스미싱 방식과 유사하다는 점에서 대략적인 프로세스를 이해할 수 있게 도운 기사였다. 다만 스미싱과 다르게 폴더를 로컬 파일처럼 보이게 만들었다는 점, 윈도우의 정상적인 기능(파일 탐색기, WebDAV, DNS조회)을 악용하였다는 점이 인상 깊었다. 이러한 특징 때문에 일반 사용자 입장에서 해킹 사실을 파악하기 더 힘들겠다는 생각이 들었다. 또한, 이번 기사 덕분에 외부원격통신의 위험성을 느낄 수 있었다.

 

뉴스 링크: https://www.boannews.com/media/view.asp?idx=142436&page=1&kind=4