IOC:
ab06eca36c9e011a149ea1625b8ad3629907b2a418ce10fe039870a3d9928bb0
4da00e7d529be457c914b085d66f012c070bf6e3f85675303aa41a7689c08c75
9a652f77b9fba07d04e4021d3f533791bdedf4284fbbc007b4c55fea94a46635
45.93.201.114
5dfa56596b133d080b770e11783b1763da445dc2fef57fe060c87e7b73012308
http://160.119.253.36/filesetup_v17.3.4.zip
160.119.253.242
16522212c1b951ffab57e8f8fa288295cca5d9600e83b74551601246841cae91
0ec2bb5aad17efc7e1e1d8371b04684957684fec8e73df62bd41320bbf517b13
59d2403b99c95a057e43dd25e3d58b66331d130b52c19d2919e7966023ede5f6
160.119.253.36
2d9e90155343ba8f8f8e16c80b1dc62227f607c2ba277491c6f8f384bf5e0499
6f74060f131c9034f55349cdeb2b5ebbd73582e6ac9da11c9310892bfdfeba36
요약:
마이크로소프트 오피스 문서는 널리 사용되고 있지만, 사이버 공격에 취약합니다. 사이버 범죄자는 VBA 매크로를 사용하여 시스템에 접근하기 때문에 마이크로소프트는 '마크 오브 더 웹' 태그가 있는 파일에 대해 막았습니다. 마이크로소프트 애드인은 VBA 매크로를 대체하는 대안으로 사용되고 있습니다. 이것은 메인 응용 프로그램을 확장하는 프로그램으로 XLL 파일은 종종 공격을 촉발하기 위해 이메일 첨부 파일로 사용됩니다.
내용:
ontent types, as well as custom file name extensions. This aids in bypassing email servers security checks, as the attackers can easily change the file pname extension from ‘.xll’ to ‘.docx’ or ‘.xlsx’. 전 세계에서 기업과 집사분들 모두가 Microsoft Office 문서를 사용합니다. 라이선스 또는 라이선스 없는 다양한 오피스 버전들은 사용자에게 파일을 쉽게 작성하고 수정하는 방법을 제공합니다. 그러나이 소프트웨어는 사이버 공격에도 민감합니다. 사이버 범죄자들은 자주 그 취약점을 활용하여 접근을 얻기 위해 VBA (Visual Basic Application) 매크로를 사용합니다.
연뇌 동안 VBA 매크로는 악성코드를 전파하는 능력을 지녔기 때문에 Office 문서에 대한 다적인 위협으로 자리를 잡았습니다. 그래서 마이크로소프트는 마침내 ‘web의 문자’(MOTW)태그가 있는 파일에 대한 VBA 매크로를 차단하기로 결정했습니다. 이 변경에 따라 사용자가 매큝로 포함된 파일을 인터넷에서 다운로드 한 경우 다음과 같은 메시지가 표시됩니다. (그림 1. 보안 위협 경고)
결과적으로 공격자들은 이제 대상 시스템과 장비에 접근하기 위한 상황을 생각해야합니다. 여기서 마이크로 소프트의 애드인이 등장합니다.
Microsoft Add-in이란 무엇입니까?
애드인은 기본 프로그램의 기능을 확장하는 소프트웨어 프로그램입니다. Microsoft 및 기타 플랫폼에서 사용하는 용어로 주 프로그램에 추가 기능을 추가할 수 있으며 오피스 애드인은 DLL 파일이며, 응용 프로그램에 따라 다른 확장자를 가집니다. Microsoft Excel 및 Word에는 파일 확장자인 ' .xll ' 및 ' .wll ' 이 있습니다.
Word에 관해서는 '.wll '애드인은 레지스트리 값 HKCU \ Software \ Microsoft \ Office \ 16.0 \ Word \ Security \ Trusted Locations 따라 특정 위치에 배치되어야하며 Office 버전에 따라 다릅니다. 이렇게하면 Word 응용 프로그램이 '.wll ' 애드인을 실행할 수 있게됩니다.
Excel 애드인에 관해서는 모든 '.xll' 파일이면 엑셀 응용 프로그램에서 열립니다.
이상한 XLL 파일
많은 위협 역할자들이 초기 벡터로 XLL 파일을 사용하기 시작했습니다. 이 파일들은 주로 이메일 첨부파일로 공유됩니다. 또한 특정 내용 유형과 사용자 지정 파일 이름 확설명이있습니다. 이렇게하면 공격자가 쉽게 ' .xll ' 파일 이름 확장명을 ' .docx ' 또는 ' .xlsx '로 변경하여 이메일 서버 보안 검사를 회피할 수 있습니다......
당신의 사무실 문서가 위험합니다 - XLL, 새로운 공격 벡터:
https://blogs.quickheal.com/your-office-document-is-at-risk-xll-a-new-attack-vector/
'Security > News' 카테고리의 다른 글
| 리눅스 SSH 서버를 대상으로 유포 중인 ChinaZ DDoS Bot 악성코드 (0) | 2023.03.29 |
|---|---|
| '한독 합동 사이버 보안 권고' 관련 안랩 대응 현황 (0) | 2023.03.29 |
| 허니팟(honeypot), Spring4Shell 공론에 따라 하루 이후에 보는 것 (0) | 2023.03.29 |
| 락빗(lockbit) 블랙의 공격 체인과 안티 포렌식 활동 (0) | 2023.03.29 |
| 원노트(OneNote)로 유포중인 Emotet 악성코드 (0) | 2023.03.29 |
댓글0