개요
최근 안랩에서 악성 *MSC 파일과 관련된 분석 보고서를 공개하였습니다. 안랩은 악성 MSC 파일이 두 가지 유형으로 나뉜다고 분석하였습니다.
MSC(Microsoft Management Console Snap-in Control File)
- MSC는 Windows의 기본 프로그램인 MMC(Microsoft Management Console)를 통해 실행되며, 주로 시스템 관리 작업에 사용됩니다. 해당 파일은 XML 형식으로 구성되어 있습니다.
1. apds.dll 취약점(CVE-2024-43572) 악용
이 유형은 apds.dll 내 특정 리소스(redirect.html)를 이용하여 악성 행위를 수행하는 방식입니다.
MSC에서 이 취약점을 트리거하려면 반드시 다음과 같은 구문이 포함되어야 합니다.
res://apds.dll/redirect.html?target=javascript:eval(external.Document.ScopeNamespace.GetRoot().Name)
해당 구문을 통해 res:// 프로토콜을 이용하여 로컬에 존재하는 apds.dll 내 redirect.html 리소스에 접근할 수 있습니다. 이 리소스는 정규식 검색을 통해 target= 뒤에 위치한 코드를 추출하고, .exec() 메서드를 활용하여 실행하는 구조를 가지고 있습니다. 즉, MMC 자체에서 코드를 실행하는 것이 아니라 취약한 DLL 내부에서 직접 실행하는 방식입니다.
2. Console Taskpad 악용
두 번째 유형은 MSC 파일 내부의 <ConsoleTaskpads> 태그 내에 악성 명령어를 삽입하여 MMC를 통해 실행되도록 하는 방식입니다.
특히, 이 유형의 악성 MSC 파일은 주로 Microsoft Word 문서로 위장되어 있으며, 사용자가 Open 버튼을 클릭하면 내장된 악성 PowerShell 명령어가 실행되어 추가적인 악성 코드를 다운로드하고 실행하는 형태로 동작합니다.
3. 보안 동향 및 대응 방안
안랩은 "2024년 6월부터 악성 MSC 파일의 유포가 증가하였으며, apds.dll 취약점(CVE-2024-43572)을 악용하는 유형은 보안 패치가 적용됨에 따라 더 이상 실행되지 않는다"고 밝혔습니다.
그러나 Console Taskpad를 활용하는 유형은 특정 취약점을 악용하는 방식이 아니므로, 정상적인 관리 작업에서도 사용될 수 있는 점을 고려해야 합니다. 이에 따라, 기업 및 기관에서는 의심스러운 MSC 파일의 실행을 제한하고, 보안 솔루션을 활용하여 악성 코드 탐지 및 대응을 강화하는 것이 중요합니다.
출처
[1] ASEC - MSC 확장자를 통해 유포 중인 Rhadamanthys 인포스틸러
'보안이슈 (Security Issues)' 카테고리의 다른 글
| [보안이슈] 삼성SDS, 2025년 5대 사이버 보안 위협 발표 (0) | 2025.02.18 |
|---|---|
| [보안이슈] 김수키(Kimsuky) 해킹 그룹의 새로운 Powershell 공격 방법 (0) | 2025.02.13 |
| [보안이슈] macOS용 DeepSeek 설치 파일로 위장한 악성코드 발견 (0) | 2025.02.10 |
| [보안이슈] DeepSeek iOS 앱 보안 주의 (0) | 2025.02.09 |