[2018.11.20] 마이크로소프트 파워포인트를 멀웨어 전파에 사용

<요약>

- MS Excel과 Word는 링크와 외부 OLE 객체 등을 사용자가 많이 사용함에 따라 ""오피스 전파 주무대""(Office Dropping Arena)로 여겨짐. 

- MS PowerPoint도 악성코드를 전파하고 실행하는데 사용된 것이 포착됨

- 공격방법 : 실행 가능한 텍스트와 첨부된 문서가 포함된 이메일을 활용

1) 사용자가 악성 파워포인트를 보면 아무것도 없는 빈 페이지로 보임. 하지만 악성 링크가 연결 되어 있어 공격이 시작됨. 

2) 파워포인트의 구조에서 외부 OLE객체가 다운 되는 것을 확인 할 수 있음

악성 외부 객체가 목표 시스템에 다운로드 되고 실행됨. 

감염단계에서 실행된 외부 객체(Javascript)는 새로운 파일이름으로 시스템 임시파일 폴더에 저장됨

3) 추가 악성 코드를 읽고 실행하기 위해 감염 PC의 내부 자산을 사용.

PE 파일의 내부 자산 아래의 이미지를 읽고, 이를 추출하여 실행함.

4) 최종 페이로드는 AzoRult 멀웨어와 유사

<영향성>

- 예전에도 파워포인트 이메일 첨부파일을 활용한 멀웨어 공격이 있었음

- 하지만 MS 오피스 사용자들이 이러한 공격을 잘 알지 못하며 이에 취약함.

<참고자료>

출처: http://www.ehackingnews.com/2018/11/microsoft-powerpoint-susceptible-to.html

취약점 발견자 원문 : https://marcoramilli.blogspot.com/2018/11/microsoft-powerpoint-as-malware-dropper.html