확장자 변조 취약점 (right to left override)

몇달전 무한도전 토렌트 파일을 통한 악성코드를 유포한 사건이 있었습니다. 

또한 어제 한글파일을 이용한 악성코드가 유포된적이 있었습니다.

두 사건의 공통점은 파일의 확장자 변조 취약점을 이용한 공격이였습니다.

확장자 변조 취약점은 os에서 제공하는 right to left override를 이용하여 만들어집니다.

기본적인 왼쪽->오른쪽 으로의 글쓰기가 아닌 오른쪽->왼쪽으로의 글쓰기를 통하여

우리의 눈을 속이는 기법입니다. (사회공학해킹의 일종입니다.)

예를 들어 위와 같이 메신저로 파일을 받았다고 합시다. 내부 기밀문서 라는 파일로 확장자가 hwp입니다.

바탕화면에서도 한글파일로 나옵니다. 기밀문서라는데 않열어 볼수가 없겠지요?

해당 파일을 열어 보면 hello 다이얼로그가 뜨고 프로그램은 종료됩니다. 

제가 임의적으로 만든 파일로 만일 악성코드였다면 바로 감염되었을 겁니다.

요즘의 이런 기법으로는 악성파일과 실제 파일을 서버에서 다운로드 하고 실제 파일을 열어주면서 악성파일은 숨기는 패턴을 보이고 있습니다.(아래의 기사 링크 참조)

하지만 받은 사람은 hwp파일이기 때문에 별다른 의심을 않할것입니다.

커맨드 창에서 확인 결과 right to left override를 무시한채 표기되는것을 확인 할수 있습니다. 

윈도우에서 볼때의 2012...exe.hwp ->2012...pwh.exe 로 표기되는것을 확인할수 있습니다.

모든 파일을 커맨드 창에서 확인할수 없는 노릇이지만 아무 파일이나 열어보기전에 확장자를 확인하며

알수없는 사람이 준 파일이나 usb를 열어보는 행동은 삼가해야 합니다. 

관련 글 : http://cleverdj.tistory.com/48

관련기사 : http://www.boannews.com/clinic/s_view.asp?idx=34710&skind=5

               http://krebsonsecurity.com/2011/09/right-to-left-override-aids-email-attacks/