'확장자 변조 취약점'에 해당하는 글 1건

몇달전 무한도전 토렌트 파일을 통한 악성코드를 유포한 사건이 있었습니다. 

또한 어제 한글파일을 이용한 악성코드가 유포된적이 있었습니다.


두 사건의 공통점은 파일의 확장자 변조 취약점을 이용한 공격이였습니다.

확장자 변조 취약점은 os에서 제공하는 right to left override를 이용하여 만들어집니다.

기본적인 왼쪽->오른쪽 으로의 글쓰기가 아닌 오른쪽->왼쪽으로의 글쓰기를 통하여

우리의 눈을 속이는 기법입니다. (사회공학해킹의 일종입니다.)



예를 들어 위와 같이 메신저로 파일을 받았다고 합시다. 내부 기밀문서 라는 파일로 확장자가 hwp입니다.


바탕화면에서도 한글파일로 나옵니다. 기밀문서라는데 않열어 볼수가 없겠지요?


해당 파일을 열어 보면 hello 다이얼로그가 뜨고 프로그램은 종료됩니다. 

제가 임의적으로 만든 파일로 만일 악성코드였다면 바로 감염되었을 겁니다.

요즘의 이런 기법으로는 악성파일과 실제 파일을 서버에서 다운로드 하고 실제 파일을 열어주면서 악성파일은 숨기는 패턴을 보이고 있습니다.(아래의 기사 링크 참조)


하지만 받은 사람은 hwp파일이기 때문에 별다른 의심을 않할것입니다.



커맨드 창에서 확인 결과 right to left override를 무시한채 표기되는것을 확인 할수 있습니다. 

윈도우에서 볼때의 2012...exe.hwp ->2012...pwh.exe 로 표기되는것을 확인할수 있습니다.


모든 파일을 커맨드 창에서 확인할수 없는 노릇이지만 아무 파일이나 열어보기전에 확장자를 확인하며

알수없는 사람이 준 파일이나 usb를 열어보는 행동은 삼가해야 합니다. 




관련 글 : http://cleverdj.tistory.com/48

관련기사 : http://www.boannews.com/clinic/s_view.asp?idx=34710&skind=5

               http://krebsonsecurity.com/2011/09/right-to-left-override-aids-email-attacks/


WRITTEN BY
No.190
세계정복의 시작점

트랙백  0 , 댓글  3개가 달렸습니다.
  1. 확장자 변조하는 방법을 아래와 같이 해보았습니다.

    테스트PC OS: Win7 Pro
    1. C:\Windows\notepad.exe 파일을 notepadexe.doc 로 이름변경
    2. Alzip으로 압축
    3. notepadexe.doc 파일을 hexeditor로 오픈
    4. exe 앞부분에 3byte E280AE 삽입 후 저장
    5. 7zip 이용하여 압축 해제
    위와 같이 해보니 실패함. 혹시 확장자변조파일 만들때 뭐가 잘못되었는지 좀 알려줄수있으세요
    • 제가 알기론 이 취약점은 윈도우xp 에서만 가능한것으로 알고 있습니다.
      현재 하신 방식으론 어느 정도 맞습니다.(저의 경우는 프로그램으로 만들었지만 방법은 같습니다.)
      저의 경우도 윈7 에서 확인시 변조전의 파일로 나타났었습니다.
      (해당 E280AE 라는 명령문이 win7에 없는것으로 알고 있습니다.)
  2. 윈7에서도 right to left override 취약점을 이용한 바이러스가 나왔네요
secret