‘바로가기 파일을 조심하라’ 매크로 차단에 LNK 공격으로 노선 바꾼 해커들

최근 오피스 매크로가 차단돼 악성 파일을 유포할 길이 막히자 나서자 해커들이 전술을 바꾸기 시작했다. 바로가기 파일 형식인 LNK 파일을 사용하는 공격 수법이 주요 대안 중 하나다. 하지만 LNK 파일은 많은 메타데이터를 포함해 쉽게 추적된다. 
 

오피스 파일에 악성코드를 숨겨 컴퓨터를 감염시키는 방식은 오래전부터 만연한 해킹 수법 중 하나였다. 그러나 최근 마이크로소프트가 인터넷에서 다운로드한 문서에서 이런 악성 스크립트를 기본적으로 비활성화하는 보안 업데이트를 적용했다. 

이에 따라 해커들이 전술을 바꾸고 있다. 최근 부상하는 공격 수법은 LNK(Link Binary File) 파일을 사용한다. 

이미 악성 LNK 파일 생성을 돕는 유료 도구와 서비스가 쏟아져 나온 상태다. MLNK 빌더, 퀀텀(Quantum) 빌더, 매크로팩, 링크업(LNKup), 링크투파운(Lnk2pwn), 쉐어퍼시스트(SharPersist), 러스트링크(RustLnk) 빌더 등이 있다. 하지만 이런 도구를 사용해 생성한 악성 LNK 파일은 보안 프로그램이 쉽게 탐지할 수 있다. 
 

해커들이 LNK로 몰리고 있는 이유

LNK는 운영 체제나 응용 프로그램이 시스템의 데이터 개체에 접근할 수 있도록 하는 파일 형식이다. 쉽게 말해 바로가기용 파일이다. 

그러나 LNK 파일은 훨씬 더 다양한 용도로 활용될 수 있다. 응용 프로그램의 동작을 제어하고, 특수 구성 매개 변수를 응용 프로그램에 전달하며, 다양한 영역의 메타데이터를 포함한다. 

LNK 파일로 악성코드를 배포하는 방식은 이전에도 있었다. 예전에 자체적으로 파일을 복제해 USB 스틱 등을 통해 컴퓨터를 감염시켰던 컴퓨터 웜(worm)에서 흔히 찾아볼 수 있었다. 하지만 최근 몇 년 동안 LNK 파일을 통해 악성 응용 프로그램이나 DLL(바이너리 라이브러리)을 로드하는 기술이 상당히 향상되었다.

한편 VBA(Visual Basic Application) 매크로는 오피스 사용자가 문서의 프로세스와 워크플로우를 자동화할 수 있는 기술이다. 기업 사용자, 특히 회계 및 재무와 같은 부서에서 매우 인기 있는 유용한 기능이다. 이러한 이유로 마이크로소프트는 자칫 비즈니스 워크플로우를 방해할까 봐 매크로 사용자 환경을 건드리는 것을 꺼려왔다.

물론 MS 오피스는 이미 지난 수년 동안 매크로를 자동 비활성화하고, 문서 상단에 사용자가 매크로를 다시 활성화할 수 있도록 해 악성 콘텐츠의 위험성을 경고해왔다. 그러자 해커는 이후 사용자가 매크로를 실행하도록 부추기려 온갖 소셜 엔지니어링 수법을 동원해 악성 파일을 배포했다. 

작년에 MS는 매크로를 아예 기본적으로 비활성화하기로 하며 더 엄격한 조치를 취했다. 이메일이나 인터넷에서 다운로드 받은 문서의 경우 이 옵션을 변경할 수 없다. 현재 윈도우 운영체제는 이미 이런 파일에 ‘웹에서 다운로드한 콘텐츠’라는 경고를 표시한다.  

이 업데이트는 지난 6월 모든 사용자에게 배포됐다. 마이크로소프트는 갑자기 업데이트를 철회했다가 한 달 후에 다시 활성화했다. 그 이후로 더 많은 사용자가 오피스 버전을 업데이트하면서 이제 해커들은 더 이상 악성 매크로가 먹히지 않는다는 것을 깨달았다. 그래서 LNK 파일이나 엑셀 애드인(XLL) 파일과 같은 다른 공격 수법으로 옮겨가는 추세다.

엑셀 애드인은 기본적으로 DLL 파일이다. 엑셀 소프트웨어 개발 키트로 생성되며, 사용자나 개발자는 이를 사용해 엑셀 기능을 확장하고 사용자 정의 기능을 추가한다. 문제는 엑셀-DNA(Excel-DNA) 같은 무료 도구를 쓰면 누구나 .NET 같은 다른 프로그래밍 언어로 엑셀 애드인을 만들 수 있다는 점이다. 

시스코 탈로스(Cisco Talos) 연구진은 12월 보고서에서 "엑셀-DNA는 해커들이 악성 XLL를 만드는 데 사용하는 주요 도구 중 하나다. 무료이기 때문이다"라고 밝혔다.

다행히도 마이크로소프트가 워드 문서에서 매크로를 제한한 것처럼 인터넷에서 다운로드한 파일에 대해서도 이 기능을 제한할 계획이다. 회사의 엑셀 로드맵에 따르면 이 업데이트는 올해 3월에 출시될 것으로 예상된다. 

이 업데이트가 배포되면 이제 해커들에게 남은 선택지는 LNK 파일뿐이다. 
 

메타데이터, LNK 공격의 ‘아킬레스 건’ 

시스코 탈로스의 연구진에 따르면 악성 LNK 파일 공격은 작년부터 증가하고 있다. 칵봇(Qakbot, Qbot 또는 Pinkslipbot으로도 알려져 있음)이라고 불리는 오래된 악성코드의 배후에 있는 해킹 그룹이 대표적인 LNK 공격 그룹이다. 

연구진은 새로운 보고서에서 "칵봇은 사이버보안 대비책과 유행하는 해킹 방식를 항상 주시하며 공격 수법을 바꾸는 것으로 알려져 있다. 2022년 5월까지만 해도 주된 공격 수법은 침투한 컴퓨터의 이메일 스레드에 악성 매크로가 담긴 오피스 XLSM 문서를 첨부 파일로 삽입하는 것이었다”라고 설명했다. 

하지만 탈로스에 따르면 MS가 인터넷에서 다운로드한 콘텐츠의 매크로를 무조건 비활성화하는 조치를 취하자 이런 공격 수법은 눈에 띄게 줄어들었다. 

악성 매크로나 액셀 애드인을 활용한 공격에 비해 악성 LNK 파일 공격은 아직 위험도가 높다. 그러나 동시에 공격자를 추적하기도 더 쉽다. LNK 파일은 섹션이 많으며 이를 생성한 시스템에 대한 메타데이터가 많이 포함되어 있다. 따라서 특정 공격 캠페인이나 해킹 그룹과 연관할 수 있는 고유한 흔적을 남긴다. 

예를 들어 2022년에 우크라이나 엔티티를 대상으로 한 LNK 파일 기반의 피싱 공격이 있었다. 처음에는 이 공격의 주체가 새로운 해킹 그룹일 것으로 추정됐다. 하지만 나중에는 러시아의 APT 해킹 그룹 가마레돈(Gamaraedon)이 배후에 있다는 연관성을 찾을 수 있었다. 2013년부터 활동한 이 그룹은 2017년부터 LNK 공격 수법을 써왔다. 

연구진은 "탈로스가 보고서에서 LNK 파일의 메타데이터 내용을 분석함으로써 파일이 생성된 머신 ID를 가마레돈 APT와 관련된 파일과 연관시켰다"라고 말했다. 

나아가 탈로스 연구팀은 이 메타데이터를 바탕으로 2022년 8월 8일경 시작된 우크라이나 조직 대상의 새로운 해킹 캠페인을 식별할 수 있었다. 

LNK 메타데이터는 새로운 공격을 알려진 그룹에 연결하는 데 사용될 수 있을 뿐만 아니라, 바이러스토탈(VirusTotal)과 같은 서비스에서 수집한 샘플을 검색해 완전히 새로운 공격 캠페인을 발견하는 데에도 사용될 수 있다.

이 외에도 별도의 조사에서 LNK 파일 메타데이터는 범블비(Bumblebee)라는 악성코드 계열과 'IcedID' 및 칵봇 트로이목마 악성코드(Qakbot Trojans) 간의 연관성을 찾는 데 쓰였다. 

몇몇 악성 LNK 파일 빌더 프로그램 개발자는 이런 움직임을 포착해 대응하고 있다. 악성 파일에서 일부 메타데이터를 제거하는 것이다. 그러나 반대로 일부 메타데이터가 없다는 것 자체가 단서가 될 수 있다. 특정 데이터 필드에 있어야 할 데이터가 없으면 일단 의심해볼 만 하다. 

연구진은 "사이버 위협 환경에서 상대에 대한 새로운 정보는 보안을 공고히 하는 데 중요하다”라며 “메타데이터를 통해 유출된 정보를 분석하고 추적하며, 이 정보를 다른 해커의 전술, 기술 및 절차와 연관시켜 사이버보안 전문가는 공격을 재빨리 탐지하고 미래의 행동까지 예측할 수 있다"라고 말했다. ciokr@idg.co.kr