복사-붙여넣기를 악용한 FileFix 공격

1. 개요

- 윈도우 파일 탐색기를 악용해 악성 명령을 실행하는 신종 취약점 공격 기법 FileFix 발견 [1]

- 기존의 ClickFix 사회공학 기법을 발전시킨 형태 [2]

2. 주요내용

- 사용자를 "파일 공유 알림" 피싱 페이지로 유도해 특정 경로를 파일 탐색기 주소창에 붙여 넣도록 유도

> 사용자가 특정 파일 경로를 복사하도록 유도하지만, 실제 복사되는 내용은 PowerShell 명령을 포함

> 사용자가 임의의 파일을 선택하는 행위를 방지하기 위해, 파일 선택 시 change 이벤트를 발생시켜 경고 메시지를 표시한 뒤 파일 탐색기 창 재실행 및 복사-붙여넣기 유도

[피싱 페이지 복사 안내 경로]
C:\company\internal-secure\filedrive\HRPolicy[.]docx

[실제 복사 내용]
Powershell.exe -c ping example[.]com # C:\\company\\internal-secure\\filedrive\\HRPolicy[.]docx

 

[사진 1] 피싱 페이지

[사진 2] 파일 탐색기 창을 악용한 명령 실행 결과

- 파일 탐색기의 주소 창을 통해 .exe 파일 등을 다운 및 실행하면 MOTW 속성이 제거

> MOTW는 인터넷에서 다운로드한 파일을 실행할 경우 사용자에게 보안 경고를 발생시킴

[사진 3] MOTW 비교

- 해당 공격은 정상적이고 믿을만한 시스템 기능조차 공격자에 의해 무기화될 수 있음을 보여줌

> 윈도우 탐색기를 악용하고 별도 권한 상승이나 복잡한 악성 코드 없이 단순한 사회공학과 사용자 신뢰만으로 공격이 가능
> 정보 유출, 랜섬웨어, 기타 멀웨어를 유포하는데 사용될 수 있으며 개인과 조직 모두에게 심각한 위협

> 출처가 불분명한 파일 경로나 명령어 복사·붙여넣기 지시 주의

3. 참고

[1] https://mrd0x.com/filefix-clickfix-alternative/
[2] https://ggonmerr.tistory.com/505
[3] https://www.boannews.com/media/view.asp?idx=137854&page=1&kind=1