MS가 2023년 폐지한 기능 악용해 웹 마크(MoTW) 보안 경고 무력화
악성 .url·.lnk 파일 통해 원격 서버를 로컬 공유 드라이브처럼 위장

[보안뉴스 김형근 기자] 윈도우 파일 탐색기에 남은 WebDAV 프로토콜을 악용해 웹 브라우저 보안 경고를 우회하는 공격 캠페인이 확산하고 있다. 여러 종류의 원격 제어 트로이목마(RAT)를 유포하는 것으로 확인돼 보안 담당자들의 각별한 주의가 요구된다.


이 캠페인은 마이크로소프트가 2023년 11월 공식 폐지한 WebDAV 기능을 악용한다. 공격자들은 특별 제작한 링크를 통해 파일 탐색기가 원격 WebDAV로 연결되도록 유도한다.

이 기법을 활용하면 웹 브라우저의 다운로드 차단 기능이나 웹 마크(MoTW: Mark-of-the-Web) 기반 보안 경고를 우회해 파일이 로컬 드라이브나 기업용 공유 폴더처럼 실행된다. 일반적 폴더 검색으로 보이지만, 실제로는 외부 악성 서버와 직접 통신하는 구조다.

주로 ‘file://’ URI 스킴이나 단축 파일(.url· .lnk)이 악용된다. 공격자들은 원격 서버의 루트 디렉터리인 ‘DavWWWRoot’에 접근할 수 있도록 설계된 악성 .url 파일을 유포한다. 악성 파일이 담긴 폴더를 열기만 해도 아이콘을 불러오기 위해 윈도우 운영체제가 자동으로 DNS 조회를 진행하며 공격자에게 연결 활성화 신호를 보낸다.

공격자들은 네트워크 보안 장비의 추적을 회피하기 위해 클라우드플레어 터널의 무료 계정을 활용해 단기 서버를 운영한다. 이를 통해 악성 트래픽을 정상적 클라우드 통신으로 위장해 탐지를 피하고 있다.

2024년 말부터 크게 늘어난 이번 캠페인은 주로 정교하게 위장된 재무 문서나 송장 메일 형태로 유포됐다. 통계에 따르면 목표의 50%는 독일어권 기업이며, 나머지는 영어권 국가에 집중됐다. 관련 공격의 87%가 시스템 전권을 탈취하는 엑스웜(XWorm)과 어싱크랫(AsyncRAT) 등 여러 종류의 RAT를 동시에 배포해 침투 성공률을 높이려 했다.

보안 전문가들은 이번 캠페인 방지를 위해 비정상적 외부 연결 트래픽을 확인하고, 낯선 외부 IP 주소를 확인하는 등 접근 통제를 강화해야 한다고 조언했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>