FileFix는 Windows와 웹 브라우저가 HTML 웹 페이지의 저장 프로세스를 관리하는 방식을 악용하여 Windows에 내장된 보안 기능을 효과적으로 우회하는 새로운 공격 기법입니다.이 공격이 성공적으로 실행될 경우 랜섬웨어 배포, 자격 증명 도용, 다양한 악성 코드 설치 등 심각한 보안 침해로 이어질 수 있습니다.이 종합 가이드에서는 잠재적인 FileFix 위협으로부터 컴퓨터를 보호하는 주요 전략을 살펴보겠습니다.
FileFix 공격의 메커니즘 이해
보안 전문가 mr.d0x가 발견한 FileFix 공격은 로컬 HTML 애플리케이션 파일 처리와 Windows의 웹 마크(MoTW) 보안 기능을 조작합니다.사용자가 웹페이지에서 “다른 이름으로 저장” 옵션을 사용할 때 브라우저는 일반적으로 MoTW 태그를 지정하지 않는데, 이는 Windows 보안과 같은 보안 시스템이 해당 파일에 악성 콘텐츠가 있는지 검사하도록 경고하기 위한 것입니다.
또한, 파일이.hta(HTML 애플리케이션 파일) 확장자로 저장되면 보안 검사 없이 현재 사용자 계정에서 바로 실행될 수 있습니다.악성 웹사이트는 사용자를 속여 파일을.hta 파일로 저장하게 하고, 삽입된 악성 코드가 파일을 여는 즉시 실행되도록 하여 Windows 보안 시스템의 탐지를 피할 수 있습니다.
사용자를 악성 파일 저장하도록 유도하는 것은 본질적으로 어렵지만, EDDIESTEALER가 사용한 것과 유사한 전략을 사용할 수 있습니다.여기에는 MFA 코드와 같은 민감한 정보를 오해의 소지가 있는.hta 확장자로 저장하도록 사용자를 조종하는 사회 공학적 기법이 포함됩니다.
이러한 공격 벡터를 효과적으로 차단할 수 있는 예방책은 다양합니다.다음은 몇 가지 주요 전략입니다.
의심스러운 웹 페이지를 피하세요
FileFix 공격의 첫 단계는 악성 웹페이지를 저장하는 것입니다.따라서 이러한 사이트를 완전히 피하면 공격을 완전히 차단할 수 있습니다.피싱 탐지 및 악성 코드 보호 기능이 포함된 Chrome, Edge 또는 Firefox와 같은 최신 브라우저를 항상 사용하세요. Google Chrome에서 고급 보호 기능을 활성화하면 AI 기반 실시간 위협 탐지 기능을 이용할 수 있습니다.
많은 악성 사이트가 합법적인 출처로 위장한 피싱 이메일을 통해 유포됩니다.이러한 이메일을 식별하는 것은 매우 중요하며, 이러한 이메일과의 상호 작용을 피하는 것은 다양한 사이버 위협의 희생자가 될 위험을 크게 줄일 수 있습니다.실수로 의심스러운 사이트에 접속했다면, 해당 사이트의 적법성을 평가하는 효과적인 방법이 있습니다.
Windows에서 파일 확장자 표시 여부
Windows 11에서는 파일 확장자가 기본적으로 숨겨져 있어 사용자가.html에서.hta로 변경된 내용을 간과할 수 있습니다.이를 방지하려면 파일 확장자를 표시하여 사용자가 속이는 이름에도 불구하고 실제 파일 형식을 인식할 수 있도록 하는 것이 좋습니다.
파일 확장자를 표시하려면 다음 단계를 따르세요.
- 파일 탐색기를 엽니다.
- 자세히 보기 버튼(세 개의 점)을 누르고 옵션을 선택하세요.
- 보기 탭 으로 이동하여 알려진 파일 형식의 파일 확장명 숨기기 라고 표시된 상자의 선택을 취소합니다.
이 변경 사항을 적용하면 웹 페이지를 저장할 때 다운로드 창 내에서도 파일 확장자가 표시됩니다.
hta 파일의 기본 프로그램으로 메모장을 설정합니다.
MSHTA는.hta 파일을 실행하는 기본 애플리케이션입니다..hta 파일 연결을 메모장으로 재할당하면 해당 파일이 스크립트를 실행하는 대신 텍스트 문서로 열리므로 잠재적으로 유해한 콘텐츠가 실행되는 것을 방지할 수 있습니다.
hta 스크립트는 주로 IT 전문가나 특정 엔터프라이즈 애플리케이션에 사용되므로 이 조정으로 인해 일반 사용자에게 지장이 발생할 가능성은 낮습니다.이 변경 사항을 구현하려면 다음을 수행하세요.
- Windows 설정에 액세스하여 앱 -> 기본 앱 으로 이동합니다.
- 파일 유형 또는 링크 유형에 대한 기본값 설정 아래의 검색 창에 “.hta”를 입력합니다.
HTML 실행을 방지하기 위해 Mshta 비활성화
또 다른 예방 방법은 MSHTA 애플리케이션을 완전히 비활성화하여 모든.hta 스크립트 실행을 차단하는 것입니다.”mshta.exe” 파일 이름을 “mshta.exe.disabled”로 변경하면 됩니다.이 변경을 수행하려면 사용자는 파일 확장자가 표시되도록 설정해야 합니다.
“C:\Windows\System32″와 “C:\Windows\SysWOW64” 디렉터리에서 Mshta 파일을 찾아 관리자 권한으로 로그인한 상태에서 “mshta.exe”를 “mshta.exe.disabled”로 이름을 바꾸세요.필요한 경우 파일의 소유권을 가져오세요.이 변경 사항을 되돌리려면 원래 파일 이름을 복원하기만 하면 됩니다.
이 취약점에 대한 인식이 높아짐에 따라 Microsoft는 향후 업데이트에서 MoTW 적용과 관련된 수정 사항을 강화할 가능성이 높습니다. Windows 운영 체제를 항상 최신 상태로 유지하고, 실행 중 유해한 스크립트를 탐지할 수 있도록 기본 보안 기능을 활성화해 두십시오.
답글 남기기