기사 한줄요약 (22.2.9.):
피싱메일을 통해 MS365환경에서 20년 전 유행했던 유니코드를 악용한 RLO 공격(Right-to-left override Attack)이 재유행함
문가용, "20년 전 유행했던 RLO 공격 기법, MS 365에서 다시 유행", 2022. 02. 09.,
http://www.boannews.com/media/view.asp?idx=104667
1. RLO : right-to-left override의 약자로 일반적으로 글자를 읽를 때 왼쪽에서 오른쪽으로 읽지만, 일부 히브리어나 아랍어 등을 오른쪽에서 왼쪽으로 글을 읽는 문화권를 지원하기 위해 유니코드에 존재하는 기능
ex) hello > (RLO코드) olleh
2. RLO 공격 :
RLO에 사용하는 특정 유니코드 글자(U+202e)를 활용해, 파일의 확장자를 숨김겨 피해자가 해당 파일을 실행하도록 유도하는 공격.
※ U+202e : 뒤의 문자뒤에 단어를 역순으로 바꿈.
ex) abctxt.exe 악성파일 :
abc[U+202e]txt.exe > abcexe.txt
※ 유니코드는 눈에 보이지 않음.
3. 탐지
: 20년전 간단한 기법이여 유행했지만 탐지 또한 간단해 공격에 이용되지 않다가 최근 IP와 Domain기반의 보안장비들에서 탐지를 못하자 다시 유행기 시작함.
4. 이번 공격 방법
1) MS365 사용자에게 사용자 이름이 제목에 포함돤 피싱 메일 보냄
2) 첨부파일에는 RLO기술이 사용된 악성 파일이 있음. (확장자가 mp3, wav 정상적인 파일 처럼 보임)
3) 파일을 클릭하면 가짜 MS로그린 페이지로 이동
5. 향후 전망
RLO공격 기법 이외에도 유니코드를 활용한 비슷한 공격 기법들이 파생될 것으로 전망됨.