MS 365에서 재유행하는 RLO 공격 기법

요약

특정한 유니코드 글자를 활용하면 텍스트 방향을 변경할 수 있는데 이를 RLO라 한다. 파일 확장자를 교묘하게 변경하는 식으로 악용하면 악성 코드 파일 실행을 유도할 수 있다.

최근 RLO 기반 피싱 공격이 다시 유행하고 있는데, MS 365 사용자에게 오디오 파일처럼 보이는 피싱 사이트 링크를 보내 정보를 탈취하는 방식이다.

RLO 공격은 방식이 단순하여 탐지가 쉽지만 최근 보안 솔루션들은 이상 탐지 (Known Signature 탐지)를 주요하게 다루기 때문에 오히려 예전 공격 기법을 놓칠 수 있다.

컴파일러의 텍스트 흐름 방향을 하나로 지정하고, 사용 가능한 언어를 제한하면 위험도를 낮출 수 있다.

 

---

찾아보기

Right-to-Left-Override

유니코드 글자 (U+202e)를 사용하면, 텍스트 흐름을 LeftToRight에서 RightToLeft로 변경할 수 있다.

파일 확장자를 가리는 방식으로 악용된다.

 

CVE-2021-42574

코드 문자열을 재배치하여 시각적으로 사용자를 속이는 방식의 유니코드 취약점

 

CVE-2021-42694

유니코드 사양의 문자 정의 취약점; 공격자는 이 취약점을 통해 시각적으로 동일하게 렌더링되는 동형 문자를 찾을 수 있다.

 

---

 

20년 전 유행했던 RLO 공격 기법, MS 365에서 다시 유행

U+202E RIGHT-TO-LEFT OVERRIDE - Unicode Explorer