16. FileFix Attack

2025년 6월 23일, mr.d0x가 FileFix 공격 개념을 공개하였다. 본 글에서는 FileFix 공격을 정리한다.

 

FileFix 공격은 이미 알려진 ClickFix 공격의 변형이다. ClickFix가 가짜 캡챠 등을 이용하여 피해자에게 악성코드 실행 등의 공격 명령어를 실행하도록 유도한다면 FileFix는 파일 다운로드 등을 위장해 피해자에게 공격 명령어를 실행하도록 한다.

- ClickFix 공격은 아래 글에 정리되어 있다.

https://p3ngdump.tistory.com/172

13. ClickFix Attack

 

mr.d0x 블로그에 공개된 FileFix 공격 예제 파일을 실행해보면 아래와 같다. (이름만 수정)

FileFix 공격 화면

 

위 그림을 보면 p3ngdump가 HRPolicy.docx 파일을 공유하는 것처럼 보여지며, 중간의 명령어를 복사해 다운로드하라는 것처럼 보여진다.

 

하지만, 복사 값에는 숨겨진 powershell 명령어 등이 존재한다. 즉, 숨겨진 공격 명령을 통해 피해자 PC에 악성코드를 다운로드 및 실행할 수 있다는 것을 볼 수 있다.

숨겨진 코드

피해자가 웹 페이지에 안내된 대로 경로 창에 1번의 내용을 복사해 넣으면 아래와 같이 보여진다. 파워쉘 명령어와 파일 경로 사이에 많은 공백이 있기 때문에 피해자의 화면에는 파워쉘 명령어가 보여지지 않는 것이다.

파일 열람 화면

 

이후 실행 시 아래와 같이 파워쉘을 통해 example.com 으로 ping을 전송한다. 공격 예제에서는 example.com 으로의 ping 전송이지만 실제 공격 코드로 변경된다면 피해자가 인지하지 못한 채 악성코드의 다운로드, 실행이 될 수 있다.

파워쉘 실행 화면

 

FileFix의 전반적인 개념은 위와 같다. 추가적으로 mr.d0x는 파일 탐색기의 경로를 통해 실행되는 파일의 경우 MOTW가 나타나지 않음 등도 공개했다. 이를 통해 FileFix의 또 다른 유형을 공개했는데, html 파일 중간에 공격 코드를 삽입하고 피해자가 hta 파일로 다운로드 및 실행하게끔 유도하는 것이다.

 

공격 예제 화면은 아래와 같다.

FileFix2 공격 예제 화면

 

피해자가 웹 페이지에 나타난대로 페이지를 hta 파일로 저장 후 파일을 열람할 경우 html 내부 공격 코드가 실행된다.

파일 저장 화면

파일 내부 코드

 

또 다른 유형의 FileFix 공격(FileFix2)는 hta 파일의 경우 html 내부 태그 등은 무시하고 내부 코드만 실행한다는 점을 이용한다. 즉, 페이지에는 표시되지 않는 공격 코드를 삽입하고 피해자에게 다운로드 및 실행을 유도하면 공격 코드가 실행되는 점을 이용한다.

 

공격 예제 파일에서는 example.com 으로의 ping 전송으로 설정되어 있지만, 실제 공격에서는 공격자의 C2 서버에서 악성코드를 다운로드, 실행할 수 있다.

 

사회 공학 공격 기법의 일부인 ClickFix의 변형으로 FileFix가 공개되었다. 사회 공학 기법이기 때문에 대응 기법에 다소 어려움이 있을 것으로 생각된다. 현재 mr.d0x가 공개한 바에 따르면, 마지막으로 또 다른 변형을 공개할 예정이다.

 

- 참고

https://mrd0x.com/filefix-clickfix-alternative/

FileFix - A ClickFix Alternative | mr.d0x

https://mrd0x.com/filefix-part-2/

FileFix (Part 2) | mr.d0x