파이어아이, PDF파일 이용한 제로데이 공격 탐지

제로데이 공격은 컴퓨터 소프트웨어의 취약점을 공격하는 기술적 위협으로, 패치가 발표되기까지 마땅한 대응책이 없어 위험한 보안 공격 중 하나로 꼽힌다. 이번에 발생한 제로데이 공격은 어도비 리더(Reader)와 아크로뱃(Acrobat)에 존재하는 취약점인 ‘CVE-2013-0640’ 및 ‘CVE-2013-0641’을 겨냥한 공격으로, 최신 버전인 9.5.3, 10.1.5, 11.0.1에서 발생했다.

파이어아이는 내부에 감염된 호스트가 중간명령제어(CNC) 서버에 접속을 시도하는 콜백 트래픽 분석을 통해 이번 제로데이 공격을 처음으로 탐지했다. 파이어아이는 이번 공격뿐 아니라, 최근 몇 달간 발생한 인터넷 익스플로러(Internet Explorer), 자바(Java), 플래시(Flash)에 대한 제로데이 공격을 탐지하고 블로그를 통해 위험성에 대해 공지해 사용자들에게 보안 가이드를 지속적으로 제공해 오고 있다.

이번 제로데이 공격은 사용자의 이메일을 통해 전달된 악성코드에 감염된 2개의 PDF 문서를 통해 발생했다. 첫 번째 파일은 허위 오류 메시지를 표시해 감염된 PDF 파일을 열게 하고, 두 번째 파일은 오류를 해결했다며 복구 창을 띄워 사용자를 속인다. 해당 문서들을 실행하면, 원격 도메인에 또 다른 악성코드를 설치하는 방식으로 악성코드를 전파한다.

특히 이번에 발견된 보안 취약점은 동적 링크 라이브러리(DLL)를 호출하는 과정을 이용한 것으로 알려졌다. 사용자가 이메일을 통해 전달된 PDF 파일을 열면 해당 PDF에 내장된 자바 스크립트가 생성한 쉘 코드(shell code)가 자동으로 실행되며 이 때 두 개의 DLL 파일이 다운로드 되고 그 중 하나의 DLL 파일을 통해 중간명령제어(CNC) 서버로 접속함으로써 해당 호스트의 원격 조정이 가능하게 된다.

공격에 사용된 PDF 파일은 스트링(String) 조작 기술에 의해 변조돼 있었기 때문에 기존의 침임탐지시스템(IPS)이나 백신 등 패턴 기반의 보안 솔루션에서는 탐지되지 않았다.

한편 이번 파이어아이가 처음 발견한 어도비사의 어도비 리더와 아크로뱃에 존재하는 취약점 2건에 대해서 어도비는 보안 업데이트를 발표했다.

보다 자세한 내용은 www.adobe.com/support/security/advisories/apsa13-02.html에서 확인 가능하다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>