세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
리눅스용 윈도우 서브시스템 이용한 ‘배시웨어’, 탐지조차 못 한다
  |  입력 : 2017-09-14 17:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
리눅스용 윈도우 서브시스템 통해 탐지 안 되는 멀웨어 만들 수 있어
현재 보안 툴로는 피코 프로세스 확인 못해, 모든 윈도우 10 제품 위험


[보안뉴스 오다인 기자] 리눅스용 윈도우 서브시스템(WSL: Windows Subsystem for Linux)을 이용하면 윈도우 10 시스템으로 탐지가 불가능한 멀웨어를 만들 수 있는 것으로 드러났다. 글로벌 보안업체 체크포인트(Check Point)의 연구 결과다.

[이미지=iclickart]


체크포인트는 일전에도 WSL이 악용될 위험이 있다며 우려를 나타낸 바 있다. 체크포인트는 이번에 개발한 기술을 ‘배시웨어(Bashware)’라고 이름 붙였다. 배시웨어는 WSL이 어떻게 악용될 수 있는지를 증명한 첫 번째 사례다.

체크포인트의 제품 취약점 연구팀 팀장 오데드 바누누(Oded Vanunu)는 “사이버 범죄자가 WSL 메커니즘을 이용하는 게 얼마나 쉬운지 보여주는 연구”라고 설명했다. 그는 WSL를 통해 “보안 제품을 우회하는 멀웨어를 만들 수 있다”고 말했다.

“잠재적인 익스플로잇 경로를 차단하는 조치가 대부분 보안 업체 솔루션에 구축돼 있지 않습니다. 따라서 저희는 보안산업이 이에 대해 즉각적인 행동을 취해야 한다고 촉구하는 중입니다. 배시웨어로부터 사용자를 보호하기 위해 제품을 수정해야만 합니다.”

13일 마이크로소프트는 체크포인트의 연구를 경시하는 태도를 보였다. 마이크로소프트는 윈도우 10을 사용하는 기업이라면 배시웨어로 인한 위험이 낮다고 말했다. “공격자는 개발자 모드를 가동해서 컴포넌트와 리부트, 그리고 WSL을 모두 설치해야만 한다.” 마이크로소프트는 성명문을 통해 “개발자 모드는 기본 설정에서 가동돼 있지 않다”고 설명했다.

WSL은 윈도우 10의 기능 중 하나로, 개발자가 가상 기계나 수정 없이도 윈도우에서 리눅스를 바로 가동할 수 있게 해준다. 마이크로소프트는 WSL을 통해 개발자가 명령줄 인터페이스의 이점을 활용할 수 있다며 대부분의 리눅스 툴, 애플리케이션, 유틸리티를 윈도우에서 바로 가동시킬 수 있다고 설명했다. WSL은 지난 7월 베타 테스트를 끝냈으며 현재 윈도우 10을 완전히 지원한다.

마이크로소프트가 WSL을 만든 주요 목적은 리눅스의 배시 터미널 같은 걸 윈도우에 도입하기 위해서라고 바누누는 말했다. WSL은 사용자 모드와 커널 모드 요소를 모두 갖고 있어서 두 개를 함께 사용할 경우 딱 리눅스 같이 움직이는 환경을 만들 수 있는 것이다.

WSL의 핵심은 피코 프로세스(Pico Processes)라고 불리는 컨테이너다. 피코 프로세스는 리눅스 바이너리가 윈도우 10에서 가동될 수 있게 하면서 윈도우 커널에 시스템 호출을 바로 보낼 수 있게 한다. 피코 프로세스는 윈도우 프로세스와 똑같은 기능을 갖고 있지만 일반적인 윈도우 프로세스 특징들과 완전히 다른 특징을 갖고 있다. 피코 프로세스는 공격자가 WSL 내에서 악성 EFE와 EXE 페이로드를 몰래 실행할 수 있게 해준다. 현재의 엔드포인트 보안 툴, 점검 툴, 디버거 등이 피코 프로세스를 확인하도록 설계되지 않았기 때문에 피코 프로세스의 페이로드는 탐지되지 않은 채 존속할 수 있다.

배시웨어는 WSL의 로직 실수나 실행 실수를 이용하는 게 아니다. 배시웨어는 현재의 보안 제품들이 WSL 내에 숨겨진 멀웨어를 탐지하도록 설계되지 않았기 때문에 먹힌다. 바누누는 “지금의 보안 제품들은 방어하는 데 피코 프로세스 API를 사용하지 않는다”고 지적했다.

WSL 악용에 대한 우려는 이따금씩 흘러나왔다. 체크포인트의 4단계 배시웨어 기술은 WSL 악용이 실제로 어떻게 이뤄지는지 보여주기 위해 탄생했다.

1단계는 윈도우 10 기기에 WSL 기능이 가동돼 있는지 확인하고, 가동돼있지 않은 경우 필요한 컴포넌트를 몰래 설치하는 기술이다.

WSL이 개발자 모드에서만 작동하기 때문에 2단계는 개발자 모드로 진입하는 것이다. 체크포인트는 로컬 관리자 특권을 사용해서 레지스트리 키를 설정함으로써 개발자 모드로 진입할 수 있었다고 설명했다.

3단계에선 마이크로소프트 서버로부터 리눅스 파일 시스템을 다운로드 및 추출하며, 4단계에선 리눅스 인스턴스로부터 윈도우 멀웨어를 가동시킨다. 이는 오픈소스 호환 레이어를 이용해서 리눅스상에 윈도우 애플리케이션을 실행함으로써 가능하다.

배시웨어로 공격을 펼치는 데 특정한 세팅이나 조건이 필요하지 않다고 바누누는 말했다. “배시웨어는 사용자 인터랙션 없이 자동적으로 환경을 설정합니다. 따라서 모든 윈도우 10 제품들이 영향권 안에 들다고 볼 수 있죠.”
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)