세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
두 가지 제로데이 한 번에 공략하는 악성 PDF 파일 발견
  |  입력 : 2018-05-16 17:56
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
MS 윈도우 취약점 한 개와 어도비 리더 취약점 한 개 동시에 노려
패치는 지난 주 및 어제 발표돼...패치하지 않는 사용자 습관 파악한 듯


[보안뉴스 문가용 기자] 지난 주 마이크로소프트가 패치한 윈도우 권한 상승 취약점과, 어제 어도비가 패치한 리더 내 원격 코드 실행 버그를 동시에 익스플로잇 하는 악성 PDF 파일이 발견됐다. 이에 대해 보안 업체 이셋(ESET)이 자사 블로그를 통해 발표했다. 두 가지 모두 제로데이 취약점이다.

[이미지 = iclickart]


이셋의 수석 멀웨어 분석가인 안톤 셰레파노프(Anton Cherepanov)는 “공공 레포지토리에서 악성 PDF 샘플이 업로드 되어 있는 걸 발견했다”며 “분석을 진행했지만 아직까지 최종 페이로드가 담겨 있는 것 같지 않았다”고 설명했다. 그러면서 “공격 혹은 멀웨어 개발 초기 단계에 이를 발견한 것으로 보인다”고 결론을 내렸다.

하지만 그렇다고 이 악성 PDF에 대한 경계를 모조리 해제해도 된다는 뜻은 아니다. “두 가지 취약점을 하나에 합한 익스플로잇이라 대단히 강력합니다. 공격자가 권한을 가장 높게 상승시켜 자기 마음대로 코드를 실행시킬 수 있기 때문입니다. 그러면서 피해자가 직접 실행해야 하는 부분은 없다시피 합니다.”

또한 “이렇게 두 가지 이상의 제로데이 취약점을 한 번에 공략하는 수법은 국가의 지원을 받는 APT 그룹들이 자주 보여주는 양상”이라고도 덧붙였다. “러시아의 팬시 베어(Fancy Bear) 등이 이런 공격에 능숙합니다.”

피해자가 이 PDF 파일을 받아 열게 되면 제일 먼저 자바스크립트 코드를 어도비 리더 안에 임베드시킨다. 이 스크립트는 CVE-2018-4990이라고 알려진 프리 메모리 커럽션(free memory corruption) 오류를 익스플로잇 한다. 이 오류는 5월 14일, 어도비가 패치한 47가지 취약점 중 하나다. 익스플로잇에 성공하면 공격자가 메모리 내에서 읽기 및 쓰기 권한을 갖게 되며, 악성 PE 파일 실행 기능을 가지고 있는 셸코드를 실행할 수 있게 된다.

그러나 이 단계만으로 효과적인 공격을 실시하기는 어렵다. 공격력을 높이려면 어도비 리더의 샌드박스 기능을 피하고 컴퓨터 전체를 침해해야 한다. “이 부분에서 윈도우 취약점이 등장합니다. 권한을 상승시키는 CVE-2018-8120 취약점 말이죠. 이 취약점은 Win32k 요소에서 나타나며, 메모리 내 객체를 잘못 다루는 과정에서 발생합니다. 익스플로잇에 성공하게 되면 공격자가 임의의 코드를 커널 모드로 실행할 수 있게 됩니다.”

상세한 기술 분석 내용은 여기(https://www.welivesecurity.com/2018/05/15/tale-two-zero-days/)서 열람이 가능하다.

셰레파노프는 “얼마 전에 패치가 발표되었음에도 공격 실험이 해커들 사이에서 이뤄지고 있다는 건 사용자가 패치를 잘 적용하지 않는다는 보안 생태계의 가장 큰 약점을 악용하겠다는 것”이라고 지적한다.

지난 5월 12일은 워너크라이가 나타난 지 1년이 되는 날이었다. 하지만 당시 문제가 됐던 이터널블루(EternalBlue) 익스플로잇과 관련된 취약점은 세계 곳곳에서 패치가 되지 않은 채 그대로 유지되고 있다는 조사 결과가 발표되기도 했다. 그에 따라 이터널블루의 사용량이 최근 급증하고 있다는 소식도 곁들여졌다. 제로데이 취약점보다 패치 하지 않는 사용자 취약점이 제일 심각하다고 말하는 전문가들도 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)