랜섬웨어

ActiveX (액티브엑스) 의 문제점과 사례 대응 방안

4,543    2015-10-26


ActiveX 컨트롤이란?

인터넷 익스플로러의 기능을 확장하기 위해 Microsoft 사에서 제공하는 기능입니다.

자바 애플릿과는 달리 사용자 PC의 파일, 레지스트리 등의 자원에 접근 가능합니다.

문제는 일반적인 윈도우프로그램과는 달리 공격자가 웹 인터페이스를 통해 언제든지 호출이 가능하다는 것입니다.



ActiveX 사용 범위

· 웹 지도 서비스 용 ActiveX 컨트롤
· 웹 연동 애플리케이션
· 보안 프로그램 (PC 보안, PMS, 방화벽)
· 온라인 게임 설치 프로그램
· 동영상 및 음악 플레이어
· 메신저 프로그램
· 뉴스 등 PUSH 서비스 프로그램



ActiveX 사용 현황

· ActiveX 사용이 줄어드는 추세이나 아직도 국내 웹사이트는 ActiveX 컨트롤을 많이 이용 

 (천만 명 이상이 사용하는 다수의 컨트롤에서 취약점 발견)

· ActiveX 컨트롤에 대한 보안성 검증 절차가 없음

· 보안 프로그램에서 조차도 취약점이 발견

· 개별 회사의 문제가 아니라 ActiveX 취약점에 대한 인식과 공감대 형성이 부족해서 발생한 문제

· ActiveX 보안패치가 어려움



ActiveX 문제점

1) 내부 위협 

· 기업 내에서 사용 중인 ActiveX 컨트롤에 취약점이 존재하면 사실상 해당 기업의 PC는 모두 해킹 가능

· PMS, 안티키로거 등 필수 보안 컨트롤에서 취약점 발견 

· 인트라넷, 문서관리 등 자체적으로 만든 컨트롤인 경우 더욱 심각


2) 외부 위협

· 임/직원이 웹서핑 중 설치한 컨트롤에 취약점이 존재

· 메신저, 게임, 지도 서비스 사이트, 언론 사이트 등 메이저 사이트에서 배포하는 ActiveX 컨트롤에서 다수 취약점 존재

· 한 PC가 공격되면 해당 PC를 숙주로 내부망 침투 가능



 ActiveX 사고 사례

· 2002년 이후 발견되는 애드웨어의 상당수는 ActiveX나 IE의 취약점을 이용하기 때문에 ‘확인’버튼을 누르지 않아도 자동 설치

· 웹서버 해킹 후 해킹툴/트로이목마 배포, 배포되는 트로이목마는 IE ActiveX 컨트롤 취약점을 이용해 자동으로 PC에 설치

· 대부분의 은행에서 배포하는 ActiveX 컨트롤에 취약점 존재

· 국내 유명 멀티미디어 재생기 (곰플레이어) ActiveX 취약점 해외 보안 사이트에 공개

· 국내 ○○소프트社 ActiveX 안티바이러스 제품 취약점 및 공격 코드가 해외 취약점 공개 사이트 (milw0rm, secunia)에 공개

· 국내 ○○커뮤니케이션 대표가 웹브라우저 사용 시 특정 사이트로 접속을 유도하는 ‘툴바’와 ‘루트킷’을 포함한 악성코드를 ActiveX 형태로 포털 등을 통해 무단 배포, 1140만 명의 PC 감염

· Adobe 社 Flash Player ActiveX 취약점을 악용하여 국내 다수 PC 감염

· MS社 윈도우즈 비디오스트리밍 (MPEG2Tune Request) ActiveX 취약점을 악용하여 국내 다수 PC 감염



ActiveX 취약점 유형

· File read/write method 이용

· File operation 기능을 우회하여 임의의 경로에 있는 임의의 파일을 읽고 쓸 수 있음

· 자동 업데이트 기능 관련 취약점

· 업데이트 서버 URL을 조작하여 공격자의 해킹 툴이 설치되게 함

· 이외의 시스템 자원 접근을 이용한 권한 획득

· 폐쇠망에서 운용되는 폐쇄 도메인 관련 취약점



ActiveX 취약점 유형

취약점 찾기 ▷ 함정 설치 ▷ 열람/공격 성공 ▷ 백도어 실행


· ActiveX 컨트롤 취약점을 찾은 후 공격용 스크립트를 작성합니다.

· 취약점 공격용 스크립트가 숨겨진 메일을 무작위로 보냅니다. (정보 유출이 목적인 경우 지정된 사람에게 메일을 발송함)

· 희생자가 메일을 여는 순간 백도어 프로그램이 설치

· 취약점을 공격하는 것이므로 첨부파일 등은 실행할 필요가 없음 (스크립트는 희생자에게 보이지 않아 대부분 공격 사실을 모름)

· 공격자는 희생자 PC의 제어권을 얻게 되어 PC 내의 기밀 자료를 가져올 수 있으며 사용자 화면 엿보기가 가능

· 스팸 메일 및 다른 PC 해킹 경유지로 사용 가능



대응 방안

· 웹 지도 서비스 용 ActiveX 컨트롤

· ActiveX 도입 전 충분한 보안성 검토

· ActiveX Control 개발시 내부 파일 접근 함수 사용 제한 및 보안성 검토 

· 신뢰하지 않는 사이트, 파일, 이미지 그리고 문서에 대한 열람 금지

· 개인 방화벽 활성화로 인한 2차 공격 대응 (키로깅, 백도어, 악성코드 감염 대응)

· 중앙 모니터링과 미확인된 안전하지 않은 ActiveX는 사전 통제 필요 (화이트리스트 통제 관리)



댓글 : 0