랜섬웨어

S/W의 취약점을 파고드는 '제로데이 공격'

1,772    2015-05-19


제로데이 공격이란?  

컴퓨터 소프트웨어의 취약점을 공격하는 기술적 위협으로, 해당 취약점에 대한 패치 (해결책)가 나오지 않은 시점에서 이루어지는 공격을 말합니다.


이러한 시점에서 만들어진 취약점 공격 (Exploit)을 제로데이 취약점 공격이라고 합니다. 제로데이 공격 대상물이 되는 프로그램은 공식적으로 패치가 배포되기 전에 감행합니다.


이런 프로그램들은 보통 대중들에게 공개되기 전 공격자들에게로 배포되며 단어의 어원은 공격이 감행되는 시점에서 유래한 것입니다. 제로데이 공격 대상물은 대중과 프로그램 배포자들이 잘 모르는 것이 보통입니다.



제로데이 공격 사례 

1. Crypt0L0cker 

2015년 4월 21일 새벽부터 국내 인터넷 커뮤니티에 접속할 경우 Internet Explorer의 취약점을 이용한 악성코드를 배포한 경우입니다. 


Crypt0L0cker의 경우 드라이브 바이 다운로드 (Drive-by-Download) 방식으로 S/W나 OS의 보안 취약점을 이용해 변조된 웹 페이지에 접속하는 순간 "C:\WINDOWS\uhiteruh.exe" 파일을 다운로드하며 uhiteruh.exe. 파일이 실행되면 문서 파일, 이미지 파일, 압축파일 (zip.rar)을 암호화하고 해당 파일의 확장자를 ".encrypted"로 변환합니다. 


해당 파일을 복원하기 위해선 해커에게 비용을 지불하고 복호화 키를 받아야 하지만 이 경우에도 복원은 이루어지지 않았습니다.


2. MS Windows OLE 패키지 매니저 원격 코드 실행 취약점 (CVE-2014-4114)

해당 취약점은 특수하게 조작된 OLE 개체를 포함하는 MS Office 파일을 열 경우 원격코드가 실행되는 취약점입니다. 


초기에는 사용자로 하여금 CVE-2014-4114 취약점을 포함한 악성파일을 열어보도록 유도한 후, 사용자 PC가 감염되면 사용자 PC로 하여금 격자가 지정해 놓은 UNC 경로에 접속하여 악성파일을 다운받도록 했습니다.

 

해당 취약점은 Power Point (PPS, PPSX) 내부 OLE 파일의 .EXE 파일을 포함시켜 감염 되도록 설계되어 있었으며, 2014년 10월부터 일본, 대만의 유명 기업을 타겟으로 공격이 이루어지고 있습니다.


위에 적힌 1, 2 번처럼 보안의 취약점을 파고들어 악성코드를 심는 방법은 과거부터 지금까지도 전 세계적으로 유행하고 있는 배포 방식입니다. 


또한 자체적인 보호체계가 뚫린 상황에서 악성코드 감염을 막기란 쉬운 일이 아닙니다.

 

* OLE (Object Linking and Embedding)

: 윈도우에서 데이터와 데이터를 연결하는 방법으로 서로 다른 문서를 연결하여 그림, 표 등을 다른 문서로 이동 가능하게 지원하는 기능입니다.

 

* UNC (Universal Naming Convention)

마이크로소프트의 윈도우 시스템 운영체제로 구성된 Windows 네트워크에서 폴더나 파일, 공유 프린트 등의 네트워크 자원을 지정할 수 있도록 하는 것으로, UNC 명을 사용하면 네트워크에 연결하지 않는 경우나 파일 위치를 모르는 경우에도 네트워크에 있는 문서를 찾아볼 수 있습니다.



취약점을 공격하는 제로데이 공격 대처 방법

· Internet Brower(Chrome, Firefox)를 최신 버전으로 보안 업데이트하여 사용하는 것을 권장

· 사용하는 S/W의 보안패치를 꾸준히 진행해 항상 최신 버전을 유지

· CMD 창에 'netstat' 을 입력하여 현재 자신이 사용하고 있는 포트를 확인 관리 권장

· 실행차단, 방화벽 등 솔루션 도입으로 취약점에 대한 문제를 해결



MS사에서 제공하는 최신 보안 업데이트 내역

 

▶ 출처 - Microsoft



댓글 : 0