공격자, 감염된 PC에 액세스 권한 확보하고 악성코드 실행 가능
멀티미디어 콘텐츠 표시에 사용되는 웹 기술인 실버라이트(Silverlight)의 제로데이 취약점이 발견됐다. 이 취약점을 통해 공격자는 감염된 컴퓨터에 대해 완전한 액세스 권한을 확보하고 악성코드를 실행해 기밀을 훔치고 기타 악성 행위를 자행할 수 있다. CVE-2016-0034로 명명한 이 취약점은 마이크로소프트에서 2016년 1월 12일에 배포한 최신 패치 업데이트를 통해 해결되었다. 이번 발견은 5개월 전, Ars Technica의 게시글에서 시작해 지속적인 조사를 실시한 결과다.
2015년 여름, '합법적인 스파이웨어' 개발사로 알려진 해킹팀(Hacking Team)에 대한 해킹 소식이 전세계를 강타했다. 이와 관련하여 많은 의견과 기사가 쏟아졌고 그 중 ‘Hacking Team과 익스플로잇 공격 개발자인 Vitaliy Toropov 간의 연계가 드러났다’는 내용의 글이 Ars Technica에 게시되었다.
그 글에서는 Toropov가 특정 제로데이를 Hacking Team에 팔아 넘기려고 시도했다고 이야기하고 있었다. 4년이 지났지만 당시에 여전히 수정되지 않고 있던 Microsoft Silverlight의 취약점이 그 대상이었다. 카스퍼스키랩 측은 해당 정보에 흥미를 느꼈다고 한다.
해당 글에는 보다 자세한 정보가 나와있지 않았기 때문에 카스퍼스키랩은 판매자의 이름으로 조사를 시작했다. 곧 Vitaliy Toropov가 취약점에 대한 정보를 누구나 자유롭게 게시하는 사이트인 OSVBD(Open Source Vulnerability Database)의 활발한 이용자라는 것이 밝혀졌다.
카스퍼스키랩 연구진들은 OSVBD.org에 공개되어 있는 Toropov의 프로필을 분석해 2013년에 Toropov가 Silverlight 기술의 버그에 대해 서술한 POC(개념 증명)를 게시한 것을 발견했다. 당시 POC에서 다룬 주제는 기존에 알려졌으며 이미 패치된 취약점이었으나, 카스퍼스키랩에서는 글에 나온 정보에서 힌트를 얻어 Toropov가 코드를 쓸 때의 특징을 알아냈다.
분석 결과 코드 내부에 눈에 띄는 독특한 문자열이 있었다. 이 정보를 이용해 연구진은 카스퍼스키랩 제품에 적용할 탐지 규칙을 몇 가지 만들어냈다. 위협 데이터를 KSN(Kaspersky Security Network)과 공유하는 것에 동의한 사용자의 컴퓨터에서 이 탐지 규칙에 해당하는 행동을 보이는 악성 코드가 발견되면 매우 의심스러운 파일로 분류하고 분석을 위해 카스퍼스키랩으로 알림을 보내도록 했다.
이 전략의 기반이 된 것은 간단한 추측이었다. Toropov가 제로데이 취약점을 Hacking Team에게 판매하려고 했다면, 다른 스파이웨어 회사에게도 같은 제안을 했을 가능성이 높다는 것이다. 따라서 다른 사이버 스파이 조직도 제로데이를 적극적으로 이용해 무방비한 상태의 사용자들을 감염시킬 것으로 예상한 것이다.
이 추측은 적중했다. 특별 탐지 규칙을 적용한 지 몇 달이 지나지 않아, 고객 중 하나가 카스퍼스키랩에서 찾고 있던 탐지 규칙에 해당하는 의심스러운 공격을 받았다. 몇 시간 뒤에는 역시 피해자로 추정되는 라오스의 다른 사용자가 같은 특징을 보이는 파일을 업로드했다. 이를 분석한 카스퍼스키랩은 Silverlight 내부의 미확인 버그를 악용한 공격임을 확인한 후, 즉시 검증을 위해 해당 취약점 정보를 MS로 보고했다.
카스퍼스키랩 글로벌 위협 정보 분석팀의 이사인 Costin Raiu는 "저희가 발견한 익스플로잇 공격이 Ars Technica에서 언급한 것과 동일하다고 확인된 것은 아니지만, 그렇게 추정할 만한 근거는 충분하다. Vitaliy Toropov의 이전 작업물과 이번 파일을 비교 분석한 결과 최근 발견한 취약점의 개발자와 OSVDB에 Toropov의 이름으로 POC를 게재한 사용자는 동일 인물로 보이기 때문이다. 물론 아예 다른 Silverlight의 제로데이 취약점을 발견한 것일 가능성도 완전히 배제하지는 않고 있다”며 “이번 조사로 새로운 제로데이 취약점를 발견하고 책임감을 가지고 이를 공개한 조치로 인해 사이버공간이 한층 안전해졌다고 말할 수 있다. Microsoft 제품 사용자들은 가능한 한 빠르게 시스템을 업데이트해 이 취약점을 패치하는 것이 좋다”고 말했다.
CVE-2016-0034 익스플로잇 공격은 'HEUR:Exploit.MSIL.Agent.gen' 진단명으로 모든 카스퍼스키랩 제품에서 탐지된다.
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지