• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

윈도우 제로데이 취약점, 중국 해커들에게도 악용돼 2014.10.16

허리케인 팬더라는 그룹 유력한 용의단체로 의심받아

일단 급한 불은 어제 패치로 끈 듯 보여


[보안뉴스 문가용] 러시아 해커들에 이어 중국에 있는 것으로 보이는 해커 그룹 역시 윈도우으 제로데이 취약점을 악용해 세계의 최첨단 테크놀로지 인프라 업체들을 공격해온 것이 드러났다. 이 팀의 이름은 허리케인 팬더(Hurricane Panda)로 추정되며 크라우드스트라이크(CrowdStrike)의 연구원들은 이미 올해 초부터 권한 상승(privilege escalation) 취약점(CVE-2014-4113)을 악용하고 있는 이 단체를 주시하고 있었다. 이 취약점은 어제 마이크로소프트에서 발표한 패치로 수정이 되어 있는 상태다.

 

 ▲ 정기 패치, 잔치는 끝났다. 당분간은.

크라우드스트라이크가 처음 공격을 감지한 것은 허리케인 팬더에게 당한 피해자의 네트워크를 관찰했던 때다. 당시에도 발각으로 인해 공격을 일단 멈추긴 했지만 매일 접근 권한을 얻기 위해 계속 네트워크를 두드렸다고 한다. “웹 서버에 침투해 차퍼(Chopper)라는 웹쉘을 뿌리면서 공격을 시작합니다. 그런 후에 네트워크를 타고 공격 범위를 확장해감과 동시에 그 과정에 발견한 로컬 권한 상승 툴을 사용해 여러 시스템의 권한을 상승시킵니다.” 크라우드스트라이크의 CTO인 드미트리 알페로비치(Dmitri Alperovitch)의 설명이다.


“이 해커들이 여태까지 사용해왔던 RAT은 DLL의 사이드로딩(휴대 전화의 통신사 네트워크를 이용하여 다른 콘텐츠를 휴대 전화로 전송하는 것)하도록 설정된 PlugX가 대부분이었습니다. 하지만 이들의 주특기는 허리케인 일렉트릭(Hurricane Electric)에서 무료로 제공하는 DNS 서비스를 활용하여 공격자가 조정하는 IP 주소를 훔쳐내고, 그 주소로 인기가 많은 서드파티 도메인을 알아내는 것입니다.”


드미트리의 설명은 계속 이어졌다. “허리케인 팬더는 차이나차퍼(ChinaChopper)라는 웹쉘을 사용하는 것으로 유명합니다. 차이나차퍼는 여러 다양한 행위자들이 공격을 처음 시작할 때 공통으로 사용하는 것이죠. 차이나차퍼를 다 업로딩 한 후에는 권한을 상승시키고 다양한 암호 무력화 유틸리티를 활용해 정상적인 로그인 정보를 훔쳐냅니다. 그 다음에 그 로그인 정보를 가지고 다양한 곳에 접속하는 것이죠.”


크라우드스트라이크가 보고한 제로데이 취약점은 마침 파이어아이(FireEye)에서도 발견했었다. 이 취약점은 x64 윈도우 체제에 전부 해당하는데, 인텔 아이비 브리지(Intel Ivy Bridge)나 더 나중 세대 프로세스들을 포함하고 있는 윈도우 8의 경우 SMEP(감독모드 실행 방지)이 익스플로잇을 막으려는 시도를 대신 할 것이고 그 결과를 화면에 출력한다.


“익스플로잇의 코드가 굉장히 잘 짜여 있습니다. 효율성도 굉장히 높고요. 완성도만 봤을 때는 가히 훌륭하다고 말할 수 있습니다. 공격자들이 들키지 않으려고 엄청나게 공을 들인 것 같습니다. 그래서 win64.exe 툴이 정말 필요할 때 빼놓고는 죄다 빠져있습니다. 또한 사용이 끝나면 곧바로 삭제되죠. 2014년 5월 3일의 win64.exe 바이너리에 기록이 남은 것으로 보아 아무리 못해도 5개월 동안은 계속해서 취약점을 공략해온 듯 합니다.”


한편 마이크로소프트가 발표한 패치는 권한 상승 문제만을 다루고 있지 않다. 공격자들은 CVE-2014-4148 역시 공략한 것으로 파악이 되는데 이는 CVE-2014-4113과 마찬가지로 윈도우 커널에서 발견된 취약점이다.


해커들은 이뿐 아니라 CVE-2014-4114[MS14-060]이라는 취약점도 공격했는데 아이사이트 파트너즈(iSight Partners)에 따르면 이는 NATO, 우크라이나 정부 기관, 유럽 통신망 사업자, 에너지 자원 산업 등과 밀접하게 연결된 사이버 스파잉 행위에 사용되었다고 한다. 이 그룹은 샌드웜(Sandworm)이라고 불리며 2009년 전부터 활동한 것으로 보인다.


마이크로소프트는 권한 상승으로 이어질 수 있는 IE 취약점(CVE-2014-4123) 역시 이번 패치에서 중요하게 다루었다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>