| 이미 한 달 동안 악용된 워드 제로데이, 패치 나왔다 | 2017.04.12 |
OLE 애플리케이션과 관련된 CVE-2017-0199 취약점
이미 여러 멀웨어와 결합된 채 활발히 악용되고 있어...패치 필수 [보안뉴스 문가용 기자] MS가 어제 치명적인 제로데이 취약점을 패치했다. 해당 취약점은 MS 오피스와 워드패드에 있었던 걸로 파악됐으며, 이미 지난 한 달 동안 공격자들의 활발한 익스플로잇 대상이었던 것으로 밝혀졌다. 이 취약점은 CVE-2017-0199로, 윈도우 OLE(Object Linking and Embedding) 애플리케이션 프로그래밍 인터페이스에 존재하며, 원격 코드 실행을 가능하게 해준다.  이 취약점은 특히 드리덱스(Dridex)라는 뱅킹 멀웨어가 활발히 활용해왔으며, 다양한 스파잉 활동에도 동원됐다고 보안 전문업체인 맥아피(McAfee)가 지난 4월 7일 보고서를 통해 발표했다. 이 공격은 1월 말부터 보이기 시작했으며, 또 다른 보안 업체인 소포스랩스(SophosLabs)는 2016년 11월에 첫 공격이 있었다고 주장하고 있다. 하지만 가장 활발한 활동이 있었던 건 올해 3~4월이다. 이 취약점은 치명적으로 위험한 것으로 분류되었는데, 여기에는 몇 가지 이유가 있다. 보안 업체인 프루프포인트(Proofpoint)의 부회장인 브라이언 번즈(Bryan Burns)는 그것에 대해 “1) MS 워드의 거의 모든 버전에 존재한다. 2) 매크로를 활성화시키거나 할 필요가 없다. 3) 원격에서 임의의 코드 실행을 가능하게 해준다”로 정리한다. 또한 번즈는 “논리 버그에 해당하며, 보통 논리 버그는 수정하는 게 굉장히 힘들다”고 덧붙였다. “매크로를 활성화시켜야 한다는 팝업창이 뜨지 않기 때문에 보안에 대해 조금 안다고 해도 당할 수밖에 없고요. 공격자들이 활용하는 건 매크로가 아니라 대화창입니다. 아마 매크로에 대해 우리가 경계하고 있다는 걸 공격자들도 알아챈 것으로 보입니다. 대화창을 활용한 익스플로잇은 굉장히 새로운 공격 방식입니다.” 공격자들은 이메일에 MS 워드로 만든 RTF 문서를 첨부한다. 제목은 “Scan Data”이며 첨부파일의 이름은 Scan_123456.doc 혹은 Scan_123456.pdf다. 여기서 123456 부분은 무작위 숫자로 대체된다. 사용자가 이 파일을 다운로드받아 실행하면 원격에 있는 서버와 연결이 되며, HTML 애플리케이션 콘텐츠가 포함되어 있는 파일을 추가로 다운로드 받는다. 이 파일은 .hta 파일이며, 피해자의 시스템에서 실행된다. “hta 파일은 실행이 가능한 파일로, 공격자는 이 파일을 통해 완전한 코드 실행 권한을 갖게 됩니다. 이렇게 멀웨어 설치가 완료되면 최초의 미끼 역할을 한 워드 파일은 닫히고 새로운 문서가 열려 사용자의 신경을 딴 곳으로 돌린다. 이 익스플로잇은 특별 제작된 문서들 내에서 임베드된 OLE2link 객체를 사용한다. “모든 게 공격자들의 의도대로 흘러갑니다. 피해자 눈에는 그냥 보통의 문서들이 열리는 건데, 한쪽 구석에서는 코드가 실행되고 있지요.” 번즈의 설명이다. 위와 같은 취약점 익스플로잇과 드리덱스가 결합했을 때, 공격자들은 시스템 통제권을 통째로 가져올 수 있게 되었다. “그래서 금융 관련 크리덴셜을 훔쳐서 거래 중간에 개입해 통장을 탈탈 털어내는 것이죠.” 번즈는 드리덱스와 MS 워드 취약점 익스플로잇이 결합해 공격자들의 지갑을 불렸다는 사실을 “단순하게 바라봐서는 안 된다”고 설명한다. “사실 위 취약점을 악용하면 어떤 멀웨어라도 설치가 가능하거든요. 예를 들면 랜섬웨어 같은 거요.” 조만간 이 취약점을 통해 랜섬웨어에 감염되는 기업들이 등장할 것이라고 그는 예측한다. 보안 업체인 넷스코프(Netskope)의 위협 분석 연구소 역시 패치 이전부터 이 제로데이 취약점의 존재에 대해 알고 있었다. 넷스코프의 경우 갓질라(Godzilla)라는 봇넷 로더를 추적하다가 해당 제로데이를 발견했다. “지적재산에 해당하는 정보들이 해당 봇넷을 자꾸만 유출되고 있더군요. 이 공격에도 악성 워드 문서들이 활용되었습니다.” 보안 업체 파이어아이(FireEye) 역시 이 오류가 실제로 활용되고 있는 걸 발견했다. “러시아어를 구사하는 피해자들을 노리는 MS 워드 제로데이 공격이 2017년 1월부터 있었고, 이 공격에는 핀스파이(FINSPY)라는 툴이 활용되었습니다. 그 공격과는 별개로 레이튼트봇(Latentbot)이라는 멀웨어가 MS 워드 제로데이 취약점을 통해 설치되는 다른 캠페인도 발견했고요. 레이튼트봇의 경우 금전적인 목적을 가진 자들이 활용하는 멀웨어입니다.” 다양한 멀웨어가 설치되는 게 가능하다는 번즈의 설명이 시나리오가 아니라 ‘사실’이었다는 것. 그러므로 MS 워드 사용자들은 최신 패치를 반드시 적용해야 한다고 번즈는 설명한다. “낯선 이메일로 들어오는 워드 문서는 절대 열지 않는 게 좋습니다. 첨부 파일을 활용한 공격은 아직도 공격자들 사이에서 가장 많이 선호되는 방식이니까요.” [국제부 문가용 기자(globoan@boannews.com)] Copyrighted 2015. UBM-Tech. 117153:0515BC |
|
 |
