• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

패치가드 무력화시키고 커널 통제권 뺏는 고스트후크 공격 2017.06.23

보안 및 성능 점검 위해 사용되는 기술...공격자가 가져가면 루트 권한 뺏겨
마이크로소프트는 “패치할 만큼 심각한 위협 아니다”

[보안뉴스 문가용 기자] 마이크로소프트의 커널 패치 보호 기술인 패치가드(PatchGuard) 덕분에 윈도우 10 64비트 시스템을 공격해 룻키트를 설치하는 것이 상당히 어려운 일이 되었다. 여태까지는 말이다. 하지만 보안 업체인 사이버아크 랩스(CyberArk Labs)의 전문가들이 이 패치가드를 무력화시키는 방법을 발견했다.

[이미지=iclickart]


사이버아크는 이 우회 기술을 고스트후크(GhostHook)라고 부르는데, 인텔 프로세서 트레이스(Intel PT)를 마이크로소프트가 도입하는 방식에서 발생하는 취약점을 공격하는 것이다. 주로 성능 모니터링 및 멀웨어 분석, 퍼징(fuzzing), 디버깅(debugging), 익스플로잇 탐지에 사용되는 기법이기도 하다.

이 취약점은 인텔 프로세서 트레이스와 윈도우의 상호작용 방식에서 나타난다고 사이버아크의 카시프 데켈(Kasif Dekel)은 설명한다. 이 약한 부분을 파악하면 기기에서 돌아가는 그 어떤 코드라도 중간에 가로챌 수 있으며(가로채는 걸 hooking이라고 한다), 이를 통해 통제권을 장악할 수도 있게 된다고 한다.

데켈은 “이 후킹이라는 건, 익스플로잇 기술이라고 볼 수도 없고, 권한을 상승시키는 공격과도 성격이 다르다”고 말한다. “애플리케이션 보안 툴이나 시스템 유틸리티, 엑스텐션과 같은 제품군들에서는 이런 기술이 허용되는 게 보통이죠. 점검 및 모니터링을 위해서요. 그런데 이를 악의적 행위자들이 발견하게 되면 시스템 통제권을 다 가져가 룻키트를 심을 수도 있게 됩니다.”

고스트후크는 공격자들이 64비트 윈도우 시스템의 커널 통제권을 완벽히 가져갈 수 있도록 해주는 기술 중 처음 알려진 것이다. 이 방법을 활용하면 공격자들은 안티멀웨어 솔루션이나 침투 방지 시스템을 우회해서 윈도우 시스템에 접근할 수 있게 된다. 개인 방화벽, 차세대 엔드포인트 제품 등 커널로부터 나오는 정보에 의존하는 방어 기술은 이 기술 앞에 무력화된다.

현재까지 마이크로소프트는 사이버아크의 새로운 발견에 대해 별다른 대응을 하지 않고 있다. 다만 마이크로소프트 엔지니어링 팀에 속한 전문가 한 명이 “해당 내용을 분석해보았는데 고스트후크 기술을 사용할 수 있으려면 이미 커널 코드를 시스템 내에서 실행시키고 있어야 하는 것으로 밝혀졌다”고 말했다.

“즉, 보안 업데이트까지 서둘러 해야 할 필요가 있다고 판단되지는 않습니다. 다음에 나올 윈도우에서는 다뤄질 수도 있겠지만요. 마이크로소프트 측에서도 별다른 조치를 공식적으로 취할 것 같지는 않아 보입니다.”

하지만 데켈은 이에 반박한다. “공격자가 로컬 관리자 권한만 가져오면 성립되는 공격입니다. 해커들에게 있어 로컬 관리자 권한 취득은 간단한 일이고요. 피싱 이메일 공격을 통해서도 얼마든지 해결할 수 있죠. 고스트후크 기술의 본질은 실현 가능성이 높으냐 낮으냐가 아닙니다. 공격자가 관리자 권한 이상의 통제권을 가지게 된다는 것이고, 커널 단계에서 일어나는 공격이라는 게 무서운 거죠. 공격자는 네트워크 내 거의 모든 것을 가로챌 수 있게 됩니다.”

아직까지는 고스트후크 공격이 실제 활용된 사례는 없는 것으로 보고되고 있다. 하지만 국가가 지원하는 사이버 공격자들에게 있어 고스트후크 기술 활용은 그리 어렵지 않다는 게 데켈의 의견이다. “국가를 등에 업고 있는 공격자들은 샤문(Shamoon)과 같은 64비트 멀웨어를 이미 제작한 바 있죠. 고스트후크 정도야 어렵지 않은 공격법일 겁니다.”

데켈은 고스트후크와 랜섬웨어가 결합했을 때 무시무시한 결과가 나타날 것이라고 보고 있다. “오늘날의 랜섬웨어들은 패치가드 덕분에 사용자 모드에서 작동합니다. 그런데 랜섬웨어 코드를 패치가드를 넘어 커널 단계에서 실행할 수 있다면, 지금보다 훨씬 더 파장이 커질 겁니다. 솔직히 대혼란이 올 것이라고 봅니다.”

이 위협을 순화시키려면 인텔 프로세서 트레이스의 기능 일부에 대한 픽스를 만들어 설치해야 한다. 또한 마이크로소프트도 패치가드 보호 장치를 인텔 프로세서 트레이스 모듈에 추가시켜야 한다고 데켈은 설명한다. “커널 모듈로부터 오는 정보들이라고 다 믿어서는 안 됩니다. 다양한 API로부터 같은 정보를 수집해서 확인한 후 활용하는 체계가 마련되어야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>