• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

오래된 취약점에 대한 새로운 공격법 들고 나온 해커들 2017.08.17

CVE-2017-0199, 이전엔 RTF 문서 파일 통해 공격 일어나
최근엔 PPSX 파일 통한 공격 발명돼...여러 단계 통한 공격 발생

[보안뉴스 문가용 기자] 사이버 공격자들은 재활용을 참 잘 한다. 새로운 취약점을 기가 막히게 발견하기도 하고, 새로운 멀웨어도 잘 만들지만, 오래된 취약점을 가지고 참신한 응용법을 개발하는 데에도 뛰어나다. 이번에도 파워포인트 파일을 활용해 옛 취약점을 재활용하는 것이 포착되었다.

▲ 재활용의 대가들 [이미지 = icilckart]


이번에 재조명된 취약점은 CVE-2017-0199로, 원래는 제로데이 원격 코드 실행 취약점이었다. 공격자가 윈도우의 OLE 기술을 사용해 표적으로 삼은 시스템에서 임의의 코드를 실행할 수 있게 해주는 것이었다는 뜻이다. 이를 발견한 공격자들은 원래 RTF 포맷의 문서 파일을 사용해 익스플로잇 했었다.

이 공격을 성공시키면 공격자는 감염시킨 시스템의 통제권을 가져가 계정을 새롭게 만들 수 있게 된다. 이때 해당 계정에 사용자 권한을 몽땅 부여할 수 있다. 또한 프로그램을 설치하거나 데이터를 열람, 편집, 삭제할 수도 있게 된다. 이번에 이 취약점이 악용되고 있는 걸 다시 발견한 건 보안 업체 트렌드 마이크로(Trend Micro)로, “지난 번과 다르게 파워포인트 파일이 활용되고 있었다”고 말한다.

“더 구체적으로 말하면 공격자들은 파워포인트 쇼(PPSX) 포맷을 악용하고 있었어요. 이 포맷의 파일을 실행시키면 보통의 파워포인트 편집 화면이 열리는 게 아니라 프레젠테이션 모드가 저절로 시작되는 것입니다. 어떻게 해서든 수상한 내용물이 발각될 확률을 줄이기 위함이죠.” 트렌드 마이크로의 부회장인 마크 누니코벤(Mark Nunnikhoven)의 설명이다. “곧장 뷰어에서 열리기 때문에 악성 페이로드의 전달 과정이 훨씬 부드러워집니다.”

이 PPSX 파일은 처음에 스피어피싱 메일 형태로 피해자에게 전달된다. 특히 통신사나 케이블 제조사에서 보낸 것처럼 위장된 메일이라고 한다. 누니코벤은 “원래는 전자제품 제조사를 겨냥한 공격이었다”고 설명한다. “그러나 지금은 산업이나 사업체를 가리지 않는 듯 합니다. 원래 해커들도 조심스러워 처음에는 특정 산업체나 기업만을 노린 공격으로 시작해서, 일을 점점 키웁니다. 즉, 특정 산업을 노린다고 해서 동기가 더 특별하거나 남다를 건 없다는 겁니다.”

이메일에는 PPSX 파일이 첨부되어 있고, 이 파일을 여는 순간 logo.doc라는 파일이 추가로 다운로드된다. logo.doc는 C&C 서버로부터 오는 파일이며, 파워쉘 명령어를 통해 RATMAN.EXE라는 파일을 다운로드 받아 실행시킨다. 이 두 번째 실행파일은 렘코스(REMCOS)라는 원격 접근 툴(RAT)에 트로이목마 기능을 접붙인 것이다. 렘코스는 커스터마이징도 가능하다. 공격자들은 커스터마이징을 통해 원격에서 명령을 실행하기도 하고 시스템 통제권을 앗아가기도 한다. 또한 키로거, 스크린 로거, 웹캠 캡처, 음성 녹음 등의 기능도 수행한다.

트렌드 마이크로는 이 렘코스의 샘플까지도 얻어내는 데 성공했다. “분석해보니 알려지지 않은 .NET 프로텍터(protector)를 사용하고 있었습니다. 이 .NET 프로텍터에는 리버스 엔지니어링을 어렵게 하는 난독화 기술이 적용되어 있었고요. 최근까지 알려진 CVE-2017-0199 취약점 대처 방안은 RTF 파일에 집중되어 있었습니다. PPSX를 공격자들이 들고나온 건 이러한 현재 보안 솔루션의 약점을 간파한 것이라고 해석할 수 있습니다.”

마이크로소프트는 이 취약점에 대한 패치를 지난 4월에 배포했다. PPSX 파일이 현재 시점에서는 더 효율적인 공격방법인 것은 맞으나 이 패치만 적용되어 있다면 무용지물이 되긴 매한가지다. 그러나 누니코벤은 “사실 패치 안 된 시스템이 아직도 대다수일 것”이라고 보고 있다. MS 오피스 2007 SP3, 2010 SP2, 2013 SP1, 2016 버전과 윈도우 비스타 SP2, 윈도우 서버 2008 SP2, 윈도우 7 SP1, 윈도우 8.1 모두 이 취약점의 영향을 받는다.

“영향권 아래 있는 시스템들 중 일부는 패치가 없을 수도 있어요 MS에서 지원을 종료했기 때문이죠. 그렇다면 이번에 발견된 PPSX 파일 공격에 그냥 당하는 수밖에 없는 처지에 있는 사용자가 존재한다는 뜻이 됩니다. 이때는 피싱 메일을 아무도 클릭하지 않기를 바라는 것만이 보안 대처법이겠죠.”

니누코벤은 “오래된 시스템을 패치하거나 대체하지 못하는 사정이 있다는 것은 이해한다”고 설명한다. “하지만 그런 이유가 있다고 해서 취약한 것이 취약하지 않은 게 되는 것도 아니고, 사고가 터졌을 때 용서가 되는 것도 아닙니다. 모든 보안 사고에 대한 법과 대중들의 판단은 동일합니다. 그걸 기억했으면 좋겠어요.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>