• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

두 개의 취약점 익스플로잇 하는 ‘더블 킬’, 빠르게 확산 중 2018.05.31

얼마 전 코드가 공개된 익스플로잇 두 개, 크라임웨어에 삽입돼
최신 패치 적용하면 방어 가능...확산 속도와 패치 속도 경쟁 중

[보안뉴스 문가용 기자] 3일 전 인터넷에 공개된 더블 킬(Double Kill) 익스플로잇 코드가 리그 익스플로잇 키트(Rig Exploit Kit)과 쓰레드키트(ThreadKit)에서 발견됐다. 이에 보안 전문가들과 업체들이 고객들과 일반 사용자들에게 경고를 내보내고 있는 상태다.

[이미지 = iclickart]


먼저 더블 킬이란 CVE-2018-8120과 최근 패치된 CVE-2018-8174 취약점과 관련된 익스플로잇 코드를 말한다. 이중 CVE 2018-8174는 모든 버전의 윈도우에서 발견된 치명적인 취약점으로 보안 업체 카스퍼스키 랩(Kaspersky Lab)과 치후 360(Qihoo360)의 연구원들이 별도의 연구를 통해 발견해 MS에 보고한 바 있다. 이 취약점은 윈도우 VB스크립트 엔진 원격 코드 실행 취약점이라고 정리가 가능하다.

CVE-2018-8174는 VB스크립트 엔진이 메모리 내에서 객체를 다루는 방식에 존재하는 것으로, 성공적으로 익스플로잇 될 경우 공격자가 현재 사용자와 동등한 권한을 가지고 코드를 실행할 수 있게 된다. 그럼으로써 메모리 할당을 새롭게 한다거나 임의의 파일 읽기 및 쓰기 권한을 가져간다거나, 명령 실행의 중간 단계를 가로챌 수 있게 된다.

이 취약점을 남용한 공격은 악성 RTF 문서가 첨부된 스피어 피싱 형태로 시작됐다. 이 문서 내에는 OLE 객체가 담겨져 있는데, 사용자가 이 문서를 열 경우 HTML 페이지를 다운로드 받아 실행시키는 기능을 가지고 있다. 이 HTML 페이지에 있는 VB스크립트가 익스플로잇을 실시하며 기기 내에 추가 악성 페이로드를 다운로드 받는다.

현재 진행되고 있는 실제 공격은 RTF 문서를 활용하고 있지만, MS의 설명에 따르면 가짜 웹사이트를 방문하도록 유도함으로써 공격하는 것도 가능하다고 한다. 다만 이 때는 사용자가 인터넷 익스플로러를 사용하거나, 인터넷 익스플로러 렌더링 엔진을 호스팅한 앱이나 오피스 문서 내 ‘safe for initialization’로 표시된 액티브X 컨트롤이 엠베드 된 상태여야 한다.

전문가들은 이 취약점을 익스플로잇 하는 공격이 계속해서 발생할 것이라고 보고 있다. 왜냐하면 표적으로 삼은 기기의 사용자가 IE를 디폴트로 사용하고 있지 않아도 공격이 성립될 수 있기 때문이다.

한편 CVE-2018-8120 취약점은 권한 상승 취약점으로 성공적으로 익스플로잇 할 경우 공격자들이 완전한 통제권을 가져올 수 있게 된다. 그러므로 데이터 편집 및 조작은 물론 사용자 권한을 모두 갖춘 계정도 만들 수 있게 해준다. 아직 이 취약점이 실제로 얼마나 공격에 활용되고 있는지는 정확히 밝혀지지 않고 있다. 하지만 작동 가능한 개념증명 코드가 깃허브에 공개되어 있는 상태다.

크라임웨어 키트들
2018년 5월 24일, CVE-2018-8174에 대한 개념증명 익스플로잇 코드가 온라인에 공개된 직후 테이크댓(TakeThat)이라는 이름으로 활동하는 해커 한 명이 이 코드를 리그 익스플로잇 키트에 집어넣었다고 밝혔다. 또한 테이크댓은 “그렇게 한 이후 감염률이 크게 올라갔다”고도 말했다.

리그 익스플로잇 키트는 현재 공격자들 사이에서 가장 인기가 높은 크라임웨어 중 하나로, 많은 공격자들이 이것을 이용해 악성 페이로드를 여러 시스템에 심고 있다. 키트 하나만 있으면 랜섬웨어, 크리덴셜 탈취, 자바 익스플로잇, 플래시 익스플로잇 등 다양한 공격을 할 수 있다. 최근에는 암호화폐에 대한 인기가 크게 올라가면서 각종 채굴 코드도 키트 내에 포함되기 시작했다.

보안 전문가들은 “리그와 같은 크라임웨어의 위협에서 벗어나려면 기본적으로 최신 패치를 반드시 적용해야 한다”고 말한다. 이번에 경고가 나가기 시작한 더블 킬 익스플로잇도 CVE-2018-8174 취약점을 패치했으면 당하지 않는다고 한다.

리그만이 아니라 쓰레드키트에도 더블 킬이 발견된다는 것도 문제다. 쓰레드키트는 악성 오피스 문건들을 만드는 데 사용되는 도구로, 해킹 기술력이 높지 않은 범죄자들도 쉽게 피싱 공격을 할 수 있게 해준다. 암시장에서 약 400달러에 거래된다. 따라서 사이버 범죄에 대한 진입장벽을 크게 낮춰주고 있으며, 그렇기 때문에 더블 킬 확산에 적지 않은 도움이 될 것으로 보인다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>