MENU
CISO News HOME > CISO News > 최신뉴스

최신뉴스


구글, “누군가 4개의 제로데이 취약점 통해 윈도와 안드로이드 공격” 2021.01.14  

구글의 프로젝트 제로 팀과 위협분석그룹이 힘을 합해 1년 동안 추적해 온 공격 캠페인의 기술적인 내용이 공개됐다. 제로데이 취약점을 무려 4개나 엮어서 공격을 감행했다는 부분이 눈에 띈다.

[보안뉴스 문가용 기자] 구글의 프로젝트 제로 팀과 위협분석그룹(TAG)이 2020년 초기부터 진행되어 온 대규모 해킹 캠페인에 대해 낱낱이 밝혔다. 해커들은 근 1년 동안 각종 제로데이 취약점들을 익스플로잇 하며 윈도와 안드로이드 플랫폼을 노려왔다고 한다. 공격자는 대단히 높은 수준의 해킹 실력을 가지고 있는 것으로 추정되고 있다.

[이미지 = utoimage]


구글 측은 두 개의 익스플로잇 서버를 발견했다고 자사 블로그를 통해 밝혔다. 이번 캠페인에 대한 분석 내용이 나온 블로그 게시글은 총 6개다. 서버 두 개 중 하나는 윈도 사용자들을 노리고 있었으며, 다른 하나는 안드로이드 사용자들을 노리고 있었다고 한다. 공격자들은 워터링홀 기법을 주로 사용했다는 언급도 있었다. 워터링홀 공격이란, 피해자가 자주 방문하는 웹사이트들을 공격해 멀웨어를 심어두고 피해자가 접속하기를 기다리는 방법이다.

이번 캠페인의 경우 공격자들은 윈도와 안드로이드 익스플로잇용 서버들에서 악성 코드를 원격 실행했는데, 이 때 크롬의 취약점을 악용했다고 한다. 윈도 사용자들을 노린 공격에서는 제로데이 취약점이 익스플로잇 되었고, 안드로이드의 경우에는 이미 알려진 취약점들이 공략당했다. 다만 조사가 다 끝난 게 아니라 안드로이드 익스플로잇에서도 제로데이 취약점이 발견될 가능성은 남아 있다.

윈도 시스템을 공격할 때 활용된 제로데이 취약점은 다음과 같다.
1) CVE-2020-6418 : 타입 컨퓨전(type confusion) 취약점으로, 원격 코드 실행을 가능하게 해 준다. 구글 크롬의 V8에서 발견되었다.

2) CVE-2020-0938 : 스택 변형(stack-corruption) 취약점으로, 윈도 폰트 드라이버(Windows Fond Driver)에서 발견됐다. CVE-2020-1020라는 제로데이 취약점과 연계되어 활용됐으며, 공격자들의 권한을 상승시켰다.

3) CVE-2020-1020 : 윈도 8.1 및 이전 버전에서 발견된 취약점으로, 2단계 페이로드를 RWX 커널 메모리에 설치하는 데 활용됐다.

4) CVE-2020-1027 : 윈도의 힙 버퍼 오버플로우 취약점으로 Client/Server Run-Time Subsystem(CSRSS)에서 발견됐다. 샌드박스 탈출 공격을 하는 데 활용됐다.
이 모든 취약점들은 전부 패치가 된 상태다.

공격자들은 대부분의 경우 신중하게 움직인 것으로 보인다고 구글은 설명했다. 사용자들의 디지털 지문을 꼼꼼하게 수집하고, 최종 사용자 장비에서부터 수많은 매개변수를 전송하면서, 추가 공격을 실시할 것인지 조심스럽게 결정했다는 것이다. 하지만 일부 공격에 있어서는 침투와 동시에 추가 익스플로잇이 곧바로 이어졌다고 한다. 침투만 했지 아무런 활동도 없던 경우도 있었다고 한다. 이 두 가지 경우의 차이점은 아직 정확히 밝혀내지 못했다.

또한 연쇄적인 익스플로잇이 모듈 구성으로 진행되었기 때문에 캠페인이 효율적일 수 있었으며, 대단한 유연성을 보여주었다고 구글은 설명했다. 그러면서 “기술력이 매우 뛰어난 자들이 배후에 있음이 분명하다”고 주장했다.

“꼼꼼하게 엔지니어링 된 복잡한 코드가 다양하고 새로운 익스플로잇 방법을 통해 실행되었습니다. 최초 침투가 끝난 후의 익스플로잇에서도 철저하게 계산된 움직임을 보였고, 다양한 분석 방해 및 추적 방해 기술을 활용하기도 했습니다. 이런 식의 공격을 자주 해보고, 대단한 전문성을 갖춘 자들이 배후에 있음이 분명합니다.”

하지만 구글의 보안 전문가들은 배후 세력이 누구인지 밝히지 않고 있다. 공격자들의 목적과 피해 규모 역시 아직은 공개되지 않았다. 아직은 “누군가 MS와 구글조차 몰랐던 제로데이를 최소 네 개나 발굴해 대규모 공격을 1년 동안 실시하고 있었다”는 경고 정도에서 끝나고 있다. 상세한 기술 정보는 구글 블로그에서 차례로 볼 수 있다. 첫 번째 게시글은 여기(https://googleprojectzero.blogspot.com/2021/01/introducing-in-wild-series.html)서 열람이 가능하다.

3줄 요약
1. 누군가 두 개의 서버를 통해 윈도와 안드로이드 시스템들을 공격하고 있었음.
2. 특히 제로데이를 네 개나 익스플로잇 했다는 점이 눈에 띔.
3. 공격자에 대한 상세한 정보는 아직 없으나, 뛰어난 실력을 가진 것은 분명.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>




COPYRIGHT CISOKOREA.ORG. ALL RIGHTS RESERVED.
개인정보처리방침