시큐레터, CVE-2018-4878 취약점 분석 보고서 무료 배포

최고급 악성코드 전문 분석 보고서 서비스 체험 가능
CVE-2018-4878 취약점 작동 원리 완전 분석

[보안뉴스 권 준 기자] 시큐레터(대표 임차성)는 최근 사이버 공격의 루트로 사용이 급격히 증가하고 있는 CVE-2018-4878 취약점에 대한 분석 보고서를 발간해 공격에 대한 경각심 고취와 대응을 장려하고자 무료로 배포하기로 했다.

CVE-2018-4878 취약점은, 어도비 플래시 파일을 이용한 것으로 플래시 파일이 들어있는 워드나 엑셀 문서를 열었을 때 플래시가 로드되는 방식이다. 플래시 프로그램에는 미디어 콘텐츠의 저작권 정보를 처리하는 DRM 기능이 있는데, 이 기능을 수행하기 위해 특정 함수를 호출한다. DRM 정보를 처리하는 과정에서 지정된 변수의 적절성을 검증하지 않고 메모리를 해제하여 버그가 발생하고, 공격자는 이를 이용하여 원하는 명령을 수행할 수 있다.

▲CVE-2018-4878 취약점에 의한 악성코드 감염 과정[자료=시큐레터]

해당 취약점은 최근 ‘헤르메스’ 랜섬웨어의 유포 경로로 이용되어 자동으로 파일을 내려 받아 실행하게 하는 방식(드라이브 바이 다운로드)를 이용해 빠르게 확산되고 있으며, 감염될 경우 암호화된 파일을 설정하여 이를 해제하는 대가로 암호화폐를 요구하는 방식이다.

또한, 사이버 공격 조직 중 최근 활발한 활동을 벌이는, 일명 ‘레드아이즈’ 역시 이 취약점을 이용하여 플래시 파일이 들어있는 엑셀 문서를 카카오톡 메신저를 통해 전송하는 방식으로 악성코드 배포를 시도했다.

▲CVE-2018-4878 취약점 동작 과정 분석도[자료=시큐레터]

최근 북한 관련 인사들을 겨냥한 스피어피싱 공격 사례가 있었는데, 이 때 공격 성공률을 높이기 위해 CVE-2018-4878 취약점을 사용했다. 공격자들은 취약점이 적용된 SWF(어도비 플래시 파일 형식)를 포함한 문서 파일을 메일로 전송하여 메일 수신자가 문서 파일을 열어 내용을 확인하게 유도하고, 사용자가 문서를 열어보는 순간 악성코드에 감염된다.

대부분의 이메일 보안 솔루션이 수행하는 샌드박스 행위기반 진단으로는 샌드박스 우회 기법, 인코딩, 난독화 등 고도화된 공격 기법을 활용하는 새로운 공격 형태를 대응하기에 충분치 않다. 시큐레터의 전문위협대응 솔루션이 수행하는 어셈블리 레벨의 진단·분석 기법은 취약점을 일으키는 데이터를 곧바로 확인하여 악성코드 여부를 판별하기 때문에 알려지지 않은 형태의 공격이 들어와도 원천적인 차단이 가능하다.

시큐레터는 솔루션 공급뿐만 아니라 공격자들이 주로 이용하는 문서의 취약점에 대한 상세한 분석과 공격 형태에 대한 첨예한 분석 내용이 포함된 보고서를 발간하여 정기적으로 고객사에 제공하고 있다. 해당 보고서는 고급 전문 분석가들이 수행할 수 있는 높은 수준의 내용으로, 보고서 서비스만 따로 요청하는 고객들도 늘어나고 있는 추세다.

시큐레터는 갈수록 지능적으로 진화하는 사이버 공격에 대한 경각심을 일깨우고, 철저한 대응의 필요성을 강조하고자 이번 CVE-2018-4878 취약점에 대한 보고서를 무료로 전면 공개할 예정이다. 해당 보고서는 4월말부터 시큐레터 홈페이지를 통해 무료로 다운로드 할 수 있다.
[권 준 기자(editor@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다