19년 된 윈라 취약점, 사이버 공격자들의 사랑 뜨거워져

인기 높은 압축 프로그램...전 세계 5억 명의 사용자 존재해
자동 업데이트 기능 없어, 대부분의 사용자가 취약점에 노출

[보안뉴스 문가용 기자] 얼마 전 윈라(WinRAR)이라는 압축 프로그램에서 발견된 오래된 취약점이 각종 공격자들의 사랑을 받고 있다. 이는 CVE-2018-20250의 번호를 지정받은 경로 변경 취약점으로, 19년 동안 발견되지 않은 채 5억 명이 넘는 사용자들의 시스템에 설치되어 왔다. 지난 2월에야 발견됐고, 윈라 측은 업데이트를 발표했다.

[이미지 = iclickart]

보안 업체 파이어아이(FireEye)는 “이 취약점을 익스플로잇 할 경우 공격자들이 악성 페이로드를 임의의 폴더에 위치시킬 수 있게 된다”고 설명한다. “공격자들은 이 점을 활용해 ‘시작 프로그램’ 폴더에 멀웨어를 설치함으로써 지속적인 침투 발판 및 공격 수단을 마련합니다.”

이 취약점이 공개된 이후부터 꽤나 많은 공격 시도가 발생했다고 파이어아이는 설명한다. “업데이트가 나온 게 사실이지만, 이미 수많은 사용자들이 취약한 윈라를 설치한 상태이고, 보안에 관심이 없는 대부분은 업데이트 소식도 모르고 있을 가능성이 높습니다. 자동 업데이트 기능도 없죠. 즉 아직도 수억 명이 취약한 윈라를 사용하고 있을 가능성이 매우 높다는 겁니다.”

파이어아이가 발견한 첫 번째 공격의 경우, 공격자들은 CSWE라는 교육 관련 기관으로 위장했다. “공격자들은 CSWE인 것처럼 이메일을 발송합니다. ACE 파일로 만들어진 악성 파일이 첨부되어 있지요. 이 파일의 이름은 Scan_Letter_of_Approval.rar입니다. 압축을 해제하면 winSrvHost.vbs라는 파일이 사용자의 동의 없이 ‘시작 프로그램’ 폴더에 풀립니다. 그런 상태에서 사용자가 윈도우를 재부팅하면 스크립트가 자동으로 시작됩니다.”

그런 은밀한 작업이 진행되는 동안 가짜 파일들이 사용자가 지정한 폴더에 풀린다. “이 미끼 파일의 이름은 Letter of Approval.pdf입니다. CSWE 웹사이트에서 내용을 복사해서 만든 문서이죠. 이 파일 때문에 사용자는 뒤에서 일어나는 일들을 눈치 채지 못하게 됩니다.”

시작 프로그램 폴더에 저장된 스크립트는 wscript.exe라는 프로그램에 의해 실행된다. 그러면 C&C 서버와의 통신 채널이 마련되고, 백도어로서의 기능을 하기 시작한다. 스크립트는 피해자의 ID와 컴퓨터 이름 등의 정보를 C&C 서버로 전송하고, 공격자는 두 번째 페이로드인 넷와이어(Netwire)라는 원격 접근 트로이목마를 설치한다.

파이어아이가 발견한 두 번째 공격 캠페인의 경우 이스라엘의 군사 시설을 겨냥해 실시됐다. “공격자들은 스푸핑 된 이메일을 피해자에게 전송합니다. 물론 여기에도 ACE 파일이 첨부되어 있습니다. SysAid-Documentation.rar이라는 이름을 가지고 있고, 이스라엘의 헬프데스크 서비스인 시스에이드(SysAid)와 관련된 문서를 사용자가 지정한 폴더에 저장합니다. 그런데 압축이 해제되며 생성되는 파일 중에 LNK 파일이 하나 있습니다. 이 파일은 공격자의 C&C 서버에 호스팅 된 아이콘 하나와 연결되어 있습니다. NTLM 해시 값을 훔치는 기능을 발휘하죠.”

또 다른 공격 캠페인에서는 ‘시작 프로그램’ 폴더에 새피캐시(SappyCache)라는 이름의 페이로드가 복사된다. 이 페이로드의 파일 이름은 ekrnview.exe이며, 윈도우가 재부팅 될 때 발동된다. 파이어아이는 새피캐시를 처음 본다고 하며, “C&C 서버와의 통신 기능 및 두 번째 페이로드 다운로드 기능을 가지고 있다”고 설명한다.

네 번째 공격의 경우, 특이하게도 사용자들을 현혹할 미끼로 크리덴셜과 도난당한 신용카드 정보가 활용됐다. 그러나 뒤에서는 원격 접근 트로이 목마들과 비밀번호 탈취 프로그램이 설치된다고 한다. “대표적으로는 키로깅 기능을 가진 쿼사RAT(QuasarRAT)이 사용되고 있습니다. 여기에 비지(Busy)라는 암호화폐 탈취형 RAT도 발견됐고요.”

이 네 가지 공격의 공통점은 공격용 페이로드가 ‘시작 프로그램’ 폴더에 저장된다는 것이다. 그러나 이 사실 때문에 공격자나 공격 단체가 같다고 결론을 내릴 수는 없다고 파이어아이는 말한다. “시작 프로그램 폴더에 멀웨어를 설치했을 때의 장점이 너무나 분명하고, 공격자들도 잘 알고 있기 때문에, 일부만 아는 전략이라고 판단하기는 힘이 듭니다.”

윈라 취약점을 악용한 공격에 대응하기 위해서는 최신 윈라 버전을 다운로드 받아 설치하는 게 최선의 방법이다. “거기에 더해 시작 프로그램을 주기적으로 검사해 수상한 파일이 없는지 확인하는 것도 간편하고 쉬운 방어법입니다.”

3줄 요약
1. 압축 프로그램 윈라, 19년 된 취약점 있었지만 지난 2월에서야 발견됨.
2. 전 세계 5억 명이 사용자, 대부분 업데이트 하지 않고 사용하고 있음.
3. 이에 다양한 공격자들이 윈라 취약점 악용하며 공격 펼치기 시작.
[국제부 문가용 기자(globoan@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다