Home > 전체기사
현존하는 모든 프로세스 주입 기술 실험했더니 “꽤나 위험”
  |  입력 : 2019-08-09 14:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
은밀하게 공격하려는 자들에게 널리 사용되는 “프로세스 주입술”
스무 가지 넘게 직접 실험했더니 완전히 막히는 건 몇 개 되지 않아


[보안뉴스 문가용 기자] 보안 업체 세이프브리치(SafeBreach)의 전문가들이 마이크로소프트 윈도우의 프로세스에 멀웨어나 악성 프로세스를 주입하는 새로운 방법을 발견했다. 스텔스 공격에 크게 도움이 되는 방법이라고 한다.

[이미지 = iclickcart]


멀웨어를 심으려는 사이버 공격자들은 프로세스 주입이라는 기법을 자주 사용한다. 정상적으로 진행되는 프로세스에 특수한 기능을 삽입함으로써, 자신들의 행위가 탐지되지 않은 채 목표를 달성할 수 있기 때문이다. 따라서 ‘스텔스’를 바탕으로 한 공격에서 자주 발견되는 편이다.

세이프브리치의 CTO인 이트직 코틀러(Itzik Kotler)와 부회장인 아밋 클레인(Amit Klein)은 최근 20개가 넘는 ‘프로세스 주입’ 기술들을 망라하며 하나하나 실험하는 프로젝트를 진행 중이었다. 프로세스 주입술이라고 알려진 수많은 방법들 중 어떤 게 현재 시점에 진짜 위협이 되는지 확인하고, 어떤 대책을 세워야 하는지 파악하기 위함이었다. “일부는 이론상으로만 존재하는 방법이었고, 실제 큰 위협이 되는 방법도 있었습니다.”

현재 윈도우 10에는 프로세스 주입을 방어하기 위한 장치들이 탑재되어 있다.
1) 컨트롤 플로우 가드(Control Flow Guard)
2) 동적 코드 보안(Dynamic Code Security)
3) 바이너리 시그니처(Binary Signature) 정책
4) 확장자 포인트 비활성화(Extension Point Disable) 정책

이 두 전문가는 자신들이 찾아낸 프로세스 주입 공격의 모든 것에 대해 현재 열리고 있는 블랙햇에서 발표했다. “저희는 스무 가지가 넘는 프로세스 주입 공격을 실험했습니다. 그 중 윈도우 10에 설치된 방어 도구들 때문에 완전히 막힌 것은 두 가지 뿐이었습니다. 저희가 이 실험을 통해 직접 발견한 방법 등 네 가지는 보호의 수준이 어떠하든 다 통했습니다. 나머지는 보호 장치에 따라 성공 여부가 갈리는 모습을 보여주었습니다.”

이들에 의하면 “방어 수준이 어떠하든 통과하는 공격 기법들은 대체로 굉장히 공격적이고, 따라서 탐지가 쉽다”고 한다. 그러나 이들이 직접 발견한 새로운 공격법의 경우(이름은 스택보머(StackBomber)다) 훨씬 은밀하며, 따라서 탐지가 힘들다고 한다. “심지어 스택보머는 권한을 상승시키는 절차가 필요하지 않습니다. 따라서 공격자들에게 알려지면 꽤나 유용할 것으로 보입니다.”

스택보머는 새로운 ‘실행 기법’ 중 하나인 것으로 알려져 있다. 코틀러와 클레인이 발견한 메모리 작성 기술과 잘 맞으며, 둘이 합쳐졌을 때 꽤나 놀라운 결과가 나온다고 한다. 하지만 이 두 가지 기술에 대해서는 아직 정확히 공개가 되지 않고 있다. 다만 이들이 실험한 모든 기술에 대한 기술적 요약본은 여기(https://i.blackhat.com/USA-19/Thursday/us-19-Kotler-Process-Injection-Techniques-Gotta-Catch-Them-All-wp.pdf)에 공개되어 있다.

마이크로소프트는 프로세스 주입이 취약점으로 인해 발생한다고 보지 않고 있다. 그러므로 프로세스 주입 공격 방법을 발견한다고 해서 버그바운티의 보상을 받을 수는 없다. 코틀로와 클레인도 이 점을 잘 이해하고 있으며, 보상 여부와 상관없이 해당 사실을 MS에 알렸다고 한다. 아직 MS는 스택보머에 대해 별다른 조치를 취하고 있지 않고 있다. 아직 분석 중에 있는 것으로 알려져 있다.

세이프브리치는 이번 실험이 진행되는 동안 사용했던 모든 개념증명용 코드를 공개하기도 했다. 그와 함께 누구나 직접 프로세스 주입 공격을 개발할 수 있게 해주는 오픈소스 프레임워크인 핀젝트라(PINJECTRA)도 무료로 배포하고 있다. 핀젝트라는 깃허브(https://github.com/SafeBreach-Labs/pinjectra)에서 받아볼 수 있다.

세이프브리치는 “우리가 연구한 결과가 해커들에게 도움이 될 수 있다는 걸 잘 알고 있다”며 “이 자료를 가지고 누가 더 부지런히 움직이느냐에 따라 판가름 날 것으로 본다”는 의견을 밝히기도 했다. “저희가 제공한 건 현상을 직시한 내용뿐입니다. 보안 전문가가 먼저 활용하느냐, 해커가 먼저 활용하느냐가 관건입니다.”

3줄 요약
1. 블랙햇에서 보안 업체가 ‘프로세스 주입 기술’에 대해 연구한 자료 발표.
2. 현존하는 모든 기술을 직접 실험. 두 가지는 완전히 막히지만, 네 가지는 완전히 통과.
3. 프로세스 주입 기술에 대한 자료 나왔으니, 보안 커뮤니티가 재빨리 활용하는 게 중요.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향