Home > 전체기사
윈도우용 아이튠즈 통해 퍼지고 있는 비트페이머 랜섬웨어
  |  입력 : 2019-10-11 11:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
아이튠즈의 업데이터인 봉쥬르에서 발견된 취약점...아이튠즈 삭제해도 남아있어
맥용 아이튠즈에서는 발견되지 않아...흔치 않은 ‘비인용 경로 취약점’의 일종


[보안뉴스 문가용 기자] 비트페이머(BitPaymer)라는 랜섬웨어 공격자들이 애플의 아이튠즈(iTunes)에서 발견된 제로데이 취약점을 익스플로잇 하고 있는 것이 발견됐다. 익스플로잇을 통해 공격자들은 탐지 장치를 우회하고 랜섬웨어를 심는 데 성공한다고 한다. 보안 업체 모피섹(Morphisec)이 발견했다.

[이미지 = iclickart]


오류는 봉쥬르(Bonjour) 업데이터 내부에서 발견됐다. 이 업데이터는 윈도우용 아이튠즈에 함께 패키징 되어 있는 요소로, 공격자들은 이 취약점을 통해 특정 경로를 남용해 백신 소프트웨어를 피할 수 있을 뿐만 아니라 표적이 된 기기에 계속해서 머무르며 공격을 지속시킬 수 있다.

이번 주 애플은 윈도우용 아이튠즈 12.10.1을 발표하며 해당 취약점을 해결했다. 비트페이머 랜섬웨어 공격자들이 이 취약점을 악용하고 있다고 애플에 보고한 보안 전문가는 모피섹의 마이클 고렐릭(Michael Gorelik)인 것으로 알려져 있다. “애플이 맥OS 카탈리나(macOS Catalina)를 발표하면서 아이튠즈를 삭제할 것이라 윈도우용 아이튠즈의 중요성은 더 커졌습니다. 그런 가운데 발견된 취약점이라 이는 시급히 해결해야 할 문제입니다.” 고렐릭의 설명이다.

“이 취약점은 ‘비인용 경로 취약점(unquoted path vulnerability)’이라고 알려진 것의 일종으로, 실제 해킹 공격에서 흔히 발견되는 건 아닙니다. 윈도우용 아이튠즈 개발자들이 객체 지향 프로그램의 경로와 관련된 변수를 스트링(String) 유형으로만 지정할 수 있게 해두었습니다. 그런데 이 때 인용부호(\\)로 이 경로를 감싸지 않았습니다.”

애플은 업데이트를 배포하기 위해 봉쥬르라는 것을 활용하는데, “바로 이 봉쥬르 업데이터에 인용되지 않은 경로가 존재한다”는 것을 모피섹이 발견한 것이다. “문제는 사람들이 아이튠즈를 지운다고 하더라도 봉쥬르까지 한꺼번에 지우지는 않는다는 것입니다. 그러니 아이튠즈가 없더라도 봉쥬르를 통해 공격을 계속 진행할 수 있습니다. 공격자들이 제대로 출입구를 선택한 것입니다.”

탐지 솔루션들은 대부분 소프트웨어의 행동 패턴을 모니터링 한다. 특히 프로세스가 처리되는 과정과 순서를 가장 주의 깊게 살핀다. 봉쥬르는 서명이 된, 유명 프로세스이므로 보안 제품들이 안전하다고 판단한다. 공격자들 역시 이를 알고 있고, 남용함으로써 하위 프로세스를 만듦으로써 보안 탐지 도구들이 경보를 울리지 않도록 한다.

게다가 이번 공격에서의 악성 페이로드는 .exe와 같은 파일 확장자를 사용하지도 않고 있다. 보안 솔루션이 스캔하지 않을 확률이 높아졌다는 뜻이다. “공격자에게 침해당한 봉쥬르는 비인용 경로 때문에 결국 비트페이머 랜섬웨어를 로딩합니다. 각종 탐지 장치를 피해 악성 페이로드가 안전하게 시스템에 탑재되는 것입니다.” 고렐릭의 설명이다.

조사를 좀 더 진행한 고렐릭은 아이튠즈 소프트웨어와 인스톨러 내에서 비인용 경로 취약점이 몇 개 더 있음을 발견할 수 있었다.

모피섹이나 애플은 아직 비트페이머 랜섬웨어에 당한 피해자의 정확한 수나 규모를 공개하지 않고 있다. 아이튠즈를 윈도우에서 사용하는 사람들은 시급한 업데이트가 권장된다. 맥용 아이튠즈에서는 같은 취약점이 없는 것으로 나타났다.

3줄 요약
1. 사장되어 가는 아이튠즈지만, 업데이터 요소는 그대로.
2. 이 점 활용한 공격자들, 업데이터 통해 랜섬웨어 퍼트림.
3. 윈도우용 사용자들은 최신 버전으로 업그레이드 필요.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)