Home > 전체기사 > 외신

구글, “누군가 4개의 제로데이 취약점 통해 윈도와 안드로이드 공격”

  |  입력 : 2021-01-14 20:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
구글의 프로젝트 제로 팀과 위협분석그룹이 힘을 합해 1년 동안 추적해 온 공격 캠페인의 기술적인 내용이 공개됐다. 제로데이 취약점을 무려 4개나 엮어서 공격을 감행했다는 부분이 눈에 띈다.

[보안뉴스 문가용 기자] 구글의 프로젝트 제로 팀과 위협분석그룹(TAG)이 2020년 초기부터 진행되어 온 대규모 해킹 캠페인에 대해 낱낱이 밝혔다. 해커들은 근 1년 동안 각종 제로데이 취약점들을 익스플로잇 하며 윈도와 안드로이드 플랫폼을 노려왔다고 한다. 공격자는 대단히 높은 수준의 해킹 실력을 가지고 있는 것으로 추정되고 있다.

[이미지 = utoimage]


구글 측은 두 개의 익스플로잇 서버를 발견했다고 자사 블로그를 통해 밝혔다. 이번 캠페인에 대한 분석 내용이 나온 블로그 게시글은 총 6개다. 서버 두 개 중 하나는 윈도 사용자들을 노리고 있었으며, 다른 하나는 안드로이드 사용자들을 노리고 있었다고 한다. 공격자들은 워터링홀 기법을 주로 사용했다는 언급도 있었다. 워터링홀 공격이란, 피해자가 자주 방문하는 웹사이트들을 공격해 멀웨어를 심어두고 피해자가 접속하기를 기다리는 방법이다.

이번 캠페인의 경우 공격자들은 윈도와 안드로이드 익스플로잇용 서버들에서 악성 코드를 원격 실행했는데, 이 때 크롬의 취약점을 악용했다고 한다. 윈도 사용자들을 노린 공격에서는 제로데이 취약점이 익스플로잇 되었고, 안드로이드의 경우에는 이미 알려진 취약점들이 공략당했다. 다만 조사가 다 끝난 게 아니라 안드로이드 익스플로잇에서도 제로데이 취약점이 발견될 가능성은 남아 있다.

윈도 시스템을 공격할 때 활용된 제로데이 취약점은 다음과 같다.
1) CVE-2020-6418 : 타입 컨퓨전(type confusion) 취약점으로, 원격 코드 실행을 가능하게 해 준다. 구글 크롬의 V8에서 발견되었다.

2) CVE-2020-0938 : 스택 변형(stack-corruption) 취약점으로, 윈도 폰트 드라이버(Windows Fond Driver)에서 발견됐다. CVE-2020-1020라는 제로데이 취약점과 연계되어 활용됐으며, 공격자들의 권한을 상승시켰다.

3) CVE-2020-1020 : 윈도 8.1 및 이전 버전에서 발견된 취약점으로, 2단계 페이로드를 RWX 커널 메모리에 설치하는 데 활용됐다.

4) CVE-2020-1027 : 윈도의 힙 버퍼 오버플로우 취약점으로 Client/Server Run-Time Subsystem(CSRSS)에서 발견됐다. 샌드박스 탈출 공격을 하는 데 활용됐다.
이 모든 취약점들은 전부 패치가 된 상태다.

공격자들은 대부분의 경우 신중하게 움직인 것으로 보인다고 구글은 설명했다. 사용자들의 디지털 지문을 꼼꼼하게 수집하고, 최종 사용자 장비에서부터 수많은 매개변수를 전송하면서, 추가 공격을 실시할 것인지 조심스럽게 결정했다는 것이다. 하지만 일부 공격에 있어서는 침투와 동시에 추가 익스플로잇이 곧바로 이어졌다고 한다. 침투만 했지 아무런 활동도 없던 경우도 있었다고 한다. 이 두 가지 경우의 차이점은 아직 정확히 밝혀내지 못했다.

또한 연쇄적인 익스플로잇이 모듈 구성으로 진행되었기 때문에 캠페인이 효율적일 수 있었으며, 대단한 유연성을 보여주었다고 구글은 설명했다. 그러면서 “기술력이 매우 뛰어난 자들이 배후에 있음이 분명하다”고 주장했다.

“꼼꼼하게 엔지니어링 된 복잡한 코드가 다양하고 새로운 익스플로잇 방법을 통해 실행되었습니다. 최초 침투가 끝난 후의 익스플로잇에서도 철저하게 계산된 움직임을 보였고, 다양한 분석 방해 및 추적 방해 기술을 활용하기도 했습니다. 이런 식의 공격을 자주 해보고, 대단한 전문성을 갖춘 자들이 배후에 있음이 분명합니다.”

하지만 구글의 보안 전문가들은 배후 세력이 누구인지 밝히지 않고 있다. 공격자들의 목적과 피해 규모 역시 아직은 공개되지 않았다. 아직은 “누군가 MS와 구글조차 몰랐던 제로데이를 최소 네 개나 발굴해 대규모 공격을 1년 동안 실시하고 있었다”는 경고 정도에서 끝나고 있다. 상세한 기술 정보는 구글 블로그에서 차례로 볼 수 있다. 첫 번째 게시글은 여기(https://googleprojectzero.blogspot.com/2021/01/introducing-in-wild-series.html)서 열람이 가능하다.

3줄 요약
1. 누군가 두 개의 서버를 통해 윈도와 안드로이드 시스템들을 공격하고 있었음.
2. 특히 제로데이를 네 개나 익스플로잇 했다는 점이 눈에 띔.
3. 공격자에 대한 상세한 정보는 아직 없으나, 뛰어난 실력을 가진 것은 분명.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협