Home > 전체기사
윈도우 RID 하이재킹 해 권한 상승시키는 공격 기법 발견
  |  입력 : 2018-10-22 19:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사용자 계정의 권한을 알려주는 RID, 바꿔치기 통해 권한 상승 가능
윈도우 내 정상 자원들만을 사용해 공격하기 때문에 탐지 가능성 낮아


[보안뉴스 문가용 기자] RID라는 윈도우 시스템 요소를 하이재킹 하도록 해주는 새로운 침투 후 공격 기법(post-intrusion attack technique)이 발견됐다. 이 공격 기법을 사용하면 게스트 및 다른 낮은 권한의 계정들에 관리자급 권한을 줄 수 있게 해준다.

[이미지 = iclickart]


기술 자체는 간단하다. 공격자의 수준이 높을 필요가 없다. 이를 발견한 보안 전문가 세바스찬 카스트로(Sebastian Castro)는 “마이크로소프트에 이 취약점과 공격 기법에 대해 약 1년 전에 알렸지만 아직 픽스가 나오지 않았다”고 설명했다. 따라서 간단한 방법이지만 자세히 공개할 수 없다는 것이다.

카스트로는 블로그 포스팅을 통해 “이 기술에 RID 하이재킹(RID Hijacking)이라는 이름을 붙였으며, OS 내의 자원들만 사용하여 RID를 하이재킹 할 수 있다는 걸 밝혀냈다”고 설명했다. “심지어 이를 또 다른 사용자 계정으로 배정하는 것도 가능합니다.”

카스트로는 “공격은 상대 식별자(RID)로부터 시작한다”고 설명하며, “RID란 윈도우 사용자 계정의 한 요소입니다. 보안 계정 관리자(Security Account Manager, SAM)와 관련이 있는 것으로, 사용자의 권한 상태를 묘사하는 것”이라고 말한다. SAM의 맨 끝에는 RID 코드가 부착되어 있어, 이것으로 사용자의 권한이 명시된다.

이번에 발견된 공격에 연루된 RID는 크게 두 가지 종류가 있다. 500과 501인데, 500은 관리자 계정의 SAM 끝 부분에 사용된다. 501은 게스트 계정과 관련되어 있다. 하이재킹 기술은 결론부터 말해 이 정보가 저장된 레지스트리 키를 조작함으로써 계정의 RID를 변경시키는 것이다. 그래서 게스트 계정에 해당하는 501을 500으로 바꾸는 것을 말한다.

“기기를 침해한 이후에는 이 공격을 원격에서 자동화시키는 것이 가능합니다. 이 때 PSExec, 원격 데스크톱, 파워셸 등이 사용됩니다. 메타스플로잇과 같은 침투 테스트용 툴들도 사용되고요. 이 공격의 본질은 오래 머물러 있는 것이지 권한 상승이 아닙니다. 즉, 공격자들에게 있어 권한 상승은 기본적인 전제 조건이라는 겁니다. 권한을 상승시킴으로써 공격을 실시하는 것이죠.”

메타스플로잇 소프트웨어가 공격을 자동화시키는 것의 핵심 요소다. 메타스플로잇을 사용해 공격을 자동화하려면 미터프리터(meterpreter)라는 세션이 필요한데, 이는 최신 MSF 프레임워크 배포 웹사이트에서 찾아낼 수 있다. 카스트로에 의하면 post/windows/manage/rid_hijack이 바로 그 주소라고 카스트로는 설명한다.

카스트로는 윈도우 XP, 윈도우 서버 2003, 윈도우 8.1, 윈도우 10에서 공격을 실험해보았다. 성공은 했으나 몇 가지 조건이 있었다. 공격 대상이 되는 컴퓨터가 보호되지 않은 채로 인터넷에 연결되어 있지 않은 이상 원격에서 공격이 불가능했다. 장점은, 공격을 성공시키면 탐지될 확률이 극히 낮다는 것이었다.

“RID 하이재킹 공격에 당했는지 판별하려면 레지스트리 내부를 들여다보고 SAM과 대조해보면서 맞지 않는 것을 찾아내야 합니다. 즉 침투와 동시에 탐지해낸다는 건 굉장히 어렵죠. 이렇게 탐지가 어려운 이유는 OS의 정상적인 자원들만으로 공격을 실시하기 때문입니다. 악성 요소가 들어가지 않으니, 아무런 경보가 울리지 않습니다.”

그는 공격용 모듈을 2017년 12월에 개발했고, 이를 마이크로소프트 측에 곧바로 알렸다. 그러나 아무런 응답을 받지 못했다. 마이크로소프트는 카스트로가 블로그를 통해 이 취약점을 공개하고, 해외 보안 언론들이 이에 대해 다루기 시작하자, 그때서야 보고서를 검토 중에 있다고 말했다.

3줄 요약
1. 사용자 계정 권한을 알려주는 요소인 RID를 하이재킹하는 공격 기법 발견됨.
2. 즉 RID를 높은 권한의 것으로 바꿔치기 함으로써 권한을 상승시키고 시스템에 오래 남을 수 있게 됨.
3. MS는 1년 동안 이 문제에 대해 패치를 하지 않고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)