※본 글은 2021년도에 업로드한 게시글을 홈페이지 개편으로 인해 재업로드한 콘텐츠입니다. 참고 부탁드립니다.
구글의 프로젝트 제로 팀과 위협분석그룹이 힘을 합해 1년 동안 추적해 온 공격 캠페인의 기술적인 내용이 공개됐습니다. 제로데이 취약점을 무려 4개나 엮어서 공격을 감행했다는 부분이 눈에 들어옵니다.
구글의 프로젝트 제로 팀과 위협분석그룹(TAG)이 2020년 초기부터 진행되어 온 대규모 해킹 캠페인에 대해 낱낱이 밝혔습니다. 해커들은 근 1년 동안 각종 제로데이 취약점들을 익스플로잇 하며 윈도와 안드로이드 플랫폼을 노려왔다고 합니다. 공격자는 대단히 높은 수준의 해킹 실력을 가지고 있는 것으로 추정되고 있습니다.
구글 측은 두 개의 익스플로잇 서버를 발견했다고 자사 블로그를 통해 밝혔습니다. 이번 캠페인에 대한 분석 내용이 나온 블로그 게시글은 총 6개입니다. 서버 두 개 중 하나는 윈도 사용자들을 노리고 있었으며, 다른 하나는 안드로이드 사용자들을 노리고 있었다고 합니다. 공격자들은 워터링홀 기법을 주로 사용했다는 언급도 있었습니다. 워터링홀 공격이란, 피해자가 자주 방문하는 웹사이트들을 공격해 멀웨어를 심어두고 피해자가 접속하기를 기다리는 방법입니다.
이번 캠페인의 경우 공격자들은 윈도와 안드로이드 익스플로잇용 서버들에서 악성 코드를 원격 실행했는데, 이 때 크롬의 취약점을 악용했다고 합니다. 윈도 사용자들을 노린 공격에서는 제로데이 취약점이 익스플로잇 되었고, 안드로이드의 경우에는 이미 알려진 취약점들이 공략당했습니다. 다만 조사가 다 끝난 게 아니라 안드로이드 익스플로잇에서도 제로데이 취약점이 발견될 가능성은 남아 있습니다.
윈도 시스템을 공격할 때 활용된 제로데이 취약점은 다음과 같습니다.
1) CVE-2020-6418 : 타입 컨퓨전(type confusion) 취약점으로, 원격 코드 실행을 가능하게 해줍니다. 구글 크롬의 V8에서 발견되었습니다.
2) CVE-2020-0938 : 스택 변형(stack-corruption) 취약점으로, 윈도 폰트 드라이버(Windows Fond Driver)에서 발견됐습니다. CVE-2020-1020라는 제로데이 취약점과 연계되어 활용됐으며, 공격자들의 권한을 상승시켰습니다.
3) CVE-2020-1020 : 윈도 8.1 및 이전 버전에서 발견된 취약점으로, 2단계 페이로드를 RWX 커널 메모리에 설치하는 데 활용됐습니다.
4) CVE-2020-1027 : 윈도의 힙 버퍼 오버플로우 취약점으로 Client/Server Run-Time Subsystem(CSRSS)에서 발견됐습니다. 샌드박스 탈출 공격을 하는 데 활용됐습니다. 이 모든 취약점들은 전부 패치가 된 상태입니다.
공격자들은 대부분의 경우 신중하게 움직인 것으로 보인다고 구글은 설명했습니다. 사용자들의 디지털 지문을 꼼꼼하게 수집하고, 최종 사용자 장비에서부터 수많은 매개변수를 전송하면서, 추가 공격을 실시할 것인지 조심스럽게 결정했다는 것입니다. 하지만 일부 공격에 있어서는 침투와 동시에 추가 익스플로잇이 곧바로 이어졌다고 합니다. 침투만 했지 아무런 활동도 없던 경우도 있었다고 합니다. 이 두 가지 경우의 차이점은 아직 정확히 밝혀내지 못했습니다.
또한 연쇄적인 익스플로잇이 모듈 구성으로 진행되었기 때문에 캠페인이 효율적일 수 있었으며, 대단한 유연성을 보여주었다고 구글은 설명했습니다. 그러면서 “기술력이 매우 뛰어난 자들이 배후에 있음이 분명합니다”고 주장했습니다.
“꼼꼼하게 엔지니어링 된 복잡한 코드가 다양하고 새로운 익스플로잇 방법을 통해 실행되었습니다. 최초 침투가 끝난 후의 익스플로잇에서도 철저하게 계산된 움직임을 보였고, 다양한 분석 방해 및 추적 방해 기술을 활용하기도 했습니다. 이런 식의 공격을 자주 해보고, 대단한 전문성을 갖춘 자들이 배후에 있음이 분명합니다.”
하지만 구글의 보안 전문가들은 배후 세력이 누구인지 밝히지 않고 있습니다. 공격자들의 목적과 피해 규모 역시 아직은 공개되지 않았습니다. 아직은 “누군가 MS와 구글조차 몰랐던 제로데이를 최소 네 개나 발굴해 대규모 공격을 1년 동안 실시하고 있었다”는 경고 정도에서 끝나고 있습니다. 상세한 기술 정보는 구글 블로그에서 차례로 볼 수 있습니다.
출처 : 보안뉴스