스무 가지 넘게 직접 실험했더니 완전히 막히는 건 몇 개 되지 않아
[보안뉴스 문가용 기자] 보안 업체 세이프브리치(SafeBreach)의 전문가들이 마이크로소프트 윈도우의 프로세스에 멀웨어나 악성 프로세스를 주입하는 새로운 방법을 발견했다. 스텔스 공격에 크게 도움이 되는 방법이라고 한다.
[이미지 = iclickcart]
멀웨어를 심으려는 사이버 공격자들은 프로세스 주입이라는 기법을 자주 사용한다. 정상적으로 진행되는 프로세스에 특수한 기능을 삽입함으로써, 자신들의 행위가 탐지되지 않은 채 목표를 달성할 수 있기 때문이다. 따라서 ‘스텔스’를 바탕으로 한 공격에서 자주 발견되는 편이다.
세이프브리치의 CTO인 이트직 코틀러(Itzik Kotler)와 부회장인 아밋 클레인(Amit Klein)은 최근 20개가 넘는 ‘프로세스 주입’ 기술들을 망라하며 하나하나 실험하는 프로젝트를 진행 중이었다. 프로세스 주입술이라고 알려진 수많은 방법들 중 어떤 게 현재 시점에 진짜 위협이 되는지 확인하고, 어떤 대책을 세워야 하는지 파악하기 위함이었다. “일부는 이론상으로만 존재하는 방법이었고, 실제 큰 위협이 되는 방법도 있었습니다.”
현재 윈도우 10에는 프로세스 주입을 방어하기 위한 장치들이 탑재되어 있다.
1) 컨트롤 플로우 가드(Control Flow Guard)
2) 동적 코드 보안(Dynamic Code Security)
3) 바이너리 시그니처(Binary Signature) 정책
4) 확장자 포인트 비활성화(Extension Point Disable) 정책
이 두 전문가는 자신들이 찾아낸 프로세스 주입 공격의 모든 것에 대해 현재 열리고 있는 블랙햇에서 발표했다. “저희는 스무 가지가 넘는 프로세스 주입 공격을 실험했습니다. 그 중 윈도우 10에 설치된 방어 도구들 때문에 완전히 막힌 것은 두 가지 뿐이었습니다. 저희가 이 실험을 통해 직접 발견한 방법 등 네 가지는 보호의 수준이 어떠하든 다 통했습니다. 나머지는 보호 장치에 따라 성공 여부가 갈리는 모습을 보여주었습니다.”
이들에 의하면 “방어 수준이 어떠하든 통과하는 공격 기법들은 대체로 굉장히 공격적이고, 따라서 탐지가 쉽다”고 한다. 그러나 이들이 직접 발견한 새로운 공격법의 경우(이름은 스택보머(StackBomber)다) 훨씬 은밀하며, 따라서 탐지가 힘들다고 한다. “심지어 스택보머는 권한을 상승시키는 절차가 필요하지 않습니다. 따라서 공격자들에게 알려지면 꽤나 유용할 것으로 보입니다.”
스택보머는 새로운 ‘실행 기법’ 중 하나인 것으로 알려져 있다. 코틀러와 클레인이 발견한 메모리 작성 기술과 잘 맞으며, 둘이 합쳐졌을 때 꽤나 놀라운 결과가 나온다고 한다. 하지만 이 두 가지 기술에 대해서는 아직 정확히 공개가 되지 않고 있다. 다만 이들이 실험한 모든 기술에 대한 기술적 요약본은 여기(https://i.blackhat.com/USA-19/Thursday/us-19-Kotler-Process-Injection-Techniques-Gotta-Catch-Them-All-wp.pdf)에 공개되어 있다.
마이크로소프트는 프로세스 주입이 취약점으로 인해 발생한다고 보지 않고 있다. 그러므로 프로세스 주입 공격 방법을 발견한다고 해서 버그바운티의 보상을 받을 수는 없다. 코틀로와 클레인도 이 점을 잘 이해하고 있으며, 보상 여부와 상관없이 해당 사실을 MS에 알렸다고 한다. 아직 MS는 스택보머에 대해 별다른 조치를 취하고 있지 않고 있다. 아직 분석 중에 있는 것으로 알려져 있다.
세이프브리치는 이번 실험이 진행되는 동안 사용했던 모든 개념증명용 코드를 공개하기도 했다. 그와 함께 누구나 직접 프로세스 주입 공격을 개발할 수 있게 해주는 오픈소스 프레임워크인 핀젝트라(PINJECTRA)도 무료로 배포하고 있다. 핀젝트라는 깃허브(https://github.com/SafeBreach-Labs/pinjectra)에서 받아볼 수 있다.
세이프브리치는 “우리가 연구한 결과가 해커들에게 도움이 될 수 있다는 걸 잘 알고 있다”며 “이 자료를 가지고 누가 더 부지런히 움직이느냐에 따라 판가름 날 것으로 본다”는 의견을 밝히기도 했다. “저희가 제공한 건 현상을 직시한 내용뿐입니다. 보안 전문가가 먼저 활용하느냐, 해커가 먼저 활용하느냐가 관건입니다.”
3줄 요약
1. 블랙햇에서 보안 업체가 ‘프로세스 주입 기술’에 대해 연구한 자료 발표.
2. 현존하는 모든 기술을 직접 실험. 두 가지는 완전히 막히지만, 네 가지는 완전히 통과.
3. 프로세스 주입 기술에 대한 자료 나왔으니, 보안 커뮤니티가 재빨리 활용하는 게 중요.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>