파일 압축 소프트웨어 ‘WinRAR 6.22’ 이하 버전서 임의 코드 실행 가능해
북한 해킹그룹 ‘APT37’, ‘코니(Konni)’, 우크라이나 타깃 삼는 ‘GhostWriter’도 악용
[보안뉴스 이소미 기자] 지난해 8월에 공개된 윈라(WinRAR) 취약점인 ‘CVE-2023-38831’을 악용한 공격 사례가 증가하고 있다. 이 취약점은 ‘RARLAB’의 파일 압축 소프트웨어인 ‘WinRAR 6.22’ 이하 버전에서 임의의 코드를 실행할 수 있는 보안 취약점이다.
[이미지=gettyimagesbank]
이스트시큐리티 시큐리티대응센터(이하 ESRC)는 2023년 하반기에 북한의 해킹그룹 ‘APT37’, ‘코니(Konni)’ 그리고 우크라이나를 표적으로 삼는 해킹 조직 ‘GhostWriter’ 등도 해당 취약점을 악용해 ‘APT 공격’을 감행한 것으로 확인됐다.
CVE-2023-38831 취약점은 공통 취약점 등급 시스템(CVSS : Common Vulnerability Scoring System) 점수 7.8로 ‘높은’ 취약점으로 평가됐다. 지난해 8월 패치 버전이 공개됐는데 구 버전에서 임시 압축 해제 시 스푸핑된 파일명으로 공격자가 제작한 악성코드가 포함된 파일까지 압축 해제됐지만, 패치를 통해 임시 압축 해제 과정에서 검증 로직을 강화해 이러한 문제를 해결했다. 그러나 PoC 익스플로잇 코드가 깃허브에 공개돼 있어 또 다시 공격에 악용될 가능성이 있으므로 주의해야 한다.
▲압축 파일 목록과 확장자 스푸핑이 적용된 샘플[이미지=ERSC]
ERSC가 분석한 ‘보안동향 보고서’에 따르면, 압축 소프트웨어 WinRAR을 통해 유포된 ‘CONNECTOR_SAMPLES (1).rar’ 압축 파일 내의 PDF 파일을 실행하면, 동일한 명의 폴더에 포함된 악성코드가 실행된다. 따라서 사용자는 PDF 파일을 실행하는 것으로 생각하지만 실제로는 공격자가 제작한 동일한 이름의 폴더에 포함된 악성코드가 실행되는 것이다.
그 동작 과정을 살펴보면, ‘CVE-2023-38831’을 악용해 유포된 압축 파일 ‘CONNECTOR_SAMPLES (1).rar’에는 폴더와 파일 이름 뒤에 공백이 존재한다. 이는 ShellExecuteExW 함수가 파일 이름에 포함된 공백을 잘못 처리해, 악의적인 사용자가 임의의 코드를 실행할 수 있기 때문이다.
▲폴더 생성 코드 일부와 압축 해제된 임시 폴더의 목록과 공백 제어 코드 일부 [이미지=ERSC]
취약 버전의 WinRAR을 사용해 파일(CONNECTOR_SAMPLES.pdf)을 실행하면 해당 파일은 임시 압축 해제해 실행된다. 임시 압축 해제 경로는 ‘%temp%’ 경로에 ‘Rar$Dia[PID].[random numbers]’ 폴더명으로 생성된다.
하지만 실행한 파일과 동일한 이름의 폴더가 발견되면, 일치하는 폴더 내의 파일 모두 아래 경로에 임시 압축 해제돼 공백없이 저장한다.
임시 압축 해제 이후, WinRAR을 통해 실행했던 파일을 실행하기 위해 ShellExecuteExW 함수를 호출한다. 하지만 실행 파일 이름에는 공백이 존재해 파일 실행에 실패하고 ShellExecuteExW 함수의 특징이 발생한다.
▲ShellExecuteExW 코드 일부 및 ShellAPI 특징[이미지=ERSC]
ShellExecute 함수는 공백이 있는 확장자를 잘못된 확장자로 판단하는데 위 샘플과 같이 실행 파일 이름의 마지막 부분에 공백이 있으므로, ShellExecute 함수는 공백을 확장자로 간주해 ‘CONNECTOR_SAMPLES.pdf’는 확장자가 없는 파일로 간주된다.
또한 ShellExecute 함수 사용 시 확장자를 명시하지 않아도 되는데, 이처럼 확장자가 없이 파일을 실행할 때, 로직에 의해 폴더의 모든 파일을 반복 호출해 ‘.PIF, .COM, .EXE, .BAT, .CMD’ 확장자 중 일치하는 확장자를 가진 ‘CONNECTOR_SAMPLES.pdf .cmd’ 파일을 실행한다.
‘CONNECTOR_SAMPLES.pdf .cmd’는 닷넷(.NET)으로 작성돼 있으며, 최종적으로 폼북(Formbook) 인포스틸러 악성코드를 실행한다. 이와 같이 압축 소프트웨어인 WinRAR의 취약점을 악용하면 임의의 코드를 실행할 수 있다. 이를 통해 공격자는 사용자 시스템에 악성코드를 설치하거나 사용자의 개인정보를 탈취할 수 있다.
ERSC는 여러 해킹 그룹이 ‘CVE-2023-38831’을 악용해 해킹하고 있는 것으로 보고된 만큼 다양한 공격이 이루어질 수 있기 때문에 각별한 주의를 당부했다. 또한 악성코드 감염 방지를 위해서는 신뢰할 수 없는 페이지에서 파일을 다운로드 하지 말아야 하며, 백신의 최신버전 업그레이드 및 정기 검사를 습관화해야 함을 강조했다.
한편 해당 취약점은 이스트시큐리티 ‘알약’에서 ‘Exploit.CVE-2023-38831’로 진단하고 있다.
[이소미 기자(boan4@boannews.com)]
북한 해킹그룹 ‘APT37’, ‘코니(Konni)’, 우크라이나 타깃 삼는 ‘GhostWriter’도 악용
[보안뉴스 이소미 기자] 지난해 8월에 공개된 윈라(WinRAR) 취약점인 ‘CVE-2023-38831’을 악용한 공격 사례가 증가하고 있다. 이 취약점은 ‘RARLAB’의 파일 압축 소프트웨어인 ‘WinRAR 6.22’ 이하 버전에서 임의의 코드를 실행할 수 있는 보안 취약점이다.
[이미지=gettyimagesbank]
이스트시큐리티 시큐리티대응센터(이하 ESRC)는 2023년 하반기에 북한의 해킹그룹 ‘APT37’, ‘코니(Konni)’ 그리고 우크라이나를 표적으로 삼는 해킹 조직 ‘GhostWriter’ 등도 해당 취약점을 악용해 ‘APT 공격’을 감행한 것으로 확인됐다.
CVE-2023-38831 취약점은 공통 취약점 등급 시스템(CVSS : Common Vulnerability Scoring System) 점수 7.8로 ‘높은’ 취약점으로 평가됐다. 지난해 8월 패치 버전이 공개됐는데 구 버전에서 임시 압축 해제 시 스푸핑된 파일명으로 공격자가 제작한 악성코드가 포함된 파일까지 압축 해제됐지만, 패치를 통해 임시 압축 해제 과정에서 검증 로직을 강화해 이러한 문제를 해결했다. 그러나 PoC 익스플로잇 코드가 깃허브에 공개돼 있어 또 다시 공격에 악용될 가능성이 있으므로 주의해야 한다.
▲압축 파일 목록과 확장자 스푸핑이 적용된 샘플[이미지=ERSC]
ERSC가 분석한 ‘보안동향 보고서’에 따르면, 압축 소프트웨어 WinRAR을 통해 유포된 ‘CONNECTOR_SAMPLES (1).rar’ 압축 파일 내의 PDF 파일을 실행하면, 동일한 명의 폴더에 포함된 악성코드가 실행된다. 따라서 사용자는 PDF 파일을 실행하는 것으로 생각하지만 실제로는 공격자가 제작한 동일한 이름의 폴더에 포함된 악성코드가 실행되는 것이다.
그 동작 과정을 살펴보면, ‘CVE-2023-38831’을 악용해 유포된 압축 파일 ‘CONNECTOR_SAMPLES (1).rar’에는 폴더와 파일 이름 뒤에 공백이 존재한다. 이는 ShellExecuteExW 함수가 파일 이름에 포함된 공백을 잘못 처리해, 악의적인 사용자가 임의의 코드를 실행할 수 있기 때문이다.
▲폴더 생성 코드 일부와 압축 해제된 임시 폴더의 목록과 공백 제어 코드 일부 [이미지=ERSC]
취약 버전의 WinRAR을 사용해 파일(CONNECTOR_SAMPLES.pdf)을 실행하면 해당 파일은 임시 압축 해제해 실행된다. 임시 압축 해제 경로는 ‘%temp%’ 경로에 ‘Rar$Dia[PID].[random numbers]’ 폴더명으로 생성된다.
하지만 실행한 파일과 동일한 이름의 폴더가 발견되면, 일치하는 폴더 내의 파일 모두 아래 경로에 임시 압축 해제돼 공백없이 저장한다.
임시 압축 해제 이후, WinRAR을 통해 실행했던 파일을 실행하기 위해 ShellExecuteExW 함수를 호출한다. 하지만 실행 파일 이름에는 공백이 존재해 파일 실행에 실패하고 ShellExecuteExW 함수의 특징이 발생한다.
▲ShellExecuteExW 코드 일부 및 ShellAPI 특징[이미지=ERSC]
ShellExecute 함수는 공백이 있는 확장자를 잘못된 확장자로 판단하는데 위 샘플과 같이 실행 파일 이름의 마지막 부분에 공백이 있으므로, ShellExecute 함수는 공백을 확장자로 간주해 ‘CONNECTOR_SAMPLES.pdf’는 확장자가 없는 파일로 간주된다.
또한 ShellExecute 함수 사용 시 확장자를 명시하지 않아도 되는데, 이처럼 확장자가 없이 파일을 실행할 때, 로직에 의해 폴더의 모든 파일을 반복 호출해 ‘.PIF, .COM, .EXE, .BAT, .CMD’ 확장자 중 일치하는 확장자를 가진 ‘CONNECTOR_SAMPLES.pdf .cmd’ 파일을 실행한다.
‘CONNECTOR_SAMPLES.pdf .cmd’는 닷넷(.NET)으로 작성돼 있으며, 최종적으로 폼북(Formbook) 인포스틸러 악성코드를 실행한다. 이와 같이 압축 소프트웨어인 WinRAR의 취약점을 악용하면 임의의 코드를 실행할 수 있다. 이를 통해 공격자는 사용자 시스템에 악성코드를 설치하거나 사용자의 개인정보를 탈취할 수 있다.
ERSC는 여러 해킹 그룹이 ‘CVE-2023-38831’을 악용해 해킹하고 있는 것으로 보고된 만큼 다양한 공격이 이루어질 수 있기 때문에 각별한 주의를 당부했다. 또한 악성코드 감염 방지를 위해서는 신뢰할 수 없는 페이지에서 파일을 다운로드 하지 말아야 하며, 백신의 최신버전 업그레이드 및 정기 검사를 습관화해야 함을 강조했다.
한편 해당 취약점은 이스트시큐리티 ‘알약’에서 ‘Exploit.CVE-2023-38831’로 진단하고 있다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
