3월에 패치된 취약점이 하나 있다. 윈도에서 발견된 것이었는데, 원래는 제로데이가 아닌 것으로 파악됐다. 하지만 한 랜섬웨어 단체가 이를 제로데이로 활용하고 있었다는 정황이 나타났다.
[보안뉴스 문정후 기자] 지난 3월에 패치된 윈도 취약점 하나가 제로데이 취약점으로서 익스플로잇 되었을 가능성이 크다는 내용의 보고서가 발표됐다. 악명 높은 랜섬웨어 단체 중 하나인 블랙바스타(Black Basta)가 이 제로데이 공격의 배후에 있는 것으로 추정되는데, 다행히 성공하지는 못한 것으로 보인다.
[이미지 = gettyimagesbank]
보안 업체 시만텍(Symantec)이 보고서를 통해 발표한 바에 따르면 문제의 취약점은 CVE-2024-26169이다. 지난 3월 MS가 ‘패치 튜즈데이’를 통해 패치를 진행했는데, 당시 MS는 “실제 익스플로잇 공격에 활용되었다는 사례는 발견되지 않고 있다”고 했었다. 그렇기 때문에 당시 해당 취약점의 패치 우선순위를 뒤로 민 조직들이 꽤 있을 것으로 추정되는데, 이번 시만텍의 경고로 인해 순서가 조정되어야 할 수도 있을 것으로 보인다.
CVE-2024-26169는 윈도 OS의 오류 보고 서비스(Windows Error Report Service)에서 발견된 취약점이다. 익스플로잇에 성공할 경우 공격자는 자신의 권한을 높일 수 있게 된다. 3월 12일에 패치됐으나 누군가 이 취약점을 패치 이전 시점부터 익스플로잇 하려 했다는 것이 시만텍의 주장이다. 즉 3월의 정기 패치 권고문에는 언급되지 않았던 ‘제로데이 취약점’이 뒤늦게 발견된 것이라고 할 수 있다.
왜 블랙바스타가 의심되는가?
시만텍은 최근 랜섬웨어 공격 시도 사건 하나를 조사하게 되었다고 설명한다. 당시 공격자들은 익스플로잇 도구를 활용했고, 그것이 시만텍의 연구원들에 의해 발견됐다. 더불어 공격자들의 전략과 기술, 공격 수순들도 같이 찾아내는 데 성공했다.
“상당히 많은 부분에서 블랙바스타와 흡사한 면을 발견할 수 있었습니다. 특히 최근 MS가 블랙바스트의 활동에 대해 세부적으로 설명한 보고서를 발표한 바 있는데, 그 보고서의 내용과 공격자의 활동 내용이 닮아 있었습니다. 최종 페이로드마저 비슷했으면 좋았겠지만, 이번 캠페인에서 공격자는 최종 페이로드를 심는 데에는 실패했습니다.”
문제의 도구를 분석했을 때 werkernel.sys라는 윈도 파일의 한 가지 특성을 악용한다는 사실이 파악됐다. 그 한 가지는 등록 키를 생성할 때 널 보안 디스크립터(null security descriptor)를 사용한다는 것이다. 이 특성 때문에 익스플로잇을 시도하는 자는 결국 관리자 권한을 가지고 셸이 발동되도록 할 수 있게 된다고 시만텍은 설명한다. 즉 권한이 상승된다는 뜻이 된다.
그런데 시만텍이 확보한 도구의 컴파일 시간은 2024년 2월 27일이었다. 패치가 배포되기 수주 전의 시점이다. 바이러스토탈(Virus Total)에도 두 번째 샘플이 업로드 되었는데, 이 경우 타임스탬프는 2023년 12월 18일이었다. 물론 타임스탬프라고 해서 수정이 불가능한 건 아니다. 조작하는 것도 얼마든지 가능하다. “그렇기에 이 두 가지만 보고 해당 취약점이 원래는 제로데이였다고 단정 지을 수 없습니다. 하지만 이 사건에서 공격자가 굳이 타임스탬프를 조작하는 귀찮은 일을 할 이유가 없어 보입니다.”
되살아난 위협
블랙바스타가 처음 발견된 건 2022년 4월의 일이다. 카디널(Cardinal)이라고도 불리는데, 시만텍의 경우 카디널이라는 공격 단체가 블랙바스타라는 랜섬웨어를 사용하고 있다고 설명한다. 보안 업계에서는 공격자가 사용하는 페이로드가 그 공격자의 이름이 되는 경우가 흔하기 때문에 이는 충돌이나 오류로 보기 어렵다. 하지만 업계 전반적으로는 블랙바스타가 좀 더 널리 사용된다.
블랙바스타는 칵봇(Qakbot)이라는 봇넷과 깊은 관련이 있는 것으로도 알려져 있다. “블랙바스타는 처음부터 칵봇을 타고 퍼졌습니다. 칵봇을 주요 공격 인프라로 정하고 활동을 시작한 것처럼 보일 정도입니다. 물론 오로지 칵봇만을 활용하는 건 아닙니다만 칵봇이 잠시 주춤했을 때 블랙바스타도 주춤해지는 건 사실입니다.”
칵봇은 한 때 세계에서 가장 널리 퍼지는 멀웨어 중 하나로 손꼽힐 정도로 많은 피해자를 양산시켜 왔다. 그래서 사법 기관의 주목을 받아 왔고, 결국 2023년 8월 국제 공조 작전을 통해 폐쇄됐다. 그래서 블랙바스타도 사그라드는 듯 했으나 운영자들이 다크게이트(DarkGate)라는 로더와 손을 잡음으로써 다시 한 번 활성화 되었다고 시만텍은 경고한다.
3줄 요약
1. MS, 3월에 정기 패치 통해 한 가지 취약점을 해결하며 제로데이 아니라고 설명.
2. 하지만 블랙바스타라는 랜섬웨어가 은밀히 제로데이로 활용한 듯한 정황 나옴.
3. 블랙바스타는 칵봇(Qakbot)이라는 봇넷과 깊은 관련이 있는 것으로도 알려져
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 지난 3월에 패치된 윈도 취약점 하나가 제로데이 취약점으로서 익스플로잇 되었을 가능성이 크다는 내용의 보고서가 발표됐다. 악명 높은 랜섬웨어 단체 중 하나인 블랙바스타(Black Basta)가 이 제로데이 공격의 배후에 있는 것으로 추정되는데, 다행히 성공하지는 못한 것으로 보인다.
[이미지 = gettyimagesbank]
보안 업체 시만텍(Symantec)이 보고서를 통해 발표한 바에 따르면 문제의 취약점은 CVE-2024-26169이다. 지난 3월 MS가 ‘패치 튜즈데이’를 통해 패치를 진행했는데, 당시 MS는 “실제 익스플로잇 공격에 활용되었다는 사례는 발견되지 않고 있다”고 했었다. 그렇기 때문에 당시 해당 취약점의 패치 우선순위를 뒤로 민 조직들이 꽤 있을 것으로 추정되는데, 이번 시만텍의 경고로 인해 순서가 조정되어야 할 수도 있을 것으로 보인다.
CVE-2024-26169는 윈도 OS의 오류 보고 서비스(Windows Error Report Service)에서 발견된 취약점이다. 익스플로잇에 성공할 경우 공격자는 자신의 권한을 높일 수 있게 된다. 3월 12일에 패치됐으나 누군가 이 취약점을 패치 이전 시점부터 익스플로잇 하려 했다는 것이 시만텍의 주장이다. 즉 3월의 정기 패치 권고문에는 언급되지 않았던 ‘제로데이 취약점’이 뒤늦게 발견된 것이라고 할 수 있다.
왜 블랙바스타가 의심되는가?
시만텍은 최근 랜섬웨어 공격 시도 사건 하나를 조사하게 되었다고 설명한다. 당시 공격자들은 익스플로잇 도구를 활용했고, 그것이 시만텍의 연구원들에 의해 발견됐다. 더불어 공격자들의 전략과 기술, 공격 수순들도 같이 찾아내는 데 성공했다.
“상당히 많은 부분에서 블랙바스타와 흡사한 면을 발견할 수 있었습니다. 특히 최근 MS가 블랙바스트의 활동에 대해 세부적으로 설명한 보고서를 발표한 바 있는데, 그 보고서의 내용과 공격자의 활동 내용이 닮아 있었습니다. 최종 페이로드마저 비슷했으면 좋았겠지만, 이번 캠페인에서 공격자는 최종 페이로드를 심는 데에는 실패했습니다.”
문제의 도구를 분석했을 때 werkernel.sys라는 윈도 파일의 한 가지 특성을 악용한다는 사실이 파악됐다. 그 한 가지는 등록 키를 생성할 때 널 보안 디스크립터(null security descriptor)를 사용한다는 것이다. 이 특성 때문에 익스플로잇을 시도하는 자는 결국 관리자 권한을 가지고 셸이 발동되도록 할 수 있게 된다고 시만텍은 설명한다. 즉 권한이 상승된다는 뜻이 된다.
그런데 시만텍이 확보한 도구의 컴파일 시간은 2024년 2월 27일이었다. 패치가 배포되기 수주 전의 시점이다. 바이러스토탈(Virus Total)에도 두 번째 샘플이 업로드 되었는데, 이 경우 타임스탬프는 2023년 12월 18일이었다. 물론 타임스탬프라고 해서 수정이 불가능한 건 아니다. 조작하는 것도 얼마든지 가능하다. “그렇기에 이 두 가지만 보고 해당 취약점이 원래는 제로데이였다고 단정 지을 수 없습니다. 하지만 이 사건에서 공격자가 굳이 타임스탬프를 조작하는 귀찮은 일을 할 이유가 없어 보입니다.”
되살아난 위협
블랙바스타가 처음 발견된 건 2022년 4월의 일이다. 카디널(Cardinal)이라고도 불리는데, 시만텍의 경우 카디널이라는 공격 단체가 블랙바스타라는 랜섬웨어를 사용하고 있다고 설명한다. 보안 업계에서는 공격자가 사용하는 페이로드가 그 공격자의 이름이 되는 경우가 흔하기 때문에 이는 충돌이나 오류로 보기 어렵다. 하지만 업계 전반적으로는 블랙바스타가 좀 더 널리 사용된다.
블랙바스타는 칵봇(Qakbot)이라는 봇넷과 깊은 관련이 있는 것으로도 알려져 있다. “블랙바스타는 처음부터 칵봇을 타고 퍼졌습니다. 칵봇을 주요 공격 인프라로 정하고 활동을 시작한 것처럼 보일 정도입니다. 물론 오로지 칵봇만을 활용하는 건 아닙니다만 칵봇이 잠시 주춤했을 때 블랙바스타도 주춤해지는 건 사실입니다.”
칵봇은 한 때 세계에서 가장 널리 퍼지는 멀웨어 중 하나로 손꼽힐 정도로 많은 피해자를 양산시켜 왔다. 그래서 사법 기관의 주목을 받아 왔고, 결국 2023년 8월 국제 공조 작전을 통해 폐쇄됐다. 그래서 블랙바스타도 사그라드는 듯 했으나 운영자들이 다크게이트(DarkGate)라는 로더와 손을 잡음으로써 다시 한 번 활성화 되었다고 시만텍은 경고한다.
3줄 요약
1. MS, 3월에 정기 패치 통해 한 가지 취약점을 해결하며 제로데이 아니라고 설명.
2. 하지만 블랙바스타라는 랜섬웨어가 은밀히 제로데이로 활용한 듯한 정황 나옴.
3. 블랙바스타는 칵봇(Qakbot)이라는 봇넷과 깊은 관련이 있는 것으로도 알려져
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
