.gif)
이미 2년 전에 죽었던 인터넷 익스플로러가 돌아왔다. 물론 공식적으로 서비스가 재가동된 건 아니다. 공격자들의 손에 의해, 일종의 공격 도구로서 재활용되기 시작한 것이다. 공격을 위해 무덤까지 뒤지는 공격자들의 집요함이 새삼 놀랍다.
[보안뉴스 문정후 기자] 죽었던 인터넷 익스플로러(Internet Explorer)가 돌아왔다. 예전의 그 모습은 아니지만, 공격자들의 손에 악용되고 있다는 점에서는 변한 게 없다. 사용자들의 눈에는 보이지도 않는 인터넷 익스플로러가 공격자들의 눈에만 보이고, 게다가 공격에 사용되고 있다는 것에서 보안 담당자들과 사용자들이 경계해야 할 것이 하나 더 늘어났다.
[이미지 = gettyimagesbank]
보안 업체 트렌드마이크로(Trend Micro)가 발표한 바에 의하면 죽었던 인터넷 익스플로러를 되살려 공격에 이용하고 있는 건 보이드밴시(Void Banshee)라고 하는 공격 단체라고 한다. 이들이 인터넷 익스플로러까지 동원하여 진행하고 있는 공격 캠페인의 중심에는 CVE-2024-38112라는 취약점이 있다. 이 취약점을 통해 아틀란티다(Atlantida)라는 정보 탈취형 멀웨어를 퍼트리고, 아틀란티다를 통해 각종 정보를 훔쳐내는 것이 보이드밴시의 목적이다. 공격 대상이 된 지역은 북미, 유럽, 동남아시아였다.
CVE-2024-38112는 MHTML에서 발견된 원격 코드 실행 취약점으로, 트렌드마이크로는 지난 5월 제로데이 취약점의 상태로 이를 처음 발견해 MS에만 은밀히 제보했다고 한다. 제로데이 취약점인 상태로 발견됐다는 건, 공격자들이 MS나 보안 업계보다 먼저 발견해 실제 공격에 활용하고 있었다는 뜻이다. MHTML은 일종의 파일 형식이자, 그런 파일 형식을 규정하는 프로토콜로, 하나의 파일에 HTML 코드와, 해당 코드를 구현하는 데 필요한 외부 자원들을 전부 묶어둘 수 있게 해 준다.
MHTML에서 취약점이 발견돼 공격에 이용되고 있다거나, 정보 탈취형 멀웨어를 퍼트린 공격자들이 각종 정보를 수집해 가고 있다는 사실 자체는 새로울 게 없다. 하지만 이번 공격에서 눈길을 끄는 건 인터넷 익스플로러가 공격자들의 손에 부활했기 때문이다.
인터넷 익스플로러?
배경을 간략히 설명하자면 인터넷 익스플로러는 2022년 6월 15일부로 지원이 공식 종료된 애플리케이션이다. 한 때 MS를 대표하는 브라우저였으나, 엣지 브라우저로 세대 교체가 이뤄졌다. MS 윈도 10의 후반기에 나온 버전들에서는 인터넷 익스플로러가 비활성화 되었고, 그것이 윈도 11에까지 이어지고 있다. 여기서 중요한 건 ‘비활성화’ 되었다는 것이다. 윈도에서 완전히 삭제됐다는 뜻이 아니기 때문이다. 일반 사용자가 쉽게 접근할 수 없도록 숨겨져 있다는 뜻이지, 아직 인터넷 익스플로러의 잔재들이 현대 윈도 시스템들에 남아있다.
지금 파일 탐색기를 잘 뒤지면 인터넷 익스플로러의 실행 파일인 iexplore.exe가 있다는 걸 알 수 있다. 다만 이를 더블클릭하여 실행하면 인터넷 익스플로러가 아니라 엣지 브라우저가 자동으로 실행된다. 아직 인터넷 익스플로러로 콘텐츠를 로딩해야만 하는 특수한 경우가 있는데, 그럴 때를 위해 MS는 엣지 브라우저에 ‘인터넷 익스플로러 모드’를 탑재시켰다. 이 모드가 제대로 작동하려면 인터넷 익스플로러의 일부 구성 요소들이 있어야 하고, 그래서 최신 윈도에도 이 오래된 애플리케이션이 남아있는 것이다.
공격자들은 CVE-2024-38112를 익스플로잇하면 이렇게 흔적만 남아있는 인터넷 익스플로러를 발동시킬 수 있다는 것을 알게 됐다. 그리고 이렇게 살아난 인터넷 익스플로러를 통해 공격자들이 원하는 파일을 실행시키고 공격자들이 원하는 웹사이트에 접속함으로써, 사실상 인터넷 익스플로러를 일종의 프록시로서 활용할 수 있게 된다는 것을 알게 됐고 실제 공격을 감행한 것이라고 트렌드마이크로는 설명한다.
“인터넷 익스플로러를 공격의 도구로서 활용한다는 건 공격자들에게 있어 꽤나 큰 소식입니다. 일단 인터넷 익스플로러는 과거에 공격자들 사이에서 대단히 인기가 높았던 물건이죠. 즉 공격자들이 꽤나 능숙하게 다뤘던 기억을 가지고 있는 애플리케이션이라는 뜻입니다. 게다가 공식적으로 인터넷 익스플로러는 지원이 종료된 물건이기도 합니다. 업데이트가 이뤄지지 않는다는 뜻이죠. 익숙하게 다룰 수 있는데 이제 패치도 안 된다니, 공격자들로서는 더 없이 좋은 조건이 갖춰지는 것입니다.” 트렌드마이크로 측의 설명이다.
실제 공격, 어떻게 이뤄지나
그렇다면 보이드밴시는 실제 어떤 식으로 공격을 진행했을까? 트렌드마이크로가 자사 사이트를 통해 공개한 내용을 요약하면 다음과 같다.
1) 다양한 책들을 PDF 파일 형태로 만든다.
2) 그 PDF 파일들에 악성 파일들을 섞어서 집(zip)으로 압축한다.
3) 온라인 라이브러리나 클라우드 공유 사이트, 디스코드, 미리 침해해 둔 웹사이트 등을 통해 이 압축 파일을 유포한다.
“이 때 미끼로 사용되는 책들은 꽤나 많았는데, 그 중에서도 교과서 류가 눈에 많이 띄었습니다. 특히 의학이나 해부학 전문가들이 볼법한 책들이 많았는데, 그런 고도의 전문분야에 종사하는 사람들이나 학생들을 노린 공격이 아닐까 하는 의심도 듭니다.”
3)번 과정에서 파일을 받은 피해자가 책을 보기 위해 압축 파일을 해제한다면 여러 PDF 파일이 추출되는데, 그 중에는 가짜도 있다. 원래는 바로가기 파일(.lnk)인데 아이콘만 PDF 모양으로 바뀌어 있는 것이다. 그러므로 이를 실행시키면 바로가기에 등록되어 있는 URL로 연결되면서 취약점 익스플로잇이 시작된다. 이 때 인터넷 익스플로러가 발동되어 공격자가 지정한 웹사이트로 접속하게 되고, 그 웹사이트에는 악성 파일들이 호스팅 되어 있다.
“어떤 경우 악성 HTA 파일이 호스팅되어 있기도 합니다. 인터넷 익스플로러는 HTA 파일을 별 문제 없이 여는 유일한 브라우저입니다. 엣지나 크롬 같은 최신 브라우저들은 디폴트로 이런 파일을 열지 않도록 되어 있지요. 무덤에 있던 인터넷 익스플로러를 굳이 다시 발굴해 사용하는 이유 중 하나가 이런 것이라고 봅니다.”
악성 HTA 파일에는 악성 비주얼베이직스크립트(VBScript)가 포함되어 있고, 이는 XOR로 암호화 된 콘텐츠를 복호화 하는 기능을 가지고 있다. 복호화 할 콘텐츠는 주로 악성 스크립트이며, 이는 또 다른 웹 서버에 저장되어 있어 별도로 다운로드를 받아야 한다. 방금 전의 그 비주얼베이직스크립트에 다운로드 기능도 있는 게 보통이다. 즉 HTA 파일을 통해 추가 다운로더를 받고, 그 추가 다운로더를 통해 또 다른 악성 스크립트를 받아 해독해놓는다는 것이다. 이 최종 스크립트가 실행되면 새로운 프로세스가 생성되며, 이 프로세스에서는 여러 가지 명령이 복잡하게 수행되다가 종국에는 아틀란티다가 설치된다. ‘여러 명령이 복잡하게 수행된다’는 과정 중에는 몇 개의 추가 다운로더와 로더들의 활동이 포함되기도 한다.
어떻게 방어해야 하는가
트렌드마이크로는 이번 사건의 가장 큰 교훈은 “사용자는 인터넷 익스플로러를 사용할 수 없는데 공격자는 아직 할 수 있다”는 것이라고 정리한다. ‘유물’과 같은 것이 시스템에 남아있는 이상, 그것이 공격의 통로로 활용될 수 있다는 보안의 오래된 진리 역시 다시 한 번 입증되었다고 볼 수 있다. 보안 업계는 오래된 컴퓨터, 오래된 소프트웨어, 오래된 펌웨어를 가진 오래된 장비, 퇴사자 계정 등 낡은 것들은 보안 사고의 시한폭탄과 같은 존재라고 예전부터 경고해 왔었다.
또한 취약점을 선제적으로 찾아내 해결하는 ‘취약점 사냥(hunting)’ 역시 중요한 보안 활동이 되어야 할 것이라고 트렌드마이크로는 짚었다. “제로데이 취약점을 익스플로잇 하는 공격은, 패치가 나오면 그제야 취약점 관리를 시작하는 현대의 방어 방법론을 무력화시킵니다. 제로데이 공격이 점점 증가하고 있기 때문에 취약점을 미리 찾아나서서 미리 조치를 취할 수 있어야 합니다. 공격 통로에 대한 끊임없는 발굴과 모니터링도 동반되어야 하고요.”
3줄 요약
1. 인터넷 익스플로러를 공격에 활용한 보이드밴시라는 해킹 그룹.
2. 공격자들에게 익숙한 데다가 공식 지원마저 끝난 인터넷 익스플로러.
3. 공격이 들어오는 경로를 선제적으로 찾아내야 제로데이 대처가 가능.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 죽었던 인터넷 익스플로러(Internet Explorer)가 돌아왔다. 예전의 그 모습은 아니지만, 공격자들의 손에 악용되고 있다는 점에서는 변한 게 없다. 사용자들의 눈에는 보이지도 않는 인터넷 익스플로러가 공격자들의 눈에만 보이고, 게다가 공격에 사용되고 있다는 것에서 보안 담당자들과 사용자들이 경계해야 할 것이 하나 더 늘어났다.
[이미지 = gettyimagesbank]
보안 업체 트렌드마이크로(Trend Micro)가 발표한 바에 의하면 죽었던 인터넷 익스플로러를 되살려 공격에 이용하고 있는 건 보이드밴시(Void Banshee)라고 하는 공격 단체라고 한다. 이들이 인터넷 익스플로러까지 동원하여 진행하고 있는 공격 캠페인의 중심에는 CVE-2024-38112라는 취약점이 있다. 이 취약점을 통해 아틀란티다(Atlantida)라는 정보 탈취형 멀웨어를 퍼트리고, 아틀란티다를 통해 각종 정보를 훔쳐내는 것이 보이드밴시의 목적이다. 공격 대상이 된 지역은 북미, 유럽, 동남아시아였다.
CVE-2024-38112는 MHTML에서 발견된 원격 코드 실행 취약점으로, 트렌드마이크로는 지난 5월 제로데이 취약점의 상태로 이를 처음 발견해 MS에만 은밀히 제보했다고 한다. 제로데이 취약점인 상태로 발견됐다는 건, 공격자들이 MS나 보안 업계보다 먼저 발견해 실제 공격에 활용하고 있었다는 뜻이다. MHTML은 일종의 파일 형식이자, 그런 파일 형식을 규정하는 프로토콜로, 하나의 파일에 HTML 코드와, 해당 코드를 구현하는 데 필요한 외부 자원들을 전부 묶어둘 수 있게 해 준다.
MHTML에서 취약점이 발견돼 공격에 이용되고 있다거나, 정보 탈취형 멀웨어를 퍼트린 공격자들이 각종 정보를 수집해 가고 있다는 사실 자체는 새로울 게 없다. 하지만 이번 공격에서 눈길을 끄는 건 인터넷 익스플로러가 공격자들의 손에 부활했기 때문이다.
인터넷 익스플로러?
배경을 간략히 설명하자면 인터넷 익스플로러는 2022년 6월 15일부로 지원이 공식 종료된 애플리케이션이다. 한 때 MS를 대표하는 브라우저였으나, 엣지 브라우저로 세대 교체가 이뤄졌다. MS 윈도 10의 후반기에 나온 버전들에서는 인터넷 익스플로러가 비활성화 되었고, 그것이 윈도 11에까지 이어지고 있다. 여기서 중요한 건 ‘비활성화’ 되었다는 것이다. 윈도에서 완전히 삭제됐다는 뜻이 아니기 때문이다. 일반 사용자가 쉽게 접근할 수 없도록 숨겨져 있다는 뜻이지, 아직 인터넷 익스플로러의 잔재들이 현대 윈도 시스템들에 남아있다.
지금 파일 탐색기를 잘 뒤지면 인터넷 익스플로러의 실행 파일인 iexplore.exe가 있다는 걸 알 수 있다. 다만 이를 더블클릭하여 실행하면 인터넷 익스플로러가 아니라 엣지 브라우저가 자동으로 실행된다. 아직 인터넷 익스플로러로 콘텐츠를 로딩해야만 하는 특수한 경우가 있는데, 그럴 때를 위해 MS는 엣지 브라우저에 ‘인터넷 익스플로러 모드’를 탑재시켰다. 이 모드가 제대로 작동하려면 인터넷 익스플로러의 일부 구성 요소들이 있어야 하고, 그래서 최신 윈도에도 이 오래된 애플리케이션이 남아있는 것이다.
공격자들은 CVE-2024-38112를 익스플로잇하면 이렇게 흔적만 남아있는 인터넷 익스플로러를 발동시킬 수 있다는 것을 알게 됐다. 그리고 이렇게 살아난 인터넷 익스플로러를 통해 공격자들이 원하는 파일을 실행시키고 공격자들이 원하는 웹사이트에 접속함으로써, 사실상 인터넷 익스플로러를 일종의 프록시로서 활용할 수 있게 된다는 것을 알게 됐고 실제 공격을 감행한 것이라고 트렌드마이크로는 설명한다.
“인터넷 익스플로러를 공격의 도구로서 활용한다는 건 공격자들에게 있어 꽤나 큰 소식입니다. 일단 인터넷 익스플로러는 과거에 공격자들 사이에서 대단히 인기가 높았던 물건이죠. 즉 공격자들이 꽤나 능숙하게 다뤘던 기억을 가지고 있는 애플리케이션이라는 뜻입니다. 게다가 공식적으로 인터넷 익스플로러는 지원이 종료된 물건이기도 합니다. 업데이트가 이뤄지지 않는다는 뜻이죠. 익숙하게 다룰 수 있는데 이제 패치도 안 된다니, 공격자들로서는 더 없이 좋은 조건이 갖춰지는 것입니다.” 트렌드마이크로 측의 설명이다.
실제 공격, 어떻게 이뤄지나
그렇다면 보이드밴시는 실제 어떤 식으로 공격을 진행했을까? 트렌드마이크로가 자사 사이트를 통해 공개한 내용을 요약하면 다음과 같다.
1) 다양한 책들을 PDF 파일 형태로 만든다.
2) 그 PDF 파일들에 악성 파일들을 섞어서 집(zip)으로 압축한다.
3) 온라인 라이브러리나 클라우드 공유 사이트, 디스코드, 미리 침해해 둔 웹사이트 등을 통해 이 압축 파일을 유포한다.
“이 때 미끼로 사용되는 책들은 꽤나 많았는데, 그 중에서도 교과서 류가 눈에 많이 띄었습니다. 특히 의학이나 해부학 전문가들이 볼법한 책들이 많았는데, 그런 고도의 전문분야에 종사하는 사람들이나 학생들을 노린 공격이 아닐까 하는 의심도 듭니다.”
3)번 과정에서 파일을 받은 피해자가 책을 보기 위해 압축 파일을 해제한다면 여러 PDF 파일이 추출되는데, 그 중에는 가짜도 있다. 원래는 바로가기 파일(.lnk)인데 아이콘만 PDF 모양으로 바뀌어 있는 것이다. 그러므로 이를 실행시키면 바로가기에 등록되어 있는 URL로 연결되면서 취약점 익스플로잇이 시작된다. 이 때 인터넷 익스플로러가 발동되어 공격자가 지정한 웹사이트로 접속하게 되고, 그 웹사이트에는 악성 파일들이 호스팅 되어 있다.
“어떤 경우 악성 HTA 파일이 호스팅되어 있기도 합니다. 인터넷 익스플로러는 HTA 파일을 별 문제 없이 여는 유일한 브라우저입니다. 엣지나 크롬 같은 최신 브라우저들은 디폴트로 이런 파일을 열지 않도록 되어 있지요. 무덤에 있던 인터넷 익스플로러를 굳이 다시 발굴해 사용하는 이유 중 하나가 이런 것이라고 봅니다.”
악성 HTA 파일에는 악성 비주얼베이직스크립트(VBScript)가 포함되어 있고, 이는 XOR로 암호화 된 콘텐츠를 복호화 하는 기능을 가지고 있다. 복호화 할 콘텐츠는 주로 악성 스크립트이며, 이는 또 다른 웹 서버에 저장되어 있어 별도로 다운로드를 받아야 한다. 방금 전의 그 비주얼베이직스크립트에 다운로드 기능도 있는 게 보통이다. 즉 HTA 파일을 통해 추가 다운로더를 받고, 그 추가 다운로더를 통해 또 다른 악성 스크립트를 받아 해독해놓는다는 것이다. 이 최종 스크립트가 실행되면 새로운 프로세스가 생성되며, 이 프로세스에서는 여러 가지 명령이 복잡하게 수행되다가 종국에는 아틀란티다가 설치된다. ‘여러 명령이 복잡하게 수행된다’는 과정 중에는 몇 개의 추가 다운로더와 로더들의 활동이 포함되기도 한다.
어떻게 방어해야 하는가
트렌드마이크로는 이번 사건의 가장 큰 교훈은 “사용자는 인터넷 익스플로러를 사용할 수 없는데 공격자는 아직 할 수 있다”는 것이라고 정리한다. ‘유물’과 같은 것이 시스템에 남아있는 이상, 그것이 공격의 통로로 활용될 수 있다는 보안의 오래된 진리 역시 다시 한 번 입증되었다고 볼 수 있다. 보안 업계는 오래된 컴퓨터, 오래된 소프트웨어, 오래된 펌웨어를 가진 오래된 장비, 퇴사자 계정 등 낡은 것들은 보안 사고의 시한폭탄과 같은 존재라고 예전부터 경고해 왔었다.
또한 취약점을 선제적으로 찾아내 해결하는 ‘취약점 사냥(hunting)’ 역시 중요한 보안 활동이 되어야 할 것이라고 트렌드마이크로는 짚었다. “제로데이 취약점을 익스플로잇 하는 공격은, 패치가 나오면 그제야 취약점 관리를 시작하는 현대의 방어 방법론을 무력화시킵니다. 제로데이 공격이 점점 증가하고 있기 때문에 취약점을 미리 찾아나서서 미리 조치를 취할 수 있어야 합니다. 공격 통로에 대한 끊임없는 발굴과 모니터링도 동반되어야 하고요.”
3줄 요약
1. 인터넷 익스플로러를 공격에 활용한 보이드밴시라는 해킹 그룹.
2. 공격자들에게 익숙한 데다가 공식 지원마저 끝난 인터넷 익스플로러.
3. 공격이 들어오는 경로를 선제적으로 찾아내야 제로데이 대처가 가능.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)