익스플로잇 모은 패키지에 불과했던 앵글러, 실력자 영입?
보통 해커들은 EMET 발견하면 공격 포기... 앵글러는 정면돌파 선택
[보안뉴스 문가용] 앵글러 익스플로잇 킷(Angler Exploit Kit)이 MS가 자랑하던 EMET를 뚫어냈다. EMET는 멀웨어가 윈도우 시스템에서 실행되는 걸 막아주는 MS의 무료 보안툴이다. 보안 전문가들이 지난 몇 년 동안 EMET를 분석해오며 해킹에 성공한 것이 실험실 내에서는 몇 차례 있었지만 사이버 범죄자들이 실제로 EMET 해킹에 성공한 것은 이번이 처음이다.
이 최신 앵글러 익스플로잇 킷은 윈도우 7에 설치된 어도비 플래시와 MS 실버라이트의 취약점을 악용하는 것으로서, 해당 애플리케이션이 설치되어 있다면 반드시 가장 최신 버전으로 업데이트를 해야 한다고 이번 공격을 발견한 파이어아이(FireEye)는 설명하고 있다. EMET는 제로데이 취약점이 발견된 시점과 그에 대한 패치가 나오는 시점 사이의 기간 동안의 보안을 담당하는 기능으로 알려져 있는데, 이를 무력화시켜버리니 업데이트가 되지 않은 플래시와 실버라이트가 당장 위험에 처한 것이다.
파이어아이의 분석가인 라가브 판데(Raghav Pande)는 “아무도 EMET가 이렇게 깨질 것이라고 예상치 못했다”고 말했다. “보통 익스플로잇 킷들은 EMET가 가동되고 있는지 확인하고, 가동되고 있는 중이라면 스스로 공격을 포기합니다. MS가 EMET에 대한 자부심이 뛰어난 이유가 있었죠. 이렇게 대담하게 EMET를 정면으로 뚫어낼 줄은 아무도 몰랐습니다. 이 때문에 현대 방어 체계의 굳건한 일부가 뒤틀리게 되었습니다.”
MS는 대변인을 통해 “EMET는 해킹 및 사이버 범죄 행위를 까다롭게 만들어 공격에 드는 비용과 시간을 높이는 툴”이라며 “그래서 해커들은 EMET를 기피해왔다”고 설명했다. 그러면서 “하지만 세상에 모든 공격을 다 막을 수 있는 단 한 가지 툴이란 건 존재하지 않으며, EMET라는 무료 툴 역시 완전무결한 것은 아니다”라고 말했다.
이번에 EMET가 익스플로잇 킷에 의해 뚫린 건 “현대 멀웨어 개발자들의 능력이 만만치 않게 높은 것을 보여준다.” 게다가 보안에 특화된 툴을 직접 노릴 정도로 대범해졌다는 것 역시 간과해서는 안 될 부분이다. “EMET는 그 하나로 완벽한 툴이었다기보다, 보안의 층위를 하나 더 추가하고 싶은 사람들에게 있어 안성맞춤인 솔루션이었죠. 패치가 이뤄질 때까지 시간을 벌어주니 유용하기도 했고요.” 퀄리스(Qualys)의 CTO인 울프강 칸덱(Wolfgang Kandek)의 설명이다.
“그런 EMET를 노리고 우회에 성공하다니, 솔직히 앵글러 개발자들의 실력에 적잖이 놀랐습니다. 올해 초에도 여러 제로데이를 가지고 대기업과 주요 기관들을 공격했는데, 이제 EMET까지 무력화시키다니요. 실력도 실력이지만, 앵글러 익스플로잇 킷 개발자들은 확실한 수익을 올릴 수 있는 대기업 및 주요 기관을 노리는 데에 집중하는 것으로 보입니다. 보통의 해커들이라면 그 강력한 보안망 때문에 접근도하지 않으려는 데에 이들은 과감하게 파고드는 것이죠.”
파이어아이는 이번에 발견된 멀웨어를 분석하며 ‘테슬라크립트(TeslaCrypt)’라는 랜섬웨어가 활용되고 있는 것 또한 밝혀냈다. “EMET를 우회했기 때문에 해커들은 굉장한 자유를 얻게 됩니다. 특히 쉘코드에 대한 완벽한 통제력을 가지게 되죠.” 현재 파이어아이는 윈도우 7 환경에서 앵글러 익스플로잇 킷이 어떤 방식으로 작동하는지에 대한 상세하고 기술적인 내용을 블로그에 올린 상태다. “하지만 윈도우 8 환경에서도 작동이 가능할 지도 모릅니다. 하지만 윈도우 10에서는 앵글러 익스플로잇 킷이 통할 가능성이 무척 낮습니다. 운영체제 자체에서 애플리케이션의 설치를 통제하기 때문이죠.” 판데의 설명이다.
“작년만 해도 앵글러 익스플로잇 킷은 그저 여러 가지 익스플로잇을 하나로 묶어놓은 패키지 상품에 불과했습니다. 익스플로잇을 가지고 놀만한 실력자는 없어 보였죠. 그런데 지금은 뭔가 바뀌었습니다. 앵글러 팀이 엄청난 실력자를 영입한 것으로 보여요. 내부 코드를 들여다보면 이 변화가 더 확연하게 느껴집니다. 앵글러 익스플로잇 킷을 더 주목해야 할 필요가 있습니다.”
판데는 “플래시와 웹 브라우저, 자바, 실버라이트를 전부 최신 버전으로 패치하면 EMET 공격 가능성을 상당히 낮출 수 있다”고 설명하며 “가능하다면 플래시와 실버라이트 브라우저 플러그인은 언인스톨 하는 게 제일 안전한 방법”이라고 했다.
보안 연구기관인 모피섹(Morphisec)의 부회장인 마이클 고렐릭(Michael Gorelik)은 “이번에 발견된 공격은 사실 상 윈도우 사용자들을 매우 무력하게 만든다”며 “특히 랜섬웨어 공격이 뒤이어 들어올 가능성이 높다”고 설명했다. 또한 “앵글러는 이미 해커들 사이에서 인기가 매우 높은 툴”이라며 “앞으로도 계속해서 앵글러의 사용량은 증가할 것”이라고 예견했다. “이번에 발견된 샘플은 테슬라크립트를 활용하고 있었지만, 랜섬웨어 종류가 한두 가지가 아니죠. 앞으로 어떤 랜섬웨어를 퍼트릴지 예상하기 힘듭니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA 등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
보통 해커들은 EMET 발견하면 공격 포기... 앵글러는 정면돌파 선택
[보안뉴스 문가용] 앵글러 익스플로잇 킷(Angler Exploit Kit)이 MS가 자랑하던 EMET를 뚫어냈다. EMET는 멀웨어가 윈도우 시스템에서 실행되는 걸 막아주는 MS의 무료 보안툴이다. 보안 전문가들이 지난 몇 년 동안 EMET를 분석해오며 해킹에 성공한 것이 실험실 내에서는 몇 차례 있었지만 사이버 범죄자들이 실제로 EMET 해킹에 성공한 것은 이번이 처음이다.
이 최신 앵글러 익스플로잇 킷은 윈도우 7에 설치된 어도비 플래시와 MS 실버라이트의 취약점을 악용하는 것으로서, 해당 애플리케이션이 설치되어 있다면 반드시 가장 최신 버전으로 업데이트를 해야 한다고 이번 공격을 발견한 파이어아이(FireEye)는 설명하고 있다. EMET는 제로데이 취약점이 발견된 시점과 그에 대한 패치가 나오는 시점 사이의 기간 동안의 보안을 담당하는 기능으로 알려져 있는데, 이를 무력화시켜버리니 업데이트가 되지 않은 플래시와 실버라이트가 당장 위험에 처한 것이다.
파이어아이의 분석가인 라가브 판데(Raghav Pande)는 “아무도 EMET가 이렇게 깨질 것이라고 예상치 못했다”고 말했다. “보통 익스플로잇 킷들은 EMET가 가동되고 있는지 확인하고, 가동되고 있는 중이라면 스스로 공격을 포기합니다. MS가 EMET에 대한 자부심이 뛰어난 이유가 있었죠. 이렇게 대담하게 EMET를 정면으로 뚫어낼 줄은 아무도 몰랐습니다. 이 때문에 현대 방어 체계의 굳건한 일부가 뒤틀리게 되었습니다.”
MS는 대변인을 통해 “EMET는 해킹 및 사이버 범죄 행위를 까다롭게 만들어 공격에 드는 비용과 시간을 높이는 툴”이라며 “그래서 해커들은 EMET를 기피해왔다”고 설명했다. 그러면서 “하지만 세상에 모든 공격을 다 막을 수 있는 단 한 가지 툴이란 건 존재하지 않으며, EMET라는 무료 툴 역시 완전무결한 것은 아니다”라고 말했다.
이번에 EMET가 익스플로잇 킷에 의해 뚫린 건 “현대 멀웨어 개발자들의 능력이 만만치 않게 높은 것을 보여준다.” 게다가 보안에 특화된 툴을 직접 노릴 정도로 대범해졌다는 것 역시 간과해서는 안 될 부분이다. “EMET는 그 하나로 완벽한 툴이었다기보다, 보안의 층위를 하나 더 추가하고 싶은 사람들에게 있어 안성맞춤인 솔루션이었죠. 패치가 이뤄질 때까지 시간을 벌어주니 유용하기도 했고요.” 퀄리스(Qualys)의 CTO인 울프강 칸덱(Wolfgang Kandek)의 설명이다.
“그런 EMET를 노리고 우회에 성공하다니, 솔직히 앵글러 개발자들의 실력에 적잖이 놀랐습니다. 올해 초에도 여러 제로데이를 가지고 대기업과 주요 기관들을 공격했는데, 이제 EMET까지 무력화시키다니요. 실력도 실력이지만, 앵글러 익스플로잇 킷 개발자들은 확실한 수익을 올릴 수 있는 대기업 및 주요 기관을 노리는 데에 집중하는 것으로 보입니다. 보통의 해커들이라면 그 강력한 보안망 때문에 접근도하지 않으려는 데에 이들은 과감하게 파고드는 것이죠.”
파이어아이는 이번에 발견된 멀웨어를 분석하며 ‘테슬라크립트(TeslaCrypt)’라는 랜섬웨어가 활용되고 있는 것 또한 밝혀냈다. “EMET를 우회했기 때문에 해커들은 굉장한 자유를 얻게 됩니다. 특히 쉘코드에 대한 완벽한 통제력을 가지게 되죠.” 현재 파이어아이는 윈도우 7 환경에서 앵글러 익스플로잇 킷이 어떤 방식으로 작동하는지에 대한 상세하고 기술적인 내용을 블로그에 올린 상태다. “하지만 윈도우 8 환경에서도 작동이 가능할 지도 모릅니다. 하지만 윈도우 10에서는 앵글러 익스플로잇 킷이 통할 가능성이 무척 낮습니다. 운영체제 자체에서 애플리케이션의 설치를 통제하기 때문이죠.” 판데의 설명이다.
“작년만 해도 앵글러 익스플로잇 킷은 그저 여러 가지 익스플로잇을 하나로 묶어놓은 패키지 상품에 불과했습니다. 익스플로잇을 가지고 놀만한 실력자는 없어 보였죠. 그런데 지금은 뭔가 바뀌었습니다. 앵글러 팀이 엄청난 실력자를 영입한 것으로 보여요. 내부 코드를 들여다보면 이 변화가 더 확연하게 느껴집니다. 앵글러 익스플로잇 킷을 더 주목해야 할 필요가 있습니다.”
판데는 “플래시와 웹 브라우저, 자바, 실버라이트를 전부 최신 버전으로 패치하면 EMET 공격 가능성을 상당히 낮출 수 있다”고 설명하며 “가능하다면 플래시와 실버라이트 브라우저 플러그인은 언인스톨 하는 게 제일 안전한 방법”이라고 했다.
보안 연구기관인 모피섹(Morphisec)의 부회장인 마이클 고렐릭(Michael Gorelik)은 “이번에 발견된 공격은 사실 상 윈도우 사용자들을 매우 무력하게 만든다”며 “특히 랜섬웨어 공격이 뒤이어 들어올 가능성이 높다”고 설명했다. 또한 “앵글러는 이미 해커들 사이에서 인기가 매우 높은 툴”이라며 “앞으로도 계속해서 앵글러의 사용량은 증가할 것”이라고 예견했다. “이번에 발견된 샘플은 테슬라크립트를 활용하고 있었지만, 랜섬웨어 종류가 한두 가지가 아니죠. 앞으로 어떤 랜섬웨어를 퍼트릴지 예상하기 힘듭니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA 등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
