.gif)
원래 윈도우 엠베디드 공격 못하던 더블펄사 익스플로잇 툴
코드 한 줄 추가로 패치 완료...모든 윈도우 OS 공격 가능하게 변해
[보안뉴스 문가용 기자] 셰도우 브로커스(Shadow Brokers)라는 해킹 단체가 유출시킨 NSA의 해킹 툴 중 하나로 더블펄사(DoublePulsar)라는 것이 있다. 그런데 이 해킹 툴이 윈도우 엠베디드(Windows Embedded) 장비들에서도 실행 가능하다고 한다.
[이미지 = iclickart]
더블펄사가 세상에 공개된 것은 작년 4월의 일이었다. 당시 MS 윈도우를 겨냥한 여러 익스플로잇 도구들이 같이 공개됐었다. 그중에서도 더블펄사는 굉장히 고급화된, 다구조 SMB 백도어로, 피해자 시스템에 들키지 않고 오랫동안 머무를 수 있는 해킹 유틸리티였다.
또한 SMB 말고도, 원격 데스크톱 프로토콜(Remote Desktop Protocol)의 익스플로잇을 위한 페이로드로도 활용될 수 있다고, 유출된 더블펄사 매뉴얼에 적혀 있었다.
더블펄사는 다양한 버전의 윈도우에서 통하는 공격 툴로, 윈도우가 설치된 여러 종류의 PC들을 감염시킬 수 있지만, 딱 하나, 윈도우 엠베디드 운영체제에서는 실행되지 않는 것으로 알려졌다. 물론 윈도우 엠베디드가 막강하게 단단한 OS인 것은 아니었고, 실제 다른 NSA의 해킹 툴로도 공력이 가능했다.
온라인에서 캡틴 밀로(Capt. Meelo)라는 이름을 사용하는 한 보안 전문가는 “윈도우 엠베디드는 다른 익스플로잇에는 취약하지만, 더블펄사의 특정 모듈들만은 작동하지 않게 잘 막는다는 걸 발견했다”고 설명했다. “그러나 윈도우 엠베디드는 이터널블루(EternalBlue)에 취약합니다.”
이터널블루 모듈로는 윈도우 엠베디드 장비를 감염시킬 수 있었지만 더블펄사 공격은 실패하자 캡틴 밀로는 이 이유를 분석하기 시작했다. “결국 코드 한 줄이 부족하더군요. 코드 한 줄만 더 넣으니까 더블펄사가 윈도우 엠베디드에서도 작동하기 시작했습니다.”
그의 설명에 따르면 더블펄사가 윈도우 엠베디드에서 작동하지 않은 이유는 간단했다. “더블펄사는 감염된 기기의 윈도우 버전을 제일 먼저 확인하는 기능을 가지고 있습니다. 그리고 윈도우 7의 설치 경로를 장악하죠. 그런데 유독 윈도우 엠베디드만을 확인하는 기능이 없더군요. 그래서 윈도우 엠베디드에서는 오류 메시지만 내보냈던 겁니다.”
그래서 캡틴 밀로는 윈도우 버전 확인 기능에 윈도우 엠베디드를 추가했다. “그러니까 더블펄사가 윈도우 엠베디드를 확인하고 똑같이 공격하더군요. 저는 그저 Edit> Patch Program > Change byte 옵션으로 가서, 값을 74에서 75로 바꾼 것이 다입니다. 그런 후 File > Produce file > Create DIF file 옵션을 통해 DIF 파일을 하나 만들었고요.”
또 다른 보안 전문가(온라인 이름은 StalkR)는 이 방법을 따라 본래의 exe 파일을 변형시켰다. 그리고 원래의 exe파일을 Doublepulsar-1.3.1.exe로 대체시켰다. 그러자 윈도우 엠베디드 공격에 정말로 성공할 수 있었다는 증언을 올리기도 했다.
하지만 이런 연구와 분석이 보안에 어떤 도움을 줄지는 미지수다. 오히려 잠재적인 공격자들에게 힌트만 제공한 것일 수도 있다. 히든 티어(Hidden Tear)라는 랜섬웨어 샘플이 ‘교육용’으로 개발됐지만(개발자는 그렇게 주장한다), 교육 효과보다는 새로운 랜섬웨어의 기본 바탕이 되고 있다는 걸 생각해보면, 캡틴 밀로 역시 의도와 다른 결과가 나타나는 걸 지켜봐야 할 수도 있다.
[국제부 문가용 기자(globoan@boannews.com)]
코드 한 줄 추가로 패치 완료...모든 윈도우 OS 공격 가능하게 변해
[보안뉴스 문가용 기자] 셰도우 브로커스(Shadow Brokers)라는 해킹 단체가 유출시킨 NSA의 해킹 툴 중 하나로 더블펄사(DoublePulsar)라는 것이 있다. 그런데 이 해킹 툴이 윈도우 엠베디드(Windows Embedded) 장비들에서도 실행 가능하다고 한다.
[이미지 = iclickart]
더블펄사가 세상에 공개된 것은 작년 4월의 일이었다. 당시 MS 윈도우를 겨냥한 여러 익스플로잇 도구들이 같이 공개됐었다. 그중에서도 더블펄사는 굉장히 고급화된, 다구조 SMB 백도어로, 피해자 시스템에 들키지 않고 오랫동안 머무를 수 있는 해킹 유틸리티였다.
또한 SMB 말고도, 원격 데스크톱 프로토콜(Remote Desktop Protocol)의 익스플로잇을 위한 페이로드로도 활용될 수 있다고, 유출된 더블펄사 매뉴얼에 적혀 있었다.
더블펄사는 다양한 버전의 윈도우에서 통하는 공격 툴로, 윈도우가 설치된 여러 종류의 PC들을 감염시킬 수 있지만, 딱 하나, 윈도우 엠베디드 운영체제에서는 실행되지 않는 것으로 알려졌다. 물론 윈도우 엠베디드가 막강하게 단단한 OS인 것은 아니었고, 실제 다른 NSA의 해킹 툴로도 공력이 가능했다.
온라인에서 캡틴 밀로(Capt. Meelo)라는 이름을 사용하는 한 보안 전문가는 “윈도우 엠베디드는 다른 익스플로잇에는 취약하지만, 더블펄사의 특정 모듈들만은 작동하지 않게 잘 막는다는 걸 발견했다”고 설명했다. “그러나 윈도우 엠베디드는 이터널블루(EternalBlue)에 취약합니다.”
이터널블루 모듈로는 윈도우 엠베디드 장비를 감염시킬 수 있었지만 더블펄사 공격은 실패하자 캡틴 밀로는 이 이유를 분석하기 시작했다. “결국 코드 한 줄이 부족하더군요. 코드 한 줄만 더 넣으니까 더블펄사가 윈도우 엠베디드에서도 작동하기 시작했습니다.”
그의 설명에 따르면 더블펄사가 윈도우 엠베디드에서 작동하지 않은 이유는 간단했다. “더블펄사는 감염된 기기의 윈도우 버전을 제일 먼저 확인하는 기능을 가지고 있습니다. 그리고 윈도우 7의 설치 경로를 장악하죠. 그런데 유독 윈도우 엠베디드만을 확인하는 기능이 없더군요. 그래서 윈도우 엠베디드에서는 오류 메시지만 내보냈던 겁니다.”
그래서 캡틴 밀로는 윈도우 버전 확인 기능에 윈도우 엠베디드를 추가했다. “그러니까 더블펄사가 윈도우 엠베디드를 확인하고 똑같이 공격하더군요. 저는 그저 Edit> Patch Program > Change byte 옵션으로 가서, 값을 74에서 75로 바꾼 것이 다입니다. 그런 후 File > Produce file > Create DIF file 옵션을 통해 DIF 파일을 하나 만들었고요.”
또 다른 보안 전문가(온라인 이름은 StalkR)는 이 방법을 따라 본래의 exe 파일을 변형시켰다. 그리고 원래의 exe파일을 Doublepulsar-1.3.1.exe로 대체시켰다. 그러자 윈도우 엠베디드 공격에 정말로 성공할 수 있었다는 증언을 올리기도 했다.
하지만 이런 연구와 분석이 보안에 어떤 도움을 줄지는 미지수다. 오히려 잠재적인 공격자들에게 힌트만 제공한 것일 수도 있다. 히든 티어(Hidden Tear)라는 랜섬웨어 샘플이 ‘교육용’으로 개발됐지만(개발자는 그렇게 주장한다), 교육 효과보다는 새로운 랜섬웨어의 기본 바탕이 되고 있다는 걸 생각해보면, 캡틴 밀로 역시 의도와 다른 결과가 나타나는 걸 지켜봐야 할 수도 있다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)