MSTSC 통한 사이드로딩 공격 기법 활용하면 RDP 장악 가능하게 돼
MSTSC 프로세스와 관련 DLL 파일에 대한 신뢰가 문제...수동 검사해야 안전
[보안뉴스 문가용 기자] 방어 장치들을 피한 후 마이크로소프트 원격 데스크톱 프로토콜(RDP)을 통해 악성 코드를 실행시키는 공격 기법이 새롭게 발견됐다. 여기에는 마이크로소프트의 터미널 서비스 클라이언트(MSTSC)가 활용된다.
[이미지 = iclickart]
이 공격 기법을 발견한 건 보안 업체 사이뮬레이트(Cymulate)의 연구원들이다. 원래는 RDP와 MSTSC를 자세히 분석하고 있었다고 CTO인 아비하이 벤요세프(Avihai Ben-Yossef)는 설명한다. 또한 아직까지 이 기법이 실제 공격에 활용된 사례는 아직 발견하지 못했다고 한다.
이 공격 기술 중 중요한 건 DLL 사이드로딩(DLL side-loading)이라는 것이다. 마이터 어택(MITRE ATT&CK) 프레임워크에 따르면 DLL 사이드로딩이란 프로그램이 필요한 DLL을 부적절하거나 어정쩡하게 지정할 때 성립 가능한 공격법이라고 한다. 즉 이상한 DLL을 지정한다는 걸 악용해 악성 DLL이 열리도록 유도할 수 있다는 것이다. 그럼으로써 정상적인 DLL이 열리고 프로세스가 진행되는 것처럼 보이지만 뒤에서 악성 행위들을 할 수 있게 된다.
또한 RDP라는 것을 실행시키기 위해 사용자들은 윈도우 상에서 MSTSC에 접속해야 한다. 그래야 원격 컴퓨터나 가상기계에 대한 통제권을 가져올 수 있게 된다. 그런데 이 MSTSC는 mstscax.dll이라는 DLL 파일을 주요 자원으로 삼고 있다. 이 자원을 로딩하기 위해 MSTSC는 ‘딜레이 로딩(delay-loading)’기법을 사용한다. 이 지점을 악용하면 보안 장치들을 피해갈 수 있음을 연구원들은 증명했다. 즉 mstscax.dll을 제대로 점검하지 않고 로딩시킬 수 있다는 것이다.
방법은 두 가지다.
1) c:\windows\system32 폴더에 있는 mstscax.dll을 다른 것으로 바꿔치기 한다. 이를 실행하려면 로컬 관리자 권한이 필요하지만 벤요세프는 “대부분의 공격자들이 로컬 관리자 권한을 빼앗아 오는 것 정도는 할 수 있다”고 주장했다.
2) mstsc.exe를 외부 폴더에 복사한다. 그런 후 같은 폴더에 문제의 DLL 파일을 집어넣는다. 이 폴더에서부터 mstsc.exe를 실행시키는데, 이 과정은 관리자 권한을 필요로 하지 않는다. MS는 mstsc.exe를 외부 폴더에서 실행시키지 말라고 권장하지만, 이것이 강제적으로 적용되어 있지는 않기에 가능하다.
이 두 가지 시나리오 모두 공격자가 보안 장치를 피해갈 수 있도록 해준다. mstsc.exe라는 컨텍스트 내부에서 실행되기 때문이다. 게다가 1)번 시나리오는 공격의 지속성까지 확보해준다. “이 공격이 성립할 수 있는 이유는 대부분의 보안 장치들이 mstsc.exe를 신뢰하고, 그렇기 때문에 이를 더 보호하거나 검사하지 않기 때문입니다. mstsc.exe라는 프로세스 내에 올라타는 것만 성공하면 공격은 꽤나 오랫동안 이어질 수 있습니다.”
사이뮬레이트 측은 4월 12일 마이크로소프트에 연락해 이와 같은 사실을 알렸다. 그러나 MS는 패치 개발을 하지 않겠다고 선언했다. 가짜 DLL을 폴더에 복제해 원격 데스크톱 클라이언트를 침해한다는 건, 이미 공격자가 관리자 권한을 가지고 있다는 소리이기 때문이라는 게 MS의 설명이다. 관리자 권한을 가져간 공격자라면 사실상 그 어떤 공격도 할 수 있다는 것. 대신 MS는 DLL 바꿔치기 공격을 가능케 하는 다른 여러 가지 취약점들에 대한 권고문을 위험 완화 차원에서 발표했다.
이 공격에 대하여 조직을 방비하고 싶다면 mstsc.exe의 실행이 허용되지 않도록 만들고, 악성 행위가 mstsc.exe 프로세스와 관련하여 벌어지는지 모니터링 해야 한다. 또한 mstscax.dll이 제대로 된 것인지 수동으로 검사하는 것을 병행하면 보다 확실하게 안전을 보장할 수 있다고 벤요세프는 권고했다.
3줄 요약
1. DLL 사이드로딩 통해 마이크로소프트의 RDP 침해하는 것 가능하다는 게 증명됨.
2. 문제는 mstsc.exe라는 프로세스와 mstscax.dll이라는 자원이 무한 신뢰를 받는다는 것.
3. MS는 “공격 성공시키려면 관리자 권한 필요하다”면서 패치하지 않겠다 발표.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
MSTSC 프로세스와 관련 DLL 파일에 대한 신뢰가 문제...수동 검사해야 안전
[보안뉴스 문가용 기자] 방어 장치들을 피한 후 마이크로소프트 원격 데스크톱 프로토콜(RDP)을 통해 악성 코드를 실행시키는 공격 기법이 새롭게 발견됐다. 여기에는 마이크로소프트의 터미널 서비스 클라이언트(MSTSC)가 활용된다.
[이미지 = iclickart]
이 공격 기법을 발견한 건 보안 업체 사이뮬레이트(Cymulate)의 연구원들이다. 원래는 RDP와 MSTSC를 자세히 분석하고 있었다고 CTO인 아비하이 벤요세프(Avihai Ben-Yossef)는 설명한다. 또한 아직까지 이 기법이 실제 공격에 활용된 사례는 아직 발견하지 못했다고 한다.
이 공격 기술 중 중요한 건 DLL 사이드로딩(DLL side-loading)이라는 것이다. 마이터 어택(MITRE ATT&CK) 프레임워크에 따르면 DLL 사이드로딩이란 프로그램이 필요한 DLL을 부적절하거나 어정쩡하게 지정할 때 성립 가능한 공격법이라고 한다. 즉 이상한 DLL을 지정한다는 걸 악용해 악성 DLL이 열리도록 유도할 수 있다는 것이다. 그럼으로써 정상적인 DLL이 열리고 프로세스가 진행되는 것처럼 보이지만 뒤에서 악성 행위들을 할 수 있게 된다.
또한 RDP라는 것을 실행시키기 위해 사용자들은 윈도우 상에서 MSTSC에 접속해야 한다. 그래야 원격 컴퓨터나 가상기계에 대한 통제권을 가져올 수 있게 된다. 그런데 이 MSTSC는 mstscax.dll이라는 DLL 파일을 주요 자원으로 삼고 있다. 이 자원을 로딩하기 위해 MSTSC는 ‘딜레이 로딩(delay-loading)’기법을 사용한다. 이 지점을 악용하면 보안 장치들을 피해갈 수 있음을 연구원들은 증명했다. 즉 mstscax.dll을 제대로 점검하지 않고 로딩시킬 수 있다는 것이다.
방법은 두 가지다.
1) c:\windows\system32 폴더에 있는 mstscax.dll을 다른 것으로 바꿔치기 한다. 이를 실행하려면 로컬 관리자 권한이 필요하지만 벤요세프는 “대부분의 공격자들이 로컬 관리자 권한을 빼앗아 오는 것 정도는 할 수 있다”고 주장했다.
2) mstsc.exe를 외부 폴더에 복사한다. 그런 후 같은 폴더에 문제의 DLL 파일을 집어넣는다. 이 폴더에서부터 mstsc.exe를 실행시키는데, 이 과정은 관리자 권한을 필요로 하지 않는다. MS는 mstsc.exe를 외부 폴더에서 실행시키지 말라고 권장하지만, 이것이 강제적으로 적용되어 있지는 않기에 가능하다.
이 두 가지 시나리오 모두 공격자가 보안 장치를 피해갈 수 있도록 해준다. mstsc.exe라는 컨텍스트 내부에서 실행되기 때문이다. 게다가 1)번 시나리오는 공격의 지속성까지 확보해준다. “이 공격이 성립할 수 있는 이유는 대부분의 보안 장치들이 mstsc.exe를 신뢰하고, 그렇기 때문에 이를 더 보호하거나 검사하지 않기 때문입니다. mstsc.exe라는 프로세스 내에 올라타는 것만 성공하면 공격은 꽤나 오랫동안 이어질 수 있습니다.”
사이뮬레이트 측은 4월 12일 마이크로소프트에 연락해 이와 같은 사실을 알렸다. 그러나 MS는 패치 개발을 하지 않겠다고 선언했다. 가짜 DLL을 폴더에 복제해 원격 데스크톱 클라이언트를 침해한다는 건, 이미 공격자가 관리자 권한을 가지고 있다는 소리이기 때문이라는 게 MS의 설명이다. 관리자 권한을 가져간 공격자라면 사실상 그 어떤 공격도 할 수 있다는 것. 대신 MS는 DLL 바꿔치기 공격을 가능케 하는 다른 여러 가지 취약점들에 대한 권고문을 위험 완화 차원에서 발표했다.
이 공격에 대하여 조직을 방비하고 싶다면 mstsc.exe의 실행이 허용되지 않도록 만들고, 악성 행위가 mstsc.exe 프로세스와 관련하여 벌어지는지 모니터링 해야 한다. 또한 mstscax.dll이 제대로 된 것인지 수동으로 검사하는 것을 병행하면 보다 확실하게 안전을 보장할 수 있다고 벤요세프는 권고했다.
3줄 요약
1. DLL 사이드로딩 통해 마이크로소프트의 RDP 침해하는 것 가능하다는 게 증명됨.
2. 문제는 mstsc.exe라는 프로세스와 mstscax.dll이라는 자원이 무한 신뢰를 받는다는 것.
3. MS는 “공격 성공시키려면 관리자 권한 필요하다”면서 패치하지 않겠다 발표.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
