리그 익스플로잇 키트의 후계자, 최신 취약점 추가함으로써 유효성 높여
멀웨어 공격도 결국은 비즈니스...사업성 위한 아이템 최신화 노력 이어질 것
[보안뉴스 문가용 기자] 퍼플폭스(Purple Fox)라는 익스플로잇 키트에 새로운 익스플로잇 두 가지가 추가됐다. 퍼플폭스는 지난 9월에 처음으로 분석된 익스플로잇 도구로, 리그(RIG) 잇스플로잇 키트를 대체하고 있다. 익스플로잇 키트라는 것 자체가 현재 해커들 사이에서 큰 인기를 얻지 못하고 있다고 하지만, 그 와중에도 꾸준한 업그레이드와 새로운 아이템들은 계속해서 등장하고 있다.
[이미지 = utoimage]
새롭게 추가된 익스플로잇은 CVE-2019-1458과 CVE-2020-0674 취약점에 관한 것이라고 한다. 각각 2019년 말과 2020년 초반에 공개된 것이다. 이전 버전의 퍼플폭스는 CVE-2015-1701과 CVE-2018-8120에 대한 익스플로잇 도구들을 탑재하고 있었다. “퍼플폭스 제작자가 무기를 최신화 하는 데 게으르지 않다는 것이며, 익스플로잇 키트가 아직도 꾸준히 사용되고 있다는 걸 나타낸다”고 보안 업체 프루프포인트(Proofpoint)는 발표했다.
두 가지 취약점 중 CVE-2020-0674는 스크립팅 엔진 메모리 변형 취약점으로, 인터넷 익스플로러에서 발견됐고 치명적 위험도를 가지고 있는 것으로 분석되고 있다. MS가 지난 1월 긴급 패치를 통해 해결했다. 성공적으로 익스플로잇 될 경우 공격자가 현재 사용자와 같은 권한을 가지고 임의의 코드를 실행할 수 있게 된다. CVE-2019-1458은 Win32k에서 발견된 권한 상승 취약점으로, 고위험군으로 분류됐다.
두 가지 취약점 모두 익스플로잇 방법이 해커들 사이에 돌아다니고 있으며, 퍼플 폭스 이전에도 실제 공격에 활용되거나 개념증명용 코드가 공개되기도 했었다. 두 가지 모두 MS가 패치한 바 있으며, 사용자들은 이를 업데이트 하는 것이 안전하다.
퍼플폭스 EK는 지난 6월 멀버타이징 캠페인에 활용되고 있는 것이 발견된 바 있다. 인터넷 익스플로러 11이 CVE-2020-0674 때문에 자꾸만 침해를 당하고 있었다. 보다 정확히 말하면 윈도우 10 환경의 인터넷 익스플로러가 사용하는 jscript.dll에서 공격이 발생했다. 공격은 다음과 같은 순서로 발생한다고 프루프포인트는 설명한다.
1) jscript.dll 내의 RegExp로부터 주소를 노출시킨다.
2) 이 노출된 주소를 가지고 jscript.dll의 PE 헤더를 검색한다.
3) 나온 헤더를 사용해 kernel32.dll의 임포트 디스크립터(import descriptor)를 확인한다.
4) 이 임포트 디스크립터에는 프로세스와 메모리 조작 기능들이 있는데, 이를 활용해 퍼플폭스로 실제 셸코드를 로딩한다.
5) 이 셸코드가 WinExec를 실행하며, 이를 통해 새로운 프로세스가 생성된다.
6) 이 프로세스가 시작되면서 실제 멀웨어가 발동되기 시작한다.
한편 익스플로잇 키트는 몇 년 전만해도 해커들 사이에서 가장 인기가 높은 해킹 도구였다. 하지만 지금은 그 인기가 상당히 식은 상태다. 그렇다고 방어자 입장에서 익스플로잇 키트를 아예 배제할 수 없다. 특히 폴아웃(Fallout)과 리그(Rig)와 같은 익스플로잇 키트는 여전히 위협적인 존재로 남아있다. 프루프포인트는 “익스플로잇 키트 제작자들은 예나 지금이나 꾸준한 업데이트를 진행하고 있다”고 설명한다. “태생적으로 다른 해커들의 공격 행위를 더 쉽게 해주는 도구이다 보니 꾸준한 상품 관리가 반드시 있어야 하는 게 익스플로잇 키트입니다.”
프루프포인트 전문가들은 “퍼플폭스의 제작자들이 리그에 더 이상 돈을 지불하지 않기 위해 스스로 제품을 개발한 것”이라고 설명하며 “결국 멀웨어나 익스플로잇과 같은 것도 커다란 틀 안에서 보면 ‘사업 아이템’임을 면할 수 없다”고 설명한다. “인하우스 개발 공정을 도입해 운영비를 감소시킨다는 개념과 같죠. 사이버 범죄도 사업이고, 따라서 공격자들은 점점 더 자신들이 악행을 저지른다는 생각을 하지 못하고 돈을 번다고만 여기게 될 겁니다. 범죄자가 되는 최소한의 억제 장치가 점점 힘을 잃어간다는 뜻이 됩니다.”
3줄 요약
1. 리그 익스플로잇 키트를 대체하기 위해 나온 퍼플폭스 익스플로잇 키트.
2. 최근 이 익스플로잇 키트에 두 가지 MS 제품 관련 취약점들이 추가됨.
3. 익스플로잇 키트의 인기, 과거에 비할 바 못 되지만, 그래도 여전한 위협.
[국제부 문가용 기자(globoan@boannews.com)]
멀웨어 공격도 결국은 비즈니스...사업성 위한 아이템 최신화 노력 이어질 것
[보안뉴스 문가용 기자] 퍼플폭스(Purple Fox)라는 익스플로잇 키트에 새로운 익스플로잇 두 가지가 추가됐다. 퍼플폭스는 지난 9월에 처음으로 분석된 익스플로잇 도구로, 리그(RIG) 잇스플로잇 키트를 대체하고 있다. 익스플로잇 키트라는 것 자체가 현재 해커들 사이에서 큰 인기를 얻지 못하고 있다고 하지만, 그 와중에도 꾸준한 업그레이드와 새로운 아이템들은 계속해서 등장하고 있다.
[이미지 = utoimage]
새롭게 추가된 익스플로잇은 CVE-2019-1458과 CVE-2020-0674 취약점에 관한 것이라고 한다. 각각 2019년 말과 2020년 초반에 공개된 것이다. 이전 버전의 퍼플폭스는 CVE-2015-1701과 CVE-2018-8120에 대한 익스플로잇 도구들을 탑재하고 있었다. “퍼플폭스 제작자가 무기를 최신화 하는 데 게으르지 않다는 것이며, 익스플로잇 키트가 아직도 꾸준히 사용되고 있다는 걸 나타낸다”고 보안 업체 프루프포인트(Proofpoint)는 발표했다.
두 가지 취약점 중 CVE-2020-0674는 스크립팅 엔진 메모리 변형 취약점으로, 인터넷 익스플로러에서 발견됐고 치명적 위험도를 가지고 있는 것으로 분석되고 있다. MS가 지난 1월 긴급 패치를 통해 해결했다. 성공적으로 익스플로잇 될 경우 공격자가 현재 사용자와 같은 권한을 가지고 임의의 코드를 실행할 수 있게 된다. CVE-2019-1458은 Win32k에서 발견된 권한 상승 취약점으로, 고위험군으로 분류됐다.
두 가지 취약점 모두 익스플로잇 방법이 해커들 사이에 돌아다니고 있으며, 퍼플 폭스 이전에도 실제 공격에 활용되거나 개념증명용 코드가 공개되기도 했었다. 두 가지 모두 MS가 패치한 바 있으며, 사용자들은 이를 업데이트 하는 것이 안전하다.
퍼플폭스 EK는 지난 6월 멀버타이징 캠페인에 활용되고 있는 것이 발견된 바 있다. 인터넷 익스플로러 11이 CVE-2020-0674 때문에 자꾸만 침해를 당하고 있었다. 보다 정확히 말하면 윈도우 10 환경의 인터넷 익스플로러가 사용하는 jscript.dll에서 공격이 발생했다. 공격은 다음과 같은 순서로 발생한다고 프루프포인트는 설명한다.
1) jscript.dll 내의 RegExp로부터 주소를 노출시킨다.
2) 이 노출된 주소를 가지고 jscript.dll의 PE 헤더를 검색한다.
3) 나온 헤더를 사용해 kernel32.dll의 임포트 디스크립터(import descriptor)를 확인한다.
4) 이 임포트 디스크립터에는 프로세스와 메모리 조작 기능들이 있는데, 이를 활용해 퍼플폭스로 실제 셸코드를 로딩한다.
5) 이 셸코드가 WinExec를 실행하며, 이를 통해 새로운 프로세스가 생성된다.
6) 이 프로세스가 시작되면서 실제 멀웨어가 발동되기 시작한다.
한편 익스플로잇 키트는 몇 년 전만해도 해커들 사이에서 가장 인기가 높은 해킹 도구였다. 하지만 지금은 그 인기가 상당히 식은 상태다. 그렇다고 방어자 입장에서 익스플로잇 키트를 아예 배제할 수 없다. 특히 폴아웃(Fallout)과 리그(Rig)와 같은 익스플로잇 키트는 여전히 위협적인 존재로 남아있다. 프루프포인트는 “익스플로잇 키트 제작자들은 예나 지금이나 꾸준한 업데이트를 진행하고 있다”고 설명한다. “태생적으로 다른 해커들의 공격 행위를 더 쉽게 해주는 도구이다 보니 꾸준한 상품 관리가 반드시 있어야 하는 게 익스플로잇 키트입니다.”
프루프포인트 전문가들은 “퍼플폭스의 제작자들이 리그에 더 이상 돈을 지불하지 않기 위해 스스로 제품을 개발한 것”이라고 설명하며 “결국 멀웨어나 익스플로잇과 같은 것도 커다란 틀 안에서 보면 ‘사업 아이템’임을 면할 수 없다”고 설명한다. “인하우스 개발 공정을 도입해 운영비를 감소시킨다는 개념과 같죠. 사이버 범죄도 사업이고, 따라서 공격자들은 점점 더 자신들이 악행을 저지른다는 생각을 하지 못하고 돈을 번다고만 여기게 될 겁니다. 범죄자가 되는 최소한의 억제 장치가 점점 힘을 잃어간다는 뜻이 됩니다.”
3줄 요약
1. 리그 익스플로잇 키트를 대체하기 위해 나온 퍼플폭스 익스플로잇 키트.
2. 최근 이 익스플로잇 키트에 두 가지 MS 제품 관련 취약점들이 추가됨.
3. 익스플로잇 키트의 인기, 과거에 비할 바 못 되지만, 그래도 여전한 위협.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
