2024-04-21 17:00 (일)
IE 제로데이 취약점 이용한 워터링홀 공격 발생!
상태바
IE 제로데이 취약점 이용한 워터링홀 공격 발생!
  • 호애진
  • 승인 2013.11.12 03:14
이 기사를 공유합니다

국가 정보보안정책에 관심 있는 사용자들 노려
휘발성 악성코드, 디스크에 저장되지 않아 탐지 어려워!
인터넷 익스플로러(IE)의 제로데이 취약점을 이용한 워터링홀 공격이 이뤄지고 있는 것이 확인됐다. 워터링홀 공격이란 악성코드를 특정 웹사이트에 심어두고, 사용자가 여기에 접속하면 악성코드가 PC로 배포되는 형태의 해킹을 말한다.
 
이는 특정 사용자들이 방문하는 사이트를 대상으로 하는 타깃 공격으로, 이번 공격의 경우 국가 정보보안정책에 관심을 갖고 있는 사용자들을 노리고 해당 제로데이 취약점을 이용해 전략적으로 중요한 웹사이트에  악성코드를 심은 것으로 나타났다.
 
보안업체 파이어아이(FireEye)는 이번 공격에 IE 제로데이 취약점이 이용됐으며, 취약점은 MS의 윈도XP 운영체제(OS)에 깔린 IE 7, 8의 영문판과 윈도7에 깔린 IE 8을 타깃으로 하고 있다고 밝혔다.
 
이번 취약점은 메모리 오버플로우 취약점의 일종으로, 악성코드는 msvcrt.dll파일의 PE헤더로부터 타임스탬프를 검색해 이를 공격자의 서버로 보내고, 사용자가 이용하는 형식에 맞춰진 ROP 체인 익스플로잇 코드를 해당 컴퓨터로부터 받아 실행하게 된다.
 
이번 공격에서 주목할 만한 점은 악성코드가 디스크에 저장이 되지 않고, 네트워크를 통해 메모리에 바로 로딩된다는 사실이다. 이와 같은 공격 기법은 전형적인 APT 공격과는 다른 방식으로, 공격자의 의도대로 특정 네트워크에서만 악성코드가 실행되게 할 수도 있어 일반적인 포렌식 기술로는 이 악성코드에 감염된 컴퓨터를 찾는 것을 어렵게 할 수 있다.

 
다만 이러한 방식은 메모리상의 악성코드가 리부팅이 되면 지워지기 때문에 컴퓨터가 실행되고 있는 동안 자신의 목적을 이뤄야만 한다는 단점이 있다. 한편, 이 악성코드는 Hydraq/McRAT의 변종으로, ‘Trojan.APT.9002’이라고 명명됐다.
 
파이어아이는 빠른 시일 내 해당 취약점에 대한 패치가 이뤄져야 한다고 강조하고, 그 전까지는 현재 MS가 제공하고 있는 최신 버전의 EMET(Enhanced Mitigation Experience Toolkit)을 적용할 것을 권고했다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★