2024-04-17 04:55 (수)
윈도우 10과11에 신종 DLL 공격 기법 발견돼…데이터 및 시스템 침해 우려 심각
상태바
윈도우 10과11에 신종 DLL 공격 기법 발견돼…데이터 및 시스템 침해 우려 심각
  • 길민권 기자
  • 승인 2024.01.03 13:07
이 기사를 공유합니다

최근 사이버 보안 개발에서 연구원들은 마이크로소프트 윈도우 10 및 11을 실행하는 시스템에 심각한 위협이 되는 새로운 변종 DLL 검색 순서 탈취 공격(DLL search order hijacking attack) 기법을 발견했다.

사이버 보안 기업 시큐리티 조스가 공개한 이 정교한 수법은 신뢰할 수 있는 "C:\Windows\WinSxS" 폴더에서 흔히 볼 수 있는 실행 파일을 악용해 위협 공격자가 보안 메커니즘을 우회하고 손상된 시스템에서 악성 코드를 실행할 수 있는 잠재적 벡터가 될 수 있다.

◆DLL 검색 순서 하이재킹 공격

DLL 검색 순서 하이재킹은 윈도우 애플리케이션에서 동적 링크 라이브러리(DLL)를 로드하는 데 사용되는 검색 순서를 조작하는 것을 말한다. 위협 행위자는 필요한 라이브러리의 전체 경로를 지정하지 않은 애플리케이션을 표적으로 삼고, 미리 정의된 검색 순서에 따라 디스크에서 필요한 DLL을 찾는다. 공격자는 합법적인 시스템 바이너리를 비표준 디렉토리로 이동하고 유사한 이름의 악성 DLL을 도입함으로써 방어 회피, 지속성, 권한 상승 등의 목적으로 악성 페이로드를 실행할 수 있다.

◆공격의 독특한 변형

시큐리티 조스가 발견한 이 공격은 기존의 DLL 검색 순서 탈취 기법에 독특한 변형을 줬다. 이 새로운 변종은 잘 알려진 방식에 집중하는 대신, 전략적으로 신뢰할 수 있는 "C:\Windows\WinSxS" 폴더에 있는 파일을 표적으로 삼는다. 이 폴더는 윈도우 사이드 바이 사이드 기능에 필수적인 폴더로, 호환성과 무결성을 보장하기 위해 운영 체제를 사용자 지정하고 업데이트하는 역할을 담당한다.

위협 공격자는 WinSxS 폴더 내에서 취약한 바이너리를 식별하고 이를 표준 DLL 검색 순서 탈취 방법과 결합한다. 합법적인 DLL과 동일한 이름의 사용자 지정 DLL을 공격자가 제어하는 디렉터리에 배치해 코드를 실행한다. 실행은 WinSxS 폴더에서 취약한 파일을 실행하고 사용자 지정 폴더를 현재 디렉토리로 설정하는 것만으로 이루어진다.

보안 전문가들은 WinSxS 폴더에 이러한 유형의 DLL 검색 순서 탈취에 취약한 바이너리가 추가로 존재할 수 있다고 경고하고 있다. 기업은 내부 환경에서 이 익스플로잇 방법을 완화하기 위한 사전 조치를 취할 것을 권고하고 있다.

◆ DLL 검색 순서 탈취 공격의 피해

사용자는 이 DLL 검색 순서 탈취 공격으로 인해 여러 가지 방식으로 영향을 받을 수 있으며, 시스템과 개인 데이터에 심각한 피해를 발생시킬 수 있다.

-멀웨어 실행: DLL 검색 순서 탈취의 주요 목적은 사용자 시스템에서 악성 코드를 실행하는 것이다. 성공하면 사용자 모르게 멀웨어, 스파이웨어 또는 기타 악성 소프트웨어를 설치할 수 있다.

-권한 상승: DLL 검색 순서 탈취는 손상된 시스템에서 권한을 상승시키는 데 자주 사용된다. 공격자는 민감한 시스템 리소스에 대한 상위 수준의 액세스 권한을 획득해 일반적으로 상승된 권한이 필요한 작업을 수행할 수 있다.

-데이터 도난: DLL 검색 명령 하이재킹을 통해 실행되는 악성 코드는 개인 정보, 로그인 자격 증명, 금융 정보 또는 시스템에 저장된 기타 기밀 데이터와 같은 민감한 사용자 데이터를 훔칠 수 있다.

-시스템 손상: 이 공격이 성공하면 사용자 시스템이 완전히 손상될 수 있다. 공격자는 중요한 시스템 구성 요소를 제어하여 시스템 기능을 조작하거나 방해할 수 있다.

-지속적인 위협: DLL 검색 순서 하이재킹은 지속성을 위해 사용되는 기법으로, 시스템을 재부팅한 후에도 악성 코드가 계속 작동할 수 있다. 이러한 지속성은 사용자가 위협을 완전히 제거하기 어렵게 만들 수 있다.

-탐지되지 않은 익스플로잇: 이 변종은 WinSxS 폴더의 신뢰할 수 있는 시스템 구성 요소를 표적으로 삼기 때문에 기존의 보안 조치로는 공격이 탐지되지 않을 수 있다. 따라서 보안 팀이나 바이러스 백신이 위협을 식별하고 완화하기 전까지 익스플로잇이 장기화될 가능성이 높다.

-시스템 안정성에 미치는 영향: DLL과 시스템 프로세스를 조작하면 운영 체제가 불안정해질 수 있다. 사용자는 시스템 충돌, 멈춤 또는 컴퓨터의 전반적인 안정성과 성능에 영향을 미치는 기타 문제에 직면할 수 있다.

◆익스플로잇 완화 방안

윈도우 사용 조직은 신뢰할 수 있는 바이너리를 중심으로 프로세스 간의 관계를 면밀히 모니터링하고, 네트워크 통신과 파일 작업에 모두 주의를 기울이면서 WinSxS 폴더에서 바이너리가 수행하는 활동을 정기적으로 모니터링하는 것이 필요하다.

시큐리티 조스 관계자는 "이번 발견은 기존 경로에서 벗어나 더욱 교묘하고 은밀한 익스플로잇 방법을 밝혀낸 것"이라며 “새로 발견된 DLL 검색 순서 탈취 변종은 사이버 위협의 진화하는 특성을 잘 보여준 사례다. 각별히 주의해야 한다”고 권고했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★