check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

모든 안티바이러스와 보안 솔루션이 탐지 못하는 ‘Bashware’ 공격

“Bashware, 전 세계 윈도우 10 사용하는 4억대 PC들에 영향을 미칠 수 있다” 경고

길민권 기자 mkgil@dailysecu.com 2017년 09월 19일 화요일

MS-7.jpg
작년, 마이크로소프트는 윈도우 10에 리눅스용 윈도우 서브 시스템(WSL)을 발표해 모든 사용자들을 놀라게 했다. 이는 리눅스의 명령어 라인 shell을 윈도우에 도입해 사용자들이 가상화 없이 Linux 프로그램들을 윈도우 시스템에서 실행할 수 있도록 허용하는 것이다.

하지만 연구원들이 현재 존재하는 모든 보안 소프트웨어들이 윈도우 컴퓨터를 타깃으로 하는 리눅스용 악성코드 패밀리들을 탐지하지 못한다는 점을 발견했다.

연구원들은 윈도우의 빌트인 WSL 기능을 악용해 Bashware라는 새로운 공격 기법을 고안해냈다. 모든 안티바이러스와 보안 솔루션에서 탐지가 불가능한 Bashware 공격이다.

연구원들은 윈도우용 보안 솔루션들이 이러한 위협을 탐지하도록 설계 되지 않았기 때문에, 알려진 리눅스 악성코드 패밀리들도 이 기술을 악용할 수 있다고 밝혔다.

이 새로운 공격은 공격자가 모든 보안 제품들로부터 어떠한 리눅스 악성코드도 숨길 수 있도록 허용한다.

연구원들은 윈도우용 현존하는 보안 소프트웨어 패키지들이 윈도우 환경에서 리눅스 실행파일의 프로세스를 모니터링하도록 수정 되지 않았기 때문이라고 밝혔다.

격리 된 환경에서 타깃 리눅스 응용 프로그램을 실행하기 위해, 마이크로소프트는 ELF 바이너리를 윈도우 OS에서 실행할 수 있도록 하는 컨테이너인 “Pico processes”를 공개했다.

연구원들은 대부분의 안티바이러스 및 보안 제품들을 테스트 한 결과, Bashware 공격을 통해 이들을 모두 우회할 수 있었다고 밝혔다.

마이크로소프트가 보안 업체들이 모니터링하는데 사용할 수 있는 Pico API를 제공했음에도, 어떠한 프로그램들도 Pico 프로세스들을 모니터링 하지 않았기 때문이다.

한편 Bashware 공격자들이 관리자 권한이 필요한 것은 사실이지만, 확실한 목적이 있는 공격자들이 피싱 공격이나 이미 훔친 관리자 크리덴셜을 이용하는 등 윈도우 PC에서 관리자 권한을 얻는 것은 그리 어려운 일은 아니다.

하지만 이런 추가 공격들은 안티 바이러스와 보안 제품들에 탐지 되어 실제 Bashware 공격을 실행하기 전 차단될 수 있다.

또한 WSL은 디폴트로 켜져 있는 상태가 아니므로, 사용자가 컴퓨터 시스템에서 수동으로 ‘개발 모드’를 활성화 후 재부팅해야 하기 때문에 이로 인한 위험은 어느정도 적다고 볼 수 있다.

하지만 연구원들은 적절한 권한을 가지고 있는 공격자들이 백그라운드에서 은밀히 레지스트리 키 몇 개를 수정해 개발자 모드를 활성화 시킬 수도 있다고 설명한다.

Bashware 공격 기술은 은밀히 WSL 컴포넌트들을 로딩하고 개발자 모드를 활성화 시키고 마이크로소프트의 서버로부터 리눅스 파일 시스템을 다운로드 및 추출하고 악성코드를 실행하는 절차들을 자동화 했다.

Bashware를 사용하는 해커들은 WSL을 통해 실행할 리눅스용 악성코드 프로그램을 별도로 개발하지 않아도 된다. Bashware는 다운로드한 우분투 사용자 공간 환경에 Wine이라는 프로그램을 설치 후, 이를 통해 알려진 윈도우 악성코드를 실행하기 때문이다.

그 후 이 악성코드는 pico 프로세스로써 윈도우를 시작하고, 이로써 보안 소프트웨어들로부터 숨을 수 있다.

이제 윈도우 사용자들이 리눅스 shell을 사용할 수 있게 돼, 연구원들은 Bashware가 전 세계 윈도우 10을 사용하는 약 4억대의 PC들에 영향을 미칠 수 있다고 경고했다. [정보제공. 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록