마이크로소프트의 윈도우 운영체제에 대해 악성코드를 삽입해 사용자의 컴퓨터를 장악할 수 있는 새로운 공격법이 발견되었다.

지난 10월 27일 보안회사 enSilo의 연구팀은 악성코드 삽입을 차단하는 보안 솔루션을 모든 윈도우 버전에서 우회할 수 있는 AtomBombing이라 불리는 공격법을 개발했다고 밝혔다. 이 기술은 시스템을 익스플로잇하기 위해 기저의 윈도우 아톰 테이블을 이용하기 때문에 AtomBoming이라 명명되었다. 아톰 테이블은 다른 어플리케이션 함수를 지원하기 위해 윈도우즈에 의해 문자열과 식별자를 저장되는데 사용된다.

enSilo연구팀은 아템 테이블에 악성코드를 쓰고 정상적인 프로그램이 이 코드를 로드하게 함으로써 보안 소프트웨어가 이를 탐지할 수 없게 한다고 설명했다. 또한 코드를 가로드한 정상적인 프로그램은 악성함수들을 실행하게 조작될 수 있다고 설명했다.

이 연구팀은 "예를 들어 공격자가 사용자에게 악성 실행파일 evil.exe을 실행시킬 수 있다고 해보자. 보통 어플리케이션 레벨 방화벽은 실행파일들의 통신을 차단할 것이다. 이 문제를 극복하기 위해, evil.exe는 웹브라우저 같은 합법적인 프로그램을 조작하는 방법을 찾아야만 했다. 합법적인 프로그램은 evil.exe의 동작상 통신을 정상적으로 수행할 것이다"라고 밝혔다.

만약 공격자가 AtomBombing기술을 사용한다면, 그들은 보안 제품을 우회해 민감한 정보를 추출, 스크린샷, 암호화된 패스워드에 접근할 수 있을 것이다. 후자의 경우는 Windows Data Protection AIP(DPAPI)를 사용하여 구글 크롬이 저장된 패스워드를 암호화하기 때문에 가능하다. 만약 악성코드가 현재 사용자의 컨텍스트로 돌아가는 프로그램에 삽입된다면, API가 현재 사용자의 데이터를 암호화/복호화하는데 사용되기 때문에 패스워드들은 평문 형태로 드러날 것이다.

이미 여러 코드삽입기술이 알려져있기에 안티바이러스 업체들은 해당 시그니처를 업데이트해서 엔드포인트의 공격을 막아왔다. 그러나 AtomBombing기술은 enSilo에 따르면 현재 출시되어 있는 안티바이러스 소프트웨어를 우회할 수 있고, 이는 윈도우즈 시스템의 기저 메커니즘 상 문제라서 아직 패치가 이루어지지 않고 있다. 현재로서 방어법은 이 툴이 사용할 수 있는 API를 깊게 연구하여 의심스러운 변화들을 모니터링하는 방법뿐이다.

enSilo 연구팀 리더는 "AtomBoming은 그들의 수상한 행위를 감추기 위해 합법적인 OS 메커니즘과 기능을 사용한다. 가장 큰 문제는 공격자가 이와 비슷한 창의적인 공격법을 계속해서 찾으려 한다는 것”이라며 “악성행위라고 아직 표시되지 않은 기술들이기에 이러한 기법들은 쉽게 보안 제품들을 우회할 것이다. 이런 공격은 피할 수 없기에 기업은 이미 공격자가 내부에 침투해있다고 가정하는 보안 정책을 고려해야 할 것"이라고 강조했다.

★정보보안 대표 미디어 데일리시큐!★