2024-03-29 21:30 (금)
DoubleAgent 제로데이 공격, 안티바이러스를 멀웨어로 변형 시켜…심각
상태바
DoubleAgent 제로데이 공격, 안티바이러스를 멀웨어로 변형 시켜…심각
  • 페소아 기자
  • 승인 2017.03.31 17:56
이 기사를 공유합니다

“공격자는 응용프로그램을 완전히 제어할 수 있게 된다”

encryption-2.jpg
윈도우즈 버그수정 툴을 이용해 안티바이러스 제품을 멀웨어로 탈바꿈 시킬 수 있는 DoubleAgent라고 명명된 새로운 기술이 발견되었다.

이스라엘 보안회사인 Cybellum은 DoubleAgent 공격기술을 이용해 Avast, AVG, Avira, Bitdefender, TrendMicro, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda, Quick Heal, Norton 등 안티바이러스 제품들을 손상시킬 수 있다고 설명한다.

이 공격은 버그를 발견하고 써드-파티 윈도우즈 어플리케이션의 보안을 향상시키기 위해 사용되는 런타임 확인 도구인, Microsoft Application Verifier를 이용한다. 이 도구는 윈도우즈 XP에서 10까지 모두 제공되고 있다.

Cybellum은 “우리 연구원들은 Application Verifier에서 공격자가 정상 검증자(verifier)를 자신의 커스텀 검증자(verifier)로 변경할 수 있는 문서화되지 않은 기능을 발견했다. 공격자는 이 기능을 사용하여 모든 응용프로그램에 커스텀된 검사기(verifier)를 삽입할 수 있다. 사용자 조작 검사기(verifier)가 삽입되면 공격자는 응용프로그램을 완전히 제어할 수 있게 된다.”라고 설명했다.

이 취약점은 모든 소프트웨어 제품에 영향을 미치지만, Cybellum은 높은 권한으로 실행되고 신뢰되고 있는 바이러스 백신 제품에 중점을 두고 있다. 바이러스 백신 제품이 도용되면 사용되고 있는 다른 보안 제품들도 우회가능하기 때문이다.

Cybellum의 공동설립자이자 CTO인 Micchael Engstler는 DoubleAgent를 사용하면 공격자는 동적링크라이브러리를 어떠한 프로세스에도 삽입할 수 있다고 설명한다. 이 공격은 프로그램을 제거하고 다시 설치하려는 시도뿐만 아니라 재부팅시에도 그대로 유지된다.

이에 대해 Norton측은 “설치된 보안제품을 우회해 시스템 및 관리자 권한에 물리적으로 액세스할 수 있어야 공격이 성공할 수 있다”며 추가 탐지 및 차단 보호기능을 배치했다.

또한 카스퍼스키랩은 악의적인 시나리오를 탐지하고 차단하는 조치가 모든 제품에 추가되었음을 밝히며 고객이 보안 솔루션을 최신으로 유지하고 행동 기반 탐지 기능을 비활성화 시키는 것이 좋다고 설명했다. Avast는 작년 Cybellum이 이미 경고해왔기 때문에 자사 제품에는 취약성이 없다고 전했다.

Cybellum에 따르면 DoubleAgent공격을 차단한 유일한 안티바이러스 제품은 Windows Defender이다. 이는 사용자 모드에서 실행되는 멀웨어 방지 서비스를 보호하기 위해 특별히 설계된 커널에서의 보호기법인 Protected Processes라는 윈도우즈 메커니즘을 단독으로 사용하기 때문이다. 마이크로소프트는 윈도우즈8.1에서 이 기능을 도입했지만 보안기술 업체들은 이 기술을 채택하지 않았었다.

Cybellum은 GitHub에 Poc코드를 공개하고 Youtube를 통해 실제 공격 데모를 게시했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★