2021-01-16 18:15 (토)
정교한 해킹 공격에 윈도우와 안드로이드 제로데이 취약점 사용돼
상태바
정교한 해킹 공격에 윈도우와 안드로이드 제로데이 취약점 사용돼
  • hsk 기자
  • 승인 2021.01.13 13:34
이 기사를 공유합니다

구글 프로젝트 제로팀, 사이버공격에 사용되는 제로데이 익스플로잇 탐지 기술 개발 착수

구글 프로젝트 제로팀이 최근 실제 사이버공격에 사용되는 제로데이 익스플로잇을 탐지하는 새로운 기술을 개발하기 위한 계획을 시작했다고 시큐리티어페어스가 보도했다.

이 팀은 구글 위협 분석 그룹과 협력하면서 2020년 1분기에 정교한 공격자가 수행한 워터링 홀 공격을 발견한 바 있다.

보도에 따르면, 프로젝트 제로팀 전문가들이 발견한 공격 캠페인은 윈도우와 안드로이드 시스템을 타깃으로 했다. 위협 행위자들은 안드로이드, 윈도우에 존재하는 여러 취약점들을 악용하고 이를 크롬 브라우저 결함으로 연결했다. 이들은 제로데이와 n-day를 모두 악용했다.

구글 권고문에는 “워터링 홀 공격을 통해 서로 다른 익스플로잇 체인을 제공하는 두개 익스플로잇 서버를 발견했다. 한 서버는 윈도우 사용자를, 다른 서버는 안드로이드 사용자를 타깃으로 했으며, 두 서버 모두 초기 원격 코드 실행에 크롬 브라우저 익스플로잇을 사용했다.”고 설명한다.

또한 “크롬 브라우저와 윈도우 익스플로잇에는 제로데이가 포함되어 있다. 안드로이드의 경우 익스플로잇 체인은 공개적으로 알려진 n-day 익스플로잇을 사용했다. 공격의 정교함을 고려할 때 안드로이드 제로데이를 사용했을 가능성이 있다고 판단했지만, 분석 과정에서는 발견하지 못했다.”고 언급했다.

전문가들은 익스플로잇 서버에서 다음 코드를 추출할 수 있었다.

△크롬 4가지 버그에 대한 렌더러 익스플로잇 (이 중 하나는 발견 당시까지도 제로데이 상태였음)

△두개 샌드박스 탈출 익스플로잇 (윈도우 3개 제로데이 취약점을 악용)

△이전 버전 안드로이드 n-day 익스플로잇으로 구성된 권한 상승 키트

공격자들이 사용한 공격 체인에는 다음과 같은 제로데이 결함이 포함되어 있었다.

- CVE-2020-6418 – Chrome Vulnerability in TurboFan (2020년 2월 패치)

- CVE-2020-0938 – Font Vulnerability on Windows (2020년 4월 패치)

- CVE-2020-1020 – Font Vulnerability on Windows (2020년 4월 패치)

- CVE-2020-1027 – Windows CSRSS Vulnerability (2020년 4월 패치)

프로젝트 제로팀이 해당 공격 캠페인에 사용된 공격 체인 각 부분을 분석하는 데에는 수개월이 소요되었다.

구글은 공격자들이 사용한 코드가 다양한 새로운 악용 방법, 정교하고 계산된 악용 후 기술, 대규모 안티 분석 및 타깃 검사 등을 포함하는 복잡하고 잘 작동하는 코드라고 결론을 내렸다. 또한 이러한 익스플로잇 체인을 설계하고 개발한 것으로 보아 공격자들이 높은 수준의 전문성을 가졌다고 판단했다.

★정보보안 대표 미디어 데일리시큐!★