구글 프로젝트 제로팀이 최근 실제 사이버공격에 사용되는 제로데이 익스플로잇을 탐지하는 새로운 기술을 개발하기 위한 계획을 시작했다고 시큐리티어페어스가 보도했다.

이 팀은 구글 위협 분석 그룹과 협력하면서 2020년 1분기에 정교한 공격자가 수행한 워터링 홀 공격을 발견한 바 있다.

보도에 따르면, 프로젝트 제로팀 전문가들이 발견한 공격 캠페인은 윈도우와 안드로이드 시스템을 타깃으로 했다. 위협 행위자들은 안드로이드, 윈도우에 존재하는 여러 취약점들을 악용하고 이를 크롬 브라우저 결함으로 연결했다. 이들은 제로데이와 n-day를 모두 악용했다.

구글 권고문에는 “워터링 홀 공격을 통해 서로 다른 익스플로잇 체인을 제공하는 두개 익스플로잇 서버를 발견했다. 한 서버는 윈도우 사용자를, 다른 서버는 안드로이드 사용자를 타깃으로 했으며, 두 서버 모두 초기 원격 코드 실행에 크롬 브라우저 익스플로잇을 사용했다.”고 설명한다.

또한 “크롬 브라우저와 윈도우 익스플로잇에는 제로데이가 포함되어 있다. 안드로이드의 경우 익스플로잇 체인은 공개적으로 알려진 n-day 익스플로잇을 사용했다. 공격의 정교함을 고려할 때 안드로이드 제로데이를 사용했을 가능성이 있다고 판단했지만, 분석 과정에서는 발견하지 못했다.”고 언급했다.

전문가들은 익스플로잇 서버에서 다음 코드를 추출할 수 있었다.

△크롬 4가지 버그에 대한 렌더러 익스플로잇 (이 중 하나는 발견 당시까지도 제로데이 상태였음)

△두개 샌드박스 탈출 익스플로잇 (윈도우 3개 제로데이 취약점을 악용)

△이전 버전 안드로이드 n-day 익스플로잇으로 구성된 권한 상승 키트

공격자들이 사용한 공격 체인에는 다음과 같은 제로데이 결함이 포함되어 있었다.

- CVE-2020-6418 – Chrome Vulnerability in TurboFan (2020년 2월 패치)

- CVE-2020-0938 – Font Vulnerability on Windows (2020년 4월 패치)

- CVE-2020-1020 – Font Vulnerability on Windows (2020년 4월 패치)

- CVE-2020-1027 – Windows CSRSS Vulnerability (2020년 4월 패치)

프로젝트 제로팀이 해당 공격 캠페인에 사용된 공격 체인 각 부분을 분석하는 데에는 수개월이 소요되었다.

구글은 공격자들이 사용한 코드가 다양한 새로운 악용 방법, 정교하고 계산된 악용 후 기술, 대규모 안티 분석 및 타깃 검사 등을 포함하는 복잡하고 잘 작동하는 코드라고 결론을 내렸다. 또한 이러한 익스플로잇 체인을 설계하고 개발한 것으로 보아 공격자들이 높은 수준의 전문성을 가졌다고 판단했다.

★정보보안 대표 미디어 데일리시큐!★