2019-10-15 21:17 (화)
SQLite 취약점 공격, 막강한 공격 및 방어 수단 될 수 있어
상태바
SQLite 취약점 공격, 막강한 공격 및 방어 수단 될 수 있어
  • 페소아 기자
  • 승인 2019.08.14 10:08
이 기사를 공유합니다

“SQLite는 거의 모든 플랫폼에 내장되어 있다…이 공격 잠재력 엄청나”

보안연구원들은 SQLite 데이터베이스를 수정해 데이터 저장에 SQLite를 사용하는 다른 앱 내에서 악성코드를 실행할 수 있음을 밝혔다.

체크포인트(Check Point) 보안연구원 오머 굴(Omer Gull)은 데프콘(Defcon)27 컨퍼런스에서 악성코드 C&C 서버 탈취와 iOS 기기에서 지속성을 위해 SQLite를 사용하는 멀웨어에 대한 데모를 시연했다.

아이디어는 제3자 앱이 SQLite 데이터베이스에서 데이터를 읽는 방식의 취약점을 통해 SQLite 데이터베이스의 데이터에 악성코드를 숨길 수 있다는 것이다.

iMessage와 같은 타사 앱이 오염된 SQLite 데이터베이스를 읽을 때, 숨겨진 코드를 실행하게 된다. 그가 데프콘에서 발표한 iMessage 데모에서 그는 AddressBook.sqlitedb 파일을 대체하거나 편집하는 악성코드 프로그램 또는 위협행위자가 아이폰의 주소록에 악성코드를 삽입할 수 있는 방법을 보여주었다.

iMessage가 정기적으로 수행하는 이 SQLite 파일을 쿼리하면 악성코드가 실행되며 멀웨어가 장치에서 부팅 지속성을 확보할 수 있다.

이 시나리오는 믿기 어려워 보이지만, 그렇게 어렵지 않다. 그는 애플이 SQLite 데이터 파일에 서명하지 않기 때문에 이 파일을 교체하는 것은 어렵지 않은 일이라고 설명한다. 따라서 위협행위자가 아이폰과 맥OS 장치에서 부팅 지속성을 얻는데 간단히 사용할 수 있는 방법이다.

애플은 5월 패치에서 SQLite 공격(CVE-2019-8600, CVE-2019-8598, CVE-2019-8602, CVE-2019-8577)에 대해 iOS 12.3, tvOS 12.3 및 watchOS 5.2.1. 장치 업데이트를 했으나 업데이트를 하지 않은 사용자는 여전히 공격에 취약하다.

한편 이 취약점을 좋은 방향으로 사용할 수 있는 시나리오가 있다. 이 경우는 멀웨어에 대응할 수 있게 되는 것이다.

예를 들어 브라우저는 SQLite 데이터베이스 내에 사용자 데이터 및 비밀번호를 저장한다. 멀웨어 클래스인 Info-stealers는 이러한 SQLite 사용자 데이터 파일을 훔치고 파일을 C&C 서버에 업로드하도록 특별히 설계되었다. 이러한 C&C 서버는 일반적으로 PHP로 코딩되며 SQLite 파일을 구문 분석, 사용자의 브라우저 데이터를 추출해 멀웨어의 웹 기반 제어판에 표시할 수 있다. 여기서 그는 iMessage 공격의 경우와 마찬가지로 SQLite 취약점을 이용해 멀웨어의 C&C 서버에서 코드를 실행하고 공격자의 시스템을 역으로 장악할 수 있다고 설명했다.

그는 “SQLite가 거의 모든 플랫폼에 내장되어 있다는 사실을 감안할 때 우리는 이 공격 잠재력에 대해 빙산의 일각도 건드리지 못했다고 생각한다”고 설명했다.

SQLite를 사용하는 앱에는 스카이프(Skype), 웹브라우저, 모든 안드로이드 장치, 아이튠즈(iTunes) 인스턴스, 드랍박스 동기화 클라이언트, 자동차 멀티미디어 시스템, TV 세트 및 셋톱 케이블 박스 등이 포함된다.

그는 “우리는 보안 커뮤니티가 이 혁신적인 연구와 공개된 도구를 더욱 발전시키기를 희망한다”고 덧붙였다.

★정보보안 대표 미디어 데일리시큐!★