파이어아이에 따르면 지난 2월11일 미국 참전용사 협회(U.S. Veterans of Foreign Wars)의 웹사이트를 타깃으로 한 이 제로데이 익스플로잇(CVE-2014-0322)은 미 동부 폭설로 마비된 국회의사당과 대통령의 날(Presidents Day) 연휴를 앞둔 혼란을 틈타 미군의 인사 정보를 목표로 한 전략적인 웹사이트 공격이다.
공격자들은 VFW 웹사이트에 침투해 첫 화면의 HTML 코드에 공격용 인프레임(iframe)을 심어놓고 HTML·자바 스크립트페이지로 실행되는 플래시 오브젝트에서 익스플로잇(Exploit)이 침투되도록 했다.
이번 공격은 자바스크립트(JavaScript)를 이용하는 MS 인터넷 익스플로러(IE) 10의 취약점을 이용한 것이며 구체적으로 익스플로러 10의 메모리 해제 후 사용(use-after-free) 버그의 취약점을 이용했다.
따라서 다른 버전의 인터넷 익스플로러를 사용하거나 MS EMET(Enhanced Mitigation Experience Toolkit) 보안 툴을 설치하면 제로데이 공격을 방지할 수 있다. 또한 인터넷 익스플로러 11로 업데이트하면 공격을 예방할 수 있다.
또한 파이어아이는 인프라의 중복 및 공격 방식의 유사성을 분석했을 때 이번 공격의 배후가 제로데이 취약점을 이용한 이전 ‘오퍼레이션 디퓨티도그(Operation DeputyDog)’, ‘오퍼레이션 이페머럴 하이드라(Operation Ephemeral Hydra)’ 공격자와 관련돼 있을 것이라고 밝혔다.
특히 파이어아이는 ▲원격 접속 트로이목마(RAT) 바이러스를 배포하기 위한 제로데이 익스플로잇 공격 활용 ▲벡터로 원격 접속 트로이목마(RAT)를 배포하는 등 전략적 웹사이트 공격 ▲싱글 바이트 암호화(XOR 0x95)를 사용해 JPG 확장자로 위장 ▲HTTPS 패킷 플래그의 Gh0stRat 사용 ▲비슷한 시간 프레임 동안 관련 명령 및 제어(CNC) 인프라 사용 등이 이전 공격과 유사하다고 강조했다.
뿐만 아니라 이번 공격과 익스플로러의 취약점 CVE-2013-3163 공격은 둘 다 익스플로잇 실행 과정에서 플래시 파일을 활용하고 익스플로러의 취약점을 실행하기 위해 다시 자바 스크립트를 실행한다는 점에서 동일하고 각 공격의 플래시 파일 코드는 매우 유사하며 코드는 ROP 체인과 쉘코드를 같은 방법으로 구축하고 손상시킬 플래시 벡터 개체를 선택해 일반적인 입력 오류로 인한 동일한 기능을 가지며 심지어 같은 이름을 공유한다고 설명했다.
추가 분석된 사항으로 최초 오퍼레이션 스노우맨에 의해 유포된 악성코드의 경우 발생 시점에서 한 개의 백신사에서만 탐지됐고 현재는 대부분의 백신에 의해 탐지되는 상황이다. 하지만 여전히 해당 공격에 사용된 플래시 플레이어(Flash Player)의 취약점은 대부분의 백신사에서 탐지되지 않고 있다.
박성수 파이어아이코리아 악성코드 분석가는 “제로데이 공격은 정부기관, 방위산업, 법조계, IT회사, NGO 단체 등 다양한 산업군을 타깃으로 하고 있지만 제로데이 익스플로잇은 제품 공급사에서 패치를 제공하기 전까지는 탐지 및 차단이 거의 불가능 하며 새로운 제로데이 익스플로잇을 사용하는 유사한 공격이 패치가 제공되기 전에 국내에도 진행될 가능성이 매우 높아 기업들의 각별한 주의가 필요하다”고 말했다.
저작권자 © CCTV뉴스 무단전재 및 재배포 금지
