본문내용 바로가기 메인메뉴 바로가기 하단내용 바로가기

최신동향

최신동향 상세보기
바이러스 토탈에 업로드된 PDF 파일에서 Zero-Day Exploit 발견2018.07.10
PDF파일에서 발견된 어도비 리더와 윈도우 커널 취약점을 이용하는 Exploit

► 지난 3월 말, 독일의 보안업체 ESET은 바이러스 토탈에 업로드된 PDF 파일을 발견, 아직 알려지지 않은 윈도우 커널 취약점을 이용한
   익스플로잇으로 확인

► ESET은 해당 정보를 MS에 공유하였으며 MS는 분석 후 PDF 파일에 각각 어도비 리더의 취약점을 이용하는 익스플로잇과 윈도우
   커널 취약점을 이용하는 익스플로잇, 2개가 존재함을 발견
 
※ Exploit : 소프트웨어나 하드웨어의 취약한 부분을 이용하여 공격자가 의도한 동작이나 명령을 실행하도록 만든 명령어나 공격 행위
※ Zero-Day Exploit : 아직 보안 패치가 이루어지지 않은 Exploit을 의미함


실제 악성행위를 하지는 않는 PoC코드로 확인, MS는 보안패치 배포
zero-day

► 분석가에 따르면 취약점이 발견된 PDF 파일은 아직 악의적인 데이터를 포함하고 있지는 않은 PoC(Proof-of-Concept, 개념증명)
   코드인 것으로 추정
  - 실행되더라도 시작프로그램 폴더에 내용이 없는 vbs 파일만 생성, PDF 파일이 실제 파급력 있는 공격에 사용되기 전 개발 단계에서
     발견된 것으로 보임

► 어도비 취약점을 이용하는 익스플로잇은 자바스크립트 악용 코드를 포함하는 JPG 이미지를 이용, 쉘코드가 실행되도록 하는 방아쇠 역할을 함

► 어도비 취약점 익스플로잇으로 실행된 쉘코드는 다시 권한 상승을 위해 윈도우 커널 취약점을 이용하는 익스플로잇을 이용함,
   권한 상승 후에는 공격자가 원하는 행위를 수행 가능
  - 윈도우10과 같은 최근의 시스템에서는 동작하지 않음

► MS는 발견된 2개 취약점(CVE-2018-4990, CVE-2018-8120)에 대하여 실제 피해 사례가 발생하기 전 보안 패치를 발표


시사점

► 모든 소프트웨어는 취약점을 가지고 있으며, 보안 패치가 이루어지기 전 공격이 발생하면 방어할 수 있는 방법이 없음

► 버그바운티 등을 통해 지속적으로 새로운 취약점을 탐지하고 신속하게 보안 패치를 배포하여 발생 가능한 해킹 사고에 대비해야 함

► 취약점을 이용한 해킹 공격에 대비하기 위해서는 반드시 백신을 설치하고 소프트웨어는 업데이트하여 최신 버전으로 사용하도록 하여야 함


[출처]
1. The Hacker News, “https://thehackernews.com/2018/07/windows-adobe-zero-exploit.html

작성 : 침해사고분석단 분석 2팀
키워드 zero-day , 바이러스 토탈