본문 바로가기
Cyber Metropolitan/Security

제로데이 공격 ‘오퍼레이션 스노우맨’ 미 참전용사 협회 웹사이트 공격

by Rescue911K 2014. 2. 19.


지능형 사이버 공격 방어 기술의 선도업체인 파이어아이(지사장 전수홍, www.fireeye.com/kr/ko)는 새로운 제로데이(Zero-day) 공격 오퍼레이션 스노우맨(Operation Snowman)을 발견했다고 밝혔다. 지난 2월 11일 미국 참전용사 협회(U.S. Veterans of Foreign Wars)의 웹사이트를 타깃으로 한 이 제로데이 익스플로잇(CVE-2014-0322)은 미 동부 폭설로 마비된 국회의사당과 대통령의 날(Presidents Day) 연휴를 앞둔 혼란을 틈타 미군의 인사 정보를 목표로 한 전략적인 웹사이트 공격이다.

 

공격자들은 VFW 웹사이트에 침투하여 첫 화면의 HTML 코드에 공격용 iframe을 심어놓고, HTML/자바 스크립트페이지로 실행되는 플래시 오브젝트에서 익스플로잇(Exploit)이 침투되도록 했다.

 

이번 공격은 자바스크립트(JavaScript)를 이용하는 마이크로소프트사의 인터넷 익스플로러(IE) 10의 취약점을 이용한 것이며 구체적으로 익스플로러 10의 메모리 해제 후 사용(use-after-free) 버그의 취약점을 이용했다.

 

따라서 다른 버전의 인터넷 익스플로러를 사용하거나 마이크로소프트사의 EMET(Enhanced Mitigation Experience Toolkit) 보안 툴을 설치하면 제로데이 공격을 방지할 수 있다. 또한 인터넷 익스플로러 11로 업데이트하면 공격을 예방할 수 있다.

 

또한 파이어아이는 인프라의 중복 및 공격 방식의 유사성을 분석했을 때 이번 공격의 배후가 제로데이 취약점을 이용한 이전 ‘오퍼레이션 디퓨티도그(Operation DeputyDog)’, ‘오퍼레이션 이페머럴 하이드라(Operation Ephemeral Hydra)’ 공격자와 관련되어 있을 것이라고 밝혔다.

 

이전 공격과 유사점은 다음과 같다. 

 

l  원격 접속 트로이목마(RAT) 바이러스를 배포하기 위한 제로데이 익스플로잇 공격 활용

l  벡터로 원격 접속 트로이목마(RAT)를 배포하는 등 전략적 웹사이트 공격

l  싱글 바이트 암호화(XOR 0x95)를 사용하여 JPG 확장자로 위장

l  “HTTPS” 패킷 플래그의 Gh0stRat 사용

l  비슷한 시간 프레임 동안 관련 명령 및 제어(CNC) 인프라 사용


뿐만 아니라 이번 공격과 익스플로러의 취약점 CVE-2013-3163 공격은 둘 다 익스플로잇 실행 과정에서 플래시 파일을 활용하고, 익스플로러의 취약점을 실행하기 위해 다시 자바 스크립트를 실행한다는 점에서 동일하다. 또한 각 공격의 플래시 파일 코드는 매우 유사하다. 코드는 ROP 체인과 쉘코드를 같은 방법으로 구축하고 손상시킬 플래시 벡터 개체를 선택하여 일반적인 입력 오류로 인한 동일한 기능을 가지며 심지어 같은 이름을 공유한다.


추가 분석된 사항으로 최초 오퍼레이션 스노우맨에 의해 유포된 악성코드의 경우 발생 시점에서 한 개의 백신사에서만 탐지되었고, 현재는 대부분의 백신에 의해 탐지되는 상황이다. 그러나 여전히 해당 공격에 사용된 플래시 플레이어(Flash Player)의 취약점은 대부분의 백신사에서 탐지되지 않고 있다.




파이어아이 코리아 악성코드 분석가인 박성수 선임은 “제로데이 공격은 정부기관, 방위산업, 법조계, IT회사, NGO 단체 등 다양한 산업군을 타깃으로 하고 있다. 그러나 제로데이 익스플로잇은 제품 공급사에서 패치를 제공 하기 전까지는 탐지 및 차단이 거의 불가능 하며 새로운 제로데이 익스플로잇을 사용하는 유사한 공격이 패치가 제공 되기 전에 국내에도 진행될 가능성이 매우 높다. 따라서 기업들의 각별한 주의가 필요하다.”라고 말했다.

 

이번 제로데이 공격 오퍼레이션 스노우맨에 대한 자세한 정보는 파이어아이 블로그에서 확인할 수 있다.

Operation SnowMan: DeputyDog Actor Compromises US Veterans of Foreign Wars Website


/ Photo & Media provided by 파이어아이 코리아  Press Release

/ MediaPaper.KR mediapaper@ymail.com  Sejin Oh

/ The News Article was written by receiving a Press Release.


댓글