17

[소식] 보안 연구자를 대상으로 제로데이 취약점을 활용한 정부 주도 사이버 공격 발생

수년 전 부터 보안 연구자나 개발자를 대상으로 한 사이버 공격 캠페인은 존재해왔습니다. 최근 구글과 마이크로소프트의 위협 인텔리젼스 팀은 정부 지원 해커들이 보안 연구자들을 대상으로 한 새로운 방식의 공격이 발견되었다고 발표했습니다.¹² 이번 뉴스레터를 통해 어떤 방식으로 정부 지원을 받는 해커들이 공격을 시도했고 또 보안 연구자로서 조심해야할 부분과 예방할 수 있는 방법을 알아보겠습니다.

❗ 정부 지원 공격이 뭔가요?
정부 지원 공격은 한 나라 정부의 지원을 받는 공격을 의미합니다. 개인이나 집단이 구매하고 사용하기엔 다소 가격이 높은 제로데이를 정부의 지원을 받고 구매하거나 발굴해 해당 취약점을 사용한 공격입니다. 작년 아마존 CEO 였던 제프 베조스의 핸드폰을 사우디 왕세자가 해킹한 사례 또한 정부 지원 공격이라고 할 수 있습니다. 공격 비용이 천문학적으로 높은 만큼 유명 인사나 공격에 성공하였을 경우 그 만한 가치가 있는 타겟을 선정합니다.(https://www.bbc.com/korean/news-51217084)

어떤식으로 공격을 시도 했을까요?

공격자들은 오랜 기간 동안 브라우저, 커널, 가상머신등의 제로데이를 발견하는 정상적인 보안 연구자로 둔갑해 SNS 활동을 하였습니다. 원데이 케이스 스터디 게시글이나 실제 제로데이 익스플로잇 등을 사용자들에게 공유하며 자신의 실력을 보여주고 신뢰를 쌓았습니다. 어느 정도 인지도를 쌓은 후 각 기업들에 종사하고 있는 보안 연구자들에게 이메일을 보내거나 트위터, 키베이스, 링크드인, 텔레그램등을 통해 개인 메시지 (Direct Message, DM)을 보내기 시작했습니다.

1.png

이들이 사용한 공격 방식은 두 가지 정도로 나눠볼 수 있습니다. 첫 번째는 특정 블로그 게시글로 유도하는 방법입니다. 공격자 자신은 브라우저 (특히 크롬)에 관심이 있어 원데이 케이스 스터디를 진행하였고 그 결과를 자신의 블로그에 업로드 하였다고 합니다. 해당 블로그 게시글을 한 번 읽어봐 줄 것을 요청하며 주기적으로 블로그를 방문해 달라고 합니다. 아래는 공격자가 보낸 메일의 전문입니다.

From: Billy Brown <br0vvnn@gmail.com>
Date: Wed, 14 Oct 2020 at 13:54
Subject: Dear Sir
To: <redacted>

I'm Billy Brown, reverse engineer like to dig up binaries and find out bugs.
Recently, I made a blog and began to write on it with my friends.
Today one of my friends, James Willy has written the first writing on it.
Here is the title.
DOS2RCE: A New Technique to Exploit V8 NULL Pointer Dereference Bug
I think my blog is interested to you and helpful.
I hope you read this blog and leave a comment frequently.

이들이 유도한 블로그의 링크는 다음과 같습니다.

hxxps://blog[.]br0vvnn[.]io/pages/blogpost.aspx?id=1&i=0

해당 블로그를 통해 브라우저, 운영체제 정보가 들어있는 User-Agent를 수집한 후 실제 크롬 원데이나 제로데이를 사용해 맞춤형 공격을 시도한 것으로 보입니다. 실제로 한 보안 연구자는 게시글을 보러 방문하였는데 크롬 브라우저의 비정상적인 종료로 인한 크래시가 발생하였다고 합니다. 신기한 점은 타겟이 된 보안 연구자 마다 i 파라미터 값이 변경된 URL의 접속을 요청하였습니다. 아마 타겟이 된 보안 연구자들을 개별적으로 관리하기 위함이 아닌가 예상 할 수 있습니다. 이메일 뿐만 아니라 트위터 DM으로도 해당 블로그 게시글을 접속해 달라는 요청이 왔습니다. 해당 URL은 레딧 등 많은 보안 연구자들이 방문하는 포럼에 업로드해 접속하기를 기다린 후 방문하는 순간 공격 당하는 워터링 홀 기법도 함께 수행되었습니다.

2.png

두번째는 투잡을 권유하거나 자신이 익스플로잇 코드 제작에 어려움을 겪고 있는데 협업 하자며 메시지를 보내는 방식입니다. 이이 방법 역시 개인 메시지로 연락을 해 1) 특정 회사에 근무하고 있는지 물어보고, 2) 취약점 연구에 대해 이야기 하자고 합니다. 그 후 자신이 PoC는 있는데 익스플로잇을 완성하지 못했다며 같이 협업 하자고 합니다. 이 과정에서 금전적 이익을 얻을 수 있다고 유혹합니다. 심지어 기존 알려진 CTF Player와 친분이 있다며 자신이 신뢰할 수 있다는 사람인 것을 어필합니다. 첫 번째 사진은 개인 메시지 내용 중 일부입니다. (현재 공격자들의 계정 들은 탈퇴 처리 되거나 트위터 등 서비스 운영자에 의해 비활성화 된 상태 입니다. 시간이 지난 만큼 잠긴 계정들과 나눈 대화는 삭제된 것으로 추정됩니다.) 두 번째 사진은 같이 작업하고 있다는 CTF Player 에게 사실 확인을 위해 메시지를 보냈던 메시지입니다.

3.png

4.png

위와 같은 방식으로 접근 한 후 친분을 쌓고 타겟이 된 보안 연구자에게 악성 Visual Studio 솔루션 파일을 전송합니다. 해당 솔루션 파일은 빌드 과정에서 악성 스크립트가 실행되게 되는데요, 기술적인 디테일은 마이크로소프트의 게시글을 참고하시기 바랍니다.² 또 Internet Explorer(IE)의 0-day취약점을 사용하기도 하였습니다. “Chrome_85_RCE_Full_Exploit_Code.mht” 라는 파일을 보내 IE에서 열리게 한 후 악성코드를 실행하는 방식입니다. 이 공격 방식에 대한 기술적 디테일은 엔키의 기술 블로그를 참고하시면 됩니다.³

실제로 공격에 당한 보안 연구자가 있을까요?

MSRC, Cisco Talos에서 일했던 Richard Johnson은 실제 공격에 피해를 입었습니다. Richard Johnson은 트위터를 통해 자신이 어떤식으로 피해를 당했고 이를 분석한 과정을 업로드하였습니다. (https://twitter.com/richinseattle/status/1354088047520997390)

5.png

자신이 공격 당했는지 확인하는 방법은 아래 시그니처가 디스크에 존재하는지 확인해보면 됩니다. 보다 자세한 내용은 마이크로소프트 블로그 게시글의 Associated indicators of compromise (IOCs) 영역을 확인하시면 됩니다.

  • C:\Windows\System32\helpsvc.sys
  • C:\Windows\System32\Irmon.sys
  • C:\Windows\System32\LogonHours.sys
  • C:\Windows\System32\Ntmssvc.sys
  • C:\Windows\System32\NWCWorkstation.sys
  • C:\Windows\System32\Nwsapagent.sys
  • C:\Windows\System32\PCAudit.sys
  • C:\Windows\System32\uploadmgr.sys

정부 주도 공격을 예방하는 방법!

아무리 최신 버전의 소프트웨어를 사용하고 업데이트를 생활화 한다고 한들 제로데이를 사용하는 정부 주도 공격에는 취약할 수 밖에 없습니다. 각자 최선을 다해 조심할 수 밖에 없지만 예방할 수 있는 몇 가지 항목들이 존재합니다.

  1. “낯선 사람이 보낸 링크는 절대 클릭하지 않기!”
    • 하지만 CTF Writeup이나 보안 취약점 관련 게시글은 호기심을 자극하기 때문에 안볼 수는 없죠.
  2. 호기심 해결을 위해 Address-SANitzier와 함께 빌드된 버전의 브라우저를 사용
    • 취약점을 이용해 다른 메모리를 덮어 쓰려고 하면 Guard Page에 접근하게 되어 익셉션이 발생하게 됩니다. 덤으로 제로데이 취약점 이라면 버그바운티도 함께 받을 수 있습니다.
  3. 마지막으로 항상 개인용과 업무용 환경을 분리할 것
    • 개인 웹 서핑용 PC가 공격 당해도 업무에 사용된 파일들이 유출되지 않도록 하는 것입니다.

결론

단순 악성 링크나 메일을 통해 사용자들을 현혹하는 것이 아닌 보안 연구자 / 개발자들의 호기심을 자극할 만한 다양한 방법들로 정부 지원 공격이 수행되는 것을 알 수 있었습니다. 공격자들의 지능이 올라간 만큼 온/오프라인에서 잘 알지 못하는 신원이 불분명한 개인/팀/회사와 소통할 때는 항상 주의를 기울여야 합니다. 사이버 세상에서의 공격은 24시간 알게 모르게 진행되고 있기 때문에 각 개인이 항상 신경 써서 보안 수칙들을 지켜야 합니다.

티오리 에서는 제로데이 혹은 패치 갭핑을 이용한 원데이 공격을 사전에 찾아 미리 예방할 수 있는 페르뮴-252 구독 서비스를 제공하고 있습니다. 사이버 보안 세상에서 모두가 안전해지는 그날까지 티오리가 함께하겠습니다. 😊


  1. https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/
  2. https://www.microsoft.com/security/blog/2021/01/28/zinc-attacks-against-security-researchers/
  3. https://enki.co.kr/blog/2021/02/04/ie_0day.html