상세 컨텐츠

본문 제목

윈도우 10의 리눅스 서브시스템, 악성코드를 완전한 탐지 불가 상태로 만들어

국내외 보안동향

by 알약(Alyac) 2017. 9. 14. 15:28

본문

Linux Subsystem on Windows 10 Allows Malware to Become Fully Undetectable


작년, 마이크로소프트는 윈도우 10에 리눅스용 윈도우 서브 시스템(WSL)을 발표해 모든 사용자들을 놀라게 했습니다. 이는 리눅스의 명령어 라인 shell을 윈도우에 도입해 사용자들이 가상화 없이 Linux 프로그램들을 윈도우 시스템에서 실행할 수 있도록 허용합니다.


하지만, 연구원들이 현재 존재하는 모든 보안 소프트웨어들이 윈도우 컴퓨터를 타겟으로 하는 리눅스용 악성코드 패밀리들을 탐지하지 못한다는 점을 발견했습니다.


연구원들은 윈도우의 빌트인 WSL 기능을 악용해 Bashware라는 새로운 공격 기법을 고안해냈습니다.



모든 안티바이러스 & 보안 솔루션에서 탐지가 불가능한 Bashware 공격


연구원들은 윈도우용 보안 솔루션들이 이러한 위협을 탐지하도록 설계 되지 않았기 때문에, 알려진 리눅스 악성코드 패밀리들도 이 기술을 악용할 수 있다고 밝혔습니다.


이 새로운 공격은, 공격자가 모든 보안 제품들로부터 어떠한 리눅스 악성코드도 숨길 수 있도록 허용합니다.


연구원들은 윈도우용 현존하는 보안 소프트웨어 패키지들이 윈도우 환경에서 리눅스 실행파일의 프로세스를 모니터링하도록 수정 되지 않았기 때문이라고 밝혔습니다.



그래서 범인은 누구일까요? 마이크로소프트, 아니면 보안 업체들?


격리 된 환경에서 타겟 리눅스 응용 프로그램을 실행하기 위해, 마이크로소프트는 ELF 바이너리를 윈도우 OS에서 실행할 수 있도록 하는 컨테이너인 “Pico processes”를 공개했습니다.


연구원들은 대부분의 안티바이러스 및 보안 제품들을 테스트 한 결과, Bashware 공격을 통해 이들을 모두 우회할 수 있었다고 밝혔습니다.


마이크로소프트가 보안 업체들이 모니터링하는데 사용할 수 있는 Pico API를 제공했음에도, 어떠한 프로그램들도 Pico 프로세스들을 모니터링 하지 않았기 때문입니다.



Bashware 공격자들은 어드민 권한이 필요하기 때문에, Windows PC에서는 어렵지 않나요?


Bashware 공격자들이 관리자 권한이 필요한 것은 사실이지만, 확실한 목적이 있는 공격자들이 피싱 공격이나 이미 훔친 관리자 크리덴셜을 이용하는 등 윈도우 PC에서 관리자 권한을 얻는 것은 그리 어려운 일은 아닙니다.


하지만, 이런 추가 공격들은 안티 바이러스와 보안 제품들에 탐지 되어 실제 Bashware 공격을 실행하기 전 차단될 수 있습니다.


또한 WSL은 디폴트로 켜져 있는 상태가 아니므로, 사용자가 컴퓨터 시스템에서 수동으로 “개발 모드”를 활성화 후 재부팅해야 하기 때문에 이로 인한 위험은 어느정도 적다고 볼 수 있습니다.


하지만, 연구원들은 적절한 권한을 가지고 있는 공격자들이 백그라운드에서 은밀히 레지스트리 키 몇 개를 수정해 개발자 모드를 활성화 시킬 수도 있다고 설명합니다.


Bashware 공격 기술은 은밀히 WSL 컴포넌트들을 로딩하고, 개발자 모드를 활성화 시키고, 마이크로소프트의 서버로부터 리눅스 파일 시스템을 다운로드 및 추출하고 악성코드를 실행하는 절차들을 자동화 했습니다.


Bashware를 사용하는 해커들은 WSL을 통해 실행할 리눅스용 악성코드 프로그램을 별도로 개발하지 않아도 됩니다.


Bashware는 다운로드한 우분투 사용자 공간 환경에 Wine이라는 프로그램을 설치 후, 이를 통해 알려진 윈도우 악성코드를 실행하기 때문입니다.


그 후 이 악성코드는 pico 프로세스로써 윈도우를 시작하고, 이로써 보안 소프트웨어들로부터 숨을 수 있습니다.



4억대의 컴퓨터들, Bashware에 잠재적으로 노출 돼


이제 윈도우 사용자들이 리눅스 shell을 사용할 수 있게 돼, 연구원들은 Bashware가 전 세계 윈도우 10을 사용하는 약 4억대의 PC들에 영향을 미칠 수 있다고 경고했습니다.






출처 :

http://thehackernews.com/2017/09/windows-10-linux-evade-malware.html



관련글 더보기

댓글 영역