포스팅 내용

국내외 보안동향

모든 윈도우 버전 공격 가능한 코드 인젝션 기술 "AtomBombing" 발견

모든 윈도우 버전 공격 가능한 코드 인젝션 기술 "AtomBombing" 발견

This Code Injection Technique can Potentially Attack All Versions of Windows


공격자가 최신 버전으로 패치된 윈도우 PC에 대해서도 해킹할 수 있게 되어 큰 충격을 주고 있습니다. 보안 연구원들은 공격자가 윈도우 10을 포함한 모든 버전의 윈도우 OS에 악성 코드를 주입할 수 있도록 허용하는 새로운 기술을 발견했습니다. 아직까지 어떠한 안티 멀웨어 툴(백신)도 이를 탐지할 수 없으며, 전 세계 수백만 대의 PC들을 위협하고 있습니다.


“AtomBombing”이라 명명된 이 기술은 취약점이 아닌, 윈도우의 설계상 약점을 악용합니다.



새로운 코드 인젝션 공격, 악성코드가 보안 장치들을 우회할 수 있도록 도와


AtomBombing 공격은 시스템 레벨의 Atom Table을 악용합니다. Atom Table은 어플리케이션들이 정보를 문자열, 오브젝트 및 다른 타입의 데이터를 저장할 수 있도록 하는 윈도우의 기능입니다. Atom은 공유된 테이블이기 때문에 모든 종류의 어플리케이션들이 이 테이블에 저장된 데이터에 접근하거나 변경할 수 있습니다. Atom Table에 관한 좀 더 자세한 설명은 마이크로소프트의 블로그를 참조하시기 바랍니다.


사이버 보안 기업 EnSilo의 연구원 팀은 AtomBombing 기술을 개발해냈습니다. 그들은 윈도우의 설계상 취약점이 악성코드가 Atom Table을 변조해 정상적인 앱들이 대신 악성 행동을 하도록 속일 수 있게 허용한다고 밝혔습니다. 또한 일단 악성코드가 정식 프로세스에 주입되면 공격자가 보안 매커니즘들을 우회하기 쉬워진다고도 덧붙였습니다.



AtomBombing을 통해 MITM 브라우저 공격, 패스워드 복호화 등 가능해


프로세스 레벨 제한을 우회하는 것 이외에도, AtomBombing 코드 주입 기술(소스코드)은 공격자가 중간자 브라우저 공격을 실행하거나, 사용자의 데스크탑의 스크린샷을 원격으로 촬영하거나, 브라우저에 저장되어 있는 암호화된 패스워드에 접근하도록 허용합니다.


구글 크롬은 현재 사용자의 데이터를 암호화 또는 복호화하고 패스워드에 접근하는 DPAPI (Windows Data Protection API)를 이용해 사용자의 패스워드를 저장하고 있습니다. 따라서 악성코드가 현재 사용자의 컨텍스트에서 실행되고 있는 프로세스에 주입될 경우, 악성코드가 순수한 텍스트 형태의 패스워드에 접근하기 쉬워집니다.


특히 공격자들이 웹 브라우저에 코드를 주입할 경우, 사용자에게 보여지는 컨텐츠를 변조하는 것이 가능해집니다. EnSilo의 보안 연구팀 팀장 Tal Liberman은 “고객은 뱅킹 거래 과정에서 확인 스크린을 통해 본인이 원하는 정확한 지불 관련 정보를 항상 보게 된다. 그러나 공격자는 그가 원하는 방향으로(예를 들면, 수신 계좌번호 및 금액 변경) 데이터를 조작해 은행이 가짜 거래 정보를 수신하도록 할 수 있다.”고 밝혔습니다.



AtomBombing 공격, 현재까지 패치되지 않아


해당 이슈가 논란이 되고 있는 이유는 최신 버전 윈도우 10을 포함한 윈도우 OS의 모든 버전이 해당 이슈에 영향을 받기 때문입니다. 더욱 최악인 점은, 아직까지 해당 이슈를 수정할 수 있는 패치가 없다는 것입니다. Liberman은 “불행하게도, 이 이슈는 취약한 코드에 의존하는 것이 아닌 OS 메커니즘이 설계된 방식을 악용하기 때문에 패치가 될 수 없다.”고 주장했습니다.


AtomBombing 기술은 공격을 실행하기 위해 정식 OS 기능들을 악용합니다. 따라서 마이크로소프트가 전체적인 OS 동작 방식을 변경하지 않고서는 해당 이슈를 수정할 수 없습니다. 이는 실현 가능한 해결책이 아니기 때문에 패치가 불가능할 것으로 예측되고 있습니다.







출처 :

http://thehackernews.com/2016/10/code-injection-attack.html

https://breakingmalware.com/injection-techniques/atombombing-brand-new-code-injection-for-windows/

티스토리 방명록 작성
name password homepage