상세 컨텐츠

본문 제목

CVE-2014-4114 취약점 공격의 진화

국내외 보안동향

by 알약(Alyac) 2014. 10. 24. 10:10

본문

CVE-2014-4114 취약점 공격의 진화

CVE-2014-4114 변종 악성코드의 지속적인 발견과 공격방법의 진화



지난 15일, 알약 블로그에 CVE-2014-4114 제로데이 취약점을 이용하는 러시아발로 추정되는 악성코드에 대해 공지한 바 있습니다. (▶참고: http://blog.alyac.co.kr/180)


위 취약점과 관련하여 MS에서는 이미 패치를 발표했으나, CVE-2014-4114 취약점을 이용한 공격은 점점 늘어나고 있습니다. 더불어 최근 새로운 형태의 변종이 지속적으로 발견되고 있습니다. 


해당 취약점은 특수하게 조작된 OLE 개체를 포함하는 MS Office파일을 열 경우 원격코드가 실행될 수 있는 취약점입니다. 


초기에는 사용자로 하여금 CVE-2014-4114 취약점을 포함한 악성파일을 열어보도록 유도한 후, 사용자 PC가 감염되면 사용자 PC로 하여금 공격자가 지정해 놓은 UNC경로에 접속하여 악성파일을 다운받도록 했습니다. 


※ UNC (Universal Naming Convention)

마이크로소프트의 윈도우 시스템 운영체제로 구성된 Windows 네트워크에서 폴더나 파일, 공유 프린터 등의 네트워크 자원을 지정할 수 있도록 하는 것으로, UNC명을 사용하면 네트웨크에 연결하지 않는 경우나 파일 위치를 모르는 경우에도 네트워크에 있는 문서를 찾아볼 수 있다.


위의 사례처럼 원격 공유폴더 호스트로 접속하여 악성파일을 설치하는 공격방식은 명령제어(C&C) 서버접속을 차단시키거나 방화벽 등의 행위기반 보안 솔루션을 통해 이상징후를 조기에 탐지하고 차단시키는데 유용한 편입니다.


그리고 서버의 생존 유지기간에 비례해 취약점의 잠복시간이 정해질 수 있기 때문에 공격자 입장에선 명령제어 서버가 노출되지 않고 오랜 기간 유지되고 활용하길 원합니다.


앞서 공개된 CVE-2014-4114 취약점을 이용한 파워포인트 슬라이드 쇼(PPS, PPSX) 파일의 경우, 특정 호스트로 접속하여 악성파일을 설치하는 과정을 거쳤습니다. 10월 17일 일본에서 발견된 공격도 이러한 케이스입니다.



※ 일본 (10월 17일)


일본에서 발견된 CVE-2014-4114 스피어 피싱 공격 

 

2014년 10월 17일 일본 이시카와지마(IHI) 중공업(http://www.ihi.co.jp)을 상대로 한 표적공격이 발견되는 등 최신 보안위협으로 활용되고 있는 상황입니다.


IHI 주식회사는 에너지 시스템 및 (우주)항공, 물류, 산업기계, 플랜트 등 일본에서 유명한 기업인데, 최근 다음과 같은 공격사례 정황이 포착되었습니다. 이메일 제목과 본문은 [일본 자위대 방위 기술 심포지엄] 발표 내용으로 위장하고 있으며, 첨부파일을 열어보도록 유도하고 있습니다.


첨부된 PPS 파일 내부에는 특정 호스트로 접속하여 “word.gif” 이름의 EXE 실행파일 타입의 악성파일을 추가로 설치하는 기능을 수행하고 있습니다.


그러나 2014년 10월 20일, 대만 및 여러 나라에서 특정 이메일로 진행된 표적공격은 PPSX 내부 OLE 파일에 EXE 파일을 포함시키는 형태로 진화된 사례가 발견되었습니다.


※ 대만 (10월 20일)


대만 특정 이용자에게 수행된 CVE-2014-4114 스피어피싱 공격 


표적공격의 대상이 된 대만의 회사는 이메일 보안 솔루션 및 클라우드 백업 서비스 등을 제공하는 곳으로 보여집니다. 공격자는 수신자가 현혹될 수 있도록 이메일 제목과 본문, 첨부파일 등을 교묘하게 위장하고 있습니다.


이메일 제목으로 “보고서를 보내드리오니 검토 부탁 드립니다.”라는 내용을 포함하며, 첨부파일은 “클라우드 정보보안” 이름의 PPSX 파일명으로 지정되어 있습니다.


해당 스피어피싱 메일에 첨부되어 있는 파일들은 모두 원격 호스트로 접속하는 방식이 아닌 PPSX 내부 OLE 파일에 EXE 파일을 포함한 진화된 공격방법을 사용하고 있습니다. 포함된 PPSX 파일을 열어보면 아래와 같이 oleObject.bin 파일들이 있으며, 해당 파일 내부에는 OLE Package 명령과 함께 slide1.gif 파일이 exe 파일로 변경되고 실행되도록 되어 있습니다. 


내부에 EXE 포맷을 포함시킨 신규 공격기법


oleObject1.bin 내부에 포함되어 있는 PE Header


사용자가 해당 PPSX 파일을 더블 클릭하면, 정상적으로 파워포인트가 보이기 때문에 정상파일로 인식하기 쉽습니다. 그러나 백그라운드에서 악성파일이 생성되고 실행되며, 실행된 후에는 자신의 흔적을 삭제하기 때문에 사용자가 쉽게 알아볼 수 없습니다.


보안취약점에 의해서 slide1.gif.exe 악성파일이 실행된 화면


이렇게 자체적으로 EXE 악성파일을 설치하는 형태가 여러 국가에서 동시다발적으로 발생되고 있는 것이 계속 목격되는 만큼, 국내 이용자들도 각별한 주의가 필요합니다. 


이처럼 최근 발생하고 있는 변종 취약점은 CVE-2014-4114 취약점의 공격기법이 한 단계 진화한 것으로 볼 수 있습니다. 따라서 MS Office 이용자들은 최신 보안 업데이트를 설치하여, 알려진 보안취약점을 모두 제거하여야 합니다.


Vulnerability in Windows OLE Could Allow Remote Code Execution (3000869) / CVE-2014-4114

https://technet.microsoft.com/library/security/ms14-060


해당 취약점에 노출될 수 있는 운영체제는 다음과 같습니다.


Microsoft Windows 7 for 32-bit Systems SP1

Microsoft Windows 7 for x64-based Systems SP1

Microsoft Windows 8 for 32-bit Systems

Microsoft Windows 8 for x64-based Systems

Microsoft Windows 8.1 for 32-bit Systems

Microsoft Windows 8.1 for x64-based Systems

Microsoft Windows RT

Microsoft Windows RT 8.1

Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1

Microsoft Windows Server 2008 R2 for x64-based Systems SP1

Microsoft Windows Server 2008 for 32-bit Systems SP2

Microsoft Windows Server 2008 for Itanium-based Systems SP2

Microsoft Windows Server 2008 for x64-based Systems SP2

Microsoft Windows Server 2012 R2

Microsoft Windows Vista Service Pack 2

Microsoft Windows Vista x64 Edition Service Pack 2





관련글 더보기

댓글 영역