상세 컨텐츠

본문 제목

패치된 WinRAR 버그, 아직도 실제 공격에 활발히 악용돼

국내외 보안동향

by 알약(Alyac) 2019. 3. 18. 10:25

본문

Patched WinRAR Bug Still Under Active Attack—Thanks to No Auto-Updates


다양한 사이버 범죄 그룹들과 해커들이 아직까지 최근 패치된 WinRAR의 치명적인 코드 실행 취약점을 악용하고 있는 것으로 나타났습니다.


WinRAR 소프트웨어는 자동 업데이트 기능이 없기 때문에, WinRAR 소프트웨어를 최신 버전으로 패치하지 않은 사용자 수백만 명은 여전히 사이버 공격에 대상이 되고 있습니다.


지난달 말 WinRAR 5.70 beta 1에서 패치된 이 치명적인 취약점(CVE-2018-20250)은 지난 19년 동안 공개된 WinRAR의 모든 5.70 beta 1 이전 버전에 영향을 미칩니다.


이 취약점은 오래된 서드파티 라이브러리인 UNACEV2.DLL에 존재하는 “경로 조작 공격”으로 공격자가 ACE 아카이브를 통해 압축된 실행파일을 윈도우 시작 폴더들 중 하나에 압축 해제하여, 악성 파일이 재부팅 시 자동으로 실행될 수 있도록 허용합니다.


따라서 타깃 컴퓨터 전체의 제어 권한을 얻기 위해 공격자는 사용자가 악의적으로 제작된 WinRAR 압축 파일을 클릭하도록 유도하면 됩니다.


<이미지 출처: https://thehackernews.com/2019/03/winrar-hacking-malware.html>


이 취약점에 대한 세부 정보와 PoC 익스플로잇 코드가 공개되자마자, 공격자들은 취약한 WinRAR를 실행하는 사용자의 컴퓨터에 악성코드를 설치하기 위해 악성 스팸 이메일을 캠페인에 악용하기 시작했습니다.


McAfee의 연구원들은 취약점이 공개된 첫 주에 취약점이 100회 이상 악용된 것을 확인하였으며, 계속해서 증가 중이라 밝혔습니다. 대부분의 초기 타깃은 미국에 위치해 있었습니다.


연구원들이 발견한 최신 악성 캠페인들 중 하나는 아리아나 그란데(Ariana Grande) 히트 앨범의 무단 복제본에 포함되어 있었습니다. 


이 악성코드는 현재(2019/03/15)를 기준으로 바이러스토탈 페이지에 등록된 안티바이러스 보안 제품들 64개 중 11개에서만 탐지되고 있으며, 안티 바이러스 제품 53개는 탐지에 실패한 것으로 나타났습니다.


▶ VirusTotal 결과 바로가기


이 악성 RAR 파일 (Ariana_Grande-thank_u,_next(2019)_[320].rar)은 무해한 MP3 파일들을 피해자의 다운로드 폴더에 압축 해제하지만, 타깃 컴퓨터를 악성코드에 감염되도록 설계된 악성 EXE 파일은 시작 폴더에 드랍합니다.


최신 WinRAR 5.70 버전으로 패치되지 않은 취약한 WinRAR 버전을 사용하여 이 파일을 압축 해제할 경우, 악성 페이로드가 시작 폴더에 생성됩니다.


또한, 사용자 접근 제어(UAC, User Account Control)가 우회되기 때문에 어떠한 경고성 알람도 사용자에게 표시되지 않습니다. 시스템이 재시작 되면, 악성코드가 실행됩니다.


이러한 악성 캠페인은 현재 진행형이며, 이를 예방하기 위해서는 가능한 빨리 WinRAR 소프트웨어를 최신 버전인 WinRAR 5.70으로 패치하고, 출처를 알 수 없는 파일을 다운로드 받거나 열지 말아야 합니다.


현재 알약에서는 해당 악성코드에 대해 Exploit.CVE-2018-20250, Trojan.Trickster.Gen으로 탐지 중에 있습니다. 




출처:

https://thehackernews.com/2019/03/winrar-hacking-malware.html

https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/attackers-exploiting-winrar-unacev2-dll-vulnerability-cve-2018-20250/



관련글 더보기

댓글 영역