구글, 정교한 윈도우 및 안드로이드 해킹 작전 공개해

국내외 보안동향

by 알약4 2021. 1. 13. 14:01

Google reveals sophisticated Windows and Android hacking operation

구글이 정교한 해킹 작전에 대한 세부 보고서를 발표했습니다. 이들은 안드로이드 및 윈도우 기기 모두를 노리는 이 작전을 2020년 초 발견했다고 밝혔습니다.

구글은 이 공격이 워터링홀 공격을 통해 다른 익스플로잇 체인을 전달하는 익스플로잇 서버 2곳을 이용하여 실행되었다고 밝혔습니다.

“한 서버는 윈도우 사용자들을 노렸으며, 다른 하나는 안드로이드를 노렸습니다.”

구글은 익스플로잇 서버 2대 모두 피해자 기기에 침투하기 위한 초기 발판을 마련하기 위해 구글 크롬 취약점을 악용하고 있었다고 밝혔습니다.

공격자가 사용자의 브라우저에 침투할 수 있는 입구를 마련하면, 피해자 기기를 제어할 수 있는 더 많은 권한을 얻기 위해 OS 수준의 익스플로잇을 배포합니다.

이 익스플로잇 체인은 제로데이, N데이 취약점을 모두 포함하고 있었습니다. 여기서 제로데이 취약점은 소프트웨어 제작 업체가 발견하지 못한 취약점, N데이는 패치 되었지만 여전히 실제 공격에 악용되고 있는 취약점을 말합니다.

구글은 익스플로잇 서버가 아래 사항을 포함하고 있었다고 밝혔습니다.

- 구글 크롬의 ‘렌더러’ 버그 4개; 이 중 하나는 발견 당시 제로데이 취약점이었음
- 윈도우 OS 내 제로데이 취약점 3개를 악용하는 샌드박스 탈출 익스플로잇 2개
- 공개적으로 알려진 안드로이드 OS 구버전용 N데이 익스플로잇으로 구성된 “권한 상승 키트”

위 제로데이 취약점 4개는 2020년 봄 패치되었으며, 아래와 같습니다.

- CVE-2020-6418 – TurboFan 내 크롬 취약점 (2020년 2월 수정됨)
- CVE-2020-0938 – 윈도우의 폰트 취약점 (2020년 4월 수정됨)
- CVE-2020-1020 – 윈도우의 폰트 취약점 (2020년 4월 수정됨)
- CVE-2020-1027 – 윈도우의 CSRSS 취약점 (2020년 4월 수정됨)

구글은 익스플로잇 서버에서 안드로이드 제로데이 익스플로잇이 호스팅되었다는 증거는 찾지 못했지만, 보안 연구원들은 공격자가 안드로이드 제로데이 취약점에도 접근할 수 있었지만, 단순히 연구원이 발견한 서버에서는 호스팅되지 않았을 것이라 추측했습니다.

복잡하고 잘 설계된 익스플로잇 체인

구글은 익스플로잇 체인에 대해 “모듈화를 통해 효율적이고 유연하게 설계”되었다고 설명했습니다.

“이는 다양한 새로운 악용 방법을 통해 코드의 복잡성을 높이고, 수준 높은 로깅, 정교하고 계산된 사후 익스플로잇 기술, 안티 분석 및 표적 검사를 갖춘 잘 설계된 코드입니다.”

“전문가들로 구성된 팀이 이 익스플로잇 체인을 설계 및 개발했다고 추측합니다.”

하지만 구글은 공격자나 이들의 타깃 유형에 대한 자세한 정보를 제공하지는 않았습니다.

출처:

마이크로소프트, 윈도우에 루트킷 설치 가능했던 시큐어 부트 취약점 수정 (0)	2021.01.14
국제 TF, 최대 규모 다크웹 마켓 서비스 중단시켜 (0)	2021.01.14
마이크로소프트, 실제 공격에 악용된 디펜더 백신 프로그램의 제로데이 수정 (0)	2021.01.13
네트워킹 대기업인 Ubiquiti, 잠재적 데이터 유출에 대해 경고해 (0)	2021.01.12
DarkSide 랜섬웨어용 무료 복호화툴 개발돼 (0)	2021.01.12

고정 헤더 영역