상세 컨텐츠

본문 제목

윈도 필수 유틸리티로 AppLocker 우회 가능

국내외 보안동향

by 알약(Alyac) 2016. 4. 26. 09:16

본문

윈도 필수 유틸리티로 AppLocker 우회 가능

CORE WINDOWS UTILITY CAN BE USED TO BYPASS APPLOCKER


AppLocker는 Windows 7 및 Windows Serer 2008 R2에 적용한 보안기능으로, 관리자가 지정한 사용자 혹은 그룹에게 문서에 대한 접근/실행권한을 부여할 때 사용됩니다. 


하지만 최근 Windows 시스템 중 Regsvr32의 숨김 특성을 이용하여 Windows AppLocker 보안조치 및 DLL 등을 우회할 수 있는 방법이 공개되었습니다. 


익명을 요구한 분석가는 마이크로소프트에 지난 화요일 해당 이슈를 알렸습니다. 마이크로소프트에 이 이슈에 대해 시큐리티 블러틴으로 패치할 지, 추후 배포에서 패치할 지는 알려지지 않았습니다.


Regsvr32는 Microsoft Register Server로 마이크로소프트가 서명한 윈도에서 디폴트로 실행되는 바이너리입니다. 


분석가의 POC로 커맨드라인을 통해 제공된 URL에서 JavaScript 또는 VBScript를 다운로드받을 수 있습니다.


그는 수 많은 화이트리스트 보호가 JavaScript 또는 VBScript를 차단하며, 여기에는 제한이 없다고 말했습니다. 또한 코드가 원격 시스템에 호스팅되어있다는 점이 이를 사소한 부분으로 만들며, Regsvr32가 프록시 및 SSL인지로 추가 설정이 필요치 않아 원격으로도 실행이 가능하다고 덧붙였습니다.


분석가에 따르면 이는 익스플로잇 취약점이 아니기 때문에 패치가 존재하지 않는다고 했습니다.


Regsvr32가 일반적으로 COM(컴포넌트 오브젝트 모델) 오브젝트와 DLL을 OS에 등록하기 위한 실행에 관리자 권한을 요합니다. 하지만 해당 이슈에서 등록되지 않은 메써드를 호출해 일반 사용자로 실행이 가능했습니다. Regvr32의 문서에는 인터넷의 스크립트를 허용한다고 명시되어 있지 않습니다. 최근의 파일 없는 악성코드 공격이 윈도 파워쉘로 인터넷에서 악성코드를 다운받도록 하는 방식을 유사하게 사용한 것으로 보입니다.


그는 이 방법을 사용한 공격을 탐지하기가 매우 어려울 것으로 보았습니다. 또 Sysmon 같은 커맨드라인 감사 툴이 해당 파라미터 내 URL로 Regsvr32를 실행하는 누군가를 로그로 남길 수 있을 것이라고 말했습니다.



참고 : 

https://threatpost.com/core-windows-utility-can-be-used-to-bypass-applocker/117604/



관련글 더보기

댓글 영역