포스팅 내용

국내외 보안동향

Hacking Team관련 치명적인 안드로이드 드라이브 바이 다운로드 익스플로잇, 활발히 활동 중

Hacking Team관련 치명적인 안드로이드 드라이브 바이 다운로드 익스플로잇, 활발히 활동 중

Active drive-by exploits critical Android bugs, care of Hacking Team


최근 안드로이드 구 버전의 취약점을 이용하는 드라이브 바이 다운로드 공격이 랜섬웨어를 유포시키고 있습니다. 영향을 받는 버전을 사용하는 사용자들은 수백만명으로 추정되고 있습니다. 


이 공격에는 안드로이드 4.0~4.3 버전의 적어도 두 가지의 치명적인 취약점을 포함하고 있으며, 해커에게 무제한 "root"권한을 주는 Towelroot 익스플로잇도 여기에 해당합니다


이 익스플로잇 코드는 지난 7월 이탈리아 Hacking Team에서 유출된 안드로이드 공격 스크립트를 많이 가져온 것으로 추정됩니다. 또한 추가 정보에 따르면, 안드로이드 4.4 버전의 기기또한 다른 취약점 셋을 공격해 감염되었을 수도 있다고 합니다.


안드로이드 취약점이 실제 드라이브 바이 다운로드 공격으로 이어진 것은 이번이 처음입니다. 수년간 대부분의 안드로이드 악성코드는 사용자로 하여금 일반 앱을 가장한 악성 앱을 설치하도록 속이는 소셜 엔지니어링 공격으로 이루어져 왔습니다. 


Blue Coat Systems에의해 발견된 드라이브 바이 다운로드 공격은 적어도 지난 60일간 활동중인 상태이며, 완전히 자신을 숨기고 있고 어떠한 사용자 인터랙션이도 필요없기 때문에 주목할만 합니다.


Zimeprium의 플랫폼 연구 및 취약점 부팀장 Joshua Drake는 "매우 정교한 공격으로 보인다. 이 공격이 강력한 이유는, 디폴트로 설치되는 소프트웨어 내의 취약점을 이용해 몰래 사용자 기기의 전체 권한을 얻기 때문이다. 내가 아는 한 이 공격은 취약점들을 이용해 안드로이드 사용자를 노린 첫번째 실제 DBD 공격이다. 해당 공격이 과거의 취약점들을 이용하는 반면, 안드로이드 세계의 공격자들의 전술 변화를 나타낸다."고 말했습니다.


Drake의 평가는 직접 코드를 리뷰해 보고 내린 것이며, 해당 코드는 Blue Coat 랩의 포르노사이트 악성광고를 통해 감염된 안드로이드 4.2.2가 동작하는 삼성 태블릿에서 발견되었습니다. 


Blue Coat 로그 데이터에 따르면, 최소한 224개의 안드로이드 4.x 및 4.4가 동작하는 기기들이 감염되었다고 하였습니다. 하지만 해당 데이터들은 Blue Coat 서비스에서 보호하고 있는 기업들에 한정되어 있기 때문에 전체 인터넷 상에서의 총 감염 수의 극 일부만을 나타낸 것일 것입니다.



Cyber.Police


Blue Coat의 취약한 태블릿으로 악성 웹페이지에 접근하니, 기기가 Cyber.Police라고 불리는 랜섬웨어에 감염되었습니다. 해당 앱은 적어도 12월부터 유포되었으며, 불법 포르노 시청에 대한 법적 조치에 대해 경고해 하나 또는 이상의 $100 짜리 애플 아이튠즈 기프트 카드로 벌금을 지불하도록 합니다.


해당 악성앱은 감염된 기기를 잠금 상태로 만들어 전화를 수/발신 하거나 다른 사용을 막습니다. 해당 앱을 삭제하는 방법은 안전모드 부팅 및 공장 초기화가 있는 것으로 확인되었습니다. 


악성코드 감염 과정에서 태블릿과 악성 웹사이트 간 전송되는 트래픽이 발견되었으며, 해당 트래픽의 난독화를 복호화 시키니 공격에 사용된 자바스크립트가 Hacking Team 유출 사태에서 발견된 익스플로잇 코드와 거의 동일한 것을 확인할 수 있었습니다. 


Hacking Team 자바스크립트는 취약한 안드로이드 기기로 하여금 해커가 지정한 어떤 파일이든 다운로드 및 실행시키도록 합니다.


태블릿에 전송된 실행가능 포맷과 연동가능 포맷 파일은 Towelroot 취약점을 사용해 공격하고, 악성 Cyber.Police 앱을 실행시킵니다.


해당 공격은 새로 얻은 루트 권한으로 안드로이드 앱의 설치보다 우선순위로 되어있는 일반적인 앱 권한 다이얼로그를 막을 뿐만 아니라, 권한 상승으로 다른 앱과 OS 기능을 종료시켜 휴대폰을 효과적으로 잠금니다.


Towelroot는 리눅스 커널 futex 로컬 권한 상승 버그 (CVE-2014-3153)에서 나왔으며, Comex가 발견한 리눅스 커널 내 버그로, Pinkie Pie라는 해커가 크롬 브라우저 내 높은 중요도의 취약점들을 이용해 공격했습니다. futex 버그를 이용하면 권한이 없는 사용자 또는 프로세스로 하여금 무제한 루트 권한을 얻을 수 있기 때문입니다.


구글은 해당 Towelroot 취약점을 버전 4.4에서 패치했으나, 25%의 안드로이드 사용자들은 여전히 해당 취약점에 취약한 것으로 나타났습니다.



대충 만든 듯 하지만 주목할 만한 가치 있어


Cyber.Police는 랜섬웨어는 쉽게 뚫리는 기술을 사용하였으며, 앱을 암호화 시키지도 않은 채 사용자들을 위협만 합니다. 또한 랜섬머니를 아이튠즈 기프트카드로 요구하는 것은 Bitcoin으로 랜섬머니를 요구하는 최근의 트랜드로 보았을 때 매우 대충 만든것으로 추정됩니다.


이 공격에는 제약점이 있는데, 아직 확실히 영향을 받는다고 확인되지 않은 안드로이드 4.4를 감염시키기 위하여 분리된 익스플로잇 셋을 사용한다고 하여도, 그 이후 버전에는 소용이 없습니다. 또한 지금까지 드러난 바에 따르면 해당 공격은 포르노 사이트에서만 유포되고 있으며, 주요 웹 자산에는 영향을 미치지 않는걸로 나타났습니다.


이러한 제약에도, 해당 공격은 주목할 가치가 있습니다. 구글에 따르면, 23.5%의 안드로이드 기기가 해당 공격에 취약하며, Blue Coat 버전 4.4 사용자가 정말 감염이 의심된다면, 해당 퍼센티지는 57%로 상승합니다. 상당한 취약한 기기 사용자들이 업데이트를 받지 않을 것은 변함이 없습니다.


더 나아가, 해당 공격은 안드로이드 사용자를 노린 드라이브 바이 공격이 성공적인 감염 수단이 될 수 있음을 나타냅니다. 만약 공격자가 두개 이상의 공개된 익스플로잇을 연동해 2-bit 랜섬웨어 앱을 설치시킨다면, 같은 기술이 다시 사용돼 더 위험한 앱을 더 많은 사용자가 설치하게 될 것이라는 것은 틀림없습니다.



참고 : 

http://arstechnica.com/security/2016/04/active-drive-by-attacks-exploit-critical-android-bugs-care-of-hacking-team/




티스토리 방명록 작성
name password homepage