2014 년 10 월 "Sandworm Team"라는 집단에 의해 첩보 목적의 사이버 공격 캠페인이 실행되고 수많은보고가있었습니다. 이 사례의 중심이 된 것은 지원 기간중인 모든 Microsoft Windows 및 Windows Server 2008 * 2012에 영향을 미치는 제로 데이 취약점 입니다.
트렌드 마이크로의 분석 에 따르면, Microsoft Windows 및 Server의 "Object Linking and Embedding (OLE) 패키지 매니져"에 존재하는 취약점을 공격하여 공격자는 원격에서 악성 프로그램을 실행 할 수 있습니다. 제 일보는이 취약점은 여러 기관 및 산업 분야에 대한 표적 공격 또는 표적 형 사이버 공격에 이용 된 것으로 알려졌습니다. 또한 당사의 분석에 따르면,이 공격은 " SCADA (산업 제어 시스템) "의 사용자를 겨냥한 공격과 관련있는 것을 발견했습니다. 또한 시간을 두지 않고, PowerPoint 파일 (확장자 PPSX)에 포함 된 악성 파일을 이용해 새로운 회피 기술 을 이용한 다른 공격에서도 취약점이 이용 된 것으로 확인되었습니다 .
■ 신구의 취약점을 이용하는
제로 데이 취약점 만이 표적 형 사이버 공격에 이용되는 취약점은 없습니다. 2014 년 상반기 당사는 공격자가 오래된 취약점을 자주 노리고있는 것을 확인했습니다. 그 제일 예는 Windows 공용 컨트롤의 취약점 ' CVE-2012-0158 '입니다. 2012 년 초에는 업데이트 가 이미 공개되어 있었음에도 불구하고이 취약점은 표적 공격 캠페인 ' PLEAD」라는 표적 사이버 공격의 주요 공격 수단이되었습니다.
물론, 이것은 2014 년에 제로 데이 취약점이 전혀 없었다는 의미가 없습니다. Windows의 제로 데이 취약점 을 이용한 표적 형 사이버 공격이 여러 대사관을 겨냥한 것이 판명되었습니다. 이 취약점 업데이트는 며칠 후에 공개되었습니다. 주의해야 할 것은이 취약점의 영향을받는 Windows XP의 지원이 끝나기 며칠 전에이 공격이 실행 된 것입니다. 또 다른 제로 데이 취약점 도 표적 공격 캠페인 'Taidoor "뒤에있는 공격자가 자주 공격에 이용되고있었습니다. 이 제로 데이 취약점은 2014 년 3 월말에 확인 된 4 월 정기 보안 업데이트에서 업데이트가 공개되어 있습니다.
■ 신구의 취약점 보완 관계
특히 심각한 것으로 간주 취약점은 소프트웨어 회사에서 거의 반드시 패치가 공개됩니다. 그러나 핫픽스가 공개되어있다하더라도 모든 사용자와 기업이 신속하게 적용하는 것은 없습니다. 그 이유 중 하나는 패치 적용은 업무에 방해가되기 때문 일지 모릅니다. 또는 기업의 환경에 패치를 적용하기 전에 테스트를해야 그것이 이유로 적용이 크게 지연 될 수 있습니다.
이러한 상황에서 공격자는 신뢰할 수있는 오래된 취약점을 좋아합니다. 표적으로 한 네트워크와 기업은 효과가 입증 된 오래된 취약점이 존재할 가능성이 있습니다. 이러한 취약점은 오랫동안 존재하기 때문에 공격자가 취약점을 공격하는 데 최적의 악성 프로그램을 작성하는 것은 비교적 쉬운 것 같습니다.
한편, 비교적 새로운 취약점은 공격자를 우위에 서게하실 수 있습니다. 제로 데이 취약점은 보안 기업도 포함하여 모든 사용자를 무방비로합니다. 소프트웨어 기업이 필요한 보안 대책이나 핫픽스를 긴급 준비를하고있는 동안에도, 제로 데이 취약점을 이용한 공격에 의해이 "보호없는 구멍"을 이용하여 가장 방어 된 환경에서조차 공격 하고 영향을 미칠지도 모릅니다. 그런 의미에서 제로 데이 취약점을 노린 공격은보다 효과적이고보다 위험성이 높다고 말할 수 있습니다.
■ 표적이되는 지원 종료 후 OS
제로 데이 취약점은 영향을받는 플랫폼이 오래되었거나 또는 지원이 종료 한 경우 더욱 효과적입니다.핫픽스가 공개되어 있지 않기 때문에 처음에는 제로 데이 취약점으로 공격에 이용 된 '보호없는 구멍 "도 영구적 인 것이되어 버립니다.
표적 형 공격 에 이용 된 Internet Explorer (IE) 에 존재하는 취약점도 바로이 케이스였습니다. 취약점 'CVE-2014-1776 '는 당초 Windows XP에 대한 업데이트를 Microsoft에서 공개되지 않는다고 보도 되었기 때문에 상당한 주목을 끌었다. 그러나이 OS에 대한 업데이트는 곧 공개되었습니다.
■ 트렌드 마이크로 백신
표적 형 사이버 공격에 대처하는 올바른 도구를 가지고있을뿐 아니라 올바른 마음가짐을 가지는 것이 요구되고 있습니다. 본 블로그 기사 " IT 관리자가 가진 표적 공격 대책 5 가지 오해 '는 네트워크 보안에 큰 영향을 미칠 수있는 오해를 열거했습니다. 그중 표적 공격은 반드시 제로 데이 취약점을 이용한다는 오해가 있습니다. 지금까지 본 바와 같이 공격자가 이용하는 제로 데이 취약점에 아닙니다. 사실 오래된 취약점은 제로 데이 취약점보다 선호됩니다. 이것은 모든 핫픽스는 제공되면 모든 적용의 중요성을 강조하고 있습니다.
제로 데이 공격에 대처하는 것은 더욱 어려운 일이지만 불가능하지는 않습니다. 가상 패치 등 조치를 통해 제로 데이 취약점과 지원이 종료 된 OS에 존재하는 위협을 줄일 수 있습니다. 공격을 유치 허니팟은 초기 단계에서 공격을 경고합니다. 또한 지능형 검색과 "가상 환경 (샌드 박스)"보호 하여 의심스러운 파일을 탐지하고 네트워크에 영향을주지 않고 가상 환경에서 악성 파일을 실행할 수 있습니다. 기업은 또한 직원에 대한 교육도 검토하는 것이 좋습니다. "표적 형 메일」이 표적 형 사이버 공격의 초기 침입이되는 일이 빈번합니다. 직원이 의심스러운 메일에주의하도록 교육을받은 경우 네트워크 방어는 크게 향상 될 것입니다.
서버용 종합 보안 제품 ' Trend Micro Deep Security (트렌드 마이크로 딥 보안) "와" Trend Micro 취약점 방지 옵션 (바이러스 버스터 기업 에디션 플러그인 제품) "를 이용하는 고객은 다음 필터를 적용하여 위 제로 데이 취약점 이용 공격으로부터 보호됩니다.
- 1005801 - Microsoft Windows Kernel Elevation Of Privilege Vulnerability (CVE-2013-5065)
- 1005989 - Identified Malicious C & C Server SSL Certificate (For CVE-2014-1761)
- 1005990 - Microsoft Word RTF Remote Code Execution Vulnerability (CVE-2014-1761)
- 1006000 - Microsoft Word RTF Remote Code Execution Vulnerability (CVE-2014-1761) -1
- 1006030 - Microsoft Internet Explorer Remote Code Execution Vulnerability (CVE-2014-1776)
- 1006045 - Microsoft Internet Explorer Remote Code Execution Vulnerability (CVE-2014-1776) - 1
협력 저자 : Ziv Chang
참고 기사 :
by Trend Micro
번역 : 시나가와 아키코 (Core Technology Marketing, TrendLabs)
'Security_News > 해외보안소식' 카테고리의 다른 글
| 버라이존, 모바일 인터넷 활동 추적 (0) | 2014.10.29 |
|---|---|
| POS 악성코드 감염 증가 (0) | 2014.10.29 |
| 콜러 안드로이드 램섬웨어, SMS로 전파중 (0) | 2014.10.26 |
| 구글, 새로운 USB 키 보안기술 제공 (0) | 2014.10.26 |
| MS, 악성 파워포인트 문서이용한 공격 경고 (0) | 2014.10.26 |