최근 보안업체 Cybellum에서  DoubleAgent 공격에 관한 보고서가 나와 논란입니다. MS사에서 제작한 "Application Verifier" 유틸리티를 악용할 경우 사실상 거의 모든 프로세서를 후킹할 수 있으며, 임의 코드를 실행할 수 있다는 것입니다. 특히나, 시중에 나온 백신들도 이 공격에 취약하기 때문에 심각하다는 의견입니다. 


Application Verifier는 프로그램의 동작을 감시하여 메모리 누수나 잘못된 포인터 지정 등 런타임 결함을 찾아내는 프로그램으로서 기능 특성상 프로세서에 DLL 인젝션(DLL Injection)을 수행합니다. 여기에 백신 프로그램도 예외가 없는 것이죠. 

만약 악의적인 DLL을 인젝션한다면 임의 코드를 통해 백신이 말웨어와 같이 행동하게 할 수도 있습니다. 


다만, 애초에 Application Verifier 를 실행하기 위해 최고 관리자 권한이 필요하기 때문에 이번 취약점은 우려할 수준은 아니라고 합니다. 

왜냐하면 최고 관리자 권한을 획득했다면 사실상 시스템을 장악한 것인데, 많은 부분에서 이미 권한이 있는 상황에서는 위 방법처럼 어렵게 수행하지 않고도 악성행위가 가능하니 큰 의미를 둘 필요는 없다는 것이 백신업체들의 주장입니다. 


즉, 이번 취약점이 윈도우의 관리자 권한까지 탈취할 수 있었다면 충분히 위협이 될 수 있겠지만, 권한 탈취와 별개이기 때문에 파급력은 적다는 것입니다.


저도 위험성을 과장한 경향이 있다고 생각합니다. 사실 권한 탈취가 어려운 것이지. 이미 탈취 한 이후에는 쉽게 조작이 가능합니다. 


어쨌든 백신 업체에서는 이미 패치가 진행중이며, 일부 소수 업체들만 아직 Fix 를 개발 중이라고 합니다. 

기술 참고문서 : http://blog.alyac.co.kr/1030



[보안뉴스] 백신 제품을 멀웨어로 둔갑시키는 더블에이전트 공격 - http://mcaf.ee/uciqn3

+ Recent posts