최근 보안업체 Cybellum에서 DoubleAgent 공격에 관한 보고서가 나와 논란입니다. MS사에서 제작한 "Application Verifier" 유틸리티를 악용할 경우 사실상 거의 모든 프로세서를 후킹할 수 있으며, 임의 코드를 실행할 수 있다는 것입니다. 특히나, 시중에 나온 백신들도 이 공격에 취약하기 때문에 심각하다는 의견입니다.
Application Verifier는 프로그램의 동작을 감시하여 메모리 누수나 잘못된 포인터 지정 등 런타임 결함을 찾아내는 프로그램으로서 기능 특성상 프로세서에 DLL 인젝션(DLL Injection)을 수행합니다. 여기에 백신 프로그램도 예외가 없는 것이죠.
만약 악의적인 DLL을 인젝션한다면 임의 코드를 통해 백신이 말웨어와 같이 행동하게 할 수도 있습니다.
다만, 애초에 Application Verifier 를 실행하기 위해 최고 관리자 권한이 필요하기 때문에 이번 취약점은 우려할 수준은 아니라고 합니다.
왜냐하면 최고 관리자 권한을 획득했다면 사실상 시스템을 장악한 것인데, 많은 부분에서 이미 권한이 있는 상황에서는 위 방법처럼 어렵게 수행하지 않고도 악성행위가 가능하니 큰 의미를 둘 필요는 없다는 것이 백신업체들의 주장입니다.
즉, 이번 취약점이 윈도우의 관리자 권한까지 탈취할 수 있었다면 충분히 위협이 될 수 있겠지만, 권한 탈취와 별개이기 때문에 파급력은 적다는 것입니다.
저도 위험성을 과장한 경향이 있다고 생각합니다. 사실 권한 탈취가 어려운 것이지. 이미 탈취 한 이후에는 쉽게 조작이 가능합니다.
어쨌든 백신 업체에서는 이미 패치가 진행중이며, 일부 소수 업체들만 아직 Fix 를 개발 중이라고 합니다.
기술 참고문서 : http://blog.alyac.co.kr/1030
[보안뉴스] 백신 제품을 멀웨어로 둔갑시키는 더블에이전트 공격 - http://mcaf.ee/uciqn3
'Security News (A:\) > A:\> Korean News' 카테고리의 다른 글
페이스북 침투테스트 하다가 미스터리 백도어 발견! (0) | 2016.04.26 |
---|---|
리눅스 황당버그 "백스페이스 28번 누르면 뚫린다?" (0) | 2016.04.26 |
애드웨어 서버 해킹해 파밍 악성코드 유포중 (0) | 2015.11.17 |
새로운 랜섬웨어 ‘키메라’...개인파일 인터넷 공개 협박 (0) | 2015.11.05 |
모바일 멀웨어 가운데 가장 위협적인 건 ‘랜섬웨어’ (0) | 2015.11.01 |