익스플로잇 키트 (Exploit kit)란 무엇입니까?

인터넷 사용자들은 검색을 하는 동안 자신도 모르는 사이 일부 웹사이트에 숨어 있는 악성 익스플로잇 키트에 노출될 수 있다는 사실을 깨닫지 못합니다. 익스플로잇 키트는 일반적인 웹 검색과 문서 뷰어 프로그램에서 한 개 이상의 잠재적 취약점을 악용하는 악성코드로 구성됩니다. 보다 정교한 익스플로잇 키트는 먼저 웹사이트 방문자 기기에서 소프트웨어 취약점을 검사한 후 공격에 취약한 소프트웨어 버전만 대상으로 공격합니다.

검사 결과를 설명하기 위해 공격자가 익스플로잇 키트에서 무기화할 만한 취약점 검사 도구인 PluginDetect를 살펴봅시다. PluginDetect는 자바스크립트 코드를 실행해 OS 유형과 사용 중인 브라우저, 플러그인이나 다른 소프트웨어 컴포넌트를 탐지합니다.

 

그래서 익스플로잇 키트 측면에서 봤을 때 공격에 취약한 소프트웨어 버전을 실행한다면 다중 계층 보호 솔루션과 같은 다른 보호가 없는 한 컴퓨터에 악성 코드를 유포하는 행위를 계속할 수 있습니다.


익스플로잇 키트는 어디서 찾을 수 있나요?

훼손되거나 악성 웹사이트 또는 합법적 광고 네트워크를 통해 제공되는 악성 광고에서 익스플로잇 키트가 호스팅 되는 경우가 자주 있습니다. 사용자들은 방문하고 있는 웹사이트에 있는 악성코드가 취약성을 검사해 장치를 공격한다는 사실을 대개는 잘 모릅니다. 더군다나 해커들은 최근 뉴스 매체나 유행하는 주제를 이용해 악성 사이트로 유인하려 하기 때문에 더 많은 기기를 손상시키게 됩니다.

 

최근의 예를 들면 ESET 연구원은 도메인 명 일부를 “coronavirus”라는 용어를 이용한 여러 개의 악성 사이트 (coronavirusstatus[.]space와 같은)를 찾았습니다. ESET 보안 솔루션 사용자들은 이런 악성 사이트로부터 보호됩니다.

사이버 보안 위험 관련 읽을 기사 (영문) : 스트리밍 사이트를 이용할 때 발견되는 일반적인 위협

 어도비 플래시의 중단까지 매달리는 익스플로잇 키트

사용자들은 무의식적으로 익스플로잇 키트에 권한을 줍니다. 사용자는 패치되지 않은 이전 버전의 소프트웨어를 실행하므로 익스플로잇 키트에 더 많은 공격의 기회를 열어줍니다. 악명 높은 취약 소프트웨어에는 인터넷 브라우저와 플러그인, 어도비 플래시, 어도비 리더, 자바와 MS 오피스 등이 포함되어 있습니다.

 

다행스럽게도 업계에서는 취약성에 대한 패치를 더 빨리 제공하고 계속 문제가 되는 클라이언트 소프트웨어 컴포넌트 사용을 단계적으로 중단하는 등 브라우저에서 공격 영역을 최소화기 위해 많은 노력을 해왔습니다.

어도비가 2020년 12월 31일 플래시 플레이어의 EOL (End of life)을 발표했을 때 구글, 모질라, MS는 브라우저에서 플래시 지원을 중단하기로 몇 년에 걸쳐 단계적으로 계획했습니다. 이를 통해 오랫동안 어도비 플래시에서 발견된 많은 수의 취약점을 악용한 익스플로잇 키트에서 인터넷 사용자를 보호할 수 있게 되었습니다.

 

그러나 ESET 연구원들은 여전히 인터넷 익스플로러와 함께 어도비 플래시 내의 오랜 취약점이 현재 익스플로잇 키트의 "히트 리스트"의 최상위에 위치하는 것을 확인하고 있습니다. 그런 이유로, ESET은 CVE-2018-15982 (어도비 플래시),  CVE-2018-4878 (어도비 플래시) 그리고 CVE-2018-8174 (인터넷 익스플로러) 등의 취약점에 특히 주의해야 한다고 경고합니다.

 

플래시 플레이어 CVE에 대해서 보자면 이것은 UAF (use-after-free)와 관련이 있습니다. 어떤 경우에는 플래시 플레이어가 실행되는 프로세스 메모리 관리가 잘못되어 있었습니다. 특히, 할당된 메모리에 대한 참조 (포인터)는 메모리가 재할당당이 자유롭다고 표시된 후 사용이 가능했습니다. 허상 포인터를 사용하면 플래시 플레이어가 프로그램 메모리의 유효한 데이터 손상과 공격자가 주입한 악성코드 실행을 포함해 원치 않는 여러 동작이 발생할 위험이 있습니다. 

 

비슷하게도 인터넷 익스플로러에는 VBScript 엔진이 메모리 개체를 처리하는 방식에 버그가 있었습니다.

 

브라우저 업데이트로 취약점 공격으로부터 보호

사용자는 자신의 시스템을 취약성에 대항해 패치하는 데 계속해서 주의를 기울여야 합니다. 기업과 일반 대중 둘 다 크롬, 파이어폭스, 엣지, 인터넷 익스플로러 그리고 사파리와 같이 유명한 브라우저의 업데이트를 더 잘 관리할 수 있는 옵션이 있습니다. 플래시 플레이어가 최신의 상태인지 확인하려면 이곳에서 안내하는 권고를 따르세요.

 

패치를 잘 적용하는 거 외에도 보안 솔루션이 익스플로잇 형태 행위에 대한 보호 계층이 켜져 있는지 확인하는 것이 중요합니다. 윈도우용 ESET 엔드포인트 제품에는 익스플로잇의 의심스러운 활동에 대한 프로세스를 모니터링하는 익스플로잇 차단 모듈이 기본적으로 활성화되어 있습니다.

 

익스플로잇 차단 의심스러운 프로세스를 식별하면 즉시 프로세스를 중단할 수 있습니다. 이런 모듈이 있는 제품은 익스플로잇을 특징 짓는 일반적인 행위에 대한 보호 계층을 제공합니다. 컴퓨터가 추약점 공격을 받지 않도록 익스플로잇 키트에서 보호할 수 있습니다. ESET의 익스플로잇 차단 기술을 이 곳에서 확인하세요.

 

 

 

 

사업자 정보 표시
ESET KOREA operated by ESTC | 정형래 | 서울시 서초구 바우뫼로 216 화인빌딩 3층 | 사업자 등록번호 : 264-81-44862 | TEL : 070-7839-0510 | Mail : sales@estc.co.kr | 통신판매신고번호 : 제2015-서울서초-0624호 | 사이버몰의 이용약관 바로가기
블로그 이미지

셈틀씨

안전한 기술을 즐기는 ESET KOREA operated by ESTC 공식 블로그입니다.

댓글을 달아 주세요