메뉴 건너뛰기

오에스매니아


Windows Task Scheduler Zero Day Exploited by Malware


악성코드 개발자들이 윈도우의 작업 스케쥴러 제로데이 익스플로잇을 악용하기 시작했습니다. 이는 해당 취약점의 PoC 코드가 온라인에 공개된지 이틀 만입니다.


SandboxEscaper라는 보안 연구원은 8월 27일 윈도우 작업 스케쥴러가 사용하는 ALPC 인터페이스에 존재하는 보안 버그를 악용하는 소스코드를 발표했습니다.


구체적으로, 문제는 SchRpcSetSecurity API 기능에 존재합니다. 이는 사용자의 권한을 확인하지 않아 C:\Windows\Task의 파일 쓰기 권한을 허용합니다.


이 취약점은 윈도우 버전 7~10에 영향을 미치며, 공격자가 모든 권한을 SYSTEM 계정 수준으로 상승시켜 모든 접근권한을 얻는데 사용할 수 있습니다.


ESET의 연구원들은 익스플로잇 코드가 공개된지 며칠 후, PowerPool이라는 공격자들이 실시하는 악성 캠페인에서 이 코드가 사용되는 것을 발견했습니다. PowerPool은 그들이 주로 PowerShell로 작성 된 툴을 사용하기 때문에 붙여진 이름입니다.



GoogleUpdate.exe를 노리는 PowerPool


이 그룹은 칠레, 독일, 인도, 필리핀, 폴란드, 러시아, 영국, 미국 및 우크라이나에 약간의 피해자들을 보유한 것으로 보입니다.


연구원들은 PowerPool 개발자들이 익스플로잇의 바이너리버전을 사용하지 않고, 소스코드를 재컴파일링 하기 전 약간의 변화를 준 것으로 보인다고 밝혔습니다.


“PowerPool의 개발자들은 C:\Program Files (x86)\Google\Update\GoogleUpdate.exe 파일 컨텐츠를 변경했습니다. 이는 구글 어플리케이션의 합법적인 업데이터이며, 관리자 권한으로 정기적으로 마이크로소프트 윈도우 작업에 의해 실행 됩니다.”


이로 인해 PowerPool이 구글 업데이터의 실행 파일을 그들이 공격 2단계에서 사용하는 백도어의 복사본으로 덮어쓰기 할 수 있게 됩니다. 이 업데이터가 다음에 호출 되면, 백도어가 SYSTEM 권한과 함께 실행 될 것입니다.


연구원들에 따르면 PowerPool 악성코드 운영자들은 정찰 단계를 거쳐 관심이 있는 피해자들에게만 2단계 백도어를 사용하는 것으로 보입니다.


마이크로소프트는 ALPC 버그를 아직까지 패치하지 않았으나, 9월 11일 진행 될 월간 보안 업데이트에서 이를 수정할 것으로 추정 됩니다.


하지만, 마이크로소프트에서 승인한 것은 아니지만 취약점을 완화시킬 수 있는 방법이 있습니다. Karten Nilsen이 제공한 솔루션은 익스플로잇을 차단하며 예약 된 작업이 실행될 수 있도록 하지만, 예전 작업 스케쥴러 인터페이스에서 생성 된 것들이 손상을 입을 수 있습니다.


64비트 윈도우 10 버전 1803 사용자일 경우, 마이크로패치를 적용해 이 문제를 완화시킬 수 있습니다. 이는 임시 패치이며, Acros security의 0patch Agent를 설치해야 합니다.


현재 알약에서는 해당 악성코드들에 대해 Exploit.CVE-2018-0802, Backdoor.Agent.Cypress로 탐지중에 있습니다.



출처: http://blog.alyac.co.kr/1878?category=750247 [이스트시큐리티 알약 블로그] 



http://blog.alyac.co.kr/1878?category=750247

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
profile

무심

2018.10.12 21:30

정보 감사합니다

List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 174
402 보안 소식 구글 플러스 보안에 또 '구멍'…5천만명 개인정보 유출 file + 1 트라노 12-11 36
401 보안 소식 중국, 미국 컴퓨터에 백도어 용도의 칩 심어 염탐했다 + 7 파란하늘 10-05 936
400 보안 소식 주민등록증이 해킹됐다...주민증 지문+스마트폰+점토 한덩이에 인감증명까지 + 9 티오피 10-03 954
399 보안 소식 페이스북 해킹! 5천만 명 사용자의 계정 토큰 도난당해 + 5 티오피 09-30 389
398 보안 소식 “귀하의 계정이 해킹당했습니다” 혹스 이메일 피해 컸다 file + 2 티오피 09-30 194
397 보안 소식 모든 윈도우 버전에 영향을 미치는 제로데이 취약점 발견 + 1 티오피 09-30 150
396 보안 소식 MS 인터넷 익스플로러의 취약점, 익스플로잇되고 있어 파란하늘 09-27 109
395 보안 소식 랜섬웨어 때문에 ‘아이웹’ 서버 암호화 파란하늘 09-27 126
394 보안 소식 Kraken Cryptor 랜섬웨어, SuperAntiSpyware 보안 프로그램으로 위장 + 1 티오피 09-18 152
393 보안 소식 새로운 콜드 부트 공격, 거의 모든 최신 PC에서 디스크 암호화 해제해 + 1 티오피 09-18 180
392 보안 소식 CryptoNar 랜섬웨어 출현! 모든 파일 암호화 + 3 파란하늘 09-17 151
391 보안 소식 잠시 주춤한가 싶더니... 이미지 도용 위장 갠드크랩 활동 재개 티오피 09-15 96
390 보안 소식 [中 상반기 정보보안 동향③] 랜섬웨어 악성코드 TOP 10 + 1 티오피 09-15 69
389 보안 소식 보안 앱인줄 알았는데 스파이웨어! 2년 만에 스토어에서 삭제 + 1 티오피 09-15 116
388 보안 소식 새로운 콜드 부트 공격, 거의 모든 최신 PC에서 디스크 암호화 해제해 + 1 티오피 09-15 54
387 보안 소식 패치 되지 않은 사파리 브라우저, 공격자들이 URL 스푸핑 가능해 + 1 티오피 09-15 34
386 보안 소식 2중 인증 방식도 레딧 해킹 막지 못해 + 1 티오피 09-08 93
» 보안 소식 윈도우 작업 스케쥴러 제로데이를 악용하는 악성코드 발견 + 1 티오피 09-08 110
384 보안 소식 보안업계로 확대되는 구글 제국 영향력 + 1 티오피 08-31 139
383 보안 소식 중국 Huazhu Hotels Group 정보 유출! + 1 티오피 08-31 152
382 보안 소식 윈도우 10 KB4100347 인텔 CPU 업데이트, 부팅 이슈 발생 및 AMD 사용자들에게도 배포 돼 + 1 티오피 08-31 236
381 보안 소식 한국 사이트 100여곳 홈페이지 변조...왜? file + 1 티오피 08-28 155
380 보안 소식 T-Mobile 해킹 돼 - 2백만 고객의 개인 정보 도난 + 2 티오피 08-28 96
379 보안 소식 북한 추정 공격그룹의 8월 작전명은 ‘로켓맨’ + 1 티오피 08-27 103
378 보안 소식 Windows 원격코드 실행 취약점 보안 업데이트 권고 + 1 티오피 08-27 53
위로