북한 해킹 조직이 PC 광고창을 해킹한다! 팝업 알림(토스트)이 지닌 취약점은? 
새로운 '토스트' 취약점이 공개되었습니다. 토스트란 PC 화면 하단에서 토스트처럼 톡 튀어나오는 팝업 알림을 말하는데요. 주로 프로그램과 함께 설치되는 광고 실행 프로그램에서 사용됩니다. 해당 취약점은 CVE-2024-38178로 윈도우 스크립팅 엔진에서 발생하는 원격 코드 실행 취약점입니다. 이번 취약점은 안랩과 국가사이버안보센터(NCSC, National Cyber Security Center)가 함께 분석, 결과를 발표하게 되었는데요. 해당 취약점은 윈도우 최신 보안 패치를 통해 해소되었으니 최신 업데이트를 당부드립니다. 이 취약점을 악용한 배후에는 북한의 해킹 조직인 TA-RedAnt가 있다고 추정되고 있습니다. 과거 북한 관련 인물들을 대상으로 해킹 메일, 모바일 앱(APK), IE 취약점 등을 이용해 공격한 사례가 있기 때문입니다.사용률이 떨어진 IE의 취약점이 공격 목표가 된 이유그런데 이상합니다. CVE-2024-38178은 인터넷 익스플로러(IE)의 자바스크립트 엔진(jscript9.dll)을 통한 공격을 한다고 하는데요. IE는 거의 퇴출된 것 아닐까요? 그렇지만은 않습니다. 쉽게 인식하지 못하는 익스플로러가 아직 남아있기 때문입니다. 바로 토스트인데요. 요즘 쓰이는 대부분의 프로그램은 광고를 하드코딩 하지 않고 CDN에서 다운로드를 한 뒤에 보여주게 됩니다. 다양한 광고를 광고주의 요구에 맞춰서 바로바로 보여주기 위해서죠. 이 광고를 표시할 때 콘텐츠를 다운로드 후 WebView(웹뷰) 기능을 사용해 광고를 보여줍니다. 구현도 쉽고, 하이퍼링크와 이미지만 받으면 되니까 관리하기도 좋거든요. 이 웹뷰는 윈도우 프로그램에서는 대부분 IE 기반으로 작동하게 됩니다. 특히 과거에 만들어진 프로그램일수록 더 그렇되. 이렇게 되면 IE에서 발생하는 취약점이 해당 프로그램에서도 똑같이 발생하게 됩니다.토스트 광고 프로그램은 선택된 광고 대행사 서버에서 컨텐츠를 다운로드 받아 팝업 창 형태로 표시합니다. 이때 서버는 광고 컨텐츠가 포함된 HTML과 JavaScript를 응답 값으로 주는데, Toast 광고 프로그램은 해당 응답 값을 IE 브라우저 또는 웹뷰 모듈을 통해 그려내어 팝업 광고창을 표시하게 됩니다. 그런데 구버전 자바스크립트 엔진에는 Type Confusion 취약점이 존재하는데요. Type Confusion 취약점은 메모리에 할당된 데이터의 실제 타입과 프로그램이 해석하는 타입이 일치하지 않을 때 발생하는 오류입니다.문제 인지를 늦춘 자바스크립트의 기술적 특성특히 자바스크립트는 그 특성 때문에 쉽게 문제를 알아채기 힘들었는데요. JIT이라는 컴파일링 방식 때문입니다. JIT이란 Just-In-Time을 말하는데요. 대부분의 응용 프로그램은 소스코드 그 자체는 배포하지 않습니다. 대신 소스 코드와 다양한 라이브러리를 컴파일하여 실행 프로그램의 형태로 배포하는거죠. 하지만 웹 환경은 다릅니다. 화면에 그려내는 빠른 속도가 더 중요하기 때문에 소스 코드를 전송하고, 브라우저 안에 있는 자바스크립트 엔진이 직접 컴파일러링을 수행해서 실시간으로 프로그램을 만드는거죠. 마이크로소프트에서 사용하는 엔진은 차크라 엔진인데요. 이 차크라 엔진에서는 소스 코드에 있는 함수의 데이터 유형(Type information) 및 호출 횟수(Invocation counts)와 같은 정보를 분석, 함수의 프로파일을 생성합니다. 여기서 최적화된 기계 코드인 JIT’ed code를 생성, 여러 번 호출되는 코드가 탐지되면 바이트코드를 실행하는 대신 JIT’ed code를 실행하여 더 빠르게 프로그램을 동작시킬 수 있게 되죠.이 JIT’ed Code에서 문제가 발생합니다. 사람과 달리 기계는 아직 시큐어코딩의 개념이 없기 때문에 생성된 함수는 취약점에 노출될 수 있습니다. 매개변수(Parameter)로 정수형 변수(Integer value)를 입력 받는 함수가 있다고 가정해봅시다. 이 함수가 자주 호출되면. 차크라 엔진은 이를 여러번 호출되는 코드, 즉 hot 코드로 간주하고 정수형 변수를 전달받는 기계 코드를 만들게 됩니다. 자연스럽게 변수가 받는 파라미터의 데이터 유형을 정수로 예측하게 되죠. 이 때 매개변수를 정수가 아닌 다른 데이터 유형으로 전달하게 되면 Type Confusion이 발생, 이 오류를 악용하여 임의의 메모리 영역에 읽기 및 쓰기가 가능하게 됩니다. 공격자는 이 메모리 영역에 악성 코드를 적재, 실행하는 겁니다.키오스크 등 구형 윈도우 OS 사용 시스템의 공통 취약점이번에도 해커 그룹은 지원이 종료된 취약한 IE 브라우저의 엔진(jscript9.dll)을 사용하고 있는 토스트 광고 프로그램을 최초 침투 지점으로 악용했습니다. 지난 2022년 6월 IE 지원은 종료되었지만, 여전히 IE를 사용하고 있는 일부 윈도우 어플리케이션을 노린 공격이 꾸준히 발견되고 있어 주의가 필요합니다. 토스트뿐만 아닙니다. 키오스크와 같이 윈도우 OS가 임베딩 된 시스템 중 다수가 업데이트 없이 과거 버전을 꾸준히 쓰고 있는데요. 메뉴 정보 등을 받아오기 위해 키오스크 역시 인터넷에 연결되어 있다는 점을 생각해본다면 이 취약점이 생각보다 문제가 될 수 있음을 어렵지 않게 짐작할 수 있습니다.실제로 공격자는 특정 토스트 광고 프로그램이 광고 콘텐츠를 다운로드 할 때 지원이 종료된 취약한 IE 모듈을 사용한다는 점을 악용, 토스트 광고 프로그램이 광고 콘텐츠를 받아오는 국내 광고 대행사의 서버를 공격해 권한을 획득하고 광고 콘텐츠 관련 스크립트에 취약점 코드를 넣어 퍼트렸습니다. 이제 광고 스크립트를 받은 PC는 악성코드에 감염될 수 있게 된거죠. 공격자는 감염된 PC에 원격 명령을 내려 정보를 빼내거나 다른 시스템을 공격했습니다.이 악성 코드는 RokRAT 계열로 Ruby 스크립트를 통해 악성 코드를 수행하게 됩니다. 한번 광고 프로그램이 실행되어 악성코드가 배포되면 쉘 코드가 수행되는데요. 쉘 코드는 쉘 코드는 경유지로 쓰이는 클라우드 서버에서 1차 악성코드를 다운로드 받아 윈도우 탐색기 프로세스인 explorer.exe에 주입합니다. 이 악성코드는 먼저 실행되는 PC의 바탕화면과 작업표시줄에 등록된 파일, 실행 중인 프로세스를 분석하여 안티바이러스나 악성코드 분석도구가 있는지 확인하고, 분석도구가 없다면 2차 악성코드를 받아 시스템 정보를 수집, 해커에게 전송한 뒤 3차 악성코드를 받습니다. 3차 악성코드가 되어서야 본격적으로 악성코드의 본체 코드를 받고 Ruby Standalone 파일을 다운로드 받아 지속적인 공격이 가능하도록 시스템을 장악하기 시작합니다.북한 해커 소행으로 의심되는 악성코드! 최신 보안 패치와 사용자 주의 필요!이번에 확인된 RokRAT 계열의 악성코드는 과거 2020년, 대북 관련 사이트가 워터링 홀 공격을 받으며 유포되었던 코드와 진행방식이 동일한데요. 공격 대상의 정보를 탈취하고 탈취한 정보를 클라우드 서비스로 전송하는 역할 및 공격자로 하여금 원격 명령을 실행할 수 있게 하는 창구의 역할로 만드는 거죠. 특히 이번 공격은 프로그램 내부에 쓰이고 있는 낡은 IE 웹뷰 모듈을 목표로 한 것으로, 해당 취약점은 지난 8월 정기 패치를 통해 공식 CVE 코드(CVE-2024-38178, CVSS 7.5)가 발급되고, Jscrpit9.dll에 대한 패치가 배포되어 업데이트를 진행한다면 더 이상 피해는 발생하지 않겠지만 사용자가 토스트형 배너를 사용하는 프로그램에 대한 주의를 기울이지 않는다면 피해 예방을 위해 사용자가 아무리 운영체제 및 소프트웨어 등의 보안 패치 업데이트를 진행하더라도 피해를 입을 수 있다는 점에서 더욱 주의가 필요합니다.마이크로소프트측은 패치와 함께 "러시아, 중국, 이란, 북한의 위협 행위자들이 정부 및 기타 민감한 조직에 대한 공급망 공격을 수행하기 위해 IT 제품 및 서비스에 대한 접근을 추구했다"고 하면서 사업자금을 확보하기 위해 "2017년 이후 30억 달러 규모의 암호화폐를 훔쳤다"고 말했습니다. 북한은 2023년 한 해에만 6억 달러에서 10억 달러에 이르는 자금 탈취 사건에 연루, 여기서 훔친 자금을 통해 핵과 미사일 프로그램 재원의 절반 이상을 충당한 것으로 알려져 있는데요. MS는 보고서를 통해 북한은 해킹과 함께 랜섬웨어 사업에도 뛰어들고 있으며, 변종 랜섬웨어를 통해 얻은 수익과 기술을 통해 미국과 한국의 항공우주 및 방위 산업 조직에도 지속적으로 공격을 가하는 등의 영향을 미치고 있다고 지적했습니다.
Oct 25 2024
