2017.09.19

"백도어 설치된 씨클리너 통해 227만 사용자 악성코드 감염"…시스코 탈로스

Ms. Smith | CSO
해커들은 씨클리너(CCleaner)에 설치한 백도어를 통해 한달동안 200만 명이 넘는 사용자들을 악성코드에 감염시켰다.

악성코드에 감염된 시스템 버전은 씨클리너 v5.33.6162 32비트 버전과 씨클리너 클라우드 v1.07.3191이며, 이 버전의 경우 2017년 8월 15일 전에 상태로 복구하거나 재설치해야 한다.


Credit: Chris Hoffman

해커들은 인기있는 PC 최적화 프로그램인 씨클리너를 백도어로 사용했다. 악성코드에 감염된 두 개의 버전은 거의 한달 동안 네트워크 어댑터 목록뿐만 아니라 컴퓨터 이름, IP 주소, 설치된 소프트웨어와 활성 소프트웨어 목록 등의 데이터를 수집해 공격자의 서버에 보낸다.

시스코 탈로스(Cisco Talos)는 9월 13일 한 기업 고객이 새로운 익스플로잇 탐지 기술을 베타 테스트하는 과정에서 이 악성코드를 발견했다. 시스코 탈로스는 "감염된 버전의 씨클리너가 거의 한달 가량 배포됐다"고 경고했다.

씨클리너 5.33은 8월 15일에 발표됐으며, 해킹 코드가 없는 더 새로운 버전은 9월 12일에서야 나왔다. 8월에 출시된 클라우드 버전 또한 감염된 것이다. 이 백도어 버전은 지난 7월 안티바이러스 업체인 어베스트(Avast)가 인수한 피리폼(Piriform)에게 발행된 유효한 인증서를 사용해 서명했다.

시스코 탈로스 연구원은 "외부 공격자가 개발 또는 구축 환경의 일부를 해킹해 씨클리너 측에서 출시하거나 호스팅한 씨클리너 빌드에 악성코드를 삽입하는 접속권한을 활용했을 가능성이 크다. 또한 조직 내 개발 환경이나 빌드 환경에 대한 접속 권한이 있는 내부자가 의도적으로 악의적인 코드를 포함시키거나 침입자가 코드를 삽입할 수 있는 계정을 해킹했을 수도 있다"고 말했다.

씨클리너의 제작업체인 피리폼은 이번 공격 사실을 인정했다. 어베스트는 9월 12일 "사용자의 최대 3%가 사용할 수 있는 씨클리너 v5.33.6162와 씨클리너 클라우드 v1.07.3191 제품의 32비트 버전이 지능적인 수단에 의해 해킹당했다"고 밝히며, 이 날, 백도어가 없는 씨클리너를 발표했다.

해킹된 클라우드 버전의 경우, 8월 24일 발표된 씨클리너 클라우드 v1.07.3191인데, 9월 15일 악성코드에 감염되지 않은 버전을 출시했다.

감염된 씨클리너, 227만 대 설치  
어베스트 측은 사용자가 당황하지 않길 바라지만 "227만 대의 시스템이 백도어 버전을 설치했다"고 말했다.

피리폼은 예전에 매주 500만 건의 설치와 총 20억 건의 씨클리너 다운로드가 있었다고 주장한 바 있다. 시스코 탈로스는 "해킹 당한 시스템이 극도로 많기 때문에 이번 공격의 영향은 심각할 수 있다"고 말했다.

시스템 가운데 아주 조금이라도 해킹당했다면 공격자는 여러가지 악의적인 목적을 위해 이를 사용할 수 있다. 해킹당한 시스템들은 2017년 8월 15일 이전 상태로 복원하거나 재설치해야 한다. 또한 사용자들은 감염되지 않도록 최신 버전의 씨클리너로 업데이트해야 한다. 현재 가장 최근 버전은 5.34이다.

무료 버전의 경우, 백도어가 없는 버전으로 자동 업데이트가 되지 않기 때문에 이를 계속 사용하려면 사용자가 스스로 씨클리너의 안전한 버전으로 업데이트해야 한다.

씨클리너는 IT에 능통한 사용자들에게 아주 인기있는 제품이다. 이런 신뢰를 이용한다는 점에서 이번 공격이 심각한 이유다. 안티바이러스 업체가 악성코드로 사용자를 감염시키리라고는 전혀 예상하지 못하기 때문이다.

시스코 탈로스는 다음과 같은 결론을 내렸다.
"이것은 공격자가 전 세계 조직과 개인에게 악성코드를 배포하려는 시도 가운데 대표적인 예라고 볼 수 있다. 소프트웨어 공급업체와 사용자 간 신뢰 관계를 악용해 공격자는 업데이트를 배포하는 데 사용되는 파일과 웹 서버에 대한 사용자의 신뢰를 활용할 수 있다." editor@itworld.co.kr  


2017.09.19

"백도어 설치된 씨클리너 통해 227만 사용자 악성코드 감염"…시스코 탈로스

Ms. Smith | CSO
해커들은 씨클리너(CCleaner)에 설치한 백도어를 통해 한달동안 200만 명이 넘는 사용자들을 악성코드에 감염시켰다.

악성코드에 감염된 시스템 버전은 씨클리너 v5.33.6162 32비트 버전과 씨클리너 클라우드 v1.07.3191이며, 이 버전의 경우 2017년 8월 15일 전에 상태로 복구하거나 재설치해야 한다.


Credit: Chris Hoffman

해커들은 인기있는 PC 최적화 프로그램인 씨클리너를 백도어로 사용했다. 악성코드에 감염된 두 개의 버전은 거의 한달 동안 네트워크 어댑터 목록뿐만 아니라 컴퓨터 이름, IP 주소, 설치된 소프트웨어와 활성 소프트웨어 목록 등의 데이터를 수집해 공격자의 서버에 보낸다.

시스코 탈로스(Cisco Talos)는 9월 13일 한 기업 고객이 새로운 익스플로잇 탐지 기술을 베타 테스트하는 과정에서 이 악성코드를 발견했다. 시스코 탈로스는 "감염된 버전의 씨클리너가 거의 한달 가량 배포됐다"고 경고했다.

씨클리너 5.33은 8월 15일에 발표됐으며, 해킹 코드가 없는 더 새로운 버전은 9월 12일에서야 나왔다. 8월에 출시된 클라우드 버전 또한 감염된 것이다. 이 백도어 버전은 지난 7월 안티바이러스 업체인 어베스트(Avast)가 인수한 피리폼(Piriform)에게 발행된 유효한 인증서를 사용해 서명했다.

시스코 탈로스 연구원은 "외부 공격자가 개발 또는 구축 환경의 일부를 해킹해 씨클리너 측에서 출시하거나 호스팅한 씨클리너 빌드에 악성코드를 삽입하는 접속권한을 활용했을 가능성이 크다. 또한 조직 내 개발 환경이나 빌드 환경에 대한 접속 권한이 있는 내부자가 의도적으로 악의적인 코드를 포함시키거나 침입자가 코드를 삽입할 수 있는 계정을 해킹했을 수도 있다"고 말했다.

씨클리너의 제작업체인 피리폼은 이번 공격 사실을 인정했다. 어베스트는 9월 12일 "사용자의 최대 3%가 사용할 수 있는 씨클리너 v5.33.6162와 씨클리너 클라우드 v1.07.3191 제품의 32비트 버전이 지능적인 수단에 의해 해킹당했다"고 밝히며, 이 날, 백도어가 없는 씨클리너를 발표했다.

해킹된 클라우드 버전의 경우, 8월 24일 발표된 씨클리너 클라우드 v1.07.3191인데, 9월 15일 악성코드에 감염되지 않은 버전을 출시했다.

감염된 씨클리너, 227만 대 설치  
어베스트 측은 사용자가 당황하지 않길 바라지만 "227만 대의 시스템이 백도어 버전을 설치했다"고 말했다.

피리폼은 예전에 매주 500만 건의 설치와 총 20억 건의 씨클리너 다운로드가 있었다고 주장한 바 있다. 시스코 탈로스는 "해킹 당한 시스템이 극도로 많기 때문에 이번 공격의 영향은 심각할 수 있다"고 말했다.

시스템 가운데 아주 조금이라도 해킹당했다면 공격자는 여러가지 악의적인 목적을 위해 이를 사용할 수 있다. 해킹당한 시스템들은 2017년 8월 15일 이전 상태로 복원하거나 재설치해야 한다. 또한 사용자들은 감염되지 않도록 최신 버전의 씨클리너로 업데이트해야 한다. 현재 가장 최근 버전은 5.34이다.

무료 버전의 경우, 백도어가 없는 버전으로 자동 업데이트가 되지 않기 때문에 이를 계속 사용하려면 사용자가 스스로 씨클리너의 안전한 버전으로 업데이트해야 한다.

씨클리너는 IT에 능통한 사용자들에게 아주 인기있는 제품이다. 이런 신뢰를 이용한다는 점에서 이번 공격이 심각한 이유다. 안티바이러스 업체가 악성코드로 사용자를 감염시키리라고는 전혀 예상하지 못하기 때문이다.

시스코 탈로스는 다음과 같은 결론을 내렸다.
"이것은 공격자가 전 세계 조직과 개인에게 악성코드를 배포하려는 시도 가운데 대표적인 예라고 볼 수 있다. 소프트웨어 공급업체와 사용자 간 신뢰 관계를 악용해 공격자는 업데이트를 배포하는 데 사용되는 파일과 웹 서버에 대한 사용자의 신뢰를 활용할 수 있다." editor@itworld.co.kr  


X