2014.10.16

'허리케인 팬더' 해커, 마이크로소프트 제로데이 악용

Jeremy Kirk | CSO
지난 14일 마이크로소프트는 한 해커 그룹에 의해 한동안 사용되어 온 제로데이 결함 가운데 하나를 패치됐다. 크라우드스트라이크는 IT 기업들을 표적으로 한 이 그룹은 중국 정부와 연관이 있을 것으로 추정된다고 밝혔다.

크라우드스트라이크 CEO 드미트리 알페로비치는 자신의 회사가 속칭 '허리케인 팬더(Hurricane Panda)'라 불리는 이 해킹 그룹과 올해 초부터 매일매일 전투를 펼치고 있다고 말했다.

알페로비치는 14일 전화 통화에서 "이 해커그룹은 매우 지속적으로 활동하고 있다"며, "이 그룹이 객관적으로 중국 정부와 연관이 있음을 확신한다"고 말했다.

알페노비치는 "허리케인 팬더는 IT 인프라 업체을 표적으로 하는데, 자사의 서비스를 받고 있는 이들 기업의 회사명을 밝힐 수는 없다고 말했다.

알페로비치는 "크라우드스트라이크 애널리스트들은 종종 해커들이 네트워크로부터 침투하려는 공격 행동과 작업을 목격하는데, 공격과 방어를 빠르게 진행한 결과 그들의 거점을 확보하려는 해커들에 의해 실수를 이끌어낼 수 있었다"고 전했다.

알페로비치는 "이를 통해 이 해커들이 시도한 모든 명령을 기록할 수 있었으며, 그들이 무얼 하려는 지 바로 알아차릴 수 있었다"고 설명했다.

예를 들어 애널리스트들은 종종 해커들이 자신의 접속을 유지하려고 서두르는 바람에 호스트네임(hostname)를 'hsotname'으로, 원격(remote)을 'romote'로 잘못 입력하는 등의 명령어를 보게 된다.

허리케인 팬더는 제대로 만들어진 'Win64.exe' 익스플로잇 코드를 사용하고 있었는데, 이는 네트워크 시스템을 통해 한때 해킹한 적이 있는 컴퓨터에 이동할 수 있도록 한다.

이 툴은 공격자들이 대상 기업의 서버를 대체할 수 있는 차이나초퍼(ChinaChopper)라 불리는 웹셸(webshell)을 사용해 업로드됐다.

64비트 윈도우 시스템에서 운영되는 Win64.exe는 공격자들이 권한 상승 취약점을 이용해 허가를 받지 못한 사용자 계정을 갖고 다른 프로그램에서 관리자 권리를 획득할 수 있도록 한다.
마이크로소프트는 10월 14일 이 취약점(CVE-2014-4113)을 패치했다. 그러나 허리케인 팬더는 이를 한동안 계속 사용해 왔다. 알페로비치는 "크라우드스트라이크는 공격자들이 이 결함을 사용하고 있음을 발견했을 때 마이크로소프트에 통지한 바 있다"고 말했다.

악용하는데 성공했다면, 이 결함은 커널 모드에서 실행되어지는 임의의 코드를 허용해 공격자는 프로그램을 설치할 수 있으며, 데이터를 보거나 변경하고 완전한 관리자 권한을 갖고 있는 새로운 계정을 만들 수 있다.

알페로비치는 자체 블로그에서 "권한 상승 결함은 드문 것이 아니라 이것이 한 그룹에 의해 오랫동안 악용된 것은 상당히 드문 일"이라며, "이 익스플로잇은 보통 공급자로부터 구매한 것이거나 또는 자체적으로 개발된 것인데, 이는 공격자들이 악용할 수 있는 비공개 보안 버그에 대한 상당한 지식을 갖고 있음을 의미한다"고 전했다.

알페노비치는 "Win64.exe는 흥미로운 임베디드된 문자열(string of characters)을 포함하고 있는데, 'woqunimalegebi'는 중국 욕설로 번역할 수 있다"고 말했다.

크라우드스트라이크에 따르면, 이 단어는 종종 중국어에서 철자가 틀리곤 하는데, 이는 국가의 필터링 장비에 걸리는 것을 회피하고자 의도적으로 잘못 쓰는 것이다. 차오니마(fertile grass mud horse)는 알파카라는 낙타의 일종인데, 이 단어는 중국의 대표적인 욕설 가운데 하나로 쓰인다.

알페노비치는 "프로그래머들이 왜 이런 메시지를 넣었는 지는 말하기 어렵지만, 아마도 이 코드를 역엔지니어링하는 누군가에게 메시지를 보내기 위한 것일 것으로 보인다"고 설명했다. editor@itworld.co.kr


2014.10.16

'허리케인 팬더' 해커, 마이크로소프트 제로데이 악용

Jeremy Kirk | CSO
지난 14일 마이크로소프트는 한 해커 그룹에 의해 한동안 사용되어 온 제로데이 결함 가운데 하나를 패치됐다. 크라우드스트라이크는 IT 기업들을 표적으로 한 이 그룹은 중국 정부와 연관이 있을 것으로 추정된다고 밝혔다.

크라우드스트라이크 CEO 드미트리 알페로비치는 자신의 회사가 속칭 '허리케인 팬더(Hurricane Panda)'라 불리는 이 해킹 그룹과 올해 초부터 매일매일 전투를 펼치고 있다고 말했다.

알페로비치는 14일 전화 통화에서 "이 해커그룹은 매우 지속적으로 활동하고 있다"며, "이 그룹이 객관적으로 중국 정부와 연관이 있음을 확신한다"고 말했다.

알페노비치는 "허리케인 팬더는 IT 인프라 업체을 표적으로 하는데, 자사의 서비스를 받고 있는 이들 기업의 회사명을 밝힐 수는 없다고 말했다.

알페로비치는 "크라우드스트라이크 애널리스트들은 종종 해커들이 네트워크로부터 침투하려는 공격 행동과 작업을 목격하는데, 공격과 방어를 빠르게 진행한 결과 그들의 거점을 확보하려는 해커들에 의해 실수를 이끌어낼 수 있었다"고 전했다.

알페로비치는 "이를 통해 이 해커들이 시도한 모든 명령을 기록할 수 있었으며, 그들이 무얼 하려는 지 바로 알아차릴 수 있었다"고 설명했다.

예를 들어 애널리스트들은 종종 해커들이 자신의 접속을 유지하려고 서두르는 바람에 호스트네임(hostname)를 'hsotname'으로, 원격(remote)을 'romote'로 잘못 입력하는 등의 명령어를 보게 된다.

허리케인 팬더는 제대로 만들어진 'Win64.exe' 익스플로잇 코드를 사용하고 있었는데, 이는 네트워크 시스템을 통해 한때 해킹한 적이 있는 컴퓨터에 이동할 수 있도록 한다.

이 툴은 공격자들이 대상 기업의 서버를 대체할 수 있는 차이나초퍼(ChinaChopper)라 불리는 웹셸(webshell)을 사용해 업로드됐다.

64비트 윈도우 시스템에서 운영되는 Win64.exe는 공격자들이 권한 상승 취약점을 이용해 허가를 받지 못한 사용자 계정을 갖고 다른 프로그램에서 관리자 권리를 획득할 수 있도록 한다.
마이크로소프트는 10월 14일 이 취약점(CVE-2014-4113)을 패치했다. 그러나 허리케인 팬더는 이를 한동안 계속 사용해 왔다. 알페로비치는 "크라우드스트라이크는 공격자들이 이 결함을 사용하고 있음을 발견했을 때 마이크로소프트에 통지한 바 있다"고 말했다.

악용하는데 성공했다면, 이 결함은 커널 모드에서 실행되어지는 임의의 코드를 허용해 공격자는 프로그램을 설치할 수 있으며, 데이터를 보거나 변경하고 완전한 관리자 권한을 갖고 있는 새로운 계정을 만들 수 있다.

알페로비치는 자체 블로그에서 "권한 상승 결함은 드문 것이 아니라 이것이 한 그룹에 의해 오랫동안 악용된 것은 상당히 드문 일"이라며, "이 익스플로잇은 보통 공급자로부터 구매한 것이거나 또는 자체적으로 개발된 것인데, 이는 공격자들이 악용할 수 있는 비공개 보안 버그에 대한 상당한 지식을 갖고 있음을 의미한다"고 전했다.

알페노비치는 "Win64.exe는 흥미로운 임베디드된 문자열(string of characters)을 포함하고 있는데, 'woqunimalegebi'는 중국 욕설로 번역할 수 있다"고 말했다.

크라우드스트라이크에 따르면, 이 단어는 종종 중국어에서 철자가 틀리곤 하는데, 이는 국가의 필터링 장비에 걸리는 것을 회피하고자 의도적으로 잘못 쓰는 것이다. 차오니마(fertile grass mud horse)는 알파카라는 낙타의 일종인데, 이 단어는 중국의 대표적인 욕설 가운데 하나로 쓰인다.

알페노비치는 "프로그래머들이 왜 이런 메시지를 넣었는 지는 말하기 어렵지만, 아마도 이 코드를 역엔지니어링하는 누군가에게 메시지를 보내기 위한 것일 것으로 보인다"고 설명했다. editor@itworld.co.kr


X