[07] 제로데이 공격(Zero-Day Attack)

제로데이라는 키워드는 알고 있었지만, 정확한 내용에 대해서는 잘 모르고 있었다.

 

하지만, 종종 보안 관련 뉴스를 찾아보는데, 이번 코로나-19 바이러스로 인해 학교와 직장에서 사용하고 있는 '줌' 프로그램에서 제로데이 약점도 발견됐다고 하여 이에 대해 자세히 찾아보게 되었다.

 

일단, 줌에서 발견된 제로데이 공격은 이 공격 하나만으로 최초 침투는 어렵다고 보고 있으며, 이미 침투된 PC에 이 공격을 감행하게 된다면, 루트 권한을 탈취한다고 한다.

탈취하는 방법은 바이너리를 runwithroot 스크립트를 포함하도록 조작한다고 한다.

 

1. 제로데이 공격?

- 특정 SW에서 아직 패치되지 않은 취약점을 이용한 해킹의 통칭

   -> 해당 취약점에 대한 대책이 아직 없기 때문에 공격을 막을 수 없다.

 

2. 제로데이 공격 타임라인

   (1) 어떤 회사의 소프트웨어에 취약점이 포함됨

   (2) 해커들이 개발자보다 먼저 취약점을 발견하거나, 개발자가 수정하기 전에 공격

   (3) 취약점이 여전히 개방된 상태로 사용 가능한 동안 익스플로잇 코드 작성 및 실행

   (4) 익스플로잇이 공개된 후, 대중이 정보 유출로 인식하거나, 개발자가 취약점을 포착해 패치 적용

      -> 패치가 작성되면, 이 익스플로잇은 더 이상 제로데이가 아님. (발견까지는 보통 몇 달에서 몇 년 까지 걸린다)

 

3. 대처하는 법

- 발견보다는 보호가 더 중요하다고 여겨지고 있어, 국제 전략문제 연구소의 제임스 루이스에 따르면,

   4가지 대책을 적절히 병행하라고 한다.

   (1) 화이트리스팅(Whitelisting)

   (2) 빠른 OS 패치

   (3) 빠른 애플리케이션 패치

   (4) 관리자 권한을 가진 인력의 최소화

- 계층형 보안 도입

   -> 정기적으로 패치 적용 및 안티 바이러스 시스템을 설치해 주기적으로 검사해주어야 한다.

 

4. 사례

- 스턱스넷

   -> 제로데이 취약점 5개를 이용한 대표적인 웜

- 어도비 플래시

   -> 2018년, 북한에서 플래시 Use-after-free 취약점 기반 악성코드 유포, KISA 긴급 대응

- 마이크로소프트 IE

   -> IE7에서 취약점이 발견되어 패치했는데 이전 모든 버전에서 존재해온 취약점

- 스펙터와 멜트다운

   -> 구글에선 제로데이 공격 방지를 위해 인텔 등에 취약점 사전 공지

 

* 2012년부터 2016년까지 제로데이를 가장 많이 활용하는 공격자들은 주로 실력자들이었지만,

  2017년부터 제로데이 익스플로잇이 보편화되면서 누구나 쉽게 사용할 수 있게 되었다.

 

 

 

출처

1. https://namu.wiki/w/%EC%A0%9C%EB%A1%9C%20%EB%8D%B0%EC%9D%B4%20%EA%B3%B5%EA%B2%A9

2. https://www.fireeye.kr/current-threats/what-is-a-zero-day-exploit.html

3. http://www.itworld.co.kr/print/83313

4. http://itwiki.kr/w/%EC%A0%9C%EB%A1%9C%EB%8D%B0%EC%9D%B4_%EA%B3%B5%EA%B2%A9