테크레시피

안티바이러스 SW 악용해 PC 데이터 파괴?

마이크로소프트 디펜더나 어베스트, AVG, 트렌드마이크로 같은 주요 안티바이러스나 엔드포인트 감지 응답 소프트웨어가 감염된 파일을 삭제하는 기능을 악용해 PC 데이터를 삭제하고 복원하지 못하게 하는 제로데이 취약점이 있다는 게 밝혀졌다.

사이버 보안 기업인 세이프브랜치(SafeBreach)는 2022년 12월 7일 대상 시스템 위에 설치된 보안 소프트웨어를 악용해 스텔스화된 공격을 실시해 특권 없이 피해자 단말 데이터를 삭제할 수 있는 개념 실증 PoC를 보고했다.

세이프브랜치 측에 따르면 많은 안티바이러스 소프트웨어 실시간 보호 기능은 자동 스캔으로 악의적 파일 검색과 악의적 파일 삭제라는 2단계로 나눌 수 있다고 말한다. 그리고 이 2개 단계 간극을 간섭해 오작동을 일으키는 TOCTOU(Time of check to time of use)라는 불편을 이용해 악의적 파일 검출 후 해당 파일 패스 대신 정당한 파일 경로를 지정하면 원래라면 액세스에 특권이 필요한 시스템 파일마저 삭제해버렸다. 보안 소프트웨어 힘을 이용해 반대로 데이터를 지워버리기 때문에 보안 콘퍼런스(Black Hat Europe 2022)에서 발표된 이 PoC는 아키도 와이퍼(Aikido Wiper)라고 명명되고 있다.

주요 보안 소프트웨어를 대상으로 아키도 와이퍼를 시도해본 결과 11개 제품 중 6개 제품(Microsoft Windows Defender 및 Windows Defender for Endpoint, TrendMicro ApexOne, Avast Antivirus, AVG Antivirus, SentinelOne) 등 절반 이상에서 유효한 것으로 나타났다고 한다. 아키도 와이퍼는 시스템에서 가장 신뢰할 수 있는 보안 소프트웨어 기능을 악용하기 때문에 검색하거나 파일 삭제를 막을 수 없다. 또 드라이버를 포함한 중요한 시스템 파일을 삭제할 수 있어 운영체제가 부팅되지 않을 수 있다.

회사 측은 발표에 앞서 2022년 7월과 8월 문제가 확인된 보안 제품 공급업체에 해당 취약점을 알렸다. 그 결과 통보를 받은 기업 중 마이크로소프트, 트렌드마이크로, 어베스트 3사만 수정 패치를 작성해 릴리스했다. 하지만 센티널원은 아직 확인되지 않았고 테스트를 거치지 않은 다른 기업 보안 제품에도 해당 익스플로잇이 잠재되어 있을 수 있다.

따라서 세이프브랜치는 현재 EDR이나 안티 바이러스 제품을 사용하는 조직은 해당 취약점에 대해 공급업체와 상의한 뒤 공급 업체가 제공한 소프트웨어 업데이트 또는 패치를 빠르게 설치하도록 권장했다. 관련 내용은 이곳에서 확인할 수 있다.

추천기사