카스퍼스키가 최근 어도비플래시를 중심으로 한 취약점악용을 막을 수 있는 기술특허를 확보했다. 어도비플래시는 2015년 가장 많이 악용되는 프로그램으로 선정되는 등 사이버보안 측면에서 위험한 프로그램으로 악명이 높다. 자바, 어도비리더, 마이크로소프트 오피스 및 실버라이트 등 다른 프로그램도 취약점악용이 많지만 플래시의 경우 널리 사용되고 취약점의 영향이 중대할 뿐 아니라 사용자의 의한 업데이트가 소극적이라는 점으로 인해 압도적으로 높은 위험성을 가지고 있다.


컴퓨터를 감염시키는 과정은 크게 두 가지가 있다. 먼저 사용자의 직접적인 행동이 개입되는 과정으로 실행파일 다운로드 및 실행, 악성매크로가 포함된 문서 열기, 악성링크 클릭 등이 있다. 한편  범죄자 측에서 운영체제나 프로그램 등의 취약점을 발견하고 악용하는 방식의 경우에는 별도로 사용자의 행동이 요구되지 않는다. 예를 들어 웹브라우저에 취약점이 있다면 악성웹페이지를 열기만 해도 해킹이 가능해진다. 컴퓨터를 감염시키기 가장 쉬운 경로는 인터넷이며 따라서 웹사이트를 통한 취약점악용이 특히 인기를 끌도 있다. 이 경우 취약점악용은 웹브라우저에 국한되지 않으며 웹사이트 멀티미디어 재생에 필요한 자바 또는 어도비플래시 구성요소도 취약점악용의 대상이 되기도 한다.

플래시 영상을 프로그램으로 열리는 파일이 아닌 프로그램 자체로 이해될 수 있다. 플래시 영상은 웹사이트의 다른 컨텐츠와 합께 다운로드되지만 어도비플래시 구성요소를 통해 독자적으로 실행된다. 이 때 어도비플래시는 안전을 위해 자체적인 가상환경에서 이들 프로그램을 실행하며 이를 통해 인터넷에서 받은 코드가 컴퓨터에서 어떤 행동을 개시하려고 해도 파일이나 문서 또는 중요 운영체제 구성요소에 접근할 수 없다.


그러나 이는 이론적으로만 타당하며 실제로는 플래시 취약점악용을 통해 플래시의 가상화 보안대책도 우회될 수 있다. 아울러 플래시 가상환경은 그 속성상 공격자의 의도를 시스템으로부터 숨길 수 있는 수단이 되기도 한다. 특히 해커가 피해자별로 고유한 파일이름을 지정하여 제각기 다른 악성코드 파일을 생성할 수도 있다. 이는 대규모 파일목록에 의존하여 맬웨어를 탐지하는 기존 안티바이러스에게 문제가 된다. 수백만에 달하는 취약점악용은 그 기본적인 방식은 똑같지만 보안솔루션 입장에서는 모두 다르게 인식되기 때문이다. 또한 어도비플래시 프로그램은 프로그래밍 언어 3종으로 제작될 수 있으며 이로 인해 정상적인 플래시 컨텐츠로부터 악성컨텐츠를 탐지해 내는 과정이 더욱 복잡해질 수 있다.


결국 파일이름 표시의 문제도 있고 가상환경을 통해서도 안전을 담보할 수 없기 때문에 보안커뮤니티에서는 근본적 문제해결에 대한 논의가 한동안 정체된 상태였다. 관건은 악성코드를 실행하기 전에 그 속성을 파악하는 방법이다.  이론적으로는 어도비플래시에 코드를 전달하기 전에 별도로 가상환경을 구동할 수도 있으나 이 방법은 상시로 사용하기에는 자원도 많이 소요되고 너무 복잡하다.


카스퍼스키 연구진 Anton Ivanov와 Alexander Liskin이 고안한 신기술은 의심코드에 대한 에뮬레이션을 토대로 하고 있으며 작은 차이점을 가진 유사 오브젝트 다수를 훨씬 빠르게 분석할 수 있다. 연구진은 가상스택머신(virtual stack machine) 접근방식을 채택하여 코드를 직접 실행하지 않고도 그에 대한 정보를 수집할 수 있는 방식을 구현했다.


악성 플래시 오브젝트는 굳이 실행되지 않더라도 본래 속성을 밝혀낼 수 있다. 카스퍼스키 신기술을 적용한다면 맬웨어 제작자가 개별 코드에 변경을 가했다 해도 원래 기획된 악성코드의  속성을 파헤칠 수 있다. 결국 플래시 취약점악용을 파악할 경우 이와 동일한 수법을 사용하는 모든 맬웨어를 자동 차단할 수 있다. 이 신기술을 카스퍼스키 솔루션에 적용한 결과 이들 위협에 대한 탐지율이 두 배 가까이 상승했다. 이 정도의 탐지율 상승은 다른 안티바이러스에서는 목격하기 힘든 수준이다.


<참고: 카스퍼스키 안티바이러스 상세정보>




Marvin the Robot, Disarming Flash exploits, 8. 4. 2016.

https://usblog.kaspersky.com/flash-exploit-patent/7483/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.09 14:50

위로가기