8P by kunggom 2020-04-27 | favorite | 댓글과 토론

안티바이러스 프로그램이 악성 파일을 격리 조치하는 메커니즘을 역으로 악용하여, 임의의 파일을 제거할 수 있는 취약점이 발표되었습니다. (영어) 이 취약점은 2018년 가을에 호스팅 업체인 RACK911의 보안 부서에서 발견하였으며, 지금은 주요 안티바이러스 개발사에서 이를 패치했다고 합니다.

이 취약점은 기본적으로 안티바이러스 프로그램의 실시간 감시 기능이 악성 파일을 발견한 뒤 격리 조치하기까지 약간의 지연 시간이 있다는 것과, 파일 시스템에 있는 파일/디렉터리 연결 기능(Linux나 macOS에서는 Symbolic link, Windows에서는 Directory Junction을 사용)을 응용한 것입니다. 간단히 말하자면, 일부러 안티바이러스 프로그램의 실시간 감시 기능에 걸리는 파일(예를 들면 EICAR 테스트 파일)을 준비한 다음 안티바이러스가 이를 감지하면 파일이 격리되기 전에 없애버리고 싶은 파일의 심볼릭 링크로 슬쩍 대체해버리는 것입니다. 그러면 안티바이러스는 멀쩡한 파일을 격리소로 옮겨버리게 되겠지요. 이렇게 격리된 파일이 운영체제의 중요 파일이라면 시스템에 대한 서비스 거부 공격이 될 것이고, 안티바이러스 작동에 필요한 파일이라면 보안 시스템을 마비시킨 것이 됩니다. 이 기법은 타이밍이 중요하긴 하지만, 배치 파일에 의한 단순 반복으로도 충분히 성공할 수 있었던 모양입니다.

Windows용 개념 증명 영상 :
https://www.youtube.com/watch?v=MblUiyazdAc

macOS용 개념 증명 영상 :
https://www.youtube.com/watch?v=iVC_QJLOVt8