Skip to content

Hacking Team Hacked, 영향과 대책은?


전대미문의 해킹팀의 데이터 유출에 따른 파급효과가 일파만파로 번지고 있습니다. 트렌드마이크로 전문가들이 최전선에서 분석하고 연구한 결과들을 공유합니다.

Hacking Team은?

이태리에 소재한 Hacking Team은 각국의 정부기관을 상대로 스파이웨어 제작 및 운영을 담당해 온 전문회사이다.. 국가기관이 민간을 사찰한 다는 의혹이 캐나다의 Citizen Lab등을 통해 제기되어 오다가 이번에 Wikileaks에 약 400GB에 달하는 회사정보와 전자우편 내용이 공개되기에 이른 것이다. 전세계 35개국 국가기관을 대상으로 고객을 확보하고 있으며 그중 대한민국의 국가정보원도 고객리스트에 들어 있으며 전자우편 교신 내용을 통해 일부 한국어 웹사이트가 익스폴로잇을 전파하는 사이트로 밝혀졌다.

해킹팀이 사용한 취약점


안드로이드 모바일 위협


PC 시스템 대상 해킹


보안업계에 미칠 영향

정교하게 제작된 전문 해킹 툴의 소스코드가 일반에 공개됨에 따라 악의적인 집단에 의한 무차별 해킹이 우려 된다. 또한 이 시각에도 음지에서 취약점 정보가 거래되고 있음을 보여주고 있어서 업계는 알려지지 않은 취약점에 의한 공격의 예방에 관심을 두어야 할 것으로 보인다. 특히 개인 통신내역과 위치정보가 들어있는 스마트폰의 보안에 대해 소비자들의 의식이 고조될 것으로 보인다.


솔루션

트렌드마이크로는 이미 공개된 모든 샘플들에 대한 패턴을 PC와 모바일 공히 업데이트하였으며 Deep Discovery Analyzer를 통해 알려지지 않은 새로운 바이러스도 동적으로 분석하여 확진하고 있으며, 취약점에 대해서는 Deep Discovery의 가상 패칭 기능을 이용하여 서버를 보호하고 있다.

  • 네트웍기반 APT탐지: Deep Discovery
    알려지지 않은 새로운 악성코드를 탐지하는 문서 파일 분석엔진(ATSE), 샌드박스에 탑재된 스크립트 분석기(SAL), 그리고 메일에 첨부된 모바일 악성코드까지 탐지

  • 모바일 백신: 모바일 시큐리티

  • 엔드포인트 백신 : 오피스스캔
    이미 알려진 시그니처를 패턴에 반영함은 물론 Browser Exploit Protection 기능을 사용하여 취약한 웹사이트 방문을 사전에 차단시킴

  • 가상패칭에 의한 취약점 방어 : Deep Security
    즉각적으로 IDS/IPS Rule을 업데이트시켜 서버의 취약점이 노출되지 않도록 방어

소개 자료

지난 8월 4일 주요 고객 초청 설명회를 가졌습니다. 발표자료가 필요하신 고객께서는 채널 파트너 또는 아래 이메일로 연락주시면 전달해 드리겠습니다.
E-mail: sales@trendmicro.co.kr

날짜 업데이트
7월 5일 이태리에 소재한 Hacking Team 사의 400기가바이트에 이르는 내부 비밀 정보와 전자우편 내용이 해킹되어 일반에 공개됨.
7월 7일

트렌드마이크로는 공개된 내부데이타에서 세 개의 익스플로잇(Three exploits) 을 발견함. 그 중 두개는 Flash Player 취약점을 이용한 것이고 다른 하나는 Windows kernel 취약점이었음. 그 중 플래시 취약점(CVE-2015-5119) 을 이용한 제로데이가 보고됨

Windows kernel vulnerability (CVE-2015-2387) 는 open type font manager module (ATMFD.dll) 에서 발견되었고 이것은 sandbox mitigation mechanism 을 우회하는 익스플로잇 코드였음.

Flash zero-day exploit (CVE-2015-5119)은 바로 Angler Exploit Kit 과 Nuclear Exploit Pack에 적용되었으며 이는 또한 한국 및 일본 사용자를 대상으로 한 공격에 제한적으로 사용되었음.

7월 11일 해킹팀 덤프에서 새로 두 개의 Flash zero-day 취약점, CVE-2015-5122CVE-2015-5123가 발견됨.
7월 13일 해킹팀 파일 덤프에서 이 회사가 공격 대상에게 적용하기 위해 Remote Control System (RCS) agent 를 심는 방편으로 UEFI BIOS rootkit 을 사용한 것이 밝혀짐.
7월 14일 IE 브라우저의 새로운 취약점 (CVE-2015-2425) 이 발견됨
7월 16일 모바일 기기를 대상으로 Google Play를 우회하는 가짜 뉴스앱, fake news app 이 발견됨.
7월 20일 Windows에 새로운 zero-day 취약점 (CVE-2015-2426)이 발견되어 마이크로소프트가 긴급 패치하게 되었음.
7월 21일 RCSAndroid spying tool 을 분석해본 결과 Hacking Team 이 통화내역을 감청하고 루트권한을 획득할 수 있게 해주는 것이 밝혀짐.
7월 28일 대만과 홍콩에서 Hacking Team 유출 플래시 취약점 이용한 악성코드 대량 발견

Connect with KR on