최근의 제로데이 익스플로잇

제로데이 위협에 무력한 표준 방어

제로데이 공격은 알려지지 않았고 패치를 제공하거나 수정할 수 없는 소프트웨어 결함에 대한 사이버 공격입니다.

제로데이 공격을 탐지하기는 매우 어렵고, 특히 기존의 방어 시스템을 사용하는 경우에는 더욱 어렵습니다. 기존의 보안 시스템은 악성코드 시그니처와 URL 평판에 중점을 둡니다. 그러나, 제로데이 공격에 대한 이러한 정보는 제로데이라는 뜻 그대로 알려져 있지 않습니다. 사이버 공격자들은 기술이 뛰어나고, 그들이 작성한 악성코드는 몇 개월 또는 몇 년 동안 탐지되지 않으므로, 복구할 수 없는 피해를 입힐 시간이 많습니다.

최근에 발견된 종류의 제로데이 공격을 검토한 결과, 운영 체제 수준의 방어는 효과가 감소하고 있고, 워터링 홀 공격은 더 자주 발생하고 있으며, 사이버 공격은 더 정교해져서 조직의 방어 시스템을 더 쉽게 우회하고 있다는 것이 명백해졌습니다.

최근의 제로데이 공격과 취약점

2017년 제로데이 익스플로잇

FireEye는 2014년에 5건의 제로데이 익스플로잇을 발견했습니다.

  • CVE-2017-8759 – SOAP WSDL 파서 코드 주입 FireEye는 최근 SOAP WSDL 파서 코드 주입 취약점인 CVE-2017-8759를 활용하는 악성 마이크로소프트 오피스 RTF 문서를 탐지했습니다. 이 취약점은 악의적인 공격자가 SOAP WSDL 정의 콘텐츠 파싱 중에 임의의 코드를 주입하는 것을 허용합니다.
  • CVE-2017-0261 – EPS "복구" 유즈-애프터-프리FireEye는 마이크로소프트 인캡슐레이티드 포스트스크립트(EPS)에 있는 “복구” 유즈-애프터-프리 취약점인 CVE-2017-0261이 털라(Turla)로 알려진 그룹의 SHRIME 악성코드와 금전적 이득을 노린 알 수 없는 공격자의 NETWIRE 악성코드를 전달하는 데 사용되는 것을 탐지했습니다.
  • CVE-2017-0262 – EPS의 타입 컨퓨전FireEye는 마이크로소프트 오피스 인캡슐레이티드 포스트스크립트(EPS)의 타입 컨퓨전 취약점인 CVE-2017-0262를 사용하는 APT28이 GAMEFISH 페이로드를 전달하는 것을 목격했습니다.
  • CVE-2017-0263 - win32k!xxxDestroyWindow FireEye는 win32k!xxxDestroyWindow 유즈-애프터-프리 취약점인 CVE-2017-0263을 사용하는 APT28이 GAMEFISH 페이로드 전달 중에 권한을 상승하는 것을 목격했습니다. 이 취약점은 CVE-2017-0262와 함께 사용되었습니다.
  • CVE-2017-0199: HTA 처리기를 활용하는 공격FireEye는 CVE-2017-0199를 활용하는 악성 마이크로소프트 오피스 RTF 문서를 탐지했습니다. 이 취약점은 사용자가 내장된 익스플로잇이 포함된 문서를 열 때 악의적인 공격자가 파워셸 명령을 포함하는 비주얼 베이직 스크립트를 다운로드하고 실행할 수 있도록 합니다.

2016년 제로데이 익스플로잇

2015년 제로데이 익스플로잇

FireEye는 2015년에 발견된 13건의 제로데이 익스플로잇 중 8건을 발견했습니다.

  • CVE-2015-6585 한글 워드 프로세서 Processor북한에 있는 것으로 의심되는 공격자가 한컴의 한글 워드 프로세서 취약점을 악용하는 것이 목격되었습니다.
  • CVE-2015-2545 MS 오피스, CVE-2015-2546 MS 윈도우즈한 표적 공격을 통해 마이크로소프트 워드 문서에 숨겨져 있던 마이크로소프트 오피스와 윈도우즈의 취약점이 발견되었습니다.
  • 어도비 플래시 제로데이: CVE-2015-3113APT3 위협 그룹이 손상된 웹 서버에 대한 링크가 포함된 스피어피싱 이메일을 보내는 방법을 읽어 보십시오.
  • CVE-2015-1641원격 코드 실행을 허용할 수 있는 마이크로소프트 오피스 취약점입니다.
  • CVE-2015-2424차르 팀에서 마이크로소프트 오피스 제로데이 CVE-2015-2424를 활용했습니다.
  • CVE-2015-1701러시아의 APT28이 고도로 표적화된 공격에서 활용했을 가능성이 있는 어도비 및 윈도우즈 제로데이 익스플로잇입니다.
  • CVE-2015-1671원격 코드 실행을 허용할 수 있는 마이크로소프트 글꼴 드라이버 취약점입니다.

2014년 제로데이 익스플로잇

FireEye는 2014년에 발견된 12건의 제로데이 익스플로잇 중 6건을 발견했습니다.

  • CVE-2014-0322악성 웹 사이트를 방문하는 IE 10 사용자를 표적으로 삼은 워터링 홀 익스플로잇입니다.
  • 인터넷 익스플로러 9~11 익스플로잇: CVE-2014-1776 표준 사이버 방어 시스템을 우회하고 임의 메모리 액세스를 허용함으로써 IE 6-IE 11 사용자는 물론 특히 IE 9-IE 11 사용자에게 많은 영향을 미친 취약점입니다.
  • CVE-2014-4148윈도우즈 커널, 특히 마이크로소프트 윈도우즈 트루타입 폰트(TTF) 처리 서브시스템 내의 윈도우즈 커널을 악용하여 마이크로소프트 오피스 문서에 국제 조직에 대한 악성 TTF를 내장하고 전달하는 취약점입니다.
  • CVE-2014-4113마이크로소프트 윈도우즈 7, 비스타, XP, 윈도우즈 2000, 윈도우즈 서버 2003/R2 및 윈도우즈 서버 2008/R2를 로컬 권한 상승(EoP) 공격에 취약한 상태로 만드는 또 다른 윈도우즈 커널 취약점입니다.
  • CVE-2014-0502플래시 플레이어의 최신 버전(12.0.0.4 및 11.7.700.261)에 영향을 미치는 제로데이 어도비 플래시 익스플로잇입니다.
  • CVE-2014-4114모든 버전의 마이크로소프트 윈도우즈에 영향을 미치는 샌드웜 제로데이 취약점 팀으로, NATO, EU, 통신 및 에너지 부문을 표적으로 한 러시아의 사이버 스파이 캠페인에 사용되었습니다.

2013년 제로데이 익스플로잇

FireEye는 2013년에 발견된 15건의 제로데이 익스플로잇 중 11건을 찾았습니다.

  • CVE-2012-4792외교 협회(Council on Foreign Relations) 웹사이트에 잠복한 이 악성 자바스크립트 코드는 IE 사용자들을 표적으로 삼았습니다.
  • CVE-2013-0422윈도우즈 기반 사용자의 컴퓨터를 잠그도록 설계된 자바 7 기반 취약점입니다.
  • CVE-2013-0634윈도우즈, 맥, 리눅스 및 안드로이드 시스템 기반 어도비 플래시 사용자를 공격하도록 설계된 악성 액션스크립트 코드입니다.
  • CVE-2013-0640 / CVE-2013-0641원격 관리 툴을 설치하여 ASLR 및 DEPPDF 보안을 우회하도록 설계된 한 쌍의 자바스크립트 기반 PDF 취약점입니다.
  • CVE-2013-1493공격자들이 핫스팟 가상 머신을 침해하여 표적 시스템을 제어하는 것을 허용하는 자바 런타임 환경 취약점입니다.
  • CVE-2013-1347이 IE 버전 6-8의 취약점은 미국 노동부 웹사이트를 방문한 윈도우즈 XP 사용자들을 표적으로 삼았습니다.
  • CVE-2013-3918 / CVE-2014-0266오래된 서비스 팩 2까지 포함하는 윈도우즈 사용자들에게 영향을 미친 광범위하고 교묘하게 조작된 한 쌍의 ActiveX 취약점입니다.
  • CVE-2013-5065다른 취약점들과 결합된 이 윈도우즈 XP와 윈도우즈 서버 2003 취약점은 표준 사용자 계정이 커널에 들어 있는 악성코드를 원격으로 실행하는 것을 허용했습니다.
  • CVE-2012-4681자바 런타임 환경(JRE 1.7x)의 취약점에 대한 세부 사항입니다.