20년 전 유행했던 RLO 공격 기법, MS 365에서 다시 유행

사이버 공격자들이 20년 전에 사용했던 공격 기법이 부활했다. 보안 업체 베이드(Vade)에 의하면 지난 2주 동안 이 오래된 기법이 400건 이상의 피싱 공격에서 적발됐다고 한다. 하지만 바이러스토탈의 멀웨어 탐지 도구 58개 중 이 공격을 탐지할 수 있었던 건 단 2개에 그쳤다. 피해자들은 주로 마이크로소프트 365의 사용자들인 것으로 알려져 있다.

[이미지 = utoimage]

이 오래된 기법은 RLO 공격(RLO Attack)이라고 한다. ‘라이트 투 레프트 오버라이드(right-to-left override)’를 줄인 말이다. 공격자들은 특정 유니코드 글자(U+202e)를 활용해 파일의 확장자를 숨김으로써 피해자가 해당 파일을 실행하도록 유도한다. U+202e는 RLO 유니코드 글자로 특정 단어나 텍스트 전에 사용될 경우 그 다음에 오는 모든 텍스트들이 오른쪽에서 왼쪽으로 흐르도록 변경시킨다. 화면에 글자로서 나타나지 않으므로 맨눈으로는 볼 수 없다. 예를 들어 Vade라는 글자를 U+202e 다음에 쓰면 화면상에서 edaV라고 보이게 된다. 히브리어나 아랍어 등 오른쪽에서 왼쪽으로 읽는 문화권의 사용자를 지원하기 위해 존재하는 기능 중 하나다.

과거의 공격자들은 U+202e를 악용해 자신들이 실행시키고자 하는 파일의 이름을 숨겼다. “U+202e를 잘 배치하면 abctxt.exe라는 악성 실행파일의 이름이 abcexe.txt로 보이게 만들 수 있습니다. 공격자들이 할 일은 매우 간단합니다. abc [U+202e] txt.exe라고 쓰기만 하면 되거든요.” 베이드 측의 설명이다.

하지만 기법이 간단한 만큼 탐지 역시 간단했다. 그래서 공격자들 사이에서 RLO 공격 기법은 점점 인기를 잃어갔다. 그러다가 최근 들어 다시 RLO 공격 기법이 등장하기 시작했는데, 이는 지난 8월 H-ISAC이 RLO 기법의 부활에 대한 경고문을 발표하면서 공식화 되었다. 당시 공격자들은 코발트 스트라이크(Cobalt Strike)라는 도구를 의료 분야 조직들의 시스템에 유포하기 위해 RLO 공격 기법을 사용했었다.

베이드의 공동 창립자이자 CTO인 아드리엔 겐더(Adrien Gendre)는 “늘 새로운 전략을 모색하는 공격자들이 오래된 기법과 전략에서 답을 찾곤 하는 건 늘 있는 일”이라고 설명한다. “20년 전에 유행했던 RLO 기법에서 힌트를 얻은 공격자들은 이번 캠페인을 실시하면서 피해자들이 ‘오디오 파일을 열고 있다’고 생각하게 만들었습니다. 하지만 피해자들이 연 파일은 오디오 파일이 아니라 피싱 사이트로 연결되는 링크 파일입니다. 이 피싱 사이트에서는 크리덴셜을 빼앗기게 됩니다.”

보다 상세히 설명하면 다음과 같은 순서로 공격이 진행됐다.
1) 공격자들은 마이크로소프트 365 사용자들에게 알림 메일을 보낸다.
2) 이 알림 메일에는 보이스메일 파일이 첨부되어 있(는 것처럼 보인)다.
3) 이 이메일의 제목에는 받는 사람의 실명이 기재되어 있다.
4) ‘진짜처럼 보이게 하는’ 여러 가지 요소들이 이메일 여기저기에 부착되어 있다.
5) 첨부파일의 경우 확장자가 mp3나 wav로, 흔한 오디오 파일로 보인다.
6) 파일을 클릭할 경우 진짜처럼 보이는 가짜 MS 로그인 페이지가 열린다.

겐더는 “90년대 후반과 2000년대 초반 RLO 공격 기법을 통해 악성 실행 파일을 유포시키는 것이 크게 유행한 적이 있다”고 설명한다. “최근 사용되는 보안 솔루션과 탐지 도구들은 의외로 이런 RLO 공격 기법을 잘 놓칩니다. IP와 도메인 명성을 확인하거나 알려진 멀웨어 시그니처를 탐지하는 것이 주요 기능이기 때문입니다. 탐지 기술 때문에 사라진 옛 공격 기법이, 최근 탐지 기술의 변화 때문에 부활한 상황으로, 공격자들이 보안 업계의 상황을 매우 잘 이해하고 있음이 드러납니다.”

지난 11월 캠브리지대학에서 별도의 보고서가 발표된 바 있다. 유니코드와 관련된 취약점인 CVE-2021-42574를 주요 내용으로 삼고 있는 보고서였다. 공격자들이 특정 유니코드 글자들을 활용해 코드 문자열을 재배치할 수 있게 해 주는 취약점으로, 코드의 시각적 표현들은 바뀌지만 논리는 그대로 살릴 수 있다고 당시 연구원들은 경고했다. 여기에 U+202e 글자도 언급된 바 있다.

여기에 더해 CVE-2021-42694라는 취약점도 최근 발견됐다. 유니코드 사양 내에서 발견된 취약점으로, 공격자들이 익스플로잇에 성공할 경우 서로 굉장히 닮은 글자들을 사용함으로써 악성 코드를 소프트웨어 개발 단계에 주입하는 게 가능하다고 한다. 사람의 눈을 가지고 코드를 점검하는 것만으로 이상한 점을 발견할 수 없다.

겐더는 “유니코드를 악용하는 방법은 RLO 기법 외에도 무궁무진하게 많을 것”이라고 말하며 “이 부분에 대한 연구가 공격자들 사이에서 활발하게 이뤄질 가능성이 높다”고 경고했다. 즉 한 번 퇴치했던 RLO 공격 기법이 새롭게 유행함에 따라 비슷한 종류의 다른 공격 기술이 파생될 수 있다는 것이다. “현재 사용하는 컴파일러의 텍스트 흐름 방향을 하나로 지정하고 사용할 수 있는 언어를 제한하는 것이 위험도를 낮추는 방법 중 하나입니다.”

3줄 요약
1. 20년 전 유행했던 피싱 공격 기법, MS 365 환경에서 다시 유행하기 시작.
2. 이는 RLO 기법이라고 불리며, 텍스트가 오른쪽에서 왼쪽으로 흐르도록 변환하는 기능을 악용한 기술.
3. 유니코드를 악용한 공격 기법들이 하나 둘 새롭게 나타나고 있는 상황.

출처 URL : https://www.boannews.com/media/view.asp?idx=104667

이 게시글이 문제가될시 삭제하겠습니다.