2016년 말에 발견된 Dirty COW는 모든 Linux 기반 시스템에 영향을 미치는 컴퓨터 보안 취약점입니다. 놀라운 사실은 이 커널 수준의 결함이 2007년부터 Linux 커널에 존재했지만 2016년에야 발견되어 악용되었다는 것입니다.
오늘 우리는 이 취약점이 정확히 무엇인지, 이 취약점이 영향을 미치는 시스템, 그리고 어떻게 자신을 보호할 수 있는지 알아보겠습니다.
더러운 젖소 취약점이란 무엇입니까?
Dirty COW 취약점은 일종의 권한 상승 익스플로잇으로, 이는 본질적으로 모든 Linux 기반 시스템에서 루트 사용자 액세스 권한을 얻는 데 사용될 수 있음을 의미합니다. 보안 전문가들은 이러한 종류의 익스플로잇이 드물지 않다고 주장하지만, 악용하기 쉬운 특성과 11년 이상 사용되었다는 사실이 상당히 우려스럽습니다.
사실, Linus Torvalds는 2007년에 그것을 발견했다고 인정했지만 "이론적 악용"으로 간주하여 무시했습니다.
Dirty COW는 커널의 메모리 관리 시스템에 있는 COW(Copy-On-Write) 메커니즘에서 이름을 가져옵니다. 악성 프로그램은 잠재적으로 경쟁 조건을 설정하여 파일의 읽기 전용 매핑을 쓰기 가능한 매핑으로 전환할 수 있습니다. 따라서 권한이 없는 사용자는 이 결함을 활용하여 시스템에서 자신의 권한을 높일 수 있습니다.
루트 권한을 얻음으로써 악성 프로그램은 시스템에 대한 무제한 액세스 권한을 얻습니다. 거기에서 시스템 파일을 수정하고, 키로거를 배포하고, 장치에 저장된 개인 데이터에 액세스하는 등의 작업을 수행할 수 있습니다.
어떤 시스템이 영향을 받습니까?
Dirty COW 취약점은 2007년 출시된 버전 2.6.22 이후의 모든 Linux 커널 버전에 영향을 미칩니다. Wikipedia에 따르면 취약점은 커널 버전 4.8.3, 4.7.9, 4.4.26 이상에서 패치되었습니다. 처음에는 2016년에 패치가 릴리스되었지만 문제를 완전히 해결하지 못하여 2017년 11월에 후속 패치가 릴리스되었습니다.
현재 커널 버전 번호를 확인하려면 Linux 기반 시스템에서 다음 명령을 사용할 수 있습니다.
uname - rUbuntu, Debian, ArchLinux와 같은 주요 Linux 배포판은 모두 적절한 수정 사항을 릴리스했습니다. 따라서 아직 업데이트하지 않았다면 Linux 커널을 업데이트하십시오.
이제 대부분의 시스템이 패치되었으므로 위험이 완화되지 않습니까? 정확히는 아닙니다.
대부분의 주류 시스템이 패치되었지만 여전히 취약한 몇 가지 다른 Linux 기반 임베디드 장치가 있습니다. 이러한 임베디드 장치의 대부분, 특히 저렴한 장치는 제조업체로부터 업데이트를 받지 못합니다. 안타깝게도 이에 대해 할 수 있는 일은 많지 않습니다.
따라서 신뢰할 수 있는 판매 후 지원을 제공하는 평판 좋은 출처에서 사물 인터넷(IoT) 장치를 구입하는 것이 매우 중요합니다.
Android는 Linux 커널을 기반으로 하기 때문에 대부분의 Android 기기도 영향을 받습니다.
더러운 COW가 Android 기기에 미치는 영향
ZNIU는 Dirty COW 취약점을 기반으로 한 최초의 Android용 악성코드입니다. Android 7.0 Nougat까지 모든 Android 기기를 루팅하는 데 사용할 수 있습니다. 취약점 자체가 Android의 모든 버전에 영향을 미치지만 ZNIU는 특히 ARM/X86 64비트 아키텍처를 사용하는 Android 기기에 영향을 미칩니다.
Trend Micro의 보고서에 따르면 2017년 9월 기준으로 ZNIU를 포함하는 300,000개 이상의 악성 앱이 야생에서 발견되었습니다. 중국, 인도, 일본 등 50개국 사용자가 ZNIU의 영향을 받습니다. 이러한 앱의 대부분은 성인용 앱 및 게임으로 위장합니다.
ZNIU 안드로이드 맬웨어의 작동 원리
ZNIU의 영향을 받는 앱은 종종 사용자가 다운로드하도록 속이는 악성 웹사이트에 소프트 포르노 앱으로 표시됩니다. Android를 사용하면 앱을 사이드로드하기 쉽기 때문에 많은 초보 사용자가 이 함정에 빠져 다운로드합니다.
감염된 앱이 실행되면 명령 및 제어(C&C) 서버와 통신합니다. 그런 다음 Dirty COW 취약점을 악용하여 자신에게 수퍼유저 권한을 부여합니다. 취약점을 원격으로 악용할 수는 없지만 악성 앱은 여전히 백도어를 설치하고 향후 원격 제어 공격을 실행할 수 있습니다.
앱이 루트 액세스 권한을 얻은 후 이동통신사 정보를 수집하여 서버로 다시 보냅니다. 그런 다음 SMS 기반 결제 서비스를 통해 이동 통신사와 거래를 수행합니다. 그러면 통신사의 결제 서비스를 통해 돈을 징수합니다. Trend Micro의 연구원들은 지불금이 중국에 기반을 둔 더미 회사로 향하고 있다고 주장합니다.
대상이 중국 이외의 지역에 있는 경우 이동통신사와 이러한 소액 거래를 수행할 수 없지만 여전히 다른 악성 앱을 설치하기 위한 백도어를 설치합니다.
멀웨어에 대한 흥미로운 점은 눈에 띄지 않게 유지하기 위해 약 $3/월의 소액 거래를 수행한다는 것입니다. 또한 트랜잭션이 완료된 후 모든 메시지를 삭제할 만큼 똑똑하므로 감지하기가 더 어렵습니다.
ZNIU로부터 자신을 보호하는 방법
Google은 신속하게 문제를 해결하고 2016년 12월에 이 문제를 수정하기 위한 패치를 출시했습니다. 그러나 이 패치는 Android 4.4 KitKat 이상을 실행하는 기기에서 작동했습니다.
2018년 1월 기준으로 기기의 약 6%가 여전히 4.4 KitKat 미만의 Android 버전을 실행하고 있습니다.
많은 것처럼 들리지 않을 수도 있지만 여전히 상당한 수의 사람들이 위험에 처해 있습니다.
기기에서 Android 4.4 KitKat 이상을 실행하는 경우 최신 보안 패치가 설치되어 있는지 확인하세요. 이를 확인하려면 설정> 휴대전화 정보를 여세요. . 하단으로 스크롤하여 Android 보안 패치 수준을 확인합니다. .
설치된 보안 패치가 2016년 12월 이후 버전이라면 이 취약점으로부터 보호받아야 합니다.
Google은 또한 Google Play 프로텍트가 영향을 받는 앱을 검색하고 보안을 유지할 수 있음을 확인했습니다. 하지만 Google Play 프로텍트를 사용하려면 기기가 Google 앱과 올바르게 작동하도록 인증을 받아야 합니다. 제조업체는 호환성 테스트를 통과한 후에만 Google Play 프로텍트와 같은 독점 앱을 포함할 수 있습니다. 좋은 소식은 대부분의 주요 제조업체가 Google 인증을 받았다는 것입니다. 따라서 정말 저렴한 모조 Android 기기가 아니라면 크게 걱정할 필요가 없습니다.
Android 바이러스 백신 앱은 이러한 권한 상승 공격을 감지할 수 있지만 방지할 수는 없습니다. 안티 바이러스 앱은 도난 방지와 같은 다른 기능에 유용할 수 있지만 이 경우에는 확실히 많이 사용되지 않습니다.
마지막 예방 조치로 알 수 없는 출처의 앱을 설치할 때 주의해야 합니다. Android 8.0 Oreo를 사용하면 출처를 알 수 없는 앱을 조금 더 안전하게 설치할 수 있지만 여전히 주의해서 진행해야 합니다.
안전 유지:주요 내용
Dirty COW 취약점이 많은 시스템에 영향을 미친다는 것은 비밀이 아닙니다. 고맙게도 기업들은 상황을 피해 통제하기 위해 신속하게 조치를 취했습니다. Ubuntu, Debian 및 Arch-Linux와 같은 대부분의 Linux 기반 시스템이 패치되었습니다. Google은 Android에서 영향을 받는 앱을 검색하기 위해 Play Protect를 배포했습니다.
불행히도 영향을 받는 Linux 커널이 포함된 임베디드 시스템을 실행하는 상당수의 사용자가 보안 업데이트를 받지 못하여 위험에 빠집니다. 저렴한 모조 Android 기기를 판매하는 제조업체는 Google 인증을 받지 않아 구매자를 위험에 빠뜨립니다. 이러한 구매자는 Android 버전 업데이트는 물론 보안 업데이트도 받지 못합니다.
따라서 이러한 제조업체의 장치 구매를 건너뛰는 것이 매우 중요합니다. 소유하고 있다면 즉시 무시해야 할 때입니다. 주머니에 구멍을 뚫지 않는 최고의 Android 휴대 전화가 있습니다. 나머지는 업데이트를 즉시 설치하고 상식에 따라 인터넷에서 보안을 유지해야 합니다.
리눅스 시스템이 Dirty COW 취약점이나 ZNIU 악성코드의 영향을 받은 적이 있습니까? 보안 업데이트를 즉시 설치합니까? 아래 댓글로 여러분의 생각을 공유해 주세요.