매월 2쨰주 수요일이면 마이크로소프트는 윈도우 등에 대한 보안 업데이트 를 진행을 합니다. 최근 CVE-2025-29824(Windows 공통 로그 파일 시스템 드라이버 권한 상승 취약점)을 악용하는 랜섬웨어(Ransom ware)가 유포가 되고 있습니다.
Microsoft 보안 블로그의 원문 내용을 바탕으로 CVE-2025-29824, 즉 Windows CLFS(Common Log File System) 권한 상승 제로데이 취약점을 악용한 사례에 대한 기술적 상세 요약은 다음과 같습니다.
초기 접근
공격자는 웹사이트를 통해 악성 파일을 배포
악성 HTML 페이지가 방문자에게 MS Build 기반의 PE 파일을 실행하도록 유도
해당 PE 파일은 암호화된 PipeMagic 악성코드를 다운로드 및 실행
PipeMagic 로더
암호화된 페이로드를 디스크에 쓰지 않고 메모리에서 실행(파일리스 방식)
CLFS 로그 객체를 조작하여 커널 내부 구조에 비정상 접근
권한 상승
dllhost.exe 프로세스를 통해 CLFS 취약점을 트리거
악성 커널 셸 코드를 이용해 현재 프로세스의 권한 토큰을 SYSTEM 수준으로 변경
후속 악성 행위
SYSTEM 권한 확보 후 다음 활동 진행:
winlogon.exe에 페이로드 인젝션
procdump.exe 로 LSASS 프로세스 메모리 덤프->자격 증명 탈취
일부 경우에는 랜섬웨어 실행 및 lateral movement(횡적 이동) 감지됨
공격 대상: 미국의 IT 및 부동산 부문, 베네수엘라의 금융 부문, 스페인의 소프트웨어 회사, 사우디아라비아 부문 등 조직 소수가 표적이 되었습니다.
즉 해당 비슷한 방법으로 한국인을 맞춤 공격으로도 진행할 수가 있지 않을까? 생각이 들며 외화벌이 이 즉 가상화폐(암호화폐)에 관심이 많은 북한 해커 단체들이 노리고 해당 공격을 감행할 수가 있지 않을까 조심스럽게 생각을 해 봅니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 북한 김수키(Kimsuky)에서 만든악성코드-KxS 북한 수해 인터뷰 요청서(대문?아카데미 이?열 이사장님).lnk(2025.4.5) (0) | 2025.04.17 |
|---|---|
| 윈도우 10,윈도우 11 inetpub 폴더 생성 및 삭제 하지 말것 (0) | 2025.04.16 |
| 구글 크롬 136 20년간의 브라우저 기록 개인정보 보호 위험 수정 (0) | 2025.04.15 |
| 삼성 피싱(Phishing) 사이트 분석-miamitradingszone(2025.4.11) (2) | 2025.04.14 |
| Windows 11 KB5055523,KB5055528,윈도우 10 KB5055518 누적 보안 업데이트 (0) | 2025.04.10 |
| 북한 해킹 그룹 Konni(코니)에서 만든 악성코드-ECRM.M.hwp.lnk(<-가칭,2025.3.24) (0) | 2025.04.10 |
| 윈 RAR CVE-2025-31334 취약점 Windows Mark of the Web 보안 경고 우회 (0) | 2025.04.08 |
| 파이어폭스 137 탭그룹,주소 표시줄 새로 고침 등의 기능을 제공 (0) | 2025.04.04 |
