EMET 탐지를 우회하는 Angler EK 발견

꿈을꾸는 파랑새

미국 보안 기업인 파이어 아이에서는 최근 EMET를 탐지를 우회하는 Angler EK 발견이 되었다고 합니다. 일단 EMET(Enhanced Mitigation Experience Toolkit)이라는것은 간단하게 마소에서 배포하는 소프트웨어 취약성을 악용하는 것을 방지를 해주는 도구이면서 무료로 배포되고 있습니다.

일단 한국어는 지원하고 있지 않을 것으로 알고 있습니다. 해당 EMET(Enhanced Mitigation Experience Toolkit)를 통해서 인터넷 익스플로러, 워드 패드, 마이크로 소프트 오피스,Adobe Acrobat, Adobe Reader, Java등를 지원하고 있으면 Windows 이벤트 로그 통해서 해당 동작 로그를 확인할 수가 있습니다. 이런 동작을 해서 컴퓨터를 보호해주는 프로그램입니다.

그런데 최근에 Angler EK는 VBScript의 공격에 해서 ASR(Attack Surface Reduction)에 의해 공격의 방어를 하는 것이 가능했습니다.

데이터 실행 방지(DEP) 설정 화면데이터 실행 방지(DEP) 설정 화면

해당 Angler EK는 VBScript공격에 대해 EMET가 ASR기능이 무력화될 수가 있는 문제가 발견되었고 이를 통해서 Adobe Flash Player, Silverlight에 대한 공격 방어를 할 수가 없게 되면 해당 공격을 통해서 윈도우에서 기본적으로 실행되고 있는 데이터 실행 방지(DEP)에 있는 ROP(Retum Oriented Programming)가 DEP가 회피할 수 있게 되며 ROP의 기능을 사용할 수가 없게 됩니다.

이런 보안 취약점에 안전하게 컴퓨터를 사용하려면 자신이 사용하는 프로그램에 대한 최신 업데이트 적용은 이루어져야 피해를 최소화할 수가 있을 것입니다. 물론 사용하지 않는 프로그램은 제거하는 방법도 한 방법일 것입니다.

EMET 탐지를 우회 파이어 아이 블로그


이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.