사이버 보안 · 2 min read · Sep 28, 2025

허리케인 판다, X64 윈도우 시스템의 제로 데이 취약점을 이용한 중국 기원 공격

Table Of Contents

  • 허리케인 판다란?
  • 크라우드스트라이크
  • 작동 방식:

허리케인 판다란?

크라우드스트라이크의 보안 연구원들은 제로 데이 취약점(CVE-2014-4113)을 이용한 매우 정교한 공격을 발견하였으며, 이를 허리케인 판다라고 명명하였습니다. 크라우드스트라이크 연구원들은 이 공격이 중국 사이버 범죄자들에 의해 발생하며, X64 기반 윈도우 시스템(윈도우 7까지)을 대상으로 제로 데이 익스플로잇을 사용하고 있다고 믿고 있습니다. 또한, 허리케인 판다가 최소 5개월 이상 공격을 감행하고 취약점을 적극적으로 악용해 왔음을 지적합니다.

크라우드스트라이크

크라우드스트라이크는 64비트 윈도우 서버 2008 R2 머신에서 외부 당체에 의한 침해로 귀속된 의심스러운 활동을 처음으로 감지하였습니다. 추가 조사를 통해 공격이 웹 서버를 침해하고 초퍼 웹쉘을 배포한 후, 새롭게 발견된 로컬 권한 상승 도구를 사용하여 권한을 상승시키는 것으로 시작된다는 사실이 밝혀졌습니다. 이 도구는 이전에 알려지지 않은 취약점을 악용하며(현재 마이크로소프트에 의해 패치됨).

침입자의 권한을 SYSTEM 사용자 권한으로 상승시키고, 이러한 접근 권한으로 명령을 실행하기 위해 새로운 프로세스를 생성합니다. 일반적으로 정보 수집 활동을 수행합니다.

작동 방식:

크라우드스트라이크에 의한 Win64.exe 바이너리의 후속 분석 결과, 이 파일이 이전에 알려지지 않은 취약점을 악용하여 SYSTEM 사용자 권한으로 권한을 상승시키고, 이러한 접근 권한으로 전달된 명령을 실행하기 위해 새로운 프로세스를 생성한다는 사실이 밝혀졌습니다. 파일 자체는 크기가 55킬로바이트에 불과하며 몇 가지 함수만 포함되어 있습니다. 다음은 그 기능에 대한 고수준 설명입니다:

  • 메모리 섹션을 생성하고 취약점이 발생할 때 커널에서 호출될 함수에 대한 포인터를 저장합니다.
  • 윈도우 관리자에서 메모리 손상 취약점을 이용하여 사용자 상호작용을 시뮬레이션하여 콜백 함수를 호출합니다.
  • EPROCESS 구조에서 SYSTEM 프로세스의 접근 토큰 포인터를 교체합니다.
  • SYSTEM 권한으로 첫 번째 인수에서 명령을 새로운 프로세스로 실행합니다.

크라우드스트라이크는 해커들이 일반적인 사이버 범죄자가 아니라 국가의 도움을 받는 매우 정교한 사이버 범죄 집단이라고 믿고 있습니다. 그들이 이렇게 주장하는 이유는 일반 해커들은 개인/재정 정보를 포함한 파일을 추적하기 때문에 시스템에 대한 권한 접근이 필요하지 않기 때문입니다. 허리케인 판다 공격에서 크라우드스트라이크는 사이버 범죄자들이 루트킷으로 작용하는 커널 드라이버를 로드하거나 비밀번호 덤핑과 같은 보다 고급 사이버 스파이 활동을 수행하려고 한다는 것을 관찰했습니다. 이는 네트워크를 가로지르기 위해 관리 권한 접근이 필요합니다.

“적대자는 종종 알려진 권한 상승 취약점을 사용하여 관리자 수준의 접근을 얻지만, 진정한 제로 데이 익스플로잇은 드물기 때문에 실제로 관찰되었을 때 특히 흥미롭습니다. 이는 공격자가 비공식적으로 악용 가능한 보안 버그에 대한 지식을 가지고 있음을 보여주며, 이는 일반적으로 익스플로잇이 공급자로부터 구매되었거나 내부에서 개발되었음을 의미합니다.”

크라우드스트라이크는 또한 허리케인 판다의 범죄자가 작성한 익스플로잇 코드가 매우 잘 작성되었으며, 성공률이 100%라고 언급했습니다. 블로그는 해커들이 발견될 가능성을 최소화하기 위해 상당한 노력을 기울였을 수 있다고도 언급합니다.

허리케인 판다 익스플로잇 키트 제작자가 취한 노력의 예 중 하나는, 침입 작업 중 절대적으로 필요할 때만 상승 도구를 배포하고 사용 후 즉시 삭제한다는 것입니다.

크라우드스트라이크는 허리케인 판다의 RAT로 PlugX를 선택했다고 밝혔습니다. 이는 그들이 이 익스플로잇이 중국 본토에서 발생했다고 믿는 또 다른 이유입니다. 이 특정 RAT는 최근 중국 적대자들 사이에서 인기를 끌고 있는 DLL 사이드 로딩 기법을 사용하도록 구성되어 있습니다.

크라우드스트라이크에 따르면 허리케인 판다는 매일 공격을 감행하고 있으며, 표적 표면이 큽니다: 이 버그는 윈도우 7 및 윈도우 서버 2008 R2를 포함한 모든 x64 윈도우 변형에 영향을 미칩니다. 윈도우 8 및 이후 버전의 인텔 아이비 브릿지 또는 이후 세대 프로세서가 있는 시스템에서는 SMEP(감독 모드 실행 방지)가 버그를 악용하려는 시도를 차단하고 블루 스크린을 발생시킵니다.

이 특정 공격의 대상이 되는 경우, 마이크로소프트는 보안 게시판 MS14-058에서 이 익스플로잇을 해결하였으며, 취약점을 수정하는 패치를 발행하였습니다. 여기에서 수정 파일을 다운로드하고 시스템을 즉시 업데이트할 수 있습니다.

출처: 크라우드스트라이크

Share: X/Twitter LinkedIn
#사이버 보안

새 게시물을 받은 편지함에서 받기

스팸은 없습니다. 언제든지 구독 해지 가능합니다.