개요
Windows용 WinRAR의 두 가지 심각한 취약점 CVE-2025-6218 및 CVE-2025-8088 — 공격자가 의도한 추출 디렉터리 외부에 파일을 쓸 수 있도록 허용합니다. CVE-2025-6218은 기존 경로 탐색과 관련이 있는 반면 CVE-2025-8088은 공격을 확장하여 사용합니다. NTFS 대체 데이터 스트림(ADS)두 가지 취약점 모두 사용자에게 악성 아카이브를 전달하고 최소한의 상호작용(추출만)에만 의존하여 악용될 수 있습니다.
왜 문제 : 이러한 결함으로 인해 신뢰할 수 있는 고집 및 원격 코드 실행(RCE) 기업 환경에서. 위협 행위자, 다음을 포함 롬콤 및 종이 늑대인간(일명 GOFFEE), 활성 캠페인에서 CVE-2025-8088을 악용했습니다.
취약점 개요
- CVE-2025-6218
- 유형: 추출 중 디렉토리 탐색
- 체하는: Windows 7.11 및 이전 버전(7.12 베타 1 이전)용 WinRAR
- 고정됨12 베타 1
- 충격: 파일은 대상 추출 디렉토리 외부(예: Windows 시작 디렉토리)에 놓을 수 있습니다.
- CVE-2025-8088
- 유형: NTFS ADS 구문(txt: stream)을 통한 디렉터리 탐색
- 체하는: Windows 7.12 및 이전 버전용 WinRAR
- 고정됨13.
- 충격: 공격자는 ADS에 페이로드를 숨기거나 자동 실행 위치에 배치하여 은밀하게 지속될 수 있습니다.
- 영향을 받는 구성 요소: Windows용 WinRAR(GUI/CLI), UnRAR/UnRAR.dll, 휴대용 UnRAR(Windows 빌드)
기술적인 세부 사항
CVE-2025-6218 – 아카이브 추출 시 디렉터리 탐색 취약점
근본 원인: WinRAR의 RARReadHeader/RARProcessFile 루틴이 상대 경로 구성 요소('..\', '../')를 정규화하거나 검증하지 못합니다. 공격자는 출력 경로를 정규화하고 제한하지 않고도 추출 디렉터리 외부에 파일을 강제로 쓸 수 있습니다.
트리거: 헤더 메타데이터에 트래버설 시퀀스가 있는 파일 항목을 포함하는 악성 RAR/ZIP 아카이브입니다.
예제페이로드경로:
..\..\..\사용자\ \AppData\Roaming\Microsoft\Windows\시작 메뉴\프로그램\시작프로그램\malicious.exe
영향: 파일이 시작 폴더에 저장됨 → 사용자 권한으로 로그인 시 자동 실행됨.
변형 참고 사항: 이 익스플로잇은 절대 및 상대 추출 대상 모두에 적용됩니다. 기존 파일을 덮어쓸 필요 없이 새 파일을 생성할 수 있습니다.
이 취약점은 보관 항목의 저장된 경로가 절대 경로(전체 시스템 경로)이든 상대 경로(순회 시퀀스 사용)이든 악용될 수 있습니다.
절대 경로 예:
C:\사용자\ \AppData\Roaming\Microsoft\Windows\시작 메뉴\프로그램\시작프로그램\evil.exe
압축을 풀면, 선택한 압축 풀기 디렉터리를 무시하고 파일이 시작 폴더에 바로 저장됩니다.
상대 경로 예:
..\..\..\사용자\ \AppData\Roaming\Microsoft\Windows\시작 메뉴\프로그램\시작프로그램\evil.exe
'..\' 시퀀스는 추출 위치에서 디렉토리 트리를 따라 올라가다가 시작 폴더로 내려갑니다.
기존 파일을 덮어쓸 필요 없음: 이 취약점은 존재하지 않더라도 민감한 위치에 새 파일을 생성할 수 있도록 허용합니다. 이를 통해 신뢰할 수 있는 바이너리를 대체하지 않고도 지속성을 확보하여 무결성 경고 발생 가능성을 줄일 수 있습니다. 예: evil.lnk 또는 malware.exe를 시작 프로그램에 추가하면 로그인 시 자동 실행됩니다.
CVE-2025-8088 – ADS 지원 경로 탐색
근본 원인: CVE-2025-6218과 동일한 횡단 결함이지만, 추출 코드는 파일 이름에 NTFS ADS 구문을 차단하지 못합니다(스트림 이름 뒤에 ':' 문자가 옴).
NTFS ADS 기본 사항: NTFS 파일에는 여러 개의 데이터 스트림이 있을 수 있습니다. 이름이 지정되지 않은 기본 스트림(기본 콘텐츠)과 이름이 지정된 대체 스트림(예: 'readme.txt:payload.exe')이 있습니다. Windows 탐색기와 대부분의 파일 목록에는 ADS가 표시되지 않으므로 콘텐츠를 숨기는 데 유용합니다.
예시 페이로드 경로:
..\..\..\사용자\ \AppData\Roaming\Microsoft\Windows\시작 메뉴\프로그램\시작프로그램\readme.txt: malware.exe
영향: 시작 폴더에 있는 악성으로 보이는 파일의 페이로드가 ADS에 저장됩니다. 로더 스크립트가 해당 파일을 나중에 실행하거나 다른 프로세스를 통해 사이드로드할 수 있습니다.
더 나쁜 이유: ADS는 악성 바이너리를 일상적인 검사와 일부 기존 보안 도구에서 숨겨서 탐지를 지연시킵니다.
관찰된 악용 사례: 위협 행위자는 이를 은밀한 지속성을 위해 사용하고 나중에 실행할 맬웨어를 준비합니다.
공격 체인
- 탑재물 준비: 공격자는 트래버설 및/또는 ADS 구문을 사용하여 악성 실행 파일/스크립트를 아카이브에 내장합니다.
- 배달 아카이브: 이메일, 인스턴트 메시징 또는 악성 다운로드 링크를 통해 전송됩니다.
- 피해자 추출: 사용자가 취약한 WinRAR/UnRAR를 추출합니다.
- 조용한 길 탈출: 탑재물이 시작 지점이나 기타 민감한 위치에 착륙합니다.
- 자동 실행: 사용자 권한으로 재부팅/로그인 시 실행됩니다.
야생에서의 착취
- 로맨틱 코미디: 2025년 8088월 중순부터 스피어 피싱의 제로데이로 CVE-2025-XNUMX을 사용하여 자동 실행 위치를 통해 백도어를 전달했습니다.
- 종이 늑대인간: 러시아 표적을 대상으로 유사한 횡단 결함을 악용하는 것으로 관찰되었습니다.
- 예보: 모방 캠페인을 예상하세요. 무기화하기 쉽고 지속성도 높습니다.
보호:
- 트로이 목마.49857.GC
- 트로이 목마.49856.GC
- 롬컴.49869.SL
- 가나라바.1754899322556336
- 에이전트.S37377547
- 에이전트.S37377548
침해 지표(IoC):
| SHA-256 | 탐지 이름 |
| 49023b86fde4430faf22b9c39e921541e20224c47fa46ff473f880d5ae5bc1f1 | Bat.Trojan.49857.GC |
| a25d011e2d8e9288de74d78aba4c9412a0ad8b321253ef1122451d2a3d176efa | 링크.트로이.49856.GC |
| 4da20b8b16f006a6a745032165be68c42efef9709c8e133e39d4b6951cca5179 | 링크.트로이.49856.GC |
| 8082956ace8b016ae8ce16e4a777fe347c7f80f8a576a6f935f9d636a30204e7 | Trojan.Ghanarava.1754899322556336 |
파일/경로 패턴
- 다음 사람에게 편지를 씁니다:
- %APPDATA%\Microsoft\Windows\시작 메뉴\프로그램\시작프로그램\*.exe
- ADS 존재 여부(파일 이름에 : 포함):
- txt: payload.exe
- 의도한 추출 폴더 외부에 예상치 못한 파일이 있습니다.
프로세스/행동
- exe / UnRAR.exe는 추출 후 프로세스(cmd.exe, powershell.exe)를 생성합니다.
- ADS 생성 이벤트(Sysmon 이벤트 ID 15).
레지스트리/자동 실행
- 시작 파일을 삭제했습니다(레지스트리가 필요 없습니다).
- 관련 변경 사항이 있는지 HKCU\Software\Microsoft\Windows\CurrentVersion\Run을 모니터링합니다.
MITRE ATT&CK 매핑
- T1059 – 명령 및 스크립팅 인터프리터
- T1204 – 사용자 실행
- 001 – 레지스트리 실행 키/시작 폴더
- 004 – NTFS 파일 속성(ADS)
- T1027 – 난독화된 파일 또는 정보
패치 검증
- 모든 엔드포인트에서 버전 13을 확인하세요.
- 설치 프로그램의 서명과 체크섬을 검증합니다.
- 차단이 보장되도록 제작된 트래버설/ADS 아카이브로 테스트합니다.
맺음말
CVE-2025-6218 및 CVE-2025-8088 불충분한 경로 검증과 간과된 NTFS 기능이 어떻게 은밀한 지속성 공격과 RCE(역전파 공격)로 이어질 수 있는지 보여줍니다. 악용에는 최소한의 사용자 상호 작용만 필요하며, 두 가지 취약점 모두 실제 공격에 사용되었습니다. 즉각적인 패치 적용과 함께 ADS 및 Startup 수정 사항에 대한 선제적 탐색이 방어에 필수적입니다.
참고자료
- 라라랩 – 공식 WinRAR 보안 권고(2025년 XNUMX월)
https://www.rarlab.com/rar/winrar-security.htm
(영향을 받는 버전 및 수정 사항에 대한 공급업체 확인) - 국가 취약점 데이터베이스(NVD) – CVE-2025-6218
https://nvd.nist.gov/vuln/detail/CVE-2025-6218
(기술 분류, CVSS 점수, CWE 매핑) - 국가 취약점 데이터베이스(NVD) – CVE-2025-8088
https://nvd.nist.gov/vuln/detail/CVE-2025-8088
(기술 분류, CVSS 점수, CWE 매핑) - Malwarebytes Labs – “야생에서 악용된 WinRAR 제로데이”(2025년 XNUMX월)
https://blog.malwarebytes.com/
(RomCom의 CVE-2025-8088 악용 사례 포함) - ESET 연구 – “WinRAR 취약점을 이용한 APT 캠페인”
https://www.welivesecurity.com/
(위협 행위자 캠페인 및 IOC 컨텍스트) - Microsoft Defender 위협 인텔리전스 – “Windows에서 ADS 남용 감지”
https://learn.microsoft.com/en-us/windows/security/threat-protection/
(NTFS ADS 생성 이벤트 감지에 대한 지침) - MITER ATT & CK – 기술 T1547.001(시작 폴더) 및 T1564.004(ADS)
https://attack.mitre.org/
(지속성 및 숨기기 기술에 대한 매핑)
저자 :
난디니 비말 세스
수완지트 밀린드 자그탑
