2024-03-30 00:45 (토)
MS 취약점 악용 게임 계정탈취 악성코드 주의!
상태바
MS 취약점 악용 게임 계정탈취 악성코드 주의!
  • 길민권
  • 승인 2012.07.03 15:44
이 기사를 공유합니다

MS에서 임시 제공 중인 Fix It 설치해 예방 해야
지난 6월 29일 오후 5시경 디아블로 3 게임 커뮤니티에서 MS XML 제로데이 취약점을 이용한 악성코드 유포가 있다는 것을 빛스캔(문일준 대표)이 최초 발견하고 데일리시큐가 긴급 보도한 바 있다. 당시 국내 백신업체들은 이 악성코드에 대한 탐지를 못하는 상황이었다. 이에 안랩이 7월 3일 해당 악성코드에 대한 탐지 보도자료를 배포했다.
 
안랩 ASEC에 따르면, “6월 26일 마이크로소프트의 XML 코어 서비스 취약점(CVE-2012-1889)을 악용한 공격 형태가 증가하고 있다는 안내를 한 바가 있다” 그리고 “6월 28에는 해당 취약점을 악용하는 코드가 변형된 형태의 XML 코어 서비스 취약점(CVE-2012-1889) 악용하고 있는 것으로 공개한 바가 있으며, 취약한 웹 사이트를 중심으로 유포가 진행되고 있다고 언급한 바가 있다”고 밝혔다.
 
안랩 관계자는 “현재까지도 보안 패치가 제공되지 않고 있는 제로 데이(Zero-Day, 0-Day) 취약점인 해당 XML 코어 서비스 취약점 악용형태가 지난 주말인 6월 30일과 7월 1일 이틀 사이 한국 내의 취약한 웹 사이트들을 대상으로 유포되고 있는 것이 발견되었다”고 설명했다.
 
주말 사이 발견된 해당 XML 코어 서비스 취약점을 악용하는 스크립트 악성코드는 이제까지 발견된 스크립트 악성코드와는 다르게 난독화 정도가 심하게 제작되어 있다고 한다.
 
해당 취약점을 악용하는 스크립트 악성코드는 최소 36개 이상의 온라인 게임 정보를 탈취하기 위한 악성코드 변형들을 유포하기 위해 제작되어 있는 것으로 분석된다.
 
그리고 해당 취약점을 악용하는 스크립트 악성코드와 온라인 게임 정보 탈취 악성코드를 제작 및 유포하는 제작자들은 툴을 이용해 현재 자신들이 제작한 악성코드들이 정상적으로 유포 중인지 확인을 하고 있는 것으로 나타났다.
 
해당 툴은 악성코드 제작자들이 악성코드 유포를 위해 해킹한 시스템의 도메인 주소들을 입력하고 검색을 하게 되면 3회에 걸쳐 파일이 정상적으로 존재하는지 그리고 유포가 가능한지 확인하게 된다.
 
안랩 관계자는 “이러한 툴이 제작되어 사용되고 있다는 것으로 미루어 악성코드 제작자들은 실시간으로 유포 중인 악성코드들의 상태를 확인하고, 하나의 유포 경로가 차단되었을 경우 다른 유포지를 가동시키기 위한 전략의 자동화를 위해 제작된 것으로 판단된다”고 말했다.
 
이 번에 발견된 해당 XML 코어 서비스 취약점을 악용하는 악성코드들 모두 V3 제품군에서 현재는 진단이 가능하며 네트워크 보안장비 트러스가드(TrusGuard) 제품군에서도 난독화된 XML 코어 서비스 취약점 악용 스크립트 악성코드를 탐지 및 차단이 가능하다.
 
앞서 언급한 바와 같이 현재 XML 코어 서비스는 마이크로소프트에서 보안 패치를 제공하지 않는 제로 데이(Zero-Day, 0-Day) 취약점이다.
 
안랩 ASEC 관계자는 “사용하는 보안 제품을 최신 엔진으로 업데이트하고, 마이크로소프트에서 임시 방안으로 제공 중인 픽스 잇(Fix It)을 설치하는 것이 해당 취약점을 악용하는 악성코드 감염을 예방하는 방안”이라고 조언했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★