2024-03-29 03:20 (금)
[긴급] 국내 웹사이트 통해 IE 제로데이 공격 진행!
상태바
[긴급] 국내 웹사이트 통해 IE 제로데이 공격 진행!
  • 길민권
  • 승인 2012.09.20 09:22
이 기사를 공유합니다

K대학교 부동산 대학원, 악성파일 중개지로 악용中
지난 9월 18일 IE 제로데이(0-Day) 취약점 공격이 국내 웹 사이트를 악용해서 추가로 공격이 진행되는 것이 발견됐다. 현재 변형된 공격이 꾸준히 발견되고 있고, 아직 공식적인 보안 패치가 일반에 배포되고 있지 않은 상태기 때문에 인터넷 이용자들의 각별한 주의가 필요한 상황이다.
 
잉카인터넷 대응팀 관계자는 “사용자들은 보안패치가 출시되기 전까지 당분간 만이라도 인터넷 익스플로러(IE)가 아닌 별도의 웹 브라우저를 임시로 사용하는 것도 하나의 방법”이라며 “현재 악성파일이 발견된 국내 사이트는 K대학교 부동산 대학원으로서 악성파일 중개지 역할로 악용되고 있다”고 밝혔다.
 
또 “마이크로 소프트사에서는 해당 취약점에 대한 보안권고문을 정식으로 게시한 상태이고, 인터넷 익스플로러 6~9 버전의 원격 코드 실행 문제점을 조사하고 있다고 밝힌 상태”라며 “대응팀은 변종 악성파일들에 대한 탐지 및 치료 기능을 nProtect 제품군에 긴급 업데이트하는 한편 보안 모니터링을 한층 강화하고 있다”고 전했다.
 
◇Internet Explorer의 취약점으로 인한 원격 코드 실행 문제점
-technet.microsoft.com/ko-kr/security/advisory/2757760
-www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4969
-www.dailysecu.com/news_view.php?article_id=2955
 
이번 공격은 아직 보안패치가 공식적으로 출시되지 않은 이른바 Zero-Day 공격형태로 진행 중이며, 국내외 웹사이트 등에서 악용이 증가하고 있다. 어제 9월 19일에는 국내 사이트를 경유지로 악용되는 경우가 2건(이상) 발견되고 있어, 시간이 지남에 따라 많은 사이트가 악용될 가능성이 높을 것으로 예상된다.
 
잉카인터넷 대응팀은 아래와 같이 이번 악성코드를 분석하고 있다.
 
이번에 발견된 "index.html" 파일은 처음 보고된 형태와 거의 동일한 코드가 사용되었고, 플래시 악성파일명도 "Moh2010.swf" 이름으로 동일하다.
 
"Moh2010.swf" 플래시 파일은 내부 액션스크립트를 통해서 "Miralbus.html" 파일 실행을 하도록 구성되어 있다.
 
"Miralbus.html" 파일은 IE 7.0과 8.0 버전을 감염 대상으로 구성되어 있고, 다음과 같은 악성 스크립트 기능을 수행한다.
 
Exploit 코드가 실행되면 K대학교 대학원 사이트에 등록되어 있고 XOR 연산으로 부분 암호화(0x70)되어 있는 "pp.exe" 파일이 다운로드 감염이 시도된다.
 
"pp.exe" 악성파일이 정상적으로 실행되면 특정 조건에 따라서 가변적인 위치에 "wlupdate.exe" 파일을 생성하고 실행한다. 폴더 조건에 따라 생성되는 경로는 임의로 변경되기 때문에 악성파일이 존재하는 위치는 감염된 컴퓨터마다 각기 다를 수 있다.
 
또한 동일한 경로에 "user.dll" 파일과 "LISFL.dll" 이름의 파일도 함께 생성한다.
 
"LISFL.dll" 파일에는 다음과 같은 특정 사이트 정보가 등록되며, 악성파일이 접속하는 명령 서버로 이용되며, 감염 컴퓨터의 물리적 MAC 주소가 전송 시도된다. 이것만으로도 이미 국내 사이트 2곳이 악성파일 제작자에게 관리자 권한이 탈취되어 악용되고 있다는 것을 확인할 수 있다.
 
악성파일은 공격자와 호스트 C&C 서버의 추가 명령 및 통신조건 등에 따라서 다양한 공격을 수행할 수 있으므로, 악성파일에 감염되지 않도록 세심한 주의가 필요하다.
 
잉카인터넷 대응팀은 “새로운 IE 제로데이 취약점용 악성파일에 대한 보안 모니터링을 강화하는 한편 이용자들의 피해를 최소화하기 위해서 변종 보안위협에 대한 이상징후를 예의주시하고 있다”며 “또한 금일 변종을 다수 발견되어 nProtect Anti-Virus 제품군에 지속적으로 추가를 진행하고 있는 상황”이라고 밝혔다.
 
또 “이런 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다. 또한 웹 사이트를 통해서 유포되는 경우 각종 보안취약점을 이용하고 있으므로, 운영체제 및 주요 응용프로그램의 보안업데이트 및 최신버전 사용을 생활화하는 보안습관이 중요하다”며 “악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 보안 관리 수칙을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com 
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★