분석 정보/악성코드 분석 정보

[주의]새로운 Adobe Zero Day 취약점 보고

TACHYON & ISARC 2011. 12. 8. 13:21

1. 개 요 


최근 Adobe측에서 새로운 Zero Day 취약점(CVE-2011-2462)에 관한 사항을 공개하였고, 이와 관련해 해당 취약점을 악용한 악성파일의 유포 정황이 확인되면서 사용자들의 각별한 주의가 요망되고 있다. Zero Day 취약점을 이용한 악성파일이 최근 트렌드화 되어 있는 사회공학 기법과 결합될 경우 다양한 범위에서 감염 및 피해 상황을 유발 할 수 있으며, Zero Day 취약점의 특성상 보안 패치가 발표되기 전까지는 제품 스스로의 보안성을 기대할 수 없다. 때문에 이러한 악성파일의 경우 사용자들 스스로 감염을 사전에 차단할 수 있도록 각별히 주의를 기울이는 것이 무엇보다 중요하다.

[Security Advisory for Adobe Reader and Acrobat]

☞ 
http://www.adobe.com/support/security/advisories/apsa11-04.html

[영향을 받는 소프트웨어 버전]

☞ Adobe Reader X (10.1.1) 버전 및 10.x 하위 버전 (Windows, Macintosh)
☞ Adobe Reader 9.4.6 버전 및 9.x 하위 버전 (Windows, Macintosh, UNIX)
☞ Adobe Acrobat X (10.1.1) 버전 및 10.x 하위 버전 (Windows, Macintosh)
☞ Adobe Acrobat 9.4.6 버전 및 9.x 하위 버전 (Windows, Macintosh)

  

2. 유포 경로 및 감염 증상


이번에 발견된 CVE-2011-2462 취약점을 악용한 악성파일은 PDF 형태로 이메일의 첨부파일이나, 특정 링크 접속 등을 통해 유포될 수 있다. 또한, 감염될 경우 U3D 메모리 변조로 인한 취약점에 노출되어 시스템 제어권을 공격자에게 허용할 수 있다고 알려졌다.

※ U3D(Universal 3D) 란?

☞ 3D 컴퓨터 그래픽 데이터에 대한 압축 파일 포멧


해당 악성 PDF 파일은 정상 PDF 파일에 취약점을 악용한 ShellCode가 삽입된 형태이며, 내부 내용은 아래의 그림과 같이 특정 회사의 내부 직원 만족도 조사의 내용처럼 구성되어 있는 것으로 알려져 있다.

해당 악성 PDF 파일이 실행되면 내부적으로 악성 ShellCode가 실행되며, 위 그림과 같은 정상적인 내용의 PDF 파일을 화면상에 출력하여 사용자를 속일 수 있다. 또한, 해당 악성 PDF 파일은 아래와 같은 추가적인 악성파일을 생성할 수 있다.

※ 생성 파일

☞ C:\Documents and Settings\(사용자 계정)\Local Settings\pretty.exe
☞ C:\Documents and Settings\(사용자 계정)\Local Settings\WSE4EF1.TMP
☞ C:\Documents and Settings\(사용자 계정)\Local Settings\ctfmon.exe (pretty.exe와 동일한 파일)

위와 같이 생성된 추가적인 악성파일들은 외부의 C&C 서버와 지속적인 통신을 시도하는 것으로 알려졌으나, 현재는 해당 사이트가 모두 막혀있는 상태이다.

3. 예방 조치 방법

현재 Adobe 측에서는 해당 취약점과 관련해 다음주인 2011년 12월 12일경 Windows용 Adobe Reader 9.x, Adobe Acrobat 9.x 제품에 대한 보안 패치를 제공할 예정이라고 한다. 다만, Adobe Reader X, Adobe Acrobat X 제품의 경우 각각 보호모드와 보호뷰 기능을 통해 취약점을 통한 감염을 예방할 수 있어 해당 제품의 보안 패치는 2012년 1월 10일경 이루어질 것이라고 발표하였다.

아직까지 해당 취약점에 대한 확실한 보안패치가 이루어지지 않았기때문에 일반 사용자들은 반드시 아래와 같은 "보안 관리 수칙"을 준수하여 해당 취약점에 의한 피해를 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치를 생활화.

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.

3. 출처가 불분명한 이메일의 첨부파일에 대한 다운로드를 지양.

4. SNS 이용시 출처가 불분명한 링크의 경우 해당 링크 접속 주의.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이러한 사회공학 기법을 악용한 여러 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.