분석 정보/악성코드 분석 정보

[주의]MIDI 파일 취약점을 이용한 악성파일 등장

TACHYON & ISARC 2012. 1. 27. 13:12
1. 개요


2012년 01월 마이크로 소프트 정기 보안 업데이트로 제공된 MS12-004(CVE-2012-0003) 취약점을 이용하는 악성파일이 발견되었다. 해당 보안 취약점은 2012년 01월 10일 IBM Security System X-Force Research의 Shane Garrett 가 마이크로 소프트사 측에 최초 보고한 내용으로 알려져 알려져 있으며, 마이크로 소프트사의 윈도우 미디어 플레이어용 멀티미디어 라이브러리인 winmm.dll 파일에 존재하는 원격 코드 실행 취약점이다. 이미 보안 취약점이 해결된 업데이트 모듈이 공식적으로 배포 중에 있으므로, "윈도우 최신 보안 업데이트를 수행"하여 사전 예방하고, 이를 악용한 악성파일에 노출되어 또 다른 피해를 입지 않도록 각별한 주의가 필요한 상태이다.
  

MIDI 원격코드 취약점을 이용한 악성파일이 국내에서도 전파 중에 있으므로, 다음과 같은 내용을 참고하여, 사전에 대비하도록 하여야 하며, 최신 보안 업데이트를 통해서 취약점에 노출되지 않도록 하는 노력이 절실히 필요하다.

2. 취약점 정보

악의적인 공격자에 의해서 특수하게 조작된 미디어 파일이 실행되면 원격 코드 실행이 허용되며, 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있게 된다.

Microsoft Windows Media Could Allow Remote Code Execution
http://www.iss.net/threats/442.html

Windows Media의 취약점으로 인한 원격 코드 실행 문제점
http://technet.microsoft.com/ko-kr/security/bulletin/MS12-004

Malware Leveraging MIDI Remote Code Execution Vulnerability Found
http://blog.trendmicro.com/malware-leveraging-midi-remote-code-execution-vulnerability-found/

영향을 받는 소프트웨어 목록은 다음과 같다.

- Windows XP SP3 Windows Multimedia Library
- Windows XP Media Center Edition 2005 SP3 Windows Multimedia Library
- Windows XP Media Center Edition 2005 SP3 Windows Multimedia Library and Directshow
- Windows XP Professional x64 Edition SP2 Windows Multimedia Library and DirectShow
- Windows Server 2003 SP2 Windows Multimedia Library and DirectShow
- Windows Server 2003 x64 Edition SP2 Windows Multimedia Library and DirectShow
- Windows Server 2003 with SP2 for Itanium-based Systems Windows Multimedia Library and DirectShow
- Windows Vista SP2 Windows Multimedia Library and DirectShow
- Windows Vista x64 Edition SP2 Windows Multimedia Library and DirectShow
- Windows Server 2008 for 32-bit Systems SP2 Windows Multimedia Library and DirectShow
- Windows Server 2008 for x64-based Systems SP2 Windows Multimedia Library and DirectShow
- Windows Server 2008 for Itanium-based Systems SP2 Windows Multimedia Library and DirectShow
- Windows 7 for 32-bit Systems and Windows 7 for 32-bit Systems SP1 DirectShow
- Windows 7 for x64-based Systems and Windows 7 for x64-based Systems SP1 DirectShow
- Windows Server 2008 R2 for x64-based Systems DirectShow
- Windows Server 2008 R2 for x64-based Systems SP1 DirectShow
- Windows Server 2008 R2 for Itanium-based Systems DirectShow
- Windows Server 2008 R2 for Itanium-based Systems SP1 DirectShow

3. MIDI 취약점을 이용한 악성파일

MIDI 취약점을 이용한 악성파일은 특정 웹 사이트에 등록된 "mp.html" 이름의 파일을 통해서 처음 발견되었다.

mp.html 파일명은 Media Player 약어로 추정되며, 내부에는 MIDI 취약점을 이용한 baby.mid 파일을 오브젝트 명령을 통해서 실행하도록 구성되어 있다.

또한 i.js 이름의 JScript 파일을 이용해서 ActiveXObject 코드를 실행하며 그외 Java Script 등을 통해서 별도의 Shell Code 값들이 실행되도록 만든다.

아울러 baby.mid 파일이 로딩되면 일본 애니메이션인 "토토로" 주제가가 실제로 재생된다. 따라서 음량 조절에 따라 배경음악이 나오면서 악성파일에 감염되는 과정이 진행된다.

보안 취약점에 의해서 암호화된 Shell Code 값이 실행되면 특정 웹 사이트에 등록되어 있는 tdc.exe 라는 파일이 다운로드되고, XOR 복호화 과정 등을 거친 후에 악성파일이 실행된다.


tdc.exe 악성파일이 실행되면 특정 웹 사이트에 등록되어 있는 "20120120.exe" 라는 이름의 또 다른 악성파일을 추가로 설치시도한다.

nProtect AVS3.0 제품에서는 다음과 같이 진단 치료가 가능하다.


4. 예방 조치 방법

위와 같은 악성파일은 최신 보안 취약점을 이용해서 불특정 다수를 대상으로 유포하는 악성파일 형태이다. 이러한 종류의 악성파일에 감염되지 않도록 예방하기 위해서는 최신 보안 업데이트가 중요하다.

2012년 01월 정기 보안 업데이트 권고
http://erteam.nprotect.com/241

또한, 악성파일 유포에 자주 사용되는 Flash Player 취약점, JAVA(JRE) 취약점을 보완하기 위해서 다음과 같은 사이트에서 항상 최신 버전을 설치하고 사용하도록 한다. 


악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원치 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 위와 같은 악성파일에 대해 신종 및 변종 모두 진단/치료가 가능한 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.