1. 개요
잉카인터넷 대응팀은 2012년 03월 14일 게시된 마이크로 소프트(MS)사의 긴급(Critical) 보안 업데이트 MS12-020 취약점과 관련한 악성도구를 일부 발견하였다. MS12-020 보안 업데이트는 원격 데스크톱 프로토콜에서 발견된 2가지 취약점을 해결하는 것이며, 악의적 공격자에 의해서 특수하게 조작된 RDP(Remote Desktop Protocol) 패킷 전송을 통해 원격 코드 실행이 가능한 심각한 취약점이다. 대부분의 Windows 운영체제는 초기설정 값으로 RDP 기능이 비활성화되어 있고, 이 조건의 시스템은 취약점 공격 대상에 포함되지는 않으나, 설정 변경에 따라서 언제든지 보안위협에 노출될 수 있으므로 필수적으로 최신 보안패치 설치를 즉시 권장하며, 자동전파 기능을 결합한 네트워크 웜으로 발전할 경우 파급력이 증대될 것으로 우려된다.
MS 보안대응센터(MSRC)는 취약점 악용으로 인하여 사용자 개입없이 인터넷 웜으로 전파를 허용할 가능성이 있는 경우 위험도 등급을 "긴급"으로 정의한다.
원격 데스크톱 연결 기능은 네트워크 상에 존재하는 특정 컴퓨터들을 원격으로 편리하게 접속시켜 주는 기능이며, 언제 어디서나 스마트 폰 등을 활용해서 가정이나 회사의 컴퓨터에 손쉽게 접속할 수 있는 장점 때문에 지속적으로 각광을 받고 있는 서비스이기도 하다.
☞ http://erteam.nprotect.com/252
☞ http://technet.microsoft.com/ko-kr/security/bulletin/MS12-020
☞ http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=475
☞ http://technet.microsoft.com/ko-kr/security/bulletin/ms12-mar
2. 취약점 개념 증명 코드 및 공격 도구 등장
MS12-020(CVE-2012-0002) 보안 취약점과 관련하여, 중국 등 해외에서는 이미 개념 증명(PoC:Proof of Concept) 코드들이 여러가지로 공개되었으며, 일부는 MS08-067 공격 코드를 조합한 Fake 형태도 출현한 상태이다. 더불어 해당 취약점을 공식 보고한 Luigi Auriemma 의견에 따르면 MS12-020 개념증명 코드가 유출이 된것으로 의심된다는 소식도 일부 공개된 상태이다.
☞ http://aluigi.org/adv/ms12-020_leak.txt
☞ http://threatpost.com/en_us/blogs/ms12-020-rdp-code-leak-mystery-deepens-microsoft-remains-silent-031612
이와 함께 중국 등지에서는 여러가지 형태로 공격 도구들이 등장하고 있어, IP/PORT 스캐닝 기능이 결합된 자동전파 기능의 네트워크 웜(Worm) 형태로 발전하지 않을까 우려되고 있는 상황이고, 만약 웜 형태의 악성파일로 유포가 될 경우 빠른 확산력과 추가 기능에 따른 다각적인 피해가 발생할 수 있으므로, 각별한 주의와 적극적인 사전 대비가 필요하겠다.
잉카인터넷 대응팀에서는 초기 제작 모델인 CLI(Command Line Interface)방식과 사용자 편의성을 추가한 GUI(Graphical User Interface)방식의 다양한 공격 도구를 지속적으로 모니터링하고 있는 상태이다. 그중에 최근 중국에서 개발된 다음의 도구들은 사용자가 특정 IP 주소를 입력하고 확인버튼만 클릭하면 RDP 취약점 조건 성립 과정을 통해서 원격지 컴퓨터 공격이 가능하고, 누구나 쉽게 조작이 가능하다는 점에서 각별한 주의가 필요하다.
다만, 악의적 공격자가 위에서 언급한 도구를 이용해서 RDP 취약점 공격을 수행할 때 최신 보안 업데이트(서비스팩 포함)가 설치되어 있거나, 다음과 같이 원격 데스크톱 연결 기능이 해제되어 있는 경우에는 취약점 공격으로 인한 피해를 직접적으로 입지는 않는다. 그러나 매우 심각한 보안 취약점이므로 무관심으로 일관하여 보안 사각지대를 방치(보안 불감증)하지 말고, 반드시 최신 보안 업데이트를 매달 정기적으로 설치(자동 업데이트 권장)하여 근본적인 문제 해결을 수행하는 노력이 필요하다.
중국에서 개발되어 발견된 MS12-020 공격 도구들은 누구나 쉽게 취약점 공격을 시도할 수 있기 때문에 무분별하게 악용될 우려가 높으며, 잉카인터넷 대응팀에서 해당 도구의 기능을 실험해 본 결과 원격지에 네트워크로 연결되어 있고 RDP 보안이 취약한 컴퓨터를 강제 종료시킬 수 있는 것으로 파악되었다.
원격 데스크톱 연결 기능이 활성화되어 있고, 최신 보안 업데이트가 설치되지 않은 취약한 컴퓨터의 IP 주소를 대입한 후, 공격 수행 버튼을 누르게 되면 해당 컴퓨터는 블루스크린(BSoD:Blue Screen of Death) 장애가 발생하고, 일정 시간 후 자동 재부팅이 진행된다. 이 과정에서 아래와 같이 시스템 종료 이벤트 추적기 등이 나오면서 부팅 과정 대기 상태가 유지될 수 있는데, 사용자가 수동으로 확인버튼을 눌러야만 정상 부팅이 진행될 수 있다. 따라서 관리가 소홀한 FTP 서버나 데이터 베이스 서버가 공격을 당하면 관리자가 장애 사항을 파악하기 전까지 한동안 서비스가 중단되는 예기치 못한 피해를 입을 수도 있다.
3. 피해 예방법
상기 취약점은 이미 2012년 03월 마이크로 소프트(MS)사 정기 보안 업데이트를 통해서 개선된 모듈을 제공하고 있다. 그러므로 Windows 운영체제 이용자들은 신속히 최신 보안 업데이트를 진행하여 관련 취약점을 모두 제거하여 혹시 모를 공격에 사전 예방 조치를 수행하여야 한다.
컴퓨터 사용에 있어서 보안 업데이트는 선택이 아닌 필수이며, 각종 새로운 악성파일을 사전에 충분히 예방할 수 있는 효과를 기대할 수 있고, 다음 내용을 참고하면 쉽게 업데이트 하는 방법을 습득할 수 있다.
쉽게 배우는 Microsoft Windows 보안 업데이트
☞ http://erteam.nprotect.com/8
더불어 악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원하지 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 설치를 생활화 한다.
2. 신뢰할 수 있는 보안 소프트웨어(백신, 방화벽) 등을 설치 후 최신 엔진 및 패턴 버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 각별히 주의한다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[주의]바이러스가 포함된 보안서비스의 불편한 진실 (0) | 2012.04.04 |
---|---|
[주의]악성파일을 품은 섹스 동영상, 당신을 유혹한다. (0) | 2012.03.21 |
[주의]3월 10일 티벳(Tibet) 봉기 53주년 기념 표적형 공격 발견 (0) | 2012.03.07 |
[주의]일본 국토교통부 산하 국토지리원 표적 공격형 악성파일 발견 (0) | 2012.03.06 |
[주의]페이스북 채팅창을 이용한 악성파일 유포 시도 (0) | 2012.02.24 |