분석 정보/악성코드 분석 정보

[긴급]IE 0-Day (CVE-2012-4969) 취약점 공격 국내표적 현실화

TACHYON & ISARC 2012. 9. 21. 11:51
1. 개요


잉카인터넷 대응팀은 국내 유명 정치관련 사이트은밀히 변조되어 현재까지 마이크로 소프트(MS)사의 정식 보안패치가 제공되고 있지 않은 IE Zero-Day (CVE-2012-4969) 취약점 공격이 진행 중인 정황을 확인하였다. 지금까지 국내 특정 웹 사이트가 중개 경유지로 악용된 사례는 몇건 보고된 바 있지만 실제 국내 이용자들을 대상으로 한 본격적인 공격이 발견되기는 처음이다. 특히, 악성파일의 유포지와 경유지 등이 모두 정치 관련 사이트라는 점에서 주목되며, 인터넷 익스플로러의 웹 브라우저 사용자가 사이트 접속만으로 악성파일에 노출될 수 있다는 점과 인터넷 익스플로러 이용자가 매우 많다는 점에서 특별한 주의가 요구된다.

또한, 이번 주말기간 다양한 국내 웹 사이트를 통해서 불특정 다수를 대상으로 한 다양한 공격이 진행될 것으로 예상되고 있는만큼, 철저한 대비와 준비가 필요할 것으로 보여진다.

마이크로 소프트사의 공식보안 업데이트가 출시되기 전까지 응급 취약점 제거파일(Microsoft Fix it)을 설치하거나 IE 브라우저가 아닌 크롬이나 파이어폭스 등의 별도 웹 브라우저를 임시로 대체하여 사용하는 것도 하나의 대응책이라 할 수 있다. 



2. 악성파일 유포 정보

[긴급]국내 웹 사이트를 통해서 IE 0-Day (CVE-2012-4969) 공격 진행 중
http://erteam.nprotect.com/335

[주의]새로운 Internet Explorer Zero-Day 취약점 발견
http://erteam.nprotect.com/334

국내 특정 정치 관련 사이트의 메인 페이지 하단부분에 다음과 같은 아이프레임 명령어가 불법적으로 포함되어져 있고, 해당 파일에 의해서  4개의 또 다른 htm 파일이 연결된다.


"IF.htm" 파일은 윈도우 운영체제 버전, 언어팩, 웹 브라우저 버전 등의 다양한 타깃 플랫폼을 사전 체크하고 언어별 조건에 따라서 각기 다른 Exploit 코드를 실행하도록 선언한다.


악성파일 제작자는 최종 Exploit 코드를 4개로 구분하여 사용하였는데 영어(EN), 중국어(ZH), 일어(JA), 한국어(KO) 등의 순서로 조건문이 실행되도록 작성하였다.


각각의 htm 파일들은 language=navigator.browser Language 선언부분만 다르게 구성되어 있으며, 나머지 코드영역은 모두 동일하다.



또한, 공통적으로 포함되어 있는 "iframe.html" 파일에 의해서 CVE-2012-4969 취약점이 연동되도록 제작되어 있고 기존의 SWF 플래시(flash) 파일을 이용하지는 않고, html 파일로 통합한 기법을 이용했다.


보안 취약점이 정상적으로 작동하게 되면 국내의 또 다른 사이트로 접속하여 암호화되어 있는 "inst.cab" 파일을 다운로드하여, 정상적인 EXE 파일 형태로 복호화하고 실행한다.

"inst.cab" 파일은 마치 CAB 압축포맷처럼 파일명을 위장하고 있지만, 실제로는 HEX 값으로 XOR 연산 암호화(0x95)가 되어 있는 exe 실행파일이다.


악성파일이 다운로드와 복호화 과정을 정상적으로 수행하고, 실행이 되면 임시폴더(Temp)에 "cacheclr.exe" 라는 파일명으로 복사본을 생성하여 두고, 재부팅시 자동실행되도록 만든다.



파일은 실행되는 즉시 국내 보안업체 도메인과 유사(모방)하게 만들어진 미국의 특정 호스트(alyac.flnet.org, ahalab.4irc.com, alync.suroot.com)로 접속하여 추가 명령을 대기하며, 레지스트리를 추가해서 재부팅시 자동실행되도록 한다. 재부팅시에는 inst.exe 대신에 cacheclr.exe 파일이 연결된다.




원격 C&C(Command and Contro) 호스트 서버에 접속되면 일반적인 원격제어 기능 등의 다양한 보안위협에 놓이게 될 수 있으며, 사용자의 모든 컴퓨터 권한이 공격자에게 노출되어 예기치 못한 피해를 입을 수 있게 된다.

3. 마무리

잉카인터넷 대응팀은 새로운 IE Zero-Day 취약점용 악성파일에 대한 보안 모니터링을 강화하는 한편 이용자들의 피해를 최소화하기 위해서 변종 보안위협에 대한 이상징후를 예의주시하고 있다. 또한, 금일 변종을 다수 발견되어 nProtect Anti-Virus 제품군에 지속적으로 추가를 진행하고 있는 상황이다.

마이크로 소프트사는 해당 취약점에 대한 공식패치 파일 배포 이전에 취약점을 제거하기 위한 Microsoft Fix it 파일을 공식적으로 배포하고 있다. 아래 사이트에 접속하여 설치용인 Microsoft Fix it 50939 버튼을 클릭하여 설치하면 된다. 참고로 50938 버튼은 Fix it 을 제거할 때 사용하는 파일이다.


새롭게 유포되는 악성파일 변종들은 nProtect Anti-Virus 제품군에 신속하게 탐지 및 치료 기능을 포함하여 배포되고 있으므로, 사용자들은 항시 최신 버전으로 업데이트하고 실시간 감시 등을 활성화하여 이런 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다. 또한, 웹 사이트를 통해서 유포되는 경우 각종 보안취약점을 이용하고 있으므로, 운영체제 및 주요 응용프로그램의 보안업데이트 및 최신버전 사용을 생활화하는 보안습관이 중요하다.


위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : 
http://erteam.nprotect.com/334