최신 보안 동향

노벨평화상 웹 사이트 해킹과 파이어 폭스 제로 데이 취약점의 등장

TACHYON & ISARC 2010. 10. 28. 17:57
지난 2010년 10월 26일경 노벨평화상 웹 사이트가 해킹된 사고가 일어났다. 원인은 바로 웹 브라우저인 파이어 폭스(Firefox)에 존재하는 제로 데이(Zero-Day) 취약점이었다.

※ 제로 데이(Zero-Day)란 쉽게말해 특정 취약점에 대한 보안패치가 나오지 않은 시점에서 발생하는 공격기법을 말한다.

[ 출처 : http://news.chosun.com/site/data/html_dir/2010/10/27/2010102700146.html - 조선일보 ]

이번 취약점에 노출된 버전은 Mozilla Firefox 3.5/3.6 버전이었으며, 해킹된 사이트에 접속 시 해당 취약점을 이용한 악성 자바스크립트 파일을 이용하여 트로이 목마를 다운로드(scvhost.txt) 하는 형태로 감염이 이루어진다.

                                                           <악성 자바스크립트 파일의 내부코드>

위 그림은 악성 자바스크립트 파일이 이번 취약점에 노출된 파이어 폭스의 버전(3.6버전 등) 정보를 가지고 있는 내부화면이다.

사진을 클릭하시면 확대화면을 보실 수 있습니다.

                                                               <scvhost.txt의 복사본 생성경로>

HKLM\
      SOFTWARE\
            Microsoft\
                 Windows\
                      CurrentVersion\
                           Run\

이   름 : Microsoft Windows Update
데이터 : "C:\WINDOWS\temp\symantec.exe"

일단 트로이 목마(scvhost.txt)가 다운로드 되어 실행되면 유명 해외 보안 및 스토리지 업체의 이름을 딴 자신의 복사본(symantec.exe)을 특정 폴더에 복사하며, 위 그림과 같이 레지스트리에 등록하여 윈도우 재부팅시 마다 자동으로 실행되도록 한다.

사진을 클릭하시면 확대화면을 보실 수 있습니다.

                                                 <감염 시 접속을 시도하는 특정 사이트 IP 및 위치정보>

사진을 클릭하시면 확대화면을 보실 수 있습니다.

                                        <난독화 되어있는 악성 자바스크립트 파일의 디코딩된 내부코드>

트로이 목마는 실행되어 감염된 후 미국에 위치하고 있는 특정 사이트에 원격 접속을 시도하나, 현재는 접근이 차단되어 있다. 또한, 위 그림 처럼 난독화 되어있는 악성 자바스크립트 파일의 디코딩된 내부코드로 미루어 보아 사이트가 해킹되었을 당시 해당 사이트 접속을 통해 감염이 이루어지면, 다운로드 되는 scvhost.txt 파일이 %temp% 폴더에 scvhost.exe 파일명으로 복사된다는 점을 추정해 볼 수 있다.

사진을 클릭하시면 확대화면을 보실 수 있습니다.


nProtect Anti-Virus 제품군에서는 이번 취약점과 관련하여 보고된 악성 파일에 대해 위 그림과 같이 진단/치료 기능을 제공하고 있다.

현재 Mozilla Security Blog를 통해 "Critical vulnerability in Firefox 3.5 and Firefox 3.6" 의 제목으로 이번 취약점에 대한 긴급 보안패치 버전(3.5.15/3.6.12 버전)이 제공되고 있다.

[ http://blog.mozilla.com/security/2010/10/26/critical-vulnerability-in-firefox-3-5-and-firefox-3-6/ ]

기존의 파이어 폭스 3.5/3.6 버전 사용자들은 필히 이번에 배포된 최신버전을 업데이트하여 혹시 모를 추가적인 위협에 대비하는것이 현명할 것이다.