지난 2010년 10월 26일경 노벨평화상 웹 사이트가 해킹된 사고가 일어났다. 원인은 바로 웹 브라우저인 파이어 폭스(Firefox)에 존재하는 제로 데이(Zero-Day) 취약점이었다.
※ 제로 데이(Zero-Day)란 쉽게말해 특정 취약점에 대한 보안패치가 나오지 않은 시점에서 발생하는 공격기법을 말한다.
※ 제로 데이(Zero-Day)란 쉽게말해 특정 취약점에 대한 보안패치가 나오지 않은 시점에서 발생하는 공격기법을 말한다.
[ 출처 : http://news.chosun.com/site/data/html_dir/2010/10/27/2010102700146.html - 조선일보 ]
이번 취약점에 노출된 버전은 Mozilla Firefox 3.5/3.6 버전이었으며, 해킹된 사이트에 접속 시 해당 취약점을 이용한 악성 자바스크립트 파일을 이용하여 트로이 목마를 다운로드(scvhost.txt) 하는 형태로 감염이 이루어진다.
위 그림은 악성 자바스크립트 파일이 이번 취약점에 노출된 파이어 폭스의 버전(3.6버전 등) 정보를 가지고 있는 내부화면이다.
HKLM\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
Run\
이 름 : Microsoft Windows Update
데이터 : "C:\WINDOWS\temp\symantec.exe"
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
Run\
이 름 : Microsoft Windows Update
데이터 : "C:\WINDOWS\temp\symantec.exe"
일단 트로이 목마(scvhost.txt)가 다운로드 되어 실행되면 유명 해외 보안 및 스토리지 업체의 이름을 딴 자신의 복사본(symantec.exe)을 특정 폴더에 복사하며, 위 그림과 같이 레지스트리에 등록하여 윈도우 재부팅시 마다 자동으로 실행되도록 한다.
트로이 목마는 실행되어 감염된 후 미국에 위치하고 있는 특정 사이트에 원격 접속을 시도하나, 현재는 접근이 차단되어 있다. 또한, 위 그림 처럼 난독화 되어있는 악성 자바스크립트 파일의 디코딩된 내부코드로 미루어 보아 사이트가 해킹되었을 당시 해당 사이트 접속을 통해 감염이 이루어지면, 다운로드 되는 scvhost.txt 파일이 %temp% 폴더에 scvhost.exe 파일명으로 복사된다는 점을 추정해 볼 수 있다.
nProtect Anti-Virus 제품군에서는 이번 취약점과 관련하여 보고된 악성 파일에 대해 위 그림과 같이 진단/치료 기능을 제공하고 있다.
현재 Mozilla Security Blog를 통해 "Critical vulnerability in Firefox 3.5 and Firefox 3.6" 의 제목으로 이번 취약점에 대한 긴급 보안패치 버전(3.5.15/3.6.12 버전)이 제공되고 있다.
[ http://blog.mozilla.com/security/2010/10/26/critical-vulnerability-in-firefox-3-5-and-firefox-3-6/ ]
[ http://blog.mozilla.com/security/2010/10/26/critical-vulnerability-in-firefox-3-5-and-firefox-3-6/ ]
기존의 파이어 폭스 3.5/3.6 버전 사용자들은 필히 이번에 배포된 최신버전을 업데이트하여 혹시 모를 추가적인 위협에 대비하는것이 현명할 것이다.
'최신 보안 동향' 카테고리의 다른 글
| G20 정상회의와 사이버위기에 대한 대비 (0) | 2010.11.08 |
|---|---|
| 대구경찰청 사이버수사대 사칭 메일 유포 주의! (0) | 2010.11.04 |
| ARP Spoofing 악성 파일 유포자 다운로드 기능 재추가 (0) | 2010.10.25 |
| Virus/W32.Parite.(변형도) 바이러스 감염율 증가 (0) | 2010.10.21 |
| 스마트폰 GPS 기능은 양날의 칼과 같다 (0) | 2010.10.21 |