분석 정보/악성코드 분석 정보

[주의]Oracle Java Zero-Day (CVE-2013-0422) 공격 진행 중

TACHYON & ISARC 2013. 1. 11. 12:14
1. Java 0-Day 취약점을 통한 악성파일 유포 중


2013년 01월 10일 새로운 Java 취약점이 악용되어 악성파일 유포에 이용되고 있는 사실이 해외에서 공식 보고되었다. 해당 취약점은 Common Vulnerabilities and Exposures ID가 [CVE-2013-0422] 값으로 부여되었으며, 2013년 01월 11일 현재 취약점이 해결된 보안 업데이트가 정식으로 제공되고 있지 않은 Zero-Day 취약점이다. 이 취약점은 악성파일 유포 전문조직들이 사용하는 Blackhole Exploit Kit(BHEK) 외 각종 Exploit Kit 기능에도 이미 공격기능이 탑재된 상태이고, 이미 다수의 웹 사이트를 통해서 유포된 정황이 확인된 상태이므로, 각별한 주의와 대비가 요구된다. Java 프로그램 설치 이용자들은 정식 보안패치가 배포되기 이전까지 사용에 큰 문제가 없다면 임시로 제거(제어판->프로그램 추가/제거->Java)하는 등 적절한 보안조치를 취하는 노력이 필요할 것으로 보인다.



2. CVE-2013-0422 관련 정보


Java Zero-Day 취약점은 해외 음란사이트 등 다수의 웹 사이트에서 배포되었고, 공격반경이 점차 광범위로 확대될 것으로 우려되고 있다. 보안이 취약한 Java 프로그램이 설치되어 있는 경우 해당 악성 스크립트가 포함되어 있는 특정 웹 사이트의 접근만으로 알려지지 않은 악성파일에 쉽게 노출될 수 있다. 아래는 실제 해외 사이트에서 유포되었던 악성 스크립트 코드의 한 예이다.

 
악성 Java 파일은 다양한 변종이 보고되고 있고, 다수의 웹 사이트를 통해서 유포됐던 사례가 보고된 상태이다. 더불어 마이크로 소프트사의 인터넷 익스플로러(IE)에 대한 Zero-Day 취약점[CVE-2012-4792]도 아직 공식적인 보안업데이트가 제공되지 않고 있고, 국내 사이트에서도 해당 취약점을 이용한 악성파일 유포가 발견된 상황이므로 인터넷 이용자들의 각별한 보안주의가 요구된다.

[주의]인터넷 익스플로러(IE) 0-Day 취약점 공격 증가(CVE-2012-4792)
http://erteam.nprotect.com/372

Java Zero-Day 취약점에 대한 공식 보안업데이트가 제공되기 전까지 특별한 문제가 없다면 일시적으로 Java 프로그램을 제어판에서 삭제하여 두는 것도 임시방편이다.

추후 정식 보안업데이트가 배포되면 자바 다운로드 사이트(http://www.java.com/ko/)를 통해서 재설치하여 사용하면 된다. 


3. 보안 관리 수칙 준수

악성파일들은 다양한 취약점과 기법을 이용해서 유포되므로 인터넷 이용자들은 아래과 같이 기본적인 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/