1. 개 요

특정 웹 브라우저 보안 취약점을 이용하여 유포 되어지는 악성파일이 최근 확인 되었다. 해당 악성 파일은 인스턴스 메신저에 포함 되어진 URL 주소 링크를 클릭할 경우 감염이 발생하게 되며, 사용자 정보 유출등과 같은 피해가 발생할 수 있으므로 인터넷 사용자 개개인의 주의와 예방의식이 필요할 것으로 여겨지고 있다. 



[참고 : 메신저 쪽지 등으로 유포되는 악성코드 주의]
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=56&page=

[참고 : 네이트온 쪽지로 유포 중인 악성코드 그림 파일]
http://viruslab.tistory.com/1788

[참고 : 웹 취약점을 겨냥하고 네이트온 쪽지로 전파된 악성 파일 주의]
http://erteam.nprotect.com/113

2. 감염 방식 및 증상

개요 부분에서 설명 하였듯이 해당 악성파일은 특정 메신저의 대화창 이나 쪽지등에 포함되어진 URL 주소 링크를 클릭할 경우 IE와 같은 웹 브라우저의 보안 취약점으로 인하여 감염이 발생하게 된다.

최근까지 유포가 진행중인 특정 메신저 쪽지의 형태는 아래의 그림과 같이 확인되지 않은 URL 주소를 포함 하고 있다.


현재 위와 같은 링크가 포함되어진 URL 접근시 악성 스크립트 코드에 의하여 추가적인 악성파일을 다운로드 받아 설치하게 된다. 이같은 악성파일 감염 형태는 이전 글 에서도 설명 하였듯이 "CVE-2010-0806, MS10-018" 등과 같은 특정 웹 브라우저 보안 취약점으로 인하여 발생하게 된다.

 

http://www.hsgdh***.com/index.htm


사용자 PC의 환경 조건을 체크한 이후 취약점이 확인되어지면 악의적인 코드가 포함되어진 "1.html" 로 접근을 하게 되고, 악성파일 감염과정으로 부터 사용자를 속이기 위하여 정상적인 그림파일을 다운로드 받아 보여주게 된다. 현재 다운로드 되어진 그림파일은 아래와 같다.

 


악의적인 코드가 포함되어진 "1.html" 은 아래와 같이 인코딩 되어진 상태이며, 사용자 확인이 가능하도록 디코딩 하여 보았다.


디코딩 되어진 "1.html" 내부 코드를 살펴보게 되면 실행 가능한 exe 파일을 다운로드 받을수 있는 URL 주소를 포함하고 있다.

 

이러한 취약점으로 부터 다운로드 되어진 "adjku.exe" 파일은 아래의 그림과 같이 사용자 확인시 정상파일 처럼 보이기 위하여 "허위 디지털 서명" 및 "버전 정보" 등과 같은 파일 정보를 포함하고 있다.



3. 감염 증상


"adjku.exe" 악성 파일이 실행되면 아래와 같이 특정 경로에 악의적인 파일을 생성하게 된다.

[생성파일]

C:\WINDOWS\FXSST.dll (33,340 바이트)
C:\WINDOWS\system32\m_user.dll (80 바이트)
C:\WINDOWS\system32\V3lght.dll (15,360 바이트)
C:\Documents and Settings\(사용자 계정 폴더)\Local Settings\Application Data\f.exe (64,376 바이트)


※ 악성파일 감염 및 동작 방식 관계도


4. 예방 조치 방법


위와 같은 악성파일 유포 방식에 따른 감염 형태는 공개된 보안 패치 적용이 미흡한 상황에서 발생 가능성이 높으므로, 반드시 Windows 보안 패치를 비롯하여 응용 프로그램에 대한 최신 패치를 적용하는 등의 꾸준의 관리와 노력이 필요하다.

1. 윈도우와 같은 OS 및 각종 응용 프로그램에 대하여 최신 보안 패치를 적용하도록 한다.
2. 발신처가 불 분명한 이메일이나 인스턴스 메시지에 포함되어진 확인되지 않은 URL 주소에 대한 접근은 주의를 기울이도록 한다.
3. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 적용하여 사용하며, 실시간 감시 기능을 "ON" 상태로 유지할 수 있도록 한다.

현재 잉카인터넷 대응팀에서는 위와 같은 변종 악성파일에 대하여 진단 및 치료 기능을 제공하고 있으며, 이러한 보안 위협으로 부터 상시 대응체계를 유지하고 있다.

 ※ nProtect Anti-Virus/Spyware 3.0 제품 진단 화면


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개요


최근 까지 인스턴스 메신저 또는 쪽지 등을 통하여 직접적인 파일 다운로드 방식으로 악성파일을 유포 하였던 일명 "네이트온 악성파일"이 특정 인터넷 게시판으로 접속을 유도한 뒤 웹 브라우저의 취약점을 이용하여 감염을 유발하는 등 좀 더 다양하고 지능된 유포 방식이 확인 되어 관련 글을 작성하여 보았다.


[참고 : 메신저 쪽지 등으로 유포되는 악성코드 주의]
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=56&page=

[참고 : 네이트온 쪽지로 유포 중인 악성코드 그림 파일]
http://viruslab.tistory.com/1788

2. 감염 방식 및 취약점 정보

2-1. 감염 방식

최초 악의적인 공격자에 의하여 해킹된 네이트온 메신저의 등록 되어진 친구들에게 국내의 특정 인터넷 게시판 URL 주소가 포함된 쪽지를 발송하게 된다. 이후 사용자가 이를 클릭할 경우 해당 컴퓨터의 MS 보안 패치 적용 유무 또는 최신 버전의 특정 웹 브라우저(Internet Explorer, Firefox)를 사용하지 않을 경우 자동으로 감염되게 된다.

정상적으로 수신되어진 쪽지 안에는 아래와 같이 특정 URL 주소가 포함되어져 있으며, 클릭시 자동으로 사이트에 접근하게 된다.


현재 링크로 접속되어진 사이트의 게시판에는 악의적인 주소가 포함 되어진 top.html, pop.html 와 같은 스크립트 파일로 연결을 시도하게 된다. (현재 해당 사이트의 게시판은 폐쇄되어진 상태이다.)

또한, 해당 게시판은 제로보드 구버전으로 최근 공개되어진 제로보드 취약점에 노출 되어진 게시판으로 추정 되어 진다.

※ 제로보드(게시판) 취약점 정보 및 보안 패치 정보

[국내 공개 웹 게시판(그누보드) 취약점 주의]
http://www.krcert.or.kr/secureNoticeView.do?num=492&seq=-1   (인터넷침해 대응센터)

[국내 공개 웹 게시판(테크노트) 취약점 주의]
http://www.krcert.or.kr/secureNoticeView.do?num=491&seq=-1 (인터넷침해 대응센터)

[XpressEngine Core 1.4.4.4(보안패치)]
http://xe.xpressengine.net/?mid=issuetracker&act=dispIssuetrackerDownload (제로보드)

zboard.php 소스안에 iframe 형태로 추가된 main.html 스크립트 파일에는 MS의 특정 Internet Explorer 취약점을 악용하는 kr1.html, kr2.html 파일을 불러와 해당 게시판에 접속한 사용자 중 보안 패치가 적용되지 않은 사용자의 컴퓨터를 감염시키도록 되어 있다.

zboard.php의 특정 난독화 코드


zboard.php의 특정 난독화 코드(디코딩 후)


위 그림에 포함되어진 pop.html, top.html 소스에는 다음과 같은 특정 파일로 접근이 가능하도록 되어져 있다.


제일 먼저 main.html 부터 알아 보도록 하겠다. main.html 파일 내부에는 아래와 같이 4개의 함수와 함수내 각각의 변수로 받는 배열 값들이 서로 난독화 되어진 상태이다.


난독화 되어진 스크립트를 사용자가 알 수 있게 디코딩하게 되면 아래와 같은 악성 URL 주소가 포함되어진 파일로 접근하게 된다.


kr1.html 파일은 MS 인터넷 익스플로러의 MS10-018 취약점을, kr2.html 파일은 MS09-002 취약점을 이용하여 38.jpg 악성 파일을 다운로드하게 된다.

kr1.html 인코딩 상태의 파일 내용


디코딩 되어진 kr1.html, kr2.html 스크립트 파일 내부에 포함되어진 악성파일 URL 주소를 다음과 같이 확인할 수 있다.


두번째로 in.js 파일을 알아 보도록 하겠다. in.js 파일 내부에는 아래와 같이 ff10.htm 파일로 접근이 가능하도록 되어있다.


ff10.htm 파일 내부에는 사용자 컴퓨터의 OS 버전 및 특정 웹 브라우저(Internet Explorer, Firefox)의 버전을 비교하여 최신 버전이 아닐 경우 Exploit Code로 부터 취약한 환경에서 악의적인 동작 수행이 가능하다. (일부 내용만 공개)


만약 사용자의 특정 웹 브라우저 버전이 낮을 경우 다음과 같이 취약점이 노출되어진 Firefox 또는 Internet Explorer 환경에서 아래와 같은 cosplay.swf (플래쉬 파일)을 다운로드 받게 된다.


다운로드 된 cosplay.swf 파일이 실행 되었을때 사용자가 보기에는 정상적으로 동작하는 평범한 Flash 영상으로 보이지만 내부에는 악의적인 코드가 포함 되어져 있으며, 취약점이 발생할 경우 38.jpg 악성파일을 다운로드 받아 실행되게 된다.


이러한 취약점으로 부터 다운로드 되어진 38.jpg 파일은 정상적인 그림 파일인 것처럼 확장자가 jpg로 위장 되어져 있으나 실제 악의적인 동작을 수행하게 된다.


3. 감염 증상

다운로드 되어진 38.jpg 악성파일이 실행되면 아래와 같이 특정 경로에 파일을 생성하게 된다.

[생성파일]

C:\WINDOWS\system\winpingying.ime
C:\WINDOWS\system\Lcomres.dat
C:\WINDOWS\system\Lins.log
C:\WINDOWS\system\winweng.exe

또한, 아래와 같은 레지스트리 값을 등록하여 윈도우 시작 시 재감염이 발생하게 된다.

[윈도우 시작시 함께 실행될 수 있도록 레지스트리 값 등록]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

- 값 이름 : "기본값"
- 값 데이터 : "C:\WINDOWS\system\winweng.exe"



38.jpg.exe 파일에 의하여 생성되어진 winweng.exe 파일은 아래와 같이 특정 보안 프로그램의 기능을 무력화 시킨다. 또한, 윈도우 시작시 마다 winweng.exe 파일을 자동 실행하여 보안 프로그램이 실행되지 못하도록 한다.

- AhnLab (V3)
- 이스트소프트 (알약)
- 바이러스 체이서(Virus Chaser)
- 카스퍼스키


또한, 해당 악성파일은 사용자가 Internet Explorer와 같은 웹 브라우저를 실행할 경우 iexplorer.exe 프로세스에 winpingying.ime 파일을 인젝션하여 특정 온라인 게임 계정 정보를 탈취하는 등의 악의적인 동작을 수행하게 된다.

- Maplestory
- Aion
- Hangame
- Pmang
- Lineagea1
- Lineagea2
- Mabinogi
- DNF


4. 예방 조치 방법

위와 같은 악성파일의 유포 방식은 공개된 보안 패치를 적용하지 않고 인터넷을 이용하는 사용자들로 부터 금전적인 피해를 유발할 수 있으므로, 반드시 Windows 보안 패치를 비롯하여 응용 프로그램에 대한 최신 패치를 적용하는 등의 꾸준한 관리 습관을 가지도록 노력하여야 한다.

현재 잉카인터넷 대응팀에서는 다양한 변종 악성파일에 대하여 진단 및 치료 기능을 제공하고 있으며, 이러한 취약점 공격을 대비하여 상시 대응체계를 유지하고 있다.

1. 윈도우와 같은 OS 및 응용 프로그램에 대하여 최신 보안 패치를 적용하도록 한다.
2. 발신처가 불분명한 이메일이나 첨부 파일에 대한 열람 혹은 인스턴스 메시지를 통하여 노출되기 쉬운 URL 접근은 최대한 주의를 기울이도록 한다.
2.신뢰할 수 있는 보안업체에서 제공하는
백신을 항상 최신 엔진 및 패턴 버전으로 업데이해 사용해야 하며, 실시간
감시 기능을 "ON" 상태로 유지하도록 한다.

※ nProtect Anti-Virus/Spyware 2007 제품으로 진단한 화면


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect