1. Java 0-Day 취약점을 통한 악성파일 유포 중


2013년 01월 10일 새로운 Java 취약점이 악용되어 악성파일 유포에 이용되고 있는 사실이 해외에서 공식 보고되었다. 해당 취약점은 Common Vulnerabilities and Exposures ID가 [CVE-2013-0422] 값으로 부여되었으며, 2013년 01월 11일 현재 취약점이 해결된 보안 업데이트가 정식으로 제공되고 있지 않은 Zero-Day 취약점이다. 이 취약점은 악성파일 유포 전문조직들이 사용하는 Blackhole Exploit Kit(BHEK) 외 각종 Exploit Kit 기능에도 이미 공격기능이 탑재된 상태이고, 이미 다수의 웹 사이트를 통해서 유포된 정황이 확인된 상태이므로, 각별한 주의와 대비가 요구된다. Java 프로그램 설치 이용자들은 정식 보안패치가 배포되기 이전까지 사용에 큰 문제가 없다면 임시로 제거(제어판->프로그램 추가/제거->Java)하는 등 적절한 보안조치를 취하는 노력이 필요할 것으로 보인다.



2. CVE-2013-0422 관련 정보


Java Zero-Day 취약점은 해외 음란사이트 등 다수의 웹 사이트에서 배포되었고, 공격반경이 점차 광범위로 확대될 것으로 우려되고 있다. 보안이 취약한 Java 프로그램이 설치되어 있는 경우 해당 악성 스크립트가 포함되어 있는 특정 웹 사이트의 접근만으로 알려지지 않은 악성파일에 쉽게 노출될 수 있다. 아래는 실제 해외 사이트에서 유포되었던 악성 스크립트 코드의 한 예이다.

 
악성 Java 파일은 다양한 변종이 보고되고 있고, 다수의 웹 사이트를 통해서 유포됐던 사례가 보고된 상태이다. 더불어 마이크로 소프트사의 인터넷 익스플로러(IE)에 대한 Zero-Day 취약점[CVE-2012-4792]도 아직 공식적인 보안업데이트가 제공되지 않고 있고, 국내 사이트에서도 해당 취약점을 이용한 악성파일 유포가 발견된 상황이므로 인터넷 이용자들의 각별한 보안주의가 요구된다.

[주의]인터넷 익스플로러(IE) 0-Day 취약점 공격 증가(CVE-2012-4792)
http://erteam.nprotect.com/372

Java Zero-Day 취약점에 대한 공식 보안업데이트가 제공되기 전까지 특별한 문제가 없다면 일시적으로 Java 프로그램을 제어판에서 삭제하여 두는 것도 임시방편이다.

추후 정식 보안업데이트가 배포되면 자바 다운로드 사이트(http://www.java.com/ko/)를 통해서 재설치하여 사용하면 된다. 


3. 보안 관리 수칙 준수

악성파일들은 다양한 취약점과 기법을 이용해서 유포되므로 인터넷 이용자들은 아래과 같이 기본적인 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/

저작자 표시
신고
Posted by nProtect
1. 인터넷 익스플로러 Zero-Day 취약점 주의

마이크로 소프트(Microsoft)사에서 개발한 웹 브라우저 인터넷 익스플로러(Internet Explorer)의 몇몇 버전에서 2013년 01월 04일 현재 보안취약점이 해결되지 않은 Zero-Day 취약점(CVE-2012-4792)을 이용한 공격이 증가하고 있다. 해당 취약점은 미국 외교협회(Council on Foreign Relations/CFR) 웹 사이트가 해킹되었다는 소식을 통해서 처음 알려졌다. 이번 취약점은 아직 마이크로 소프트사를 통해서 공식적인 보안업데이트가 제공되고 있지 않기 때문에 해킹된 웹 사이트에 접근하는 것만으로도 악성파일에 감염될 수 있는 상황이므로, 인터넷 익스플로러 이용자들의 각별한 주의가 필요하다. 해당 Zero-Day 보안취약점은 인터넷 익스플로러의 6, 7, 8 등 총 3가지 버전을 사용하는 이용자에게 영향을 미치게 된다. 마이크로 소프트사에서는 다음 주중 보안업데이트를 제공할 예정이며, 현재 임시 보안패치 프로그램인 Fix-it 을 제공 중에 있다. 


해당 웹 브라우저 이용자들은 임시적이라도 Fix-it 프로그램을 설치하여 혹시 모를 보안위협에 대비하는 노력이 필요하다.



2. 보안 위협 관련 정보

마이크로 소프트사에는 이번 Zero-Day 공격의 심각성이 높다는 판단하에 신속히 보안 권고문을 등록하고, 임시 보안패치 프로그램(Fix-it)을 우선 제공하고 있다.

Vulnerability in Internet Explorer Could Allow Remote Code Execution
http://technet.microsoft.com/en-us/security/advisory/2794220
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4792
http://blogs.technet.com/b/srd/archive/2012/12/29/new-vulnerability-affecting-internet-explorer-8-users.aspx

악성파일은 "Helps.html" 이름의 스크립트를 이용해서 작동된다.

"Helps.html" 파일은 해당 스크립트가 특정 브라우저 버전과 중국어, 영어, 대만어, 일본어, 러시아어, 한국어 등의 웹 브라우저에서 작동하도록 언어를 설정하고, "today.swf" 라는 플래시 파일과 "news.html" 이라는 또 다른 스크립트 파일이 실행되도록 호출한다. "news.html" 파일은 다시 "robots.txt" 라는 파일을 오픈한다.


"Helps.html"  악성파일은 "xsainfo.jpg" 라는 XOR 기능으로 암호화된 악성파일을 다운로드하고 임시폴더(Temp)에 "flowertep.jpg" 라는 이름으로 생성한다. 그런 다음 다시 파일명을 "shiape.exe" 파일로 변환하고 실행한 후 스스로 삭제한다.


"today.swf" 파일 내부에는 아래 화면과 같이 Heap Spray 기법을 이용해서 Shellcode 를 삽입한다.


Shellcode 작동으로 인해서 "xsainfo.jpg" 이름의 악성파일이 다운로드 시도된다. 이 파일은 내부에 XOR 연산으로 HEX 코드가 암호화(Encode)되어 있고, 사용자의 컴퓨터에 설치될 때는 "flowertep.jpg" 이름의 파일로 복호화되어 생성된다. 이때 0x83(0x00 무시) 이라는 키를 통해서 복호화된다.


복호화된 "flowertep.jpg" 파일은 다시 임시폴더(Temp)에 "shiape.exe" 이름의 악성파일로 생성되고 실행된 후 스스로 삭제된다. 악성파일은 특정 호스트로 접속을 시도하며 공격자의 추가명령을 대기하며, 다양한 해킹시도를 할 수 있다.

악성파일의 등록 정보에는 중국어 설명이 포함되어 있어서 제작국가가 중국으로 의심된다는 논란이 있기도 하다.


3. IE Zero-Day 취약점 임시 보안 조치

마이크로 소프트사에는 2013년 01월 04일 현재 공식 보안업데이트를 제공하고 있지 않기 때문에 취약점에 노출될 가능성이 높다. 마이크로 소프트사에서는 정식 보안패치 이전에 임시로 제공 중인 Fix-it 프로그램을 제공하고 있다.

Microsoft Security Advisory: Vulnerability in Internet Explorer could allow remote code execution
http://support.microsoft.com/kb/2794220


Microsoft Fix it 50971 적용 : http://go.microsoft.com/?linkid=9823138
Microsoft Fix it 50972 해제 : http://go.microsoft.com/?linkid=9823140

인터넷 익스플로러 6, 7, 8 이용자분들은 반드시 마이크로 소프트사 Fix it 50971 을 적용하여, Zero-Day 취약점 공격에 노출되지 않도록 주의를 하시기 바랍니다. 인터넷 익스플로러 9, 10 사용자들은 해당 취약점으로 부터 영향을 받지 않으므로, 설치하실 필요는 없습니다.

정식 보안업데이트는 곧 발표될 예정이므로, 윈도우 업데이트를 통해서 패치를 적용하기 전에 "Microsoft Fix it 50971 해제" 프로그램을 실행하여 임시 보안 패치를 제거하시기 바랍니다.

Microsoft Security Bulletin Advance Notification for January 2013
http://technet.microsoft.com/en-us/security/bulletin/ms13-jan

nProtect AVS 3.0 제품에서는 현재 유포 중인 악성파일들은 모두 긴급 업데이트하여 진단/치료하고 있다.

악성파일들은 다양한 취약점과 기법을 이용해서 유포되므로 인터넷 이용자들은 아래과 같이 기본적인 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/


저작자 표시
신고
Posted by nProtect

1. 개 요


잉카인터넷 대응팀에서는 최근 한글 취약점을 악용하여 추가적인 악성파일의 유포를 시도하는 악성 한글 문서 파일을 발견하였다. 해당 악성 한글 문서 파일을 실행할 경우 내부에 포함된 정상적인 문서 파일이 함께 실행되므로 일반 사용자의 경우 악성코드가 실행되었는지 여부를 알 수 없어 잠재적 감염 위험성이 높다고 할 수 있다. 또한, 이러한 잠재적 감염 위험성을 가지는 악성파일에 감염되었을 경우 일반 사용자의 경우 감염 사실을 쉽게 알 수 없기 때문에 다양한 정보 유출 등 감염 이외의 2차적 피해를 입을 수 있어 각별한 주의가 요망되고 있다.

  

2. 유포 경로 및 감염 증상


해당 한글 문서 파일은 이메일 등의 첨부파일을 통해 주로 유포될 수 있으며, 다운로드 후 실행 시 아래와 같은 추가적인 악성파일을 생성할 수 있다.

※ 생성 파일

- (사용자 임시 폴더)\AAAA (25,088 바이트, 정상 한글 파일)
- (사용자 임시 폴더)\scvhost.exe (32,768 바이트)
- (시작프로그램 폴더)\AcroRd32Info(스페이스바 생략)数据的.exe (32,768 바이트, scvhost.exe와 동일한 파일)


☞ (사용자 임시 폴더)란 일반적으로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp" 을 말한다.
☞ (시작프로그램 폴더)란 일반적으로 "C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\시작프로그램" 을 말한다.


위 그림은 생성된 파일에 대한 아이콘을 보여주고 있다. 제일 상단의 "AAAA" 파일은 해당 악성 한글 문서 파일이 실행될때 함께 실행되는 정상적인 한글 문서 파일(.hwp 확장자가 없는 상태)이다. 악성 한글 문서 파일과 함께 실행되며 아래의 그림과 같은 내용을 담고 있다.


scvhost.exe 파일 또한, 해당 악성 한글 문서파일이 실행될 경우 생성되며 실행 시 아래의 그림과 같이 외부 특정 서버와 지속적인 통신을 시도한다. 파일명이 정상파일명(svchost.exe)과 유사한 것이 특징이며, 악성 동작의 특성상 Bot기능을 수행할 수 있다.


해당 IP는 아래의 그림과 같이 미국내에 소재하고 있으며, 현재는 통신이 정상적으로 이루어지지 않고 있다.


또한, scvhost.exe는 자신의 복사본을 생성하여 시작프로그램으로 등록하게 되는데 이때 복사본의 파일명 또한, 정상 프로그램명으로 위장하고 있으며, 스페이스바 입력을 통한 빈공간과 함께 파일명이 생성되어 있는것이 특징이다. 아래의 일부 코드를 통해 해당 파일명을 정의하고 있다.


3. 예방 조치 방법

위와 같이 특정 응용 프로그램의 취약점을 악용하는 악성파일의 경우 사전 방역이 어렵다는 특징을 가진다. 또한, 일반 사용자의 경우 해당 악성파일을 실행해도 내부에 포함되어 있는 정상적인 한글 문서 파일이 출력되므로 감염 여부에 대한 파악이 더욱 어려울 수 있다. 때문에 사용자들은 한글 등 사용중인 응용 프로그램에 대한 최신 보안 패치를 상시적으로 수행함과 동시에 아래의 "보안 관리 수칙"을 준수하는 것이 안전한 PC사용을 위한 최선의 방법이라 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단명 내역

- Trojan/W32.Agent.32768.CBC
- Trojan-Exploit/W32.Hwp_Exploit.189968





저작자 표시
신고
Posted by nProtect