1. 개 요 


최근 Adobe측에서 새로운 Zero Day 취약점(CVE-2011-2462)에 관한 사항을 공개하였고, 이와 관련해 해당 취약점을 악용한 악성파일의 유포 정황이 확인되면서 사용자들의 각별한 주의가 요망되고 있다. Zero Day 취약점을 이용한 악성파일이 최근 트렌드화 되어 있는 사회공학 기법과 결합될 경우 다양한 범위에서 감염 및 피해 상황을 유발 할 수 있으며, Zero Day 취약점의 특성상 보안 패치가 발표되기 전까지는 제품 스스로의 보안성을 기대할 수 없다. 때문에 이러한 악성파일의 경우 사용자들 스스로 감염을 사전에 차단할 수 있도록 각별히 주의를 기울이는 것이 무엇보다 중요하다.

[Security Advisory for Adobe Reader and Acrobat]

☞ 
http://www.adobe.com/support/security/advisories/apsa11-04.html

[영향을 받는 소프트웨어 버전]

☞ Adobe Reader X (10.1.1) 버전 및 10.x 하위 버전 (Windows, Macintosh)
☞ Adobe Reader 9.4.6 버전 및 9.x 하위 버전 (Windows, Macintosh, UNIX)
☞ Adobe Acrobat X (10.1.1) 버전 및 10.x 하위 버전 (Windows, Macintosh)
☞ Adobe Acrobat 9.4.6 버전 및 9.x 하위 버전 (Windows, Macintosh)

  

2. 유포 경로 및 감염 증상


이번에 발견된 CVE-2011-2462 취약점을 악용한 악성파일은 PDF 형태로 이메일의 첨부파일이나, 특정 링크 접속 등을 통해 유포될 수 있다. 또한, 감염될 경우 U3D 메모리 변조로 인한 취약점에 노출되어 시스템 제어권을 공격자에게 허용할 수 있다고 알려졌다.

※ U3D(Universal 3D) 란?

☞ 3D 컴퓨터 그래픽 데이터에 대한 압축 파일 포멧


해당 악성 PDF 파일은 정상 PDF 파일에 취약점을 악용한 ShellCode가 삽입된 형태이며, 내부 내용은 아래의 그림과 같이 특정 회사의 내부 직원 만족도 조사의 내용처럼 구성되어 있는 것으로 알려져 있다.

해당 악성 PDF 파일이 실행되면 내부적으로 악성 ShellCode가 실행되며, 위 그림과 같은 정상적인 내용의 PDF 파일을 화면상에 출력하여 사용자를 속일 수 있다. 또한, 해당 악성 PDF 파일은 아래와 같은 추가적인 악성파일을 생성할 수 있다.

※ 생성 파일

☞ C:\Documents and Settings\(사용자 계정)\Local Settings\pretty.exe
☞ C:\Documents and Settings\(사용자 계정)\Local Settings\WSE4EF1.TMP
☞ C:\Documents and Settings\(사용자 계정)\Local Settings\ctfmon.exe (pretty.exe와 동일한 파일)

위와 같이 생성된 추가적인 악성파일들은 외부의 C&C 서버와 지속적인 통신을 시도하는 것으로 알려졌으나, 현재는 해당 사이트가 모두 막혀있는 상태이다.

3. 예방 조치 방법

현재 Adobe 측에서는 해당 취약점과 관련해 다음주인 2011년 12월 12일경 Windows용 Adobe Reader 9.x, Adobe Acrobat 9.x 제품에 대한 보안 패치를 제공할 예정이라고 한다. 다만, Adobe Reader X, Adobe Acrobat X 제품의 경우 각각 보호모드와 보호뷰 기능을 통해 취약점을 통한 감염을 예방할 수 있어 해당 제품의 보안 패치는 2012년 1월 10일경 이루어질 것이라고 발표하였다.

아직까지 해당 취약점에 대한 확실한 보안패치가 이루어지지 않았기때문에 일반 사용자들은 반드시 아래와 같은 "보안 관리 수칙"을 준수하여 해당 취약점에 의한 피해를 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치를 생활화.

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.

3. 출처가 불분명한 이메일의 첨부파일에 대한 다운로드를 지양.

4. SNS 이용시 출처가 불분명한 링크의 경우 해당 링크 접속 주의.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이러한 사회공학 기법을 악용한 여러 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.

 

저작자 표시
신고
Posted by nProtect
1. 개요


2011년 4월 12일경 해외의 보안 블로그 통하여 Adobe Flash Player, Acrobat & Reader 제품의 취약점을 이용하여 유포되어지는 악성파일이 발견 되었음이 보고 되었다. 당 악성 파일은 이메일의 첨부 파일을 통하여 다운로드 되어진 문서파일을 열람할 경우 취약점에 의해 노출되어진 버전 이하의 Adobe 응용 프로그램 에서 발생할 수 있다. 또한, Adobe 업체에서는 취약점 발생에 따른 보안공지 사항을 2011년 4월 11일경 발표하였으며, 이와 같이 취약점으로 부터 발생 가능한 보안 위협으로 부터 사용자들의 각별한 주의가 필요한 상태이다.



※ Adobe CVE-2011-0611 Security Bulletin & Common Vulnerabilities Application Programs

[Security Adisory for Adobe Flash Player, Adobe Reader and Acrobat]

http://www.adobe.com/support/security/advisories/apsa11-02.html

2. 감염 방식 및 감염 증상

현재 해당 악성파일은 "Disentangling Industrial Policy and Competition Policy.doc" 란 파일명으로 되어진 이메일의 첨부 파일과 같은 MS Office의 DOC 파일 형식으로 되어있으며, 문서파일 내부에는 Flash(SWF)파일이 포함되어져 동작하는 것으로 확인 되어 졌다.

아래의 그림은 첨부파일에 포함 되어진 DOC 문서파일 이며, 또 다른 파일명으로 언제든지 유포가 가능할 것으로 추정되어 진다.

http://contagiodump.blogspot.com/2011/04/apr-8-cve-2011-0611-flash-player-zero.html


문서파일을 실행하게 되면 "Disentangling Industrial Policy and Competition Plicy in China" 라는 제목이 포함되어진 문서내용을 일부 확인할 수 있다.

 


취약점으로 인하여 실행되어진 악성파일은 다음과 같은 경로에 추가적인 악성파일을 생성하게 되며, 윈도우 시스템 정상 Dll 파일인 "mspmsnsv.dll" 파일을 악성 Dll 파일로 교체하게 된다.

C:\Document and Settings\사용자계정 폴더\Local Settings\Temp\svchost.exe (3,728 바이트)
C:\WINDOWS\System32\mspmsnsv.dll (8,704 바이트)


※ 정상 mspmsnsv.dll 과 악성 mspmsnsv.dll 파일 비교


 또한, 아래와 같은 파일을 추가적으로 생성하게 되며, 생성되어진 일부 파일은 사용자의 특정 시스템 프로세스 정보를 담고 있다.

 


3. 예방 조치 방법

이와 같은 악성파일로 부터 안전하기 위해서는 다음과 같은 사전 예방조치가 필요하다.

1. 발신처가 불분명한 이메일이나 첨부 파일에 대한 열람 혹은 특정 웹 사이트를 통하여 다운로드 받아진 파일에 대하여 검증절차 없이 실행할 경우 주의를 기울이도록 한다.

2. 윈도우와 같은 OS 및 각종 응용프로그램에 대하여 최신 보안 패치를 적용하도록 한다.

3. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 사용하도록 하며, 실시간 감시 기능을 "ON" 상태로 유지하도록 한다.

또한, Adobe 측에서는 CVE-2011-0611 취약점에 대한 Adobe Flash Player 보안 패치 적용은 조만간 업데이트 되어질 예정이며, Adobe Reader 및 Acrobat 제품에 대한 보안 패치 적용은 2011년 6월 14일경 업데이트 되어질 예정이다.

현재 이와같은 취약점으로 부터 발견되어진 악성파일과 관련하여 nProtect Anti-Virus 제품군에서는 모두 진단 치료가 가능하며, 잉카인터넷 대응팀에서는 지속적으로 발생 가능한 보안 위협에 대하여 상시 대응체계를 유지하고 있다.

※ nProtect Anti-Virus/Spyware 3.0 제품으로 진단한 화면

 

 


저작자 표시
신고
Posted by nProtect