Oracle JRE 플러그인 취약점과 관련하여 10월 19일에 최신 보안 패치를 공개하였으며, JRE 6 Update 27 또는 JRE 7 Java SE 이하 버전을 사용하는 사용자의 경우 자동으로 감염될 것으로 추정됩니다.
기존의 경우 Adobe Flash Player 취약점과 Internet Explorer 웹 브라우저 취약점 관련 악성 스크립트를 이용하던 방식에서 Oracle JRE 취약점까지 추가된 이번 유포 방식으로 인하여 그 동안 Oracle JRE 플러그인을 설치하고 업데이트를 제대로 하지 않은 사용자들은 많은 감염이 예상됩니다.
이번 유포 사례 중에서는 아프리카TV 개인 방송국에 접속시 외부 광고 서버 해킹을 통한 악성 스크립트 유포가 확인되고 있으며, 실제 아프리카TV 사이트서 발견되는 스크립트 부분을 간략하게 살펴보도록 하겠습니다.
개인적으로 확인된 광고 서버를 통한 유포에서는 그림과 같이 아프리카 특정 웹 페이지에 추가된 광고 관련 자바 스크립트 소스를 불러오는 과정에서 악성 iframe 소스가 추가된 부분을 발견할 수 있으며, 이로 인하여 사용자가 아프리카TV 개인 방송국 또는 그 외 서비스를 이용하는 과정에서 취약점을 가진 PC 환경인 경우 자동으로 감염될 수 있으리라 판단됩니다.
이번 유포에서는 기존과 마찬가지로 Adobe Flash Player 취약점을 이용한 Birthday.swf(Microsoft : Exploit:SWF/CVE-2011-2140.A) 파일이 이용되고 있으며, 내부에서는 2개의 쉘코드(ShellCode)를 확인할 수 있습니다.
첫 번째 쉘코드는 CVE-2011-2140 취약점을 이용한 swf 파일로 avast! 보안 제품에서는 SWF:CVE-2011-2140-A [Expl] 진단명으로 진단되며, 두 번째 쉘코드는 암호화된 ie67.gif 파일을 다운로드하여 XOR을 통해 악성 파일(MD5 : bc679bd61a790f2428e97a7db61eef07)을 실행하도록 구성되어 있습니다.
참고로 해당 악성 파일에 대하여 BitDefender 보안 제품에서는 Trojan.Agent.ATGG (VirusTotal : 12/43) 진단명으로 진단되고 있습니다.
Oracle JRE 취약점을 이용한 부분을 살펴보면 applet.jar 파일을 다운로드하여 실행하는 과정에서 최종적으로 java.exe(MD5 : 1b0cefd2621e3bd631494b2c7cd2bed6) 파일을 다운로드하여 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\xxoo.exe] 파일로 자가 복제를 합니다.
참고로 해당 파일에 대하여 avast! 보안 제품에서는 Win32:Downloader-LMY [Trj] (VirusTotal : 18/43) 진단명으로 진단되고 있습니다.
xxoo.exe 파일은 특정 서버에 접속하여 암호화(update1.txt)된 다운로드 URL 정보를 받아 baker.exe(MD5 : f379953a361366c37fcdbcac79ccffec) 파일을 추가 다운로드하여 시스템 감염을 유발합니다.
해당 파일에 대하여 알약(ALYac) 보안 제품에서는 Trojan.Dropper.OnlineGames.wsxp (VirusTotal : 27/43) 진단명으로 진단되고 있습니다.
C:\WINDOWS\system32\drivers\kill.sys
- MD5 : bfc2d0d49f32b864493c887e2d5b8275
- 알약(ALYac) : Trojan.Rootkit.Ressdt (VirusTotal : 8/43)
※ kill.sys 파일은 알약(ALYac), AhnLab V3 보안 제품이 설치되어 있는 환경에서만 생성됩니다.
C:\WINDOWS\system32\ws2help.dll
- MD5 : 56eeabed17b700d447ee9225149a811f
- 알약(ALYac) : Spyware.OnlineGames.wsxp (VirusTotal : 12/43)
C:\WINDOWS\system32\ws2help.dll.MDF.tmp :: ws2help.dll 백업 파일(정상 파일)
※ 해당 파일은 C:\WINDOWS\system32\ws2help.dll.(3자리 영문+숫자).tmp 형태입니다.
C:\WINDOWS\system32\ws2helpXP.dll :: ws2help.dll 백업 파일(정상 파일)
감염되어 생성된 파일을 살펴보면 알약(ALYac), AhnLab V3 보안 제품이 설치된 환경에서 최초 감염시 kill.sys 파일을 진단하지 못할 경우 보안 제품을 강제로 종료시키는 kill.sys 드라이버 파일을 생성합니다.
또한 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일을 백업하고 자신을 악성 파일로 교체(패치)하여 다음과 같은 악의적인 기능을 수행합니다.
- 온라인 게임 계정 수집 : 게임하이(GameHi), 한게임(HanGame), 넷마블(NetMarble), 피망(PMang), 넥슨(Nexon) 등
- 온라인 문화 상품권 계정 수집 : 컬쳐랜드(CultureLand), 틴캐시(TeenCash)
- 보안 제품 무력화 : AhnLab V3, 사이트가드(SiteGuard), 알약(AhnLab), 네이버 백신(Naver Vaccine) 등
감염된 환경에서 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 악성 ws2help.dll 파일이 추가되며, 원래의 ws2help.dll 기능은 백업된 ws2helpXP.dll 파일을 참조하는 것을 확인할 수 있습니다.
이를 통하여 표적이 된 웹 사이트에 사용자가 접속하여 로그인을 시도할 경우 아이디(ID), 비밀번호와 같은 계정 정보가 외부로 유출되는 것을 확인할 수 있습니다.
참고로 테스트에서는 미국(USA)에 위치한 174.139.27.75 IP 서버로 계정 정보가 전송되는 것을 확인하였습니다.
해당 악성코드에 감염된 사용자 중에서 보안 제품을 통한 치료에 문제가 있는 경우, 다음과 같은 수동 방식으로 문제를 해결하시기 바랍니다.(※ 절차를 준수해 주시기 바라며, 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.)
1. Windows 탐색기에서 [C:\WINDOWS\system32\drivers\kill.sys] 파일을 찾아 삭제하시기 바랍니다.
2. 레지스트리 편집기(regedit)에서 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\agony
3. [C:\WINDOWS\system32\ws2help.dll] 파일을 찾아 파일 확장자명을 변경하시기 바랍니다.(※ 예시 : ws2help.dll-)
악성 ws2help.dll 파일을 ws2help.dll- 파일로 변경한 경우, 윈도우 파일 보호(WFP) 기능을 통해 일정한 시간이 경과하면 자동으로 정상적인 ws2help.dll 파일이 생성되므로 반드시 생성 여부를 확인하시고 시스템 재부팅을 진행하시기 바랍니다.
만약 ws2help.dll 파일이 재생성되지 않은 상태에서 시스템 재부팅을 할 경우, 블루 스크린(BSoD)을 통한 윈도우 부팅 불가 문제가 발생할 수 있습니다.
4. 시스템 재부팅 후 다음의 파일을 수동으로 삭제하시기 바랍니다.
- C:\WINDOWS\system32\ws2help.dll- :: 악성 ws2help.dll 파일의 확장자명이 변경된 파일
- C:\WINDOWS\system32\ws2help.dll.(3자리 영문+숫자).tmp
- C:\WINDOWS\system32\ws2helpXP.dll
모든 절차를 완료한 사용자는 반드시 국내외 유명 보안 제품을 이용하여 추가적인 정밀 검사를 진행하시기 바랍니다.
이번 유포 사례처럼 이제는 매월 정기적으로 제공되는 Windows 보안 업데이트, Adobe Flash Player 최신 버전 사용 및 Oracle JRE 플러그인이 설치된 PC이 경우 최신 버전 사용을 주기적으로 체크하여 취약한 버전을 사용하는 일이 없도록 주의하셔야 합니다.