마이크로소프트(Microsoft) 업체에서 제공하는 Internet Explorer 웹 브라우저의 "Image Arrays Remote Code Execution Vulnerability" 제로데이(0-Day) 보안 취약점(CVE-2012-4969)을 이용하여 악성코드 유포 행위가 이루어지고 있는 사실이 최근 확인되었습니다.

 

  Microsoft Security Advisory (2757760) : Vulnerability in Internet Explorer Could Allow Remote Code Execution (2012.9.17)

 

이번에 확인된 취약점(CVE-2012-4969) 유포는 2012년 8월에 확인된 Oracle Java 제로데이(0-Day) 취약점(CVE-2012-4681)을 유포하였던 중국(China) 유포 조직이 이용한 동일한 서버에서 발견되었다고 알려져 있습니다. 

  <nProtect 대응팀 공식 블로그> [주의]새로운 Internet Explorer Zero-Day 취약점 발견 (2012.9.18)

 

유포 방식을 살펴보면 악의적으로 조작된 웹 사이트에 사용자가 접속할 경우 삽입된 exploit.html 파일(Kaspersky : Trojan-Downloader.HTML.SWFLoad.g)이 DoSWF를 이용한 암호화된 Moh2010.swf 파일(Kaspersky : Exploit.SWF.Agent.gr)을 불러옵니다.

 

해당 Moh2010.swf 파일을 디코딩한 경우, Microsoft 보안 제품에서는 Exploit:SWF/CVE-2010-2884.B 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

 

이를 통해 Heap Spray 방식을 통해 iframe 방식으로 추가된 Protect.html 파일(BitDefender : JS:Exploit.JS.Agent.AQ)을 로딩하여 최종적으로 XOR 암호화된 111.exe 파일을 실행합니다.

 

참고로 111.exe(MD5 : 8d326300a6f4dfe93a456c4c185bf2a8) 파일에 대하여 AhnLab V3 보안 제품에서는 Win-Trojan/Poison.16898 (VirusTotal : 23/42) 진단명으로 진단되며, 이전 Oracle Java 제로데이(0-Day) 취약점 유포 파일과 유사한 Poison Ivy 백도어(Backdoor) 계열로 보입니다.

 

감염된 시스템에서는 "C:\WINDOWS\system32\mspmsnsv.dll" 파일(MD5 : 3079FC1303AFBF709AA715F50FB917F5)을 생성하며, "WmdmPmSN" 서비스 항목을 등록하여 시스템 시작시 자동 실행되도록 구성되어 있습니다.

 

참고로 해당 파일에 대하여 알약(ALYac) 보안 제품에서는 Backdoor.Poison.10240 진단명으로 진단되고 있습니다.

 

확인된 C&C 서버는 미국(USA)에 위치한 "ie.aq1.co.uk(12.163.32.15)" 서버로 확인되고 있습니다.

 

이번 Microsoft Internet Explorer 제로데이(0-Day) 취약점은 사용자가 악의적으로 조작된 웹 사이트에 접속할 경우, 적당한 위치에 할당되지 않거나 지워진 객체를 Internet Explorer 웹 브라우저가 액세스하는 과정에서 발생하는 메모리 변조를 통해 원격 코드 실행이 가능합니다.

 

이를 통해 공격자는 시스템 권한 획득을 통해 감염된 시스템에서 정보 유출 등의 악의적 행위가 가능합니다.

 

[영향을 받는 소프트웨어]

 

□ Internet Explorer 6 : Windows XP, Windows Server 2003

 

Internet Explorer 7 : Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008

 

Internet Explorer 8 : Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008

 

□ Internet Explorer 9 : Windows Vista, Windows 7, Windows Server 2008

 

[영향을 받지 않는 소프트웨어]

 

Internet Explorer 10 : Windows 8, Windows Server 2012

 

현재 해당 제로데이(0-Day) 보안 취약점을 이용하여 인터넷 상에서 공격 행위가 지속될 수 있으므로, Internet Explorer 웹 브라우저 사용자는 보안 패치가 공식적으로 제공될 때까지 Mozilla Firefox, Google Chrome, Opera 웹 브라우저를 이용하여 인터넷을 이용하시길 권장해 드립니다.

 

또한 반드시 국내외 유명 백신 프로그램의 실시간 감시를 활성화하여 인터넷을 이용하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..