2013년 시작과 함께 Oracle Java 프로그램의 알려지지 않은 제로데이(0-Day) 취약점(CVE-2013-0422)을 이용하여 사이버 범죄 조직에서 다양한 악성코드 유포에 활용하고 있습니다.
▷ Oracle Java 제로데이(0-Day) 취약점 : CVE-2013-0422 (2013.1.11)
현재까지 알려진 정보에 의하면 해외에서는 변조된 웹 사이트를 방문할 경우 자동으로 감염되는 방식으로 유포가 이루어지고 있습니다.
그런데 2013년 1월 11일 새벽경 수집된 국내 수신자를 대상으로 한 이메일에서 CVE-2013-0422 취약점을 이용한 유포가 확인되었기에 전체적인 흐름을 살펴보도록 하겠습니다.
참고로 테스트는 "Windows XP SP3 + Internet Explorer 8 + Oracle Java SE Runtime Environment 7 Update 10" 풀패치가 이루어진 환경에서 확인하였습니다.
● 이메일 내용
Hello,
as promised - View
L. Solis
수신된 이메일에서는 제시된 링크를 클릭하도록 유도하고 있으며, 연결되는 링크는 영국(co.uk) 도메인으로 연결되어 있습니다.
링크를 클릭할 경우 영국(co.uk) 도메인에서 러시아(.ru) 도메인으로 자동 연결이 이루어지며, 다음과 같은 메시지를 출력한 후 Oracle Java Applet 실행 화면이 표시됩니다.
Please wait a moment ... You will be forwarded.
Internet Explorer and Mozilla Firefox compatible only
그 후 deployJava1.dll 추가 기능 실행을 알리는 바가 생성되며, 백그라운드 방식으로 자동으로 악성 파일을 다운로드하여 시스템 감염이 발생하게 되는 동작을 확인할 수 있습니다.
링크 접속부터 감염 과정까지의 http 연결 정보를 살펴보면 "Oracle Java SE Runtime Environment 7 Update 10" 최신 버전 환경에서 자동으로 감염이 이루어지는 것을 확인할 수 있습니다.
- h**p://dimanaka****.ru:8080/forum/links/column.php (MD5 : f162ad5c1d9cb9993abedb4fe2543637) - Sophos : Troj/ExpJs-CI (VirusTotal : 1/46)
최초 감염을 유발하는 악성 스크립트에서는 Oracle Java, Adobe PDF 취약점을 이용하고 있으며, 테스트 당시에서는 Sophos 보안 제품에서만 Troj/ExpJs-CI 진단명으로 진단되고 있었습니다.
- h**p://dimanaka****.ru:8080/forum/links/column.php?wbeimb=tnpyrt&mrpdi=hernnv (MD5 : 483b40f21a9e97f0dc6c88a21fddc1ec) - BitDefender : Java.Exploit.Agent.A (VirusTotal : 16/46)
사용자 PC가 Oracle JRE 제품이 설치되어 있거나 취약한 Adobe Reader 버전을 사용하고 있을 경우 특정 서버로부터 악성 Jar 파일을 받아오게됩니다.
이를 통해 info.exe 파일(MD5 : a62d781a6f92e7cd2dcec5827a3f5951)을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\wgsdgsdgdsgsd.exe" 파일로 복사하며, 최종적으로 "C:\Documents and Settings\(사용자 계정)\Application Data\KB00420190.exe" 파일명으로 저장이 이루어집니다.
참고로 해당 파일에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Bublik 진단명으로, 알약(ALYac) 보안 제품에서는 Spyware.Zbot.KB 진단명(VirusTotal : 15/46)으로 진단되고 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- KB00420190.exe = "C:\Documents and Settings\(사용자 계정)\Application Data\KB00420190.exe"
생성된 악성 파일(KB00420190.exe)은 자신을 시작 프로그램으로 등록하여 시스템 시작시마다 자동 실행되도록 구성되어 있습니다.
또한 시스템 감염 이후 추가적으로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\exp2.tmp.exe" 파일(MD5 : 472d6e748b9f5b02700c55cfa3f7be1f)을 추가 생성하는 동작을 확인할 수 있었습니다.
참고로 해당 파일에 대하여 Kaspersky 보안 제품에서는 Trojan-PSW.Win32.Tepfer.egnh (VirusTotal : 8/45) 진단명으로 진단되고 있습니다.
해당 파일은 마이크로소프트(Microsoft) 파일로 위장한 "Remote Access Phonebook" 파일로 등록되어 있으며, 실행시 다음과 같은 악의적인 동작을 통해 FTP 계정 정보를 수집하고 있습니다.
- 지정된 특정 비밀번호을 이용한 로그인 시도 : password, phpbb, qwerty, jesus, abc123, letmein, test, love, password1, hello, monkey 등 (총 234개)
- 접속 IP 정보 : 132.248.49.112:8080/asp/intro.php 등 13개
- 국내외 유명 FTP 계정 정보 수집 : ESTsoft 업체의 ALFTP 포함
- 기타 계정 정보 수집 : SMTP,POP3, IMAP, NNTP, HTTP
수집된 로그인 정보는 금전적 피해 유발, 정보 유출 등의 피해가 예상되므로 감염된 PC에서는 악성코드 치료 및 계정 정보 변경 작업이 함께 이루어져야 합니다.
시스템 재부팅이 이루어진 환경에서는 그림과 같이 랜덤(Random)한 해외 서버와 연결이 이루어지며, 추가적으로 정보 유출 악성 파일(exp2.tmp.exe)에서는 국내 특정 IP 서버와 통신하는 부분도 확인할 수 있었습니다.
일반적으로 제우스봇(ZBot)이라고 일컫는 해당 악성코드에 감염된 경우 계정 유출 및 해외 금융권 서비스를 이용할 경우 금전적 피해가 발생할 수 있으므로 주의하시기 바랍니다.
또한 현재 Oracle Java 제로데이(0-Day) 취약점(CVE-2013-0422)에 대한 공식 보안 패치가 제공되지 않고 있으므로, "Oracle Java SE Runtime Environment 7 Update 10" 제품으로 업데이트를 한 후 Java 제어판에서 "브라우저의 Java 콘텐츠 사용" 항목의 체크를 해제하여 임시 예방을 하시기 바랍니다.