마이크로소프트(Microsoft) 업체에서 제공하는 Internet Explorer 9, 10 버전의 알려지지 않은 제로데이(0-Day) 보안 취약점(CVE-2014-0322)을 이용하여 악성코드 유포가 이루어지고 있다는 정보가 공개되었습니다.
▷ <KISA 인터넷침해대응센터 보안공지> MS Internet Explorer 원격코드 실행 신규 취약점 주의 권고 (2014.2.14)
해당 공격은 2014년 2월 13일경 해외에서 최초 공개되었으며 미국(USA)과 프랑스의 특정 악성 스크립트가 포함된 웹 사이트를 방문하는 사용자 중 Internet Explorer 10 웹 브라우저의 Use-After-Free 취약점을 이용하여 DEP, ASLR 우회를 통한 원격 코드 실행을 할 수 있습니다.
□ Windows Vista, Windows Server 2008, Windows 7 운영 체제용 Internet Explorer 9 버전
□ Windows 7, Windows 8, Windows Server 2012, Windows RT 운영 체제용 Internet Explorer 10 버전
□ Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 11 버전
그러므로 Internet Explorer 9 버전을 사용하는 사용자는 "MSHTML Shim Workaround" 기능을 임시로 비활성화할 수 있는 Microsoft Fix it 도구(Microsoft Fix it 51007)를 통해 임시 패치를 진행하시기 바랍니다.
- "MSHTML shim workaround" 활성화 : Microsoft Fix it 51007
- "MSHTML shim workaround" 비활성화 : Microsoft Fix it 51008
차후 CVE-2014-0322 제로데이(0-Day) 취약점에 대한 공식 보안 패치를 설치할 때에는 "Microsoft Fix it 51008" 파일을 다운로드하여 임시 패치를 제거하시기 바랍니다.
또한 Internet Explorer 10 버전을 사용하는 사용자는 Windows Update 기능을 통해 제공되는 Internet Explorer 11 버전으로 업데이트를 하시기 바랍니다.
참고로 "Windows 7을 위한 Internet Explorer 11" 업데이트는 기본값으로 체크 해제되어 자동 업데이트를 통해 설치되지 않으므로 제어판의 Windows Update 체크를 통해 직접 체크한 후 설치를 진행하시기 바랍니다.
■ 프랑스를 표적으로 한 CVE-2014-0322 제로데이(0-Day) 유포 정보
이번 공격은 미국와 프랑스 2개국을 대상으로 악성코드 유포가 이루어지고 있으며, 해외 정보에 따르면 미국 해외 전쟁 재향 군인 웹 사이트(vfw.org) 해킹을 통해 Drive-By Download 방식의 유포(Operation SnowMan)와 프랑스 우주 항공 관련 웹 사이트(gifas.asso.fr) 공격 조직은 서로 다른 것으로 알려져 있습니다.
그 중에서 프랑스를 표적으로 한 유포는 유사 도메인을 이용하여 제작된 특정 악성 웹 사이트로 접속을 유도하여 감염을 유발시켰으며 2014년 1월 17일경부터 공격이 이루어진 것으로 추정됩니다.
해당 악성 웹 사이트에 포함된 include.html 스크립트 파일<SHA-1 : d49d703ed7b0401c071564b9eeb743be4115f31b - AhnLab V3 : HTML/Cve-2014-0322 (VT : 20/50>에서는 사용자 PC에 Microsoft EMET 체크(C:\Windows\AppPatch\EMET.DLL)를 통해 Tope.swf 악성 파일을 받아오도록 구성되어 있습니다.
다운로드된 Tope.swf 파일<SHA-1 : 910de05e0113c167ba3878f73c64d55e5a2aff9a - AhnLab V3 : SWF/Downloader (VT : 27/50)>은 PNG 그림 파일 속성값을 가진 Erido.jpg 파일을 받아오는 기능이 존재합니다.
암호화된 Erido.jpg 파일<SHA-1 : f6ab152010b5a90c9a3fa4398f9e4595f95d4df2 - AhnLab V3 : Exploit/Cve-2014-0322 (VT : 4/50)>은 그림과 같은 이미지 파일로 보이지만 XOR(0X95)을 통해 다음과 같은 2개의 악성 파일을 생성합니다.
- C:\Users\(사용자 계정)\AppData\Local\Temp\Low\sqlrenew.txt (SHA-1 : 8d7a949dad1ee86d5494ac8753c0aa99ef37945d) - AhnLab V3 : Win-Trojan/Loader.41984 (VT : 23/50)
- C:\Users\(사용자 계정)\AppData\Local\Temp\Low\stream.exe (SHA-1 : dd3a61eed9c454cf96d882f290abc86108ffeea5) - AhnLab V3 : Dropper/Win32.Agent (VT : 24/47)
생성된 sqlrenew.txt PE 파일은 메모리 상에 존재하면서 stream.exe 파일 실행 역할을 하며, 일정 시간이 경과하면 stream.exe 파일은 다음과 같은 위치로 파일을 이동한 후 추가적인 파일을 생성합니다.
- C:\Users\(사용자 계정)\AppData\Local\Temp\Low\MicroMedia\MediaCenter.exe → <파일 생성> C:\Users\(사용자 계정)\AppData\Local\Temp\Low\738399.dat (SHA-1 : 2a547bc9dbfbe432ebee9bb69861ecc0ba4c243a) - nProtect : Trojan/W32.ZxPlug.9272 (VT : 1/49)
- C:\Users\(사용자 계정)\AppData\Local\Temp\MicroMedia\MediaCenter.exe → <파일 생성> C:\Users\(사용자 계정)\AppData\Local\Temp\MicroMedia\MicroSoftSecurityLogin.ocx (SHA-1 : ae605ef5075020dc8666d0fc29936e8eeb30d19c) - nProtect : Trojan/W32.ZxPlug.17200 (VT : 2/49)
이를 통해 외부 C&C 서버와 통신이 이루어질 수 있으며 추가적인 명령에 따라 정보 유출 등의 악의적 행위가 가능합니다.
특이 이번 CVE-2014-0322 제로데이(0-Day) 취약점을 이용한 악성코드 유포에서는 국내에서 해킹된 것으로 보이는 유효한 "MICRO DIGITAL INC.", "Bonewave Co., Ltd." 디지털 서명 2종이 포함되어 있는 것으로 확인되고 있습니다.
현재 마이크로소프트(Microsoft)에서는 CVE-2014-0322 취약점에 대한 보안 패치 제공 일정은 공개하지 않고 있으므로, 차후 광범위하게 발생할 수 있는 악성코드 유포에 대응하기 위해서는 취약점에 노출된 웹 브라우저 사용자는 임시 패치(Microsoft Fix it) 또는 Internet Explorer 11 버전으로 업그레이드를 하시고 인터넷을 이용하시기 바랍니다.