본문 바로가기

벌새::Security

미스리(Mi3) 메신저를 이용한 Internet Explorer 제로데이 취약점 공격

반응형
1월 19일 오전, 국내 증권가에서 많이 사용하는 미스리(Mi3) 메신저를 통한 악성코드 유포 행위가 있었습니다.

이번 공격의 특징은 업계에서 전용으로 사용하는 특정 메신저를 통한 감염과 최근에 중국 정부에서 구글(Google) 등의 대규모 해킹 공격에 사용된 것으로 알려진 Microsoft Internet Explorer 제로데이(0-Day) 취약점을 이용한 것이 아닌가 생각됩니다.

이번의 경우 제한적인 사용자를 목표로 미스리 메신저 서비스 서버 취약점을 이용한 변조를 통해 메신저 상에서 노출되는 공지창을 통해 사용자 컴퓨터를 감염시킨 것으로 보입니다.

국내 보안업체에서는 해당 악성코드 분석을 통해 현재 알려진 악성코드 진단명의 경우 안철수연구소(AhnLab)는 Win-Trojan/ADS.13328, Win-Trojan/AvKiller.36864 진단명, 하우리는 Trojan.Win32.KillAV.24554 진단명, nProtect는 Script-JS/W32.Agent.TU 진단명 등으로 진단을 하고 있는 것으로 알려져 있습니다.

진단명을 통해 유추해보면 Internet Explorer 취약점을 이용한 악성 스크립트(Script-JS/W32.Agent.TU)를 통해 추가적인 다운로드가 발생하며, 설치된 악성코드는 사용자 컴퓨터에 설치된 보안제품을 무력화(Win-Trojan/AvKiller.36864)하여 진단을 우회하고, 인터넷 접속 불가현상(Win-Trojan/ADS.13328) 등을 야기할 것으로 생각됩니다.

안철수연구소에서는 Win-Trojan/ADS 전용 백신을 통하여 감염으로 인한 치료를 지원하고 있으며, 바이러스체이서에서는 감염으로 인한 Winsock 변경을 통한 인터넷 접속 문제를 수동으로 복구하는 방법을 공개하고 있습니다.

또한 이스트소프트(ESTSoft) 알약(AlYac)에서도 V.TRJ.KillAV.36864 전용 백신을 제작하여 배포를 시작하였습니다.

출처 : 미스리(Mi3) 메신저

일반적으로 메신저의 경우 사용자가 Internet Explorer 보안 취약점으로 인하여 Firefox와 같은 타 웹 브라우저를 사용할 경우에도 메신저 상에서 노출되는 공지창 등의 경우 IE 웹 브라우저를 기본값으로 하는 경우가 존재할 수 있을 것으로 생각됩니다.

언론에서는 이번의 경우 해당 메신저 서비스 업체에서 초기에 악성코드 감염을 통한 문제 제기가 있을 때, 제대로 사실을 알리지 않아서 대처가 늦어진 것이 아닌가 의심하고 있으며 현재 해당 서비스 업체 웹 사이트에서는 공지문조차 없는 것을 봐서는 사후대처에 문제가 있어 보입니다.

일반 사용자의 경우 해당 메신저를 사용하지 않아서 이번 공격에 직접적인 피해는 없을지도 모르지만, 본격적으로 특정 서비스 또는 대량의 웹 사이트 변조를 통한 악성코드 유포 행위가 발생할 가능성이 현실화 되었으므로 현재의 제로데이 보안 취약점 패치가 공개될 때까지는 Internet Explorer 8 버전으로 업그래이드를 하시거나 비IE 웹 브라우저를 사용하시는 것이 안전할 것으로 보입니다.

728x90
반응형
  • Miss Lee인줄 알았네요... ㅎㅎ
    아무튼 요즘 메신저는 주의해야 할 것 같습니다.

  • 다들 바쁘시군요.. 히..

    화이팅입니다. '-'/

  • 풀립 2010.01.20 12:58 댓글주소 수정/삭제 댓글쓰기

    해당 메신저 업체에서도 긴급 공지를 냈다는 군요.

    http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=1&seq=15587&key=%ED%95%B4%EC%BB%A4%2C+%ED%95%B4%ED%82%B9%2C+ms%2C+%EA%B5%AC%EA%B8%80%2C+%EC%A4%91%EA%B5%AD%2C+&dir_group_dist=0&dir_code=&searchDate=

    해당 업체의 입장은

    "메신저 업그레이드 공지 팝업의 스크립트를 애드웨어로 인식해 로그인시 혼란을 드렸다”며, 서버에서 해당 스크립트를 삭제했다는 조치 내용과 함께 메신저 사용자를 대상으로 긴급조치 방법과 함께 백신 검사를 요청했다. 메신저 운영사는 이 공지에서 “치명적 오류는 없는 것으로 파악된다"

    공지 팝업의 스크립트를 애드웨어로 인식해 라는 말은 마치 정상적인 스크립트인데 바이러스로 오진하여 문제가 생겼다, 백신 업체가 너무 과민반응 한다는 뉘앙스를 풍기는 것 같습니다..

    서버에 이상한 스크립트가 삽입 되어 있었지만 현제는 삭제를 한 상태이며 이러한 과정에서 치명적 오류는 없는것 같다고 하는데 말이 안되죠. 시스템 다운에 먹통,브라우저 초기 주소 고정에 기타 악성코드 다운까지 받는 현상까지 있었는데..

    사건을 수긍하고 사과하는 모습은 없고..
    아무튼 이 업체의 사후 대처 방식이 뭔가 문제가 있는 것 같습니다..

  • 증권가에서 사용하는 메신저 같은데 누군가 의도적으로 제작을 한것이 아닐까 생각이 듭니다.