본문 바로가기

벌새::Analysis

MS10-002 보안 취약점을 이용한 악성코드 유포 (2010.1.23)

반응형
마이크로소프트(Microsoft) Internet Explorer의 제로데이(0-Day) 취약점을 이용한 중국의 해킹 공격에 사용된 Aurora가 국내 케이블 방송 웹 사이트를 변조하여 악성코드를 유포하는 것을 확인하였습니다.
[악성코드 유포 경로]

h**p://www.*tv.co.kr/js/common.js (F-Prot : HTML/IFRAME.gen)
 - h**p://www.andong***.co.kr/swf/au.htm (Kaspersky : Exploit.JS.Aurora.a)
   ->> h**p://114.***.199.***/swf/F.exe (Kaspersky : Trojan-Dropper.Win32.Agent.bkzh)
  -> h**p://www.andong***.co.kr/swf/rl.jpg (AVG : Exploit)
  -> h**p://www.andong***.co.kr/swf/GSl.jpg

해당 유포 사이트에 최근 공개한 보안 패치를 설치하지 않은 인터넷 사용자가 접속시 자동으로 감염되며, 알려진 바에 따르면 Internet Explorer가 자동으로 종료되는 현상이 발생할 수 있다고 합니다.

사이트의 common.js 파일에서는 iframe 방식으로 국내 타 사이트에서 au.htm 파일을 다운로드하며, 해당 파일은 Aurora 취약점 관련 악성 스크립트를 포함하고 있습니다.

au.htm

해당 악성 스크립트는 현재 BitDefender 엔진을 사용하는 보안제품에서는 Exploit.Comele.A 진단명으로 진단하고 있으며, 최종적으로 F.exe 파일을 다운로드하여 사용자 컴퓨터에 악성 프로그램을 설치하도록 구성되어 있습니다.

F.exe (MD5 : 08124a52a606e42cf762af385afd9203)

설치된 악성코드는 다음과 같은 동작을 통해 사용자 컴퓨터에서 민감한 개인정보를 탈취할 것으로 추정됩니다.

1. 윈도우 시작시 자동 실행

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - zhido = "%SystemRoot%\system32\zhido.exe"


윈도우 시스템 폴더 내에 설치된 zhido.exe 파일을 시작 프로그램으로 등록하여 윈도우 시작시 자동으로 실행되도록 구성되어 있습니다.

2. ahnrpta.exe 프로세스 생성

실행된 악성 프로그램은 [%SystemRoot%\ahnrpta.exe] 프로세스를 생성하며, 프로세스 이름은 안철수연구소(AhnLab) 보안제품처럼 지정하여 찾기 어렵게 구성하고 있습니다.

3. BHO 등록

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C8414FA0-BA90-4600-B7EA-0CEFAF5A0636}

※ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C8414FA0-BA90-4600-B7EA-0CEFAF5A0636}
※ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C8414F92-BA90-4600-B7EA-0CEFAF5A0636}


사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 [%SystemRoot%\system32\cao220.dll] 파일을 BHO 방식으로 추가하여, 사용자가 웹 사이트에서 로그인 정보를 입력시 키워드 값을 유출할 것으로 추정됩니다.

4. 타 프로세스에 모듈 추가

다양한 사용자 프로세스에 [%SystemRoot%\system32\softqq0.dll], [%SystemRoot%\system32\cao110.dll] 파일을 추가하여 정보 유출을 할 수 있습니다.



Internet Explorer 보안 취약점을 이용한 악성코드 설치를 통한 온라인 게임, 웹 사이트 계정 정보, 금융권 정보 등을 탈취할 목적으로 배포되는 악성코드를 근본적으로 예방하기 위해서는 반드시 마이크로소프트사에서 배포하는 보안 패치를 설치하셔야 하며, 신뢰할 수 있는 보안제품을 통한 실시간 감시를 활성화하시고 인터넷을 이용하시기 바랍니다.

특히 현재 시간으로 국내 보안제품에서 해당 악성코드를 진단하지 못하는 것으로 보이므로 매우 주의하시기 바랍니다.
728x90
반응형