본문 바로가기

벌새::Analysis

MS10-002 보안 취약점을 이용한 악성코드 유포 (2010.1.23)

반응형
마이크로소프트(Microsoft) Internet Explorer의 제로데이(0-Day) 취약점을 이용한 중국의 해킹 공격에 사용된 Aurora가 국내 케이블 방송 웹 사이트를 변조하여 악성코드를 유포하는 것을 확인하였습니다.
[악성코드 유포 경로]

h**p://www.*tv.co.kr/js/common.js (F-Prot : HTML/IFRAME.gen)
 - h**p://www.andong***.co.kr/swf/au.htm (Kaspersky : Exploit.JS.Aurora.a)
   ->> h**p://114.***.199.***/swf/F.exe (Kaspersky : Trojan-Dropper.Win32.Agent.bkzh)
  -> h**p://www.andong***.co.kr/swf/rl.jpg (AVG : Exploit)
  -> h**p://www.andong***.co.kr/swf/GSl.jpg

해당 유포 사이트에 최근 공개한 보안 패치를 설치하지 않은 인터넷 사용자가 접속시 자동으로 감염되며, 알려진 바에 따르면 Internet Explorer가 자동으로 종료되는 현상이 발생할 수 있다고 합니다.

사이트의 common.js 파일에서는 iframe 방식으로 국내 타 사이트에서 au.htm 파일을 다운로드하며, 해당 파일은 Aurora 취약점 관련 악성 스크립트를 포함하고 있습니다.

au.htm

해당 악성 스크립트는 현재 BitDefender 엔진을 사용하는 보안제품에서는 Exploit.Comele.A 진단명으로 진단하고 있으며, 최종적으로 F.exe 파일을 다운로드하여 사용자 컴퓨터에 악성 프로그램을 설치하도록 구성되어 있습니다.

F.exe (MD5 : 08124a52a606e42cf762af385afd9203)

설치된 악성코드는 다음과 같은 동작을 통해 사용자 컴퓨터에서 민감한 개인정보를 탈취할 것으로 추정됩니다.

1. 윈도우 시작시 자동 실행

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - zhido = "%SystemRoot%\system32\zhido.exe"


윈도우 시스템 폴더 내에 설치된 zhido.exe 파일을 시작 프로그램으로 등록하여 윈도우 시작시 자동으로 실행되도록 구성되어 있습니다.

2. ahnrpta.exe 프로세스 생성

실행된 악성 프로그램은 [%SystemRoot%\ahnrpta.exe] 프로세스를 생성하며, 프로세스 이름은 안철수연구소(AhnLab) 보안제품처럼 지정하여 찾기 어렵게 구성하고 있습니다.

3. BHO 등록

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C8414FA0-BA90-4600-B7EA-0CEFAF5A0636}

※ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C8414FA0-BA90-4600-B7EA-0CEFAF5A0636}
※ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C8414F92-BA90-4600-B7EA-0CEFAF5A0636}


사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 [%SystemRoot%\system32\cao220.dll] 파일을 BHO 방식으로 추가하여, 사용자가 웹 사이트에서 로그인 정보를 입력시 키워드 값을 유출할 것으로 추정됩니다.

4. 타 프로세스에 모듈 추가

다양한 사용자 프로세스에 [%SystemRoot%\system32\softqq0.dll], [%SystemRoot%\system32\cao110.dll] 파일을 추가하여 정보 유출을 할 수 있습니다.



Internet Explorer 보안 취약점을 이용한 악성코드 설치를 통한 온라인 게임, 웹 사이트 계정 정보, 금융권 정보 등을 탈취할 목적으로 배포되는 악성코드를 근본적으로 예방하기 위해서는 반드시 마이크로소프트사에서 배포하는 보안 패치를 설치하셔야 하며, 신뢰할 수 있는 보안제품을 통한 실시간 감시를 활성화하시고 인터넷을 이용하시기 바랍니다.

특히 현재 시간으로 국내 보안제품에서 해당 악성코드를 진단하지 못하는 것으로 보이므로 매우 주의하시기 바랍니다.
728x90
반응형
  • 주말에도 계속 퍼트리네요^^;;

    • 진단명 검색이 많이 들어오는 것 같습니다.

      실제 보안패치를 한 컴퓨터에서도 해당 사이트에 접속하면 실시간 진단을 하니 다들 걱정을 하는 것도 있는 것 같습니다.

  • 좋은 글 잘봤습니다.

    정확히 집계가 되지 않을 정도로,

    엄청난 사이트들이 해킹 당하는 것으로 느껴(!, 파악할 수 없으므로) 지고 있습니다.

    사용자들은, 가급적 빨리 IE 패치를 해야 할 것이며,

    서버 관리자들은 웹 보안에 더욱 신경써야 할것으로 보입니다.

    자세한 글을 쓰고 싶지만, 구체적인 사례를 남기면 국내에서는 해(!)를 당하기 때문에

    저는 조금만 적고 참을 랍니다.

    • 예전에 사례를 좀 구체적으로 적었더니 기필코 찾아와서 버럭들 하시더군요.

      웹 브라우저도 이제는 엔진별로 갖춰야 하는 시대인 것 같습니다.

      보안제품도 듀얼 엔진이 대세인 것처럼..ㅎ

  • 그게 국내의 문제입니다.

    어떤 문제가 났다 하면,

    모든 사람이 머리를 마주하고, 어떻게 해야 할까? 고민해야 하는데.

    오히려, 잡아 넣으려고 하는 상황이니..

    씁쓸하죠.. 즐 밤 되세요~

  • 이것을 치료하려던 어케해야함?

    • 일단은 MS에서 제공하는 보안 업데이트를 반드시 하시기 바라며, 일반인이 수동으로 처리하기에는 매우 힘들 수 있습니다.

      추가적으로 설치되는 부분이 있을 수 있으므로, 유명 보안제품(Kaspersky 등)을 통해 정밀 검사를 하시기 바랍니다.

      사람이 수동으로 파일 삭제 등은 절차가 어려워 보입니다.

  • -ㅅ- 2010.01.24 18:26 댓글주소 수정/삭제 댓글쓰기

    악성코드 쪽으론 무지해서.. 질문 드립니다.

    common.js 파일을 통해 au.htm 파일을 끌어오면서 감염이 시작되는데, 예를 들어

    감염된 사이트에서 해당 common.js 파일을 삭제하거나 au.htm을 링크하는 한줄을 지워버리는 걸로는

    처리가 불가능한건가요?

    • 말씀하신 방법도 임시 해결책입니다.

      하지만 공격자가 서버 취약점을 통해 기계적으로 추가를 하는 마당에 반복적인 공격이 계속 되지 않을까 싶습니다.

  • 흠;; 2010.01.25 07:47 댓글주소 수정/삭제 댓글쓰기

    어떤 사이트에 들어갔다가

    알약 프리미엄에서 이걸 Exploit.Comele.A 이름으로 실시간 감시로 잡더라구요.

    재부팅해야 치료 된다고 해서 재부팅 해서 치료는 헀는데 ... 이걸로 된건가요?

    치료하고 나서 정밀검사 돌려보기도 했는데 이상은 없더라구요..

    • 이렇게 생각하시면 쉽습니다.

      해당 취약점에 대한 최근 마소의 보안패치를 설치한 사용자도 어차피 해당 문제의 사이트에 접속을 하면 자동으로 인터넷 임시 폴더에 감염된 파일을 다운로드합니다.

      하지만 보안 패치가 적용 안된 사용자는 바로 설치가 되고, 보안 패치가 적용된 사용자는 그냥 임시 폴더에 파일이 머물게 됩니다. 실제 동작하지 못하고~

      이런 과정에서 사용자 컴퓨터에 다운로드된 임시 폴더 내의 파일을 알약이 진단하여 치료를 하게 되므로 보안 패치의 여부에 따라 추가적인 감염이 있느냐 없느냐가 되겠죠.