728x90
반응형
마이크로소프트(Microsoft) Internet Explorer의 제로데이(0-Day) 취약점을 이용한 중국의 해킹 공격에 사용된 Aurora가 국내 케이블 방송 웹 사이트를 변조하여 악성코드를 유포하는 것을 확인하였습니다.
[악성코드 유포 경로]
h**p://www.*tv.co.kr/js/common.js (F-Prot : HTML/IFRAME.gen)
- h**p://www.andong***.co.kr/swf/au.htm (Kaspersky : Exploit.JS.Aurora.a)
->> h**p://114.***.199.***/swf/F.exe (Kaspersky : Trojan-Dropper.Win32.Agent.bkzh)
-> h**p://www.andong***.co.kr/swf/rl.jpg (AVG : Exploit)
-> h**p://www.andong***.co.kr/swf/GSl.jpg
h**p://www.*tv.co.kr/js/common.js (F-Prot : HTML/IFRAME.gen)
- h**p://www.andong***.co.kr/swf/au.htm (Kaspersky : Exploit.JS.Aurora.a)
->> h**p://114.***.199.***/swf/F.exe (Kaspersky : Trojan-Dropper.Win32.Agent.bkzh)
-> h**p://www.andong***.co.kr/swf/rl.jpg (AVG : Exploit)
-> h**p://www.andong***.co.kr/swf/GSl.jpg
해당 유포 사이트에 최근 공개한 보안 패치를 설치하지 않은 인터넷 사용자가 접속시 자동으로 감염되며, 알려진 바에 따르면 Internet Explorer가 자동으로 종료되는 현상이 발생할 수 있다고 합니다.
사이트의 common.js 파일에서는 iframe 방식으로 국내 타 사이트에서 au.htm 파일을 다운로드하며, 해당 파일은 Aurora 취약점 관련 악성 스크립트를 포함하고 있습니다.
1. 윈도우 시작시 자동 실행
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- zhido = "%SystemRoot%\system32\zhido.exe"
- zhido = "%SystemRoot%\system32\zhido.exe"
윈도우 시스템 폴더 내에 설치된 zhido.exe 파일을 시작 프로그램으로 등록하여 윈도우 시작시 자동으로 실행되도록 구성되어 있습니다.
2. ahnrpta.exe 프로세스 생성
3. BHO 등록
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C8414FA0-BA90-4600-B7EA-0CEFAF5A0636}
※ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C8414FA0-BA90-4600-B7EA-0CEFAF5A0636}
※ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C8414F92-BA90-4600-B7EA-0CEFAF5A0636}
※ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C8414FA0-BA90-4600-B7EA-0CEFAF5A0636}
※ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C8414F92-BA90-4600-B7EA-0CEFAF5A0636}
사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 [%SystemRoot%\system32\cao220.dll] 파일을 BHO 방식으로 추가하여, 사용자가 웹 사이트에서 로그인 정보를 입력시 키워드 값을 유출할 것으로 추정됩니다.
4. 타 프로세스에 모듈 추가
Internet Explorer 보안 취약점을 이용한 악성코드 설치를 통한 온라인 게임, 웹 사이트 계정 정보, 금융권 정보 등을 탈취할 목적으로 배포되는 악성코드를 근본적으로 예방하기 위해서는 반드시 마이크로소프트사에서 배포하는 보안 패치를 설치하셔야 하며, 신뢰할 수 있는 보안제품을 통한 실시간 감시를 활성화하시고 인터넷을 이용하시기 바랍니다.
특히 현재 시간으로 국내 보안제품에서 해당 악성코드를 진단하지 못하는 것으로 보이므로 매우 주의하시기 바랍니다.
728x90
반응형