울지않는벌새 : Security, Movie & Society

악성코드 유포 : Microsoft 다중 취약점을 이용한 온라인 게임 계정 탈취 (2010.11.20)

벌새::Analysis
주말을 이용하여 어김없이 국내 웹하드 서비스에 접속할 경우 마이크로소프트(Microsoft)사의 보안 취약점을 이용한 악성코드 유포가 이번 주에도 확인이 되고 있습니다.

이번에 확인된 사례는 기존에 알려진 보안 취약점을 이용한 악성 스크립트 및 최근 알려진 제로데이(0-Day) 보안 취약점을 이용한 것으로 추정되므로 Windows + Internet Explorer 사용자들은 매우 주의가 요구됩니다.

[악성코드 유포 경로]

h**p://www.*d*w*.com/./main/./js/httpRequest.js
 ㄴ h**p://114.***.87.***/id.asp
   ㄴ h**p://114.***.87.***/help.asp <avast! : JS:Downloader-QJ>
     ㄴ h**p://121.***.145.***/w3c/ad.exe
   ㄴ h**p://114.***.87.***/top.asp <AVG : Exploit.MsVidCtl>
   ㄴ h**p://s14.cnzz.com/stat.php?id=2595476&web_id=2595476

해당 유포 방식은 정상적인 httpRequest.js 파일 내부에 국내 특정 아이피(IP) 호스팅으로 등록된 악성 iframe을 연결하여 id.asp 파일이 help.asp + top.asp 2개의 악성 스크립트 파일을 실행시키도록 구성되어 있습니다.

help.asp


help.asp 스크립트 파일에 포함된 ShellCode를 XOR을 통해 풀어보면 최종적으로 ad.exe(SHA1 : 1baafc6340daab947b95f652a1b233fac6c364d1) 파일을 다운로드하도록 구성되어 있습니다.

해당 파일은 안철수연구소(AhnLab) V3 보안 제품에서 Trojan/Win32.OnlineGameHack (VirusTotal : 17/41) 진단명으로 진단되는 온라인 게임 계정 탈취 목적으로 제작된 악성코드임을 확인할 수 있습니다.

[생성 파일 등록 정보]

C:\WINDOWS\system32\(Random 5자리 영문).exe :: 자가 복제

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - TabProcGrowth = 0

[변경 전/후 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit = C:\WINDOWS\system32\userinit.exe, :: 변경 전
 - Userinit = C:\WINDOWS\system32\userinit.exe,"/"C:\WINDOWS\system32\userinit.exe,(Random 5자리 영문).exe :: 변경 후

해당 악성코드는 Windows 시스템 폴더(%systemroot%\system32)에 랜덤(Random)한 5자리 영문 실행 파일을 생성하여 Windows 시작시 자동 실행되도록 레지스트리를 등록하고 있습니다.

해당 파일은 중국에 위치한 특정 호스팅 도메인으로 연결을 시도하여 추가적인 명령 및 다운로드가 예상됩니다.

또 하나의 top.asp 악성 스크립트 파일은 AVG 보안 제품의 Exploit.MsVidCtl 진단명으로 봐서는 작년에 발견된 Microsoft 비디오 ActiveX 컨트롤 취약점(CVE-2008-0015)을 이용한 방식으로 추정됩니다.

하지만 해당 스크립트를 확인하던 과정에서 ShellCode에서 발견된 취약점은 AVG 보안 제품에서 Exploit.Aurora 진단명으로 진단되는 것을 확인할 수 있었습니다.

또한 VIPRE 보안 제품에서는 최근 Internet Explorer 제로데이(0-Day) 취약점으로 알려진 Exploit.HTML.CVE-2010-3962 (v) 진단명으로 진단되고 있습니다.

능력 부족으로 정확하게 어떤 취약점을 이용하는지 알 수는 없지만 이미 공개된 취약점에 대한 보안 패치를 제대로 적용하지 않은 시스템이거나 현재 보안 패치가 공개되지 않은 문제로 인하여 Internet Explorer를 이용하여 변조된 웹하드 사이트에 접속하는 인터넷 사용자는 시스템 감염이 유발될 수 있습니다.

이번과 같이 다중 취약점을 이용한 악성 스크립트를 통해 사용자는 자신도 모르게 정상적인 인터넷 사이트 접속으로 감염이 유발될 수 있습니다.

그러므로 올바른 예방 방법은 공개된 모든 보안 패치를 반드시 설치하시고 인터넷을 이용하시기 바라며, Internet Explorer 제로데이 취약점을 이용한 악성코드 유포가 꾸준히 발견되고 있으므로 당분간 타 웹 브라우저(Google Chrome, Firefox, Opera 등)을 이용하는 것을 권장합니다.