악성코드 유포 : Microsoft 다중 취약점을 이용한 온라인 게임 계정 탈취 (2010.11.20)

주말을 이용하여 어김없이 국내 웹하드 서비스에 접속할 경우 마이크로소프트(Microsoft)사의 보안 취약점을 이용한 악성코드 유포가 이번 주에도 확인이 되고 있습니다.

이번에 확인된 사례는 기존에 알려진 보안 취약점을 이용한 악성 스크립트 및 최근 알려진 제로데이(0-Day) 보안 취약점을 이용한 것으로 추정되므로 Windows + Internet Explorer 사용자들은 매우 주의가 요구됩니다.

[악성코드 유포 경로]

h**p://www.*d*w*.com/./main/./js/httpRequest.js
 ㄴ h**p://114.***.87.***/id.asp
   ㄴ h**p://114.***.87.***/help.asp <avast! : JS:Downloader-QJ>
     ㄴ h**p://121.***.145.***/w3c/ad.exe
   ㄴ h**p://114.***.87.***/top.asp <AVG : Exploit.MsVidCtl>
   ㄴ h**p://s14.cnzz.com/stat.php?id=2595476&web_id=2595476

해당 유포 방식은 정상적인 httpRequest.js 파일 내부에 국내 특정 아이피(IP) 호스팅으로 등록된 악성 iframe을 연결하여 id.asp 파일이 help.asp + top.asp 2개의 악성 스크립트 파일을 실행시키도록 구성되어 있습니다.

help.asp

help.asp 스크립트 파일에 포함된 ShellCode를 XOR을 통해 풀어보면 최종적으로 ad.exe(SHA1 : 1baafc6340daab947b95f652a1b233fac6c364d1) 파일을 다운로드하도록 구성되어 있습니다.

해당 파일은 안철수연구소(AhnLab) V3 보안 제품에서 Trojan/Win32.OnlineGameHack (VirusTotal : 17/41) 진단명으로 진단되는 온라인 게임 계정 탈취 목적으로 제작된 악성코드임을 확인할 수 있습니다.

[생성 파일 등록 정보]

C:\WINDOWS\system32\(Random 5자리 영문).exe :: 자가 복제

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - TabProcGrowth = 0

[변경 전/후 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit = C:\WINDOWS\system32\userinit.exe, :: 변경 전
 - Userinit = C:\WINDOWS\system32\userinit.exe,"/"C:\WINDOWS\system32\userinit.exe,(Random 5자리 영문).exe :: 변경 후

해당 악성코드는 Windows 시스템 폴더(%systemroot%\system32)에 랜덤(Random)한 5자리 영문 실행 파일을 생성하여 Windows 시작시 자동 실행되도록 레지스트리를 등록하고 있습니다.

해당 파일은 중국에 위치한 특정 호스팅 도메인으로 연결을 시도하여 추가적인 명령 및 다운로드가 예상됩니다.

• 마이크로소프트 MSVidCtl Remote Buffer Overflow 제로데이 취약점 (2009.7.7)

• MS09-032 : ActiveX 킬(Kill) 비트 누적 보안 업데이트 (973346) - 긴급

또 하나의 top.asp 악성 스크립트 파일은 AVG 보안 제품의 Exploit.MsVidCtl 진단명으로 봐서는 작년에 발견된 Microsoft 비디오 ActiveX 컨트롤 취약점(CVE-2008-0015)을 이용한 방식으로 추정됩니다.

• Microsoft Internet Explorer 긴급 보안 업데이트 : MS10-002 (2010.1.22)

하지만 해당 스크립트를 확인하던 과정에서 ShellCode에서 발견된 취약점은 AVG 보안 제품에서 Exploit.Aurora 진단명으로 진단되는 것을 확인할 수 있었습니다.

• Microsoft Internet Explorer 제로데이 취약점 : Invalid flag reference를 이용한 원격 코드 실행 (2010.11.4)

또한 VIPRE 보안 제품에서는 최근 Internet Explorer 제로데이(0-Day) 취약점으로 알려진 Exploit.HTML.CVE-2010-3962 (v) 진단명으로 진단되고 있습니다.

능력 부족으로 정확하게 어떤 취약점을 이용하는지 알 수는 없지만 이미 공개된 취약점에 대한 보안 패치를 제대로 적용하지 않은 시스템이거나 현재 보안 패치가 공개되지 않은 문제로 인하여 Internet Explorer를 이용하여 변조된 웹하드 사이트에 접속하는 인터넷 사용자는 시스템 감염이 유발될 수 있습니다.

이번과 같이 다중 취약점을 이용한 악성 스크립트를 통해 사용자는 자신도 모르게 정상적인 인터넷 사이트 접속으로 감염이 유발될 수 있습니다.

그러므로 올바른 예방 방법은 공개된 모든 보안 패치를 반드시 설치하시고 인터넷을 이용하시기 바라며, Internet Explorer 제로데이 취약점을 이용한 악성코드 유포가 꾸준히 발견되고 있으므로 당분간 타 웹 브라우저(Google Chrome, Firefox, Opera 등)을 이용하는 것을 권장합니다.