울지않는벌새 : Security, Movie & Society

Java 제로데이(0-Day) 취약점(CVE-2013-0422)을 이용한 악성 이메일 유포 주의 (2013.1.11)

벌새::Analysis

2013년 시작과 함께 Oracle Java 프로그램의 알려지지 않은 제로데이(0-Day) 취약점(CVE-2013-0422)을 이용하여 사이버 범죄 조직에서 다양한 악성코드 유포에 활용하고 있습니다.

 

  Oracle Java 제로데이(0-Day) 취약점 : CVE-2013-0422 (2013.1.11)

 

현재까지 알려진 정보에 의하면 해외에서는 변조된 웹 사이트를 방문할 경우 자동으로 감염되는 방식으로 유포가 이루어지고 있습니다.

 

그런데 2013년 1월 11일 새벽경 수집된 국내 수신자를 대상으로 한 이메일에서 CVE-2013-0422 취약점을 이용한 유포가 확인되었기에 전체적인 흐름을 살펴보도록 하겠습니다.

 

참고로 테스트는 "Windows XP SP3 + Internet Explorer 8 + Oracle Java SE Runtime Environment 7 Update 10" 풀패치가 이루어진 환경에서 확인하였습니다.

● 제목 : Re: Fwd: Your Changelog UPDATED

 

● 이메일 내용

 

Hello,

 

as promised - View

 

L. Solis

 

수신된 이메일에서는 제시된 링크를 클릭하도록 유도하고 있으며, 연결되는 링크는 영국(co.uk) 도메인으로 연결되어 있습니다.

 

링크를 클릭할 경우 영국(co.uk) 도메인에서 러시아(.ru) 도메인으로 자동 연결이 이루어지며, 다음과 같은 메시지를 출력한 후 Oracle Java Applet 실행 화면이 표시됩니다.

Please wait a moment ...  You will be forwarded.
Internet Explorer and Mozilla Firefox compatible only

그 후 deployJava1.dll 추가 기능 실행을 알리는 바가 생성되며, 백그라운드 방식으로 자동으로 악성 파일을 다운로드하여 시스템 감염이 발생하게 되는 동작을 확인할 수 있습니다.

링크 접속부터 감염 과정까지의 http 연결 정보를 살펴보면 "Oracle Java SE Runtime Environment 7 Update 10" 최신 버전 환경에서 자동으로 감염이 이루어지는 것을 확인할 수 있습니다.

  • h**p://dimanaka****.ru:8080/forum/links/column.php (MD5 : f162ad5c1d9cb9993abedb4fe2543637) - Sophos : Troj/ExpJs-CI (VirusTotal : 1/46)

최초 감염을 유발하는 악성 스크립트에서는 Oracle Java, Adobe PDF 취약점을 이용하고 있으며, 테스트 당시에서는 Sophos 보안 제품에서만 Troj/ExpJs-CI 진단명으로 진단되고 있었습니다.

  • h**p://dimanaka****.ru:8080/forum/links/column.php?wbeimb=tnpyrt&mrpdi=hernnv (MD5 : 483b40f21a9e97f0dc6c88a21fddc1ec) - BitDefender : Java.Exploit.Agent.A (VirusTotal : 16/46)

사용자 PC가 Oracle JRE 제품이 설치되어 있거나 취약한 Adobe Reader 버전을 사용하고 있을 경우 특정 서버로부터 악성 Jar 파일을 받아오게됩니다.

 이를 통해 info.exe 파일(MD5 : a62d781a6f92e7cd2dcec5827a3f5951)을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\wgsdgsdgdsgsd.exe" 파일로 복사하며, 최종적으로 "C:\Documents and Settings\(사용자 계정)\Application Data\KB00420190.exe" 파일명으로 저장이 이루어집니다.

 

참고로 해당 파일에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Bublik 진단명으로, 알약(ALYac) 보안 제품에서는 Spyware.Zbot.KB 진단명(VirusTotal : 15/46)으로 진단되고 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - KB00420190.exe = "C:\Documents and Settings\(사용자 계정)\Application Data\KB00420190.exe"

생성된 악성 파일(KB00420190.exe)은 자신을 시작 프로그램으로 등록하여 시스템 시작시마다 자동 실행되도록 구성되어 있습니다.

또한 시스템 감염 이후 추가적으로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\exp2.tmp.exe" 파일(MD5 : 472d6e748b9f5b02700c55cfa3f7be1f)을 추가 생성하는 동작을 확인할 수 있었습니다.

 

참고로 해당 파일에 대하여 Kaspersky 보안 제품에서는 Trojan-PSW.Win32.Tepfer.egnh (VirusTotal : 8/45) 진단명으로 진단되고 있습니다.

 

해당 파일은 마이크로소프트(Microsoft) 파일로 위장한 "Remote Access Phonebook" 파일로 등록되어 있으며, 실행시 다음과 같은 악의적인 동작을 통해 FTP 계정 정보를 수집하고 있습니다.

  1. 지정된 특정 비밀번호을 이용한 로그인 시도 : password, phpbb, qwerty, jesus, abc123, letmein, test, love, password1, hello, monkey 등 (총 234개)
  2. 접속 IP 정보 : 132.248.49.112:8080/asp/intro.php 등 13개
  3. 국내외 유명 FTP 계정 정보 수집 : ESTsoft 업체의 ALFTP 포함
  4. 기타 계정 정보 수집 : SMTP,POP3, IMAP, NNTP, HTTP

수집된 로그인 정보는 금전적 피해 유발, 정보 유출 등의 피해가 예상되므로 감염된 PC에서는 악성코드 치료 및 계정 정보 변경 작업이 함께 이루어져야 합니다.

시스템 재부팅이 이루어진 환경에서는 그림과 같이 랜덤(Random)한 해외 서버와 연결이 이루어지며, 추가적으로 정보 유출 악성 파일(exp2.tmp.exe)에서는 국내 특정 IP 서버와 통신하는 부분도 확인할 수 있었습니다.

 

일반적으로 제우스봇(ZBot)이라고 일컫는 해당 악성코드에 감염된 경우 계정 유출 및 해외 금융권 서비스를 이용할 경우 금전적 피해가 발생할 수 있으므로 주의하시기 바랍니다.

 

또한 현재 Oracle Java 제로데이(0-Day) 취약점(CVE-2013-0422)에 대한 공식 보안 패치가 제공되지 않고 있으므로, "Oracle Java SE Runtime Environment 7 Update 10" 제품으로 업데이트를 한 후 Java 제어판에서 "브라우저의 Java 콘텐츠 사용" 항목의 체크를 해제하여 임시 예방을 하시기 바랍니다.