최근 한국인터넷진흥원(KISA), 네이버(Naver), 안랩(AhnLab)이 Internet Explorer 웹 브라우저의 메모리 손상 취약점(CVE-2013-3897)을 이용한 Exploit 방식의 악성코드 유포를 통해 DDoS 공격 및 정보 유출(※ 기업 관리자 계정 수집 기능 포함)을 시도하는 사례가 지속적으로 발생함에 따라 피해 방지를 위한 캠페인을 진행하고 있습니다.
▷ <안랩(AhnLab)> [공지] 인터넷 익스플로러 취약점 악용 악성코드 확산 방지 캠페인 (2013.11.5)
▷ <보안뉴스> KISA-네이버-안랩, 악성코드 확산 방지 공동대응 (2013.11.5)
해당 Internet Explorer 웹 브라우저 보안 취약점(CVE-2013-3897)은 2013년 10월 9일에 이루어진 MS 정기 보안 업데이트(MS13-080) 패치를 통해 수정이 이루어진 상태지만, 아직도 일부 사용자들은 보안 업데이트를 하지 않는 문제로 인하여 자동으로 감염이 발생할 수 있는 것으로 보입니다.
현재 Exploit 방식의 악성코드 유포를 통한 온라인 게임, 인터넷뱅킹 관련 정보 유출 시도는 과거부터 변함없이 이루어지고 있었는데, 갑자기 캠페인이 전개된 이유의 중심에는 DDoS 공격 기능이 포함되어 있기 때문으로 보입니다.
우선 이번 이슈가 발생하기까지의 대략적인 언론에 공개된 내용은 다음과 같습니다.
▷ <안랩(AhnLab) 보도자료> 안랩, 국내 16개 기업 웹사이트 대상 대규모 디도스 공격 경보 (2013.10.25)
안랩(AhnLab)은 2013년 10월 25일 보도 자료를 통해 국내 16개 기업 사이트에 대한 대규모 DDoS 공격이 발생한다는 소식을 공개하게 됩니다.
▷ <보안뉴스> 16개 홈피 디도스 공격 논란, 누구 말이 맞나? (2013.10.25)
이 소식에 한국인터넷진흥원(KISA) 및 타 업체에서는 과거부터 유사한 악성코드가 발견되고 있었으며, 실제 DDoS 유발 행위로 인한 사이트 피해가 없다는 점에서 물음표를 던지게 됩니다.
▷ <안랩(AhnLab) 보도자료> 안랩, 디도스 유발 악성코드 추가분석 결과 발표 (2013.10.25)
다시 안랩(AhnLab)은 추가 분석 결과를 공개하면서 국내 19개 웹 사이트를 대상으로 좀비PC를 활용하여 DDoS 공격이 발생하고 있음을 강조합니다.
▷ <보안뉴스> 안랩, "디도스 공격에 대해 KISA와 입장 다르지 않아" (2013.10.26)
이후 한국인터넷진흥원(KISA)과 안랩(AhnLab)의 의견 조율을 통해 악성코드 감염으로 인한 특정 웹 사이트에 대한 DDoS 유발이 발생할 가능성을 인정하게 됩니다.
위와 같은 일련의 상황에 따라 한국인터넷진흥원(KISA), 네이버(Naver), 안랩(AhnLab)이 공동으로 CVE-2013-3897 취약점을 이용한 악성코드 감염에 대한 진단, 치료, 예방 캠페인을 전개하게 되었습니다.
기본적인 감염 방식은 사용자가 Internet Explorer 웹 브라우저 보안 취약점(CVE-2013-3897)에 대한 보안 패치(MS13-080)를 설치하지 않은 환경에서 웹 사이트를 방문하는 과정에서 자동으로 악성코드에 감염될 수 있습니다.
참고로 Exploit 방식으로 감염을 유발하여 최종 다운로드되는 대표적인 실행 파일(MD5 : cef2eb1752472b1927feb7b6d653c326)에 대하여 AhnLab V3 보안 제품에서는 Win-Trojan/Wgames.Gen (VT : 39/47) 진단명으로 진단되고 있습니다.
C:\Windows\olesau32.dll
C:\Windows\System32\olesau32.dll :: 정보 유출 기능
- MD5 : affc713932ac813730c10a24c8beacd8
- AhnLab V3 : Spyware/Win32.Gampass (VT : 25/47)
C:\Windows\System32\drivers\ahnurla.sys :: 백신 무력화 기능
- MD5 : f38e3317bac9fa801a2b09379a0f4e6c
- AhnLab V3 : Win-Trojan/Killav9.Gen (VT : 37/47)
C:\Windows\svchost.exe :: 원격 서버 연결 기능
- MD5 : 945940960bd80c023cb8eb8eb969ca1a
- AhnLab V3 : Win-Trojan/Agent.20992.AGK (VT : 24/46)
이를 통해 Windows 폴더 및 시스템 폴더 내부에 악성 파일을 생성하여 사용 중인 보안 제품 무력화, Windows 방화벽 중지, 원격 서버와의 통신, 정보 유출과 같은 악의적 기능을 수행하게 됩니다.
이에 안랩(AhnLab)에서는 위와 같은 악성코드 감염 과정에서 진단되는 JS/Cve-2013-3897, Win-Trojan/Agent.20992.AGK 진단명이 나왔을 경우에는 추가적으로 "V3 IE (MS13-080) Malware 전용 백신"을 다운로드하여 검사를 통한 치료를 권장하고 있습니다.
해당 전용 백신을 통해 검사가 진행되면 Win-Trojan/Avkill.36736, Win-Trojan/DdosAgent.Gen, Win-Trojan/Onlinegamehack.variant 진단명을 통해 다양한 유사 변종 파일을 진단하고 치료할 수 있습니다.
사실 여기까지는 과거부터 많이 발견되는 악성코드였으며, 이번 이슈가 발생하게 된 핵심적인 사항은 이들 악성코드에 감염된 경우 다음과 같은 URL 값을 특정 웹 사이트에 호출하여 지속적인 연결(다운로드)을 시도한다는 점입니다.
- h**p://www.daum.net/fmnvcxjk.jpg
- h**p://www.leesoul.co.kr/fmnvcxjk.jpg
- h**p://www.scentkorea.com/bbs2/fmnvcxjk.jpg
- h**p://www.srsr.co.kr/bbs2/data/fmnvcxjk.jpg
- h**p://www.gen365.co.kr/nbbs/fmnvcxjk.jpg
- h**p://adw.green24.co.kr/fmnvcxjk.jpg
- h**p://www.v3lite.com/fmnvcxjk.jpg
- h**p://www.nate.com/fmnvcxjk.jpg
- h**p://www.topani.com/fmnvcxjk.jpg
- h**p://www.houhan.co.kr/fmnvcxjk.jpg
- h**p://adw.naver.com/fmnvcxjk.jpg
- h**p://www.msn.com/fmnvcxjk.jpg
- h**p://www.hangame.com/fmnvcxjk.jpg
- h**p://www.cbs.co.kr/fmnvcxjk.jpg
- h**p://www.joinsmsn.com/fmnvcxjk.jpg
- h**p://m.ahnlab.com/fmnvcxjk.jpg
- h**p://www.tistory.com/start/fmnvcxjk.jpg
- h**p://www.nexon.com/fmnvcxjk.jpg
- h**p://www.netmarble.net/fmnvcxjk.jpg
- h**p://mail.mosgn.co.kr/board/fmnvcxjk.jpg
- h**p://mail.tizkorea.co.kr/board/fmnvcxjk.jpg
현재는 21개 웹 사이트에 대하여 실제로는 서버에 존재하지 않는 JPG 그림 파일(fmnvcxjk.jpg)에 대한 반복적인 호출(※ 안랩(AhnLab) 분석 정보에 따르면 6초 간격)을 통해 악성코드에 감염된 수만대의 좀비PC에서 DDoS 효과를 유발할 수 있다는 점이 핵심입니다.
그러므로 인터넷 사용자들은 보안 제품을 통해 시스템을 보호하기에 앞서 반드시 Internet Explorer 웹 브라우저의 보안 패치를 항상 최신으로 유지할 필요가 있으며, 그 외 대표적인 Exploit 공격을 통한 악성코드 감염으로부터 사전 예방을 위해서는 각종 응용 소프트웨어를 최신 버전으로 사용하는 습관을 가지시기 바랍니다.
1. MS Windows 보안 업데이트
MS Windows 보안 업데이트는 매월 2번째 수요일에 정기적으로 제공하고 있으므로, Windows Update 기능을 이용하여 항상 Windows를 최신 상태로 유지하시기 바랍니다.
2. Adobe Flash Player 보안 업데이트
Adobe Flash Player는 모든 PC에 반드시 설치되어 있으며 구버전 제품을 사용할 경우에는 Exploit 방식의 악성코드 감염에 쉽게 노출될 수 있으므로, (비)정기적으로 제공되는 보안 패치를 항상 설치하여 최신 버전을 유지하시기 바랍니다.
3. Oracle Java 보안 업데이트
Oracle Java 프로그램은 필요에 따라 PC에 설치되어 있을 수 있으므로 제어판에서 "Java 7 Update ○○"과 같은 프로그램이 설치되어 있다면 반드시 최신 버전을 사용하여 Exploit 공격을 통한 악성코드 감염에 대비하시기 바랍니다.
특히 아직도 더 이상의 보안 패치를 제공하지 않는 "Java 6 Update ○○" 버전을 사용하는 사용자들은 프로그램을 삭제하시거나 업데이트를 하시기 바랍니다.
4. Adobe Reader & Adobe Acrobat 보안 업데이트
PDF 문서 편집 및 뷰어 프로그램으로 가장 많이 사용하는 Adobe Reader & Adobe Acrobat 제품도 Exploit 공격을 통한 악성코드 감염을 유발할 수 있으므로 항상 최신 버전으로 업데이트하시고 사용하시기 바랍니다.