인터넷 익스플로러 제로 데이 악용 타켓 공격 상세 분석 :: 2010/03/11 14:48
2010년 3월 9일 마이크로소프트(Microsoft)의 인터넷 익스플로러(Internet Explorer)에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용한 타켓 공격(Targeted Attack)이 발생하였다.
현재까지 해당 타켓 공격에서 악용한 제로 데이 취약점은 미국과 일본으로 추정되는 지역을 대상으로 한 것으로 추정되고 있으며 이번 공격에 사용된 인터넷 익스플로러의 취약점은 마이크로소프트에서 보안 패치를 제공하지 않는 상황임으로 각별한 주의가 필요하다.
Vulnerability in Internet Explorer Could Allow Remote Code Execution
ASEC에서는 이 번 타켓 공격에 악용된 인터넷 익스플로러의 제로 데이 취약점과 관련 악성코드에 대해 상세한 분석을 진행하였다.
이 번에 제로 데이 취약점을 악용한 스크립트 악성코드는 위 이미지와 같은 형태를 가지고 있으며 현재까지 쉘코드(Shellcode)는 동일하나 다른 악성코드를 다운로드하는 웹 사이트 주소 부분만 변경되어 악용되고 있다.
그러므로 향후에도 동일한 형태의 스크립트 악성코드 변형이 계속해서 발견될 것으로 예측 된다.
이 번에 알려진 취약점은 인터넷 익스플로러에서 사용하는 iepeers.dll에서 발생하며 기존에 발견된 다른 인터넷익스플로러 취약점 악용 사례와 같이 쉘코드를 채우는 Heap_spray 코드로 구성되어 있다.
해당 쉘코드로 인해 위 이미지에서와 같이 최종적으로 다른 악성코드를 다운로드 하는 웹 사이트 주소를 실행하여 다운로드 한 후 실행하도록 설계 되어 있다.
해당 취약점과 관련한 추가적인 정보는 아래 ASEC 보안 권고문을 참고 하기 바란다.
MS 인터넷익스플로러 'iepeers.dll' 코드실행 취약점 주의(제로데이 취약점)
이 번에 발생한 공격의 전체적인 흐름을 도식화 한 이미지가 아래와 같다.
최초 공격자는 전자 메일에 특정 웹 사이트로 연결하는 웹 사이트 링크를 본문에 포함하여 특정 대상들에게 무작위로 발송하였다.
해당 메일의 수신자가 해당 링크를 클릭하게 될 경우, 미국에 위치한 특정 시스템으로 접속하여 인터넷 익스플로러의 취약점을 악용하는 스크립트 악성코드를 실행하게 된다. 그 후 다시 동일한 시스템에서 백도어 성격을 가지고 있는 다른 트로이목마들을 다운로드 한 후 실행하도록 하게 되어 있다.
해당 트로이목마들이 실행되면 DLL 파일 1개를 생성한다. 그리고 인터넷 익스플로러와 파이어 폭스(Firefox)와 같은 웹 브라우저(Web Browers)와 아웃룩(Outlook) 메일 클라이언트가 실행될 경우 해당 DLL 파일을 해당 프로세스에 스레드(Thread) 인젝션(Injection)을 시도하며 그 후 입력하는 키보드 입력값을 후킹하도록 되어 있다.
그 외에도 원격제어, 프록시(Proxy) 기능과 윈도우 로그인 암호 등을 외부로 유출하는 기능도 수행하게 되어 있다.
현재 V3 제품군에서는 이번 인터넷 익스플로러의 제로 데이 취약점을 악용하는 악성코드들을 다음과 같이 진단한다.
JS/CVE-2010-0806
Win-Trojan/Cosmu.32768.E
Win-Trojan/Mdrop.42496
Win-Trojan/Wisp.42496
Win-Trojan/Wisp.32768
그리고 네트워크 보안 장비인 트러스가드(TrusGuard)에서도 해당 취약점을 악용하는 네트워크 패킷(Network Packet)을 다음과 같이 탐지 및 차단 가능하다.
ms_ie_iepeers_code_exec_exploit
앞서 언급한 바와 같이 현재까지 해당 인터넷 익스플로러의 취약점을 제거할 수 있는 보안 패치를 마이크로소프트에서 제공하지 않음으로 각별한 주의가 필요하다.
마이크로소프트에서는 이에 대한 가장 빠른 해결 방안으로 사용하는 인터넷 익스플로러 8이 영향을 받지 않음으로 업데이트 할 것을 권고하고 있다.
0-day,
981374,
Advisory,
ASEC,
Browers,
Cosmu,
CVE-2010-0806,
exploit,
FireFox,
Heap Spray,
iepeers.dll,
Injection,
Internet Explorer,
JS/CVE-2010-0806,
McAfee,
Mdrop,
Microsoft,
ms_ie_iepeers_code_exec_exploit,
outlook,
Proxy,
SA-2010-004,
Security,
shellcode,
Targeted Attack,
Thread,
TrusGuard,
web,
Wisp,
zeroday,
권고문,
로그인,
마이크로소프트,
맥아피,
미국,
보안패치,
쉘코드,
스레드,
아웃룩,
악성코드,
암호,
원격제어,
윈도우,
인젝션,
인터넷 익스플로러,
일본,
전자메일,
제로데이,
취약점,
코드실행,
타켓공격,
트러스가드,
파이어폭스,
프록시
Trackback Address :: http://blog.ahnlab.com/asec/trackback/271
마이크로소프트 2010년 3월 보안 패치 배포 :: 2010/03/10 14:41
마이크로소프트(Microsoft)에서 2월 한달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 3월 10일 배포하였다.
이번에 마이크로소프트에서 배포된 보안 패치들은 총 2건으로 다음과 같다.
Windows Movie Maker의 취약점으로 인한 원격 코드 실행 문제점 (975561)
Microsoft Office Excel의 취약점으로 인한 원격 코드 실행 문제점 (980150)
다양한 악성코드들이 마이크로소프트의 윈도우 보안 취약점을 악용함으로 미리 보안 패치 설치를 통해 악성코드의 감염을 예방 하는 것이 좋다.
마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/270
해커, 사이버 캐시를 노린다! :: 2010/03/09 17:30
해당 글은 ASEC 차민석 선임 연구원이 안랩 보안 칼럼에 기고한 금전적인 이득을 노리는 악의적인 해킹에 대해 정리한 글이다.
차민석 선임 연구원의 글은 아래 웹 사이트를 통해 확인 할 수 있다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/269
포티넷 2010년 2월 보안 위협 동향 발표 :: 2010/03/09 14:23
캐나다 보안 업체 포티넷(Fortinet)에서 2010년 2월 한 달 동안 발생한 다양한 보안 위협들에 대해 정리한 THREATSCAPE REPORT - FEBRUARY 2010 EDITION를 공개하였다.
이 번에 공개된 포티넷의 2월 보안 위협 동향에서는 아래와 같은 TOP 10 취약점이 가장 많이 악용되고 있는 것으로 밝히고 있다.
이러한 취약점들은 아래 이미지와 같이 미국에서 전체의 약 29%가 발생하고 있으며 이 중 한국 역시 약 4% 정도의 공격이 발생하고 있는 것으로 분석하고 있었다.
이번 2월의 악성코드 TOP 10은 다음과 같으며 1위에는 스크립트 악성코드인 Goldun이 차지하고 있다. 해당 스크립트 악성코드는 웹 브라우저(Web Browser)의 취약점을 악용하는 형태로 알려져 있다.
그 외에 4위, 6위 그리고 10위 스크립트 형태의 악성코드가 포함이 되어 있으며 이는 웹 브라우저의 취약점을 악용하는 웹 사이트들이 증가 추세에 있는 것으로 해석 할 수 있다.
전체 악성코드의 증가 추세 역시 11월을 정점으로 감소 추세에 있다가 2월을 기점으로 다시 증가 하고 있는 것으로 밝히고 있어 악성코드 TOP10의 스크립트 악성코드 증가 추세와 무관하지 않으리라 보인다.
그리고 포티넷의 월드 바이러스맵(World Virus Map)에서는 2010년 2월 한달 동안 집계한 한국의 악성코드 TOP 10은 Bredolab 변형들이 순위에서 빠지고 그 대신 Virut 바이러스 변형들이 3위와 4위로 순위가 상승하였으며, 한국 지역 역시 6위에 스크립트 악성코드가 포함되어 있는 것으로 분석하고 있다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/268
상용으로 판매되고 있는 Palevo 웜 생성툴 :: 2010/03/08 15:09
3월 3일 ASEC에서는 Palevo 웜 제작 그룹이 스페인 경찰에 체포 되었다는 소식을 전한 바가 있었다. 해당 Palevo 웜 제작그룹은 웜을 생성 할 수 있는 생성도구를 구매하여 웜을 제작 유포하고 마스터 서버(Master Server)를 통해 감염 시스템들을 조정한 것으로 알려져 있다.
ASEC에서는 해당 Palevo 웜 제작과 관련하여 추가적인 조사를 하는 과정에서 해당 웜을 제작할 수 있는 툴 킷과 더불어 조정할 수 있는 마스터 도구들을 제작하여 판매하는 웹 사이트를 확인 하게 되었다.
해당 웹 사이트에서는 ButterFly 라는 이름으로 해당 툴 킷들을 판매하고 있었으며, 버전에 따라서 350 유로(약 54만원)에서 1100 유로(약 170만원)에 판매되고 있었다. 그리고 USB 또는 메신저 전파 기능 등을 별도의 모듈로도 판매하고 있었다.
* 판매 가격
BASIC: 350 EUR
(BFF core with modules: External Downloader, USB Spreader, MSN Spreader)
PREMIUM: 400 EUR
(BFF core with modules: External Downloader, Basic Flooder, Slowloris Flooder)
BUSINESS: 450 EUR
(BFF core with modules: External Downloader, Visit, Cookie Stuffer, Adware Simple)
STANDARD: 600 EUR
(BFF core with modules: External Downloader, USB Spreader, MSN Spreader, Basic Flooder, Visit, Reverse Socks Simple)
SELECTED: 600 EUR
(BFF core with modules: External Downloader, USB Spreader, MSN Spreader, Basic Flooder, Slowloris Flooder)
PROFESSIONAL: 900 EUR
(BFF core with modules: External Downloader, Visit, Reverse Socks Simple, Connect Hook, Post Data Grabber, Cookie Stuffer, Adware Simple)
ULTIMATE: 1100 EUR
(BFF core with modules: External Downloader, Basic Flooder, Slowloris Flooder, USB Spreader, MSN Spreader, Visit, Reverse Socks Simple, Connect Hook, Post Data Grabber, Cookie Stuffer, Adware Simple)
그리고 해당 웹 사이트에서는 판매하는 해당 웜 생성 툴 킷들을 이용한 감염된 조정 관련 이미지도 제공하고 있었으며 아래 이미지와 같이 직접적인 웜 생성툴을 이미지를 보여줌으로서 다양한 형태의 변형 제작이 가능하도록 공개하고 있었다.
Palevo 웜이 이러한 툴 킷으로 생성됨으로 인해 해당 웜은 쉽게 자취를 감추기는 어려울 것으로 예측됨으로 많은 주의가 필요하다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/267