한 해의 끝과 시작이 시작되는 시기에 마이크로소프트(Microsoft)에서 개발하는 인터넷 익스플로러(Internet Explorer) 웹 브라우저의 알려지지 않은 제로 데이(Zero Day, 0-Day) 취약점을 악용한 공격이 공개되었다.


이 번에 발견된 인터넷 익스플로러의 제로 데이 취약점을 악용한 공격은 미국 언론사인 The Washington Free Beacon의 기사 "Chinese Hackers Suspected in Cyber Attack on Council on Foreign Relations"의 미국 외교 협의회(Council on Foreign Relations, CFR) 웹 사이트가 해킹되었다는 소식을 통해 공개되었다.


이와 관련해 마이크로소프트에서도 보안 권고문 "Microsoft Security Advisory (2794220) Vulnerability in Internet Explorer Could Allow Remote Code Execution"을 통해 인터넷 익스플로러에 존재하는 제로 데이 취약점(CVE-2012-4792) 관련 정보를 공개하였다.


해당 제로 데이 취약점에 영향을 받는 인터넷 익스플로러 버전은 다음과 같다.


Internet Explorer 6

Internet Explorer 7

Internet Explorer 8


이번 미국 외교 협의회 웹 사이트 해킹을 통해 공개된 인터넷 익스플로러의 제로 데이 취약점을 악용한 공격은 다수의 자바 스크립트 파일과 어도비 플래쉬(Adobe Flash) 파일이 사용되었다. 이번 공격의 전체적인 구조를 도식화하면 다음과 같다.



인터넷 익스플로러의 제로 데이 취약점을 악용한 공격에 사용되었던 help.html(4,389 바이트)의 코드를 살펴보면, 아래 이미지와 동일하게 운영체제에 설정되어 있는 언어 코드가 중국어, 영어, 대만 중국어, 일본어, 러시아어 그리고 한국어 일 경우에만 해당 취약점이 동작하도록 제작되었다.



그리고 어도비 플래쉬 파일인 today.swf(4,057 바이트)와 news.html(849 바이트)를 호출하도록 코드가 제작되어 있다.





해킹된 시스템의 동일한 경로에 존재하였을 것으로 추정되는 today.swf(4,057 바이트)는 아래 이미지와 같이 힙 스프레이 오버플로우(heap-spreay overflow) 코드와 함께 쉘코드(Shellcode)가 포함되어 있다.



해당 쉘코드로 인해 다운로드 되는 xsainfo.jpg(509,440 바이트) 아래 이미지와 같이 XOR로 인코딩(Encoding)되어 있으며, 이를 디코딩(Decoding)하게 되면 flowertep.jpg(509,440 바이트)가 생성된다.



디코딩된 flowertep.jpg(509,440 바이트)가 정상적으로 실행 되면 미국에 위치한 web.vipreclod.com 도메인을 가진 시스템으로 접속을 시도하게 되나, 분석 당시에는 정상적인 접속이 이루어지지 않았다.



정상적으로 접속이 성공하게 될 경우에는 특정 jpg 파일을 다운로드 하여 공격자가 지정한 다른 명령들을 수행할 것으로 추정되며, 다음과 같은 악의적인 기능들을 수행 할 수 있는 코드들이 포함되어 있다.


키보드 입력 후킹

운영체제 정보

IP 정보

커맨드라인(CommandLine) 명령 수행


현재 마이크로소프트에서는 해당 제로 데이 취약점(CVE-2012-4792)을 제거하기 위한 보안 패치를 미국 현지 시각으로 1월 8일 배포 예정이다.


그 동안 임시적인 방편으로는 인터넷 익스플로러를 해당 취약점에 영향을 받지 않는 9와 10버전을 사용하거나 다른 웹 브라우저를 사용할 것을 권고하고 있다.


만약, 해당 제로 데이 취약점의 영향을 받는 버전의 인터넷 익스플로러를 사용해야 될 경우에는 마이크로소프트에서 제공하는 별도의 FixIT을 "Microsoft "Fix it" available for Internet Explorer 6, 7, and 8"을 설치해야 된다.


이 번에 발견된 인터넷 익스플로러의 제로 데이 취약점을 악용하는 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.


JS/Agent 

SWF/Cve-2012-4792

Binimage/Cve-2012-4792

BinImage/Diofopi 

Downloader/Win32.Agent


그리고 네트워크 보안 장비인 트러스가드(TrusGuard) 제품군에서는 다음과 같이 탐지 및 차단이 가능하다.


ms_ie_button_memory_corruption(CVE-2012-4792) 

ms_ie_button_memory_exploit(CVE-2012-4792) 


현재 해당 인터넷 익스플로러에 존재하는 제로 데이 취약점을 악용하는 공격이 추가적으로 발견되고 있음으로, 인터넷 익스플로러 사용자들의 각별한 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원