마이크로소프트에서는 한국 시각으로 6월 13일 해당 업체에서 개발한 소프트웨어에 존재하는 보안 취약점들을 제거하기 위한 보안 패치를 배포하였다. 


이와 동시에 보안 업체인 맥아피(McAfee)에서는 마이크로소프트가 배포한 보안 패치 "Microsoft Security Bulletin MS12-037 - Internet Explorer 누적 보안 업데이트 (2699988)"에 포함된 CVE-2012-1875 취약점을 악용하는 공격이 실제 발생하고 있음을 블로그 "Active Zero-Day Exploit Targets Internet Explorer Flaw"를 통해 공개하였다.


ASEC에서는 추가적인 조사를 통해 해당 CVE-2012-1875 취약점을 악용하는 악성코드는 아래 이미지와 동일한 스크립트 형태의 악성코드 임을 확인하였으며, 최초 유포는 홍콩에 위치한 특정 시스템을 통해 진행 되었다.


홍콩에 위치한 해당 시스템에서는 서로 다른 쉘코드(Shellcode)를 가진 스크립트 악성코드가 동시에 유포되었다.



해당 CVE-2012-1875 취약점은 인터넷 익스플로러가 삭제된 개체에 액세스하는 방식의 오류로 인해 메모리가 손상되어 임의 코드를 실행할 수 있는 코드 실행 취약점이다.


그리고 해당 스크립트 악성코드는  ROP(Return-Oriented Programming) 기법을 이용하여 윈도우 시스템에 포함되어 있는 메모리 보호 기능인 DEP(Data Execution Prevention) ASLR(Address Space Layout Randomization)를 우회 할 수 있도록 제작되었다.


해당 스크립트 악성코드가 정상적으로 실행 될 경우에는 스크립트에 포함되어 있는 쉘코드에 따라 이탈리아에 위치한 특정 시스템 또는 홍콩에 위치한 스크립트 악성코드를 유포한 동일한 시스템에서 다른 백도어 악성코드들을 다운로드하게 된다.


이탈리아에 위치한 시스템과 홍콩에 위치한 시스템에서 다운로드 되는 악성코드들은 감염된 시스템에서 프록시(Proxy) 기능과 함께 하드웨어 정보 등 시스템 사용과 관련된 정보들을 수집하여 홍콩에 위치한 다른 시스템으로 전송하게 된다.


이 번 CVE-2012-1875 취약점을 악용한 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.


HTML/CVE-2012-1875

Win-Trojan/Injector.47104.BR 

Dropper/Agent.81920.DX 

Win-Trojan/Infostealer.35328.C  


현재 마이크로소프트에서는 이번 악성코드 유포에 악용된 CVE-2012-1875 취약점을 제거하기 위한 보안 패치 MS12-037를 배포 중에 있음으로, 해당 취약점으로 인한 악성코드 감염을 근본적으로 차단하기 위해서는 해당 보안 패치를 설치하여야만 한다.

저작자 표시
신고
Posted by 비회원

ASEC에서는 4월 4일 온라인 뱅킹 정보 탈취를 위해 제작된 스파이아이(SpyEye) 트로이목마가 이제는 온라인 뱅킹외에 다양한 국가에 위치한 다양한 산업군의 웹 사이트들에서 사용자 계정 정보들의 탈취를 노린다는 정보를 전달한 바가 있다.


이러한 스파이아이 트로이목마가 감염 형태가 기존에 발견되었던 스파이아이 변형들과 다른 새로운 형태의 스파이아이 변형이 발견되었다.


이 번에 발견된 스파아이 트로이목마는 전체적인 동작면에서는 기본적으로 동일한 것으로 미루어 현재까지 언더그라운드에 공개된 다양한 온라인 뱅킹 정보 탈취 트로이목마들의 소스코드 중 스파이아이의 소스코드를 사용된 것으로 추정된다.


추가적으로 ASEC에서는 2012년 5월 중순부터 해당 새로운 스파이아이 트로이목마 변형이 유포되기 시작한 것으로 추정되며, 그리고 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 한 종류인 블랙홀 익스플로잇 툴킷(Blackhole Exploit Toolkit)에 의해 유포된 것으로 추정하고 있다.


해당 스파이아이 트로이목마에 감염되면 감염된 시스템에서 실행 중인 정상 윈도우 시스템 파일 explorer.exe의 프라이빗 메모리(Private Memory) 영역에 자신의 코드 16,384 바이트를 삽입하게 된다.



정상적으로 explorer.exe의 메모리 영역에 자신의코드가 삽입되면 자신의 복사본을 다음 경로에 설정 파일과 함께 생성하나, 기존 스파이아이 변형들처럼 유저 모드(User Mode)의 은폐 기능을 수행하지는 않는다.


C:\Documents and Settings\All Users\Application Data\default\bin.exe


다음 레지스트리 키(Registry Key)를 생성하여 윈도우 시스템이 재부팅되어도 자동 실행되도록 구성한다.


HKCU\Software\Microsoft\Windows\CurrentVersion\Run\default

"C:\Documents and Settings\All Users\Application Data\default\bin.exe"


그리고 독일에 위치한 C&C 서버와 암호화된 통신을 통하여 별도의 설정 파일인 web.dat을 아래의 경로에 생성하게 된다.


C:\Documents and Settings\All Users\Application Data\default\web.dat 

C:\Documents and Settings\All Users\Application Data\default\cfg.dat


생성된 설정 파일은 RC4로 인코딩되어 있으며, 이를 디코딩하는 키값은 해당 스파이아이 트로이목마 내부에 가지고 있으며, 생성된 설정 파일을 디코딩하게 되면 아래 이미지와 같은 텍스트 파일이 나타나게 된다.



해당 설정 파일에는 아래 이미지와 같은 독일에 위치한 은행의 온라인 뱅킹 웹 사이트의 로그인을 위한 사용자 계정과 암호를 후킹하기 위한 코드가 설정되어 있다. 



이 외에 이번에 발견된 스파이아이 변형은 웹 폼 인젝션(Web Form Injection)을 위해 마이크로소프트 인터넷 익스플로러(Internet Explorer), 구글 크롬(Google Chrome)과 파이어폭스(Firefox) 웹 브라우저 실행 여부를 확인하고 접속하는 웹 사이트 주소를 확인하게 된다.


그리고 파이어폭스의 사용자 설정 파일인 user.js 을 확인하여 아래 이미지와 같은 코드를 삽입하여, 파이어폭스에 포함되어 있는 보안 경고 기능을 무력화 하게 된다.



이 번에 발견된 스파이아이 변형은 전체적인 감염 동작은 기존에 발견된 스파이아이 변형들과 동일하게 정상 explorer.exe 의 메모리 영역에 자신의 코드를 삽입하고, 웹 브라우저가 접속하는 웹 사이트 주소를 설정 파일과 비교하여 웹폼 인젝션을 통해 사용자 계정과 암호를 후킹하는 것은 동일하다. 


그러나 기존 스파이아이 변형들이 가지고 있는 유저 모드 은폐 기능을 통해 생성한 파일 복사본과 설정 파일들을 은폐하는 기능이 존재하지 않는 차이점만을 가지고 있다.


이 번에 발견된 스파이아이의 새로운 변형은 V3 제품군에서 다음과 같이 진단한다.


Win-Trojan/Spyeyes.19968.B


저작자 표시
신고
Posted by 비회원

마이크로소프트(Microsoft)에서 2012년 4월 한달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2012년 5월 9일 배포하였다.


이번에 마이크로소프트에서 배포된 보안 패치들은 총 7건으로 다음과 같다.


Microsoft Security Bulletin MS12-029 - 긴급

Microsoft Word의 취약점으로 인한 원격 코드 실행 문제점 (2680352)


Microsoft Security Bulletin MS12-030 - 중요

Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점 (2663830)


Microsoft Security Bulletin MS12-031 - 중요

Microsoft Visio Viewer 2010의 취약점으로 인한 원격 코드 실행 문제점 (2597981)


Microsoft Security Bulletin MS12-032 - 중요

TCP/IP의 취약점으로 인한 권한 상승 문제점 (2688338)


Microsoft Security Bulletin MS12-033 - 중요

Windows Partition Manager의 취약점으로 인한 권한 상승 문제점 (2690533)


Microsoft Security Bulletin MS12-034 - 긴급

Microsoft Office, Windows, .NET Framework 및 Silverlight에 대한 통합 보안 업데이트 (2681578)


Microsoft Security Bulletin MS12-035 - 긴급

.NET Framework의 취약점으로 인한 원격 코드 실행 문제점 (2693777)


다양한 악성코드들이 마이크로소프트의 윈도우 보안 취약점을 악용함으로 미리 보안 패치 설치를 통해 악성코드의 감염을 예방 하는 것이 좋다.


마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다. 


마이크로소프트 업데이트  


저작자 표시
신고
Posted by 비회원

한국 시각으로 5월 4일 저녁 Symantec에서는 블로그 "Targeted Attacks Using Confusion (CVE-2012-0779)"을 통해 Adobe Flash Player에 존재하는 CVE-2012-0779 취약점을 악용한 타겟 공격(Targeted Attack)이 발생하였음을 공개하였다.


이와 관련해 Adobe에서도 보안 권고문 "Security update available for Adobe Flash Player"을 통해  Flash Player에 CVE-2012-0779 취약점이 존재하며, 해당 취약점을 제거하기 위한 보안 패치를 공개하였다.


이 번에 공개된 해당 CVE-2012-0779 취약점은 Adobe Flash Player 11.2.202.233와 그 이전 버전이 모두 영향을 받는 것으로 밝히고 있다.


Symantec에서는 이 번에 발생한 Targeted Attack은 전통적인 기법으로 이메일의 첨부 파일을 이용하여 진행 되었으며, 첨부 파일로는 취약한 Adobe Flash 파일을 호출할 수 있도록 되어 제작된 마이크로소프트 워드(Microsoft Word) 파일이 존재하였다.




ASEC에서는 해당 워드 파일들을 확보하여, 아래 이미지와 같이 워드 파일 내부의 1Table에 취약한 Adobe Flash 파일인 SWF을 호출할 수 있도록 제작 되어 있는 것을 확인 하였다.



이 번에 발견된 어도비 플래쉬의  CVE-2012-0779 취약점을 악용하는 악성코드들은 모두 V3 제품 군에서 다음과 같이 진단한다.


Dropper/Cve-2011-0611

Dropper/CVE-2012-0779

Win-Trojan/Vasport.57344

SWF/CVE-2012-0779

Win-Trojan/Exploit-SWF.Gen


앞서 언급한 바와 같이 Adobe에서는 해당 CVE-2012-0779 취약점을 제거 할 수 있는 보안 패치를 배포 중에 있다. 그러므로 Adobe Flash Player Download Center를 통해 지금 즉시 업데이트 하여 다른 보안 위협에서 악용하는 것을 예방 하는 것이 중요 하다.



저작자 표시
신고
Posted by 비회원
마이크로소프트에서는 3월 14일 해당 기업에서 개발한 소프트웨어들에 대한 보안 패치를 배포하였으며, 이 중 "MS12-020 원격 데스크톱의 취약점으로 인한 원격 코드 실행 문제점 (2671387)"의 코드 실행 취약점으로 인해 네트워크로 전파되는 악성코드 제작을 우려하여 마이크로소프트에서는 Security Research & Defense 블로그 "CVE-2012-0002: A closer look at MS12-020's critical issue"도 공개하였다.

현재 ASEC에서는 해당 MS12-020 취약점에 대한 추가적인 정보 수집과 함께 해당 취약점에 대한 자세한 분석을 진행 중에 있다.

최초 중국 언더그라운드를 중심으로 공개된 파이선(Python)으로 제작된 해당 취약점의 PoC(Proof of Concept) 코드는 과거 "MS08-067 서버 서비스의 취약점으로 인한 원격 코드 실행 문제점 (958644)" 공격 코드를 기반으로 제작된 허위 공격 코드로 판단되었다.

그러나 이 후 3월 16일을 즈음하여 중국 언더그라운드에서 BSOD(Blue Screen Of Death)을 유발할 수 있는 Poc 코드가 공유되고 아래 이미지와 같은 커맨드 라인(Command Line) 툴들과 GUI(Graphic User Interface) 툴들도 공유되고 있다.



그러나 아직까지 악성코드에서 악용 가능한 코드 실행 공격 코드는 발견되지 않았지만 BSOD를 유발할 수 있는 공격 코드가 공유되고 있는 만큼 원격 데스크탑 서비스를 사용 중인 윈도우 시스템에서는 3월 14일 마이크로소프트에서 배포한 보안 패치를 설치하여 사전에 피해를 예방 할 수 있도록 조치하는 것이 중요하다.
저작자 표시
신고
Posted by 비회원
마이크로소프트(Microsoft)에서 2012년 2월 한달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2012년 3월 14일 배포하였다.

이번에 마이크로소프트에서 배포된 보안 패치들은 총 6건으로 다음과 같다.

DNS 서버의 취약점으로 인한 서비스 거부 문제점 (2647170)

Windows 커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점 (2641653)
 
Microsoft Security Bulletin MS12-019 - 보통
DirectWrite의 취약점으로 인한 서비스 거부 문제점 (2665364)
 
원격 데스크톱의 취약점으로 인한 원격 코드 실행 문제점 (2671387)

Microsoft Security Bulletin MS12-021 - 중요
Visual Studio의 취약점으로 인한 권한 상승 문제점 (2651019)

Microsoft Security Bulletin MS12-022 - 중요
Expression Design의 취약점으로 인한 원격 코드 실행 문제점 (2651018)


다양한 악성코드들이 마이크로소프트의 윈도우 보안 취약점을 악용함으로 미리 보안 패치 설치를 통해 악성코드의 감염을 예방 하는 것이 좋다.

마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다. 

마이크로소프트 업데이트   

저작자 표시
신고
Posted by 비회원
최근 발견되고 있는 타겟 공격(Targeted Attack) 이나 APT(Advanced Persistent Threat) 형태의 공격들에서는 공통적으로 마이크로소프트 오피스(Microsoft Office), 어도비 리더(Adobe Reader) 그리고 한글 프로그램과 같은 전자 문서 파일에 존재하는 취약점들을 악용하는 사례가 자주 발견되고 있다.

그 중에서 특히 어도비 리더와  어도비 플래쉬(Adobe Flash)에 존재하는 취약점들을 악용하여 원격 제어 기능을 가지고 있는 악성코드를 유포하는 사례가 자주 발견되고 있다.

금일 해외에서 어도비 플래쉬에 존재하는 CVE-2012-0754 취약점을 악용하는 마이크로소프트 워드(Microsoft) 파일 또는 엑셀(Excel) 파일을 이용한 타겟 공격이 발견되었으며, 해당 공격은 이메일의 첨부 파일로 존재한 것으로 공개되었다.

어도비 플래쉬에 존재하는 CVE-2012-0754 취약점은 제로 데이(Zero-Day, 0-Day) 취약점은 아니며, 미국 현지 시각으로 2012년 2월 15일 어도비에서 보안 권고문 "APSB12-03 Security update available for Adobe Flash Player" 을 통해 보안 패치를 배포 중에 있다.

이번에 발견된 CVE-2012-0754 취약점을 악용하는 취약한 어도비 플래쉬 파일들은 마이크로소프트 워드와 엑셀(Excel)에 포함된 형태로 발견되었다.


발견된 워드 파일에는 위 이미지와 같은 구조를 가지고 있는 파일 내부에는 2,431 바이트 크기의 플래쉬 파일이 아래 이미지와 같이 포함되어 있다.


그리고 다른 취약한 엑셀 파일은 아래 이미지와 같은 구조를 가지고 있으며 해당 파일 내부에도 플래쉬 파일이 포함되어 있다.


플래쉬 플레이어에 존재하는 CVE-2012-0754 취약점은 아래 이미지와 같이 플래쉬 플레이어에서 MP4 파일을 파싱하는 과정에서 발생한 오류로 인한 코드 실행 취약점이다.


해당 전자 문서 내부에 포함된 취약한 플래쉬 파일들은 쉘코드를 포함한 HeapAlloc 부분과 취약한 MP4 파일 재생을 위한 부분으로 구분되어 있다.

취약한 MP4 파일은 플래쉬 파일에 의해 있는 미국에 위치한 특정 시스템에서 test.mp4(22,384 바이트) 파일을 다운로드하게 되어 있다.


다운로드된 MP4 파일은 아래 이미지와 같은 형태를 가지고 있다.


어도비 플래쉬에 존재하는 CVE-2012-0754 취약점으로 인해 다운로드된 파일이 실행되면 자신의 복사본을 다음과 같이 생성한다.

C:\Program Files\Common Files\[실행시 파일명].exe (23,040 바이트)

윈도우 레지스트리(Windows Registry)에 다음 키를 생성하여 시스템이 재부팅되어도 자동 실행하도록 구성하고 있다.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\common
= "C:\Program Files\Common Files\[실행시 파일명].exe


그리고 아래 이미지와 같이 미국에 위치한 특정 시스템으로 역접속(Reverse Connection)을 수행하게 되나 테스트 당시에는 정상적으로 접속이 이루어지지 않았다.


역접속이 성공하게 되면 공격자의 명령에 따라 다음과 같은 악의적인 기능들을 수행하게 된다.

운영체제 정보 수집
실행 중인 프로세스 리스트
커맨드(Command) 명령 실행


이 번에 발견된 어도비 플래쉬의 CVE-2012-0754 취약점을 악용하는 악성코드들은 모두 V3 제품 군에서 다음과 같이 진단한다.

Dropper/Cve-2012-0754
SWF/Cve-2012-0754
MP4/Cve-2012-0754
Win-Trojan/Yayih.4861440
Win-Trojan/Renos.61440.E

해당 어도비 플래쉬 취약점은 현재 보안 패치가 배포 중에 있음으로 어도비 플래쉬 플레이어 다운로드 센터(Adobe Flash Player Download Center)를 통해 지금 즉시 업데이트 하는 것이 중요하다.


저작자 표시
신고
Posted by 비회원
2월 17일 해외 언론인 CNN의 기사 "Computer spyware is newest weapon in Syrian conflict"를 통해 시리아 정부에서 반정부군의 동향을 수집하고 감시하기 위한 목적으로 악성코드를 유포하였다 내용이 공개되었다.

이 번에 알려진 해당 악성코드는 현재까지 ASEC에서 파악한 바로는 특정인들을 대상으로 이메일의 첨부 파일로 전송된 것으로 파악하고 있다.

이 메일에 첨부된 해당 악성코드는 일반적으로 많이 사용되는 RARSfx로 압축되어 있으며, 파일 내부에는 아래 이미지와 같이 백도어 기능을 수행하는 svhost.exe(69,632 바이트)와 정상 이미지 파일인 20111221090.jpg(114,841 바이트)가 포함되어 있다.


해당 RARSfx로 압축된 파일을 실행하게 되면 아래 경로에 파일들을 생성하고 실행하게 된다.

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\20111221090.jpg
C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\svhost.exe


리고 감염된 시스템의 사용자가 악성코드 감염을 파악하지 못하도록 다음 이미지와 같은 이미지 파일을 보여주게 된다.


임시 폴더(Temp)에 생성된 svhost.exe(69,632 바이트)는 마이크로소프트 비주얼 베이직(Microsoft Visual Basic)으로 제작 된 파일로 자신의 복사본을 다음 폴더에 다시 생성하게 된다.

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\Google Cache.exe


그리고 시리아에 위치한 특정 시스템으로 역접속을 수행하게 된나, 테스트 당시에는 정상적인 접속이 이루어지지 않았다.

백도어 기능을 수행하는 svhost.exe(69,632 바이트)는 추가적으로 다음의 악의적인 기능들을 수행하게 된다.

파일 다운로드 및 실행
실행 중인 프로세스 리스트 수집


그러나 해당 파일들 자체만으로는 언론에서 알려진 바와 같이 시리아 정부에서 제작한 것으로 확인되거나 추정되는 특징들은 발견할 수가 없었다.

시리아 정부와 관련된 것으로 알려진 해당 악성코드에 대한 추가적인 정보들을 수집하는 과정에서 ASEC에서는 해당 악성코드가 원격 제어와 모니터링 기능을 가지고 있는 아래 이미지와 동일한 특정 악성코드 생성기에 의해 생성되었다는 것을 확인하였다.



해당 악성코드 생성기에 의해 생성되는 파일은 볼란드 델파이(Boland Delphi)로 제작된 파일이 생성됨으로 최초 알려진 정보와는 다른 것으로 파악하고 있다. 그러나 다른 악성코드 변형들 또는 공개되지 않은 악성코드 생성기의 다른 버전들에 의해 생성되었을 가능성도 추정하고 있다.

이번에 발견된 해당 악성코드들은 모두 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Meroweq.551227 (V3, 2012.02.21.02) 
Win-Trojan/Meroweq.69632 (V3, 2012.02.21.02) 
Win-Trojan/Meroweq.53248 (V3, 2012.02.21.02)

저작자 표시
신고
Posted by 비회원
마이크로소프트(Microsoft)에서 2012년 1월 한달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2012년 2월 15일 배포하였다.

이번에 마이크로소프트에서 배포된 보안 패치들은 총 9건으로 다음과 같다.

Windows 커널 모드 드라이버의 취약점으로 인한 원격 코드 실행 문제점 (2660465)

Microsoft Security Bulletin MS12-009 - 중요
Ancillary Function Driver의 취약점으로 인한 권한 상승 문제점 (2645640)

Microsoft Security Bulletin MS12-010 - 긴급
Internet Explorer 누적 보안 업데이트 (2647516)

Microsoft Security Bulletin MS12-011 - 중요
Microsoft SharePoint의 취약점으로 인한 권한 상승 문제점 (2663841)

색 제어판의 취약점으로 인한 원격 코드 실행 문제점 (2643719)

C 런타임 라이브러리의 취약점으로 인한 원격 코드 실행 문제점 (2654428)

Indeo 코덱의 취약점으로 인한 원격 코드 실행 문제점 (2661637)
 
Microsoft Visio Viewer 2010의 취약점으로 인한 원격 코드 실행 문제점 (2663510)

Microsoft Security Bulletin MS12-016 - 긴급
.NET Framework 및 Microsoft Silverlight의 취약점으로 인한 원격 코드 실행 문제점 (2651026)

 
다양한 악성코드들이 마이크로소프트의 윈도우 보안 취약점을 악용함으로 미리 보안 패치 설치를 통해 악성코드의 감염을 예방 하는 것이 좋다.

마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다. 

마이크로소프트 업데이트   
저작자 표시
신고
Posted by 비회원
2012년 2월 10일 미국 보안 업체인 시만텍(Symantec)에서는 블로그 "New Targeted Attack Using Office Exploit Found In The Wild"을 통해 마이크로소프트(Microsoft)에서 2011년 9월 공개한 보안 패치 "Microsoft Security Bulletin MS11-073 Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점 (2587634)" 취약점을 악용한 타겟 공격(Targeted Attack)을 발견되었음 공개하였다.

해당 MS11-073 취약점을 악용한 타겟 공격은 이메일을 통해 진행되었으며 ZIP으로 압축된 첨부 파일에는 아래 이미지와 같이 취약한 워드(Word) 파일과 fputlsat.dll(126,976 바이트)이 포함되어 있었다.



취약한 워드 파일을 fputlsat.dll(126,976 바이트)와 동일한 폴더에서 열게 되면 아래 이미지와 같은 워드 파일이 실행된다. 


해당 취약한 파일이 실행되면 아래 이미지와 동일하게 fputlsat.dll(126,976 바이트)은 삭제되고 정상 Thumbs.db 파일이 생성된다.


그러나 실제로는 해당 취약한 워드 파일에 의해 윈도우 임시 폴더(Temp)에 ~MS2A.tmp(76,800 바이트)이 생성된다.

생성된  ~MS2A.tmp(76,800 바이트) 파일은 다시 윈도우 폴더(C:\WINDOWS\)와 윈도우 시스템 폴더(C:\WINDOWS\system32\)에 iede32.ocx(13,824 바이트)을 생성하게 된다.

그리고 윈도우 시스템이 재부팅을 하여도 생성한  iede32.ocx(13,824 바이트)을 자동 실행하기 위해 레지스트리(Registry)에 다음의 키를 생성 한다.

HKLM\SYSTEM\ControlSet001\Services\Irmon\Parameters\ServiceDll                       
"C:\WINDOWS\system32\iede32.ocx"

생성된 iede32.ocx(13,824 바이트)는 정상 svchost.exe 프로세스에 스레드(Thread)로 인젝션(Injection) 되어 미국에 위치한 특정 시스템으로 역접속(Reverse Connection)을 수행하게 된다. 그러나 테스트 당시에는 정상 접속 되지 않았다.

스레드로 인젝션된 iede32.ocx(13,824 바이트)은 공격자의 명령에 따라 다음의 악의적인 기능들을 수행하게 된다.

실행 중인 프로세스 리스트
감염된 시스템 IP 

파일 업로드
프록시(Proxy) 기능 수행


이 번에 발견된 MS11-073 취약점을 악용하는 악성코드들은 V3 제품군에서 다음과 같이 진단 한다.

Dropper/MS11-073
Win-Trojan/Activehijack.126976
Win-Trojan/Activehijack.76800 
Win-Trojan/Activehijack.13824
저작자 표시
신고
Posted by 비회원