한국에서 많이 사용되는 한글 소프트웨어에 존재하는 알려지지 않은 제로데이(0-Day, Zero-Day) 취약점 또는 기존에 알려진 취약점을 악용한 악성코드 유포는 2010년 무렵부터 국내에서 발견되기 시작하였다.


이러한 취약점이 발견될 때마다 한글 소프트웨어를 개발하는 한글과 컴퓨터에서는 발견된 해당 취약점을 제거하는 보안 패치도 꾸준히 배포하였다.


금일 다시 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용하여 악성코드 감염을 시도한 사례가 발견되었다.


이 번에 발견된 취약점을 포함하고 있는 취약한 한글 파일(HWP)은 986,624 바이트의 크기를 가지고 있으며, 전자 메일의 첨부 파일 형태로 유포된 것으로 파악하고 있다.



해당 취약한 파일은 아래 이미지와 같은 구조를 가지고 있으며, 한글 파일 내부에 다른 PE 파일이 인코딩 된 상태로 포함되어 있다.



이 번에 발견된 해당 취약한 한글 파일은 아래 이미지와 같은 전체적인 악성코드 감염 구조를 가지고 있으며, 다른 악성코드들과 로그 파일을 생성하게 된다.



해당 취약한 한글 파일을 실행하게 되면 사용 중인 윈도우(Windows) 시스템에 다음의 파일이 생성된다.


C:\WINDOWS\YAHOO.dll (135,168 바이트)


생성된 해당 YAHOO.dll 파일은 다시 윈도우 시스템 폴더(C:\WINDOWS\system32\)에 다음 파일들을 생성하게 된다.


C:\WINDOWS\system32\winview.exe  (49,152 바이트)

C:\WINDOWS\system32\c_38901.nls (45,056 바이트)


그리고 다시 생성된 파일 중 하나인 winview.exe 는 다시 자신의 복사본을 아래와 같이 생성하고 감염된 시스템의 정보들을 기록하는 로그 파일을 생성하게 된다. 


C:\WINDOWS\system32\IBMCodecSrv.exe (49,152 바이트)

C:\WINDOWS\system32\c_43911.nls

C:\WINDOWS\system32\abc.bat (39 바이트)


생성된 abc.bat 는 아래와 같은 커맨드 명령으로 동일한 윈도우 시스템 폴더에 tmp.dat를 생성하고 악성코드가 실행된 년도와 날자를 기록하게 된다.


date /t > "C:\WINDOWS\system32\tmp.dat" 


생성된 로그 파일 c_43911.nls은 아래 이미지와 같이 감염된 시스템의 하드웨어 및 운영체제 정보들 그리고 현재 감염된 시스템에서 실행 중인 프로그램들의 프로세스(Process) 정보 모두를 기록하게 된다



그리고 감염된 시스템이 재부팅을 하더라도 악성코드 자신을 다시 실행시키기 위하여 윈도우 레지스트리에 특정 키를 생성하여 생성된 파일 중 하나인 IBMCodecSrv.exe 을 "Microsoft Audio Codec Services"라는 명칭으로 윈도우 서비스로 등록하게 된다.


HKLM\SYSTEM\ControlSet001\Services\Microsoft Audio Codec Services

ImagePath = "C:\WINDOWS\system32\IBMCodecSrv.exe"


생성된 파일들은 각가 다른 역할을 하도록 설계 되어 제작되었으며, 하나의 악성코드만을 분석하여서는 해당 악성코드들이 어떠한 목적을 가지고 설계 및 제작이 되었는지를 파악하기 어렵도록 구성되었다.


최초 YAHOO.dll에 의해 생성되는 파일인 winview.exe와 해당 파일의 복사본인 IBMCodecSrv.exe는 아래 이미지에서와 같이 감염된 시스템의 하드웨어 및 운영체제 정보 수집한다.



그리고 이와 함께 함께 감염된 시스템에서 다음의 웹 브라우저들이 실행되면 해당 프로세스를 모니터링하여 접속하는 웹 사이트 주소들 역시 모두 수집하게 된다.


FireFox

Internet Explorer

Chrome


winview.exe와 해당 파일의 복사본인 IBMCodecSrv.exe는 감염된 시스템에서 웹 사이트 접속 주소, 하드웨어 및 운영체제 정보들을 수집하여 이를 로그 파일인 c_43911.nls에 기록하는 정보 수집 목적으로 제작된 악성코드 이다. 


그리고 YAHOO.dll 파일에 의해 생성되는 다른 c_38901.nls 파일은 아래 이미지에서와 같이 감염된 시스템에서 임의로 구글(Google) 지메일(Gmail)의 사용자 세션을 연결하게 된다. 



연결한 구글 지메일 세션을 이용하여 c_38901.nls는 특정 메일 주소로  winview.exe와 해당 파일의 복사본인 IBMCodecSrv.exe에 의해 감염된 시스템에서 수집된 정보들이 기록된 로그 파일인 c_43911.nls을 전송하는 정보 탈취 목적으로 제작된 악성코드이다.


이 번에 발견된 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용한 악성코드 감염 시도는 해당 악성코드가 감염된 시스템으로부터 다양한 정보들을 수집하기 위한 목적으로 제작된 것으로 추정되며, 이러한 정보는 향후 다른 공격을 계획하거나 구상할 경우 유용한 데이터로 활용 될 수 있다.


이 번에 발견된 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용한 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.


HWP/Exploit

Trojan/Win32.Dllbot

Trojan/Win32.Npkon


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함된 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Document(57)


현재 해당 악성코드에서 사용한 취약점은 앞서 언급한 바와 같이 한글과 컴퓨터에서 보안 패치가 제공되지 않는 제로데이 취약점이다.


그러므로 메일이나 웹 사이트 등으로부터 전달 받게된 출처가 불명확한 한글 파일을 실행하는 경우에는 각별한 주의가 필요하다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
최근 발견되고 있는 타겟 공격(Targeted Attack) 이나 APT(Advanced Persistent Threat) 형태의 공격들에서는 공통적으로 마이크로소프트 오피스(Microsoft Office), 어도비 리더(Adobe Reader) 그리고 한글 프로그램과 같은 전자 문서 파일에 존재하는 취약점들을 악용하는 사례가 자주 발견되고 있다.

그 중에서 특히 어도비 리더와  어도비 플래쉬(Adobe Flash)에 존재하는 취약점들을 악용하여 원격 제어 기능을 가지고 있는 악성코드를 유포하는 사례가 자주 발견되고 있다.

금일 해외에서 어도비 플래쉬에 존재하는 CVE-2012-0754 취약점을 악용하는 마이크로소프트 워드(Microsoft) 파일 또는 엑셀(Excel) 파일을 이용한 타겟 공격이 발견되었으며, 해당 공격은 이메일의 첨부 파일로 존재한 것으로 공개되었다.

어도비 플래쉬에 존재하는 CVE-2012-0754 취약점은 제로 데이(Zero-Day, 0-Day) 취약점은 아니며, 미국 현지 시각으로 2012년 2월 15일 어도비에서 보안 권고문 "APSB12-03 Security update available for Adobe Flash Player" 을 통해 보안 패치를 배포 중에 있다.

이번에 발견된 CVE-2012-0754 취약점을 악용하는 취약한 어도비 플래쉬 파일들은 마이크로소프트 워드와 엑셀(Excel)에 포함된 형태로 발견되었다.


발견된 워드 파일에는 위 이미지와 같은 구조를 가지고 있는 파일 내부에는 2,431 바이트 크기의 플래쉬 파일이 아래 이미지와 같이 포함되어 있다.


그리고 다른 취약한 엑셀 파일은 아래 이미지와 같은 구조를 가지고 있으며 해당 파일 내부에도 플래쉬 파일이 포함되어 있다.


플래쉬 플레이어에 존재하는 CVE-2012-0754 취약점은 아래 이미지와 같이 플래쉬 플레이어에서 MP4 파일을 파싱하는 과정에서 발생한 오류로 인한 코드 실행 취약점이다.


해당 전자 문서 내부에 포함된 취약한 플래쉬 파일들은 쉘코드를 포함한 HeapAlloc 부분과 취약한 MP4 파일 재생을 위한 부분으로 구분되어 있다.

취약한 MP4 파일은 플래쉬 파일에 의해 있는 미국에 위치한 특정 시스템에서 test.mp4(22,384 바이트) 파일을 다운로드하게 되어 있다.


다운로드된 MP4 파일은 아래 이미지와 같은 형태를 가지고 있다.


어도비 플래쉬에 존재하는 CVE-2012-0754 취약점으로 인해 다운로드된 파일이 실행되면 자신의 복사본을 다음과 같이 생성한다.

C:\Program Files\Common Files\[실행시 파일명].exe (23,040 바이트)

윈도우 레지스트리(Windows Registry)에 다음 키를 생성하여 시스템이 재부팅되어도 자동 실행하도록 구성하고 있다.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\common
= "C:\Program Files\Common Files\[실행시 파일명].exe


그리고 아래 이미지와 같이 미국에 위치한 특정 시스템으로 역접속(Reverse Connection)을 수행하게 되나 테스트 당시에는 정상적으로 접속이 이루어지지 않았다.


역접속이 성공하게 되면 공격자의 명령에 따라 다음과 같은 악의적인 기능들을 수행하게 된다.

운영체제 정보 수집
실행 중인 프로세스 리스트
커맨드(Command) 명령 실행


이 번에 발견된 어도비 플래쉬의 CVE-2012-0754 취약점을 악용하는 악성코드들은 모두 V3 제품 군에서 다음과 같이 진단한다.

Dropper/Cve-2012-0754
SWF/Cve-2012-0754
MP4/Cve-2012-0754
Win-Trojan/Yayih.4861440
Win-Trojan/Renos.61440.E

해당 어도비 플래쉬 취약점은 현재 보안 패치가 배포 중에 있음으로 어도비 플래쉬 플레이어 다운로드 센터(Adobe Flash Player Download Center)를 통해 지금 즉시 업데이트 하는 것이 중요하다.


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
안철수연구소 ASEC에서 2011년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2011 Vol.24을 발간하였다. 

그리고 이번 호에서는 2011년 주요 보안 위협 이슈와 함게 2012년에 예상되는 보안 위협도 같이 포함되어 있다.


이 번에 발간된 ASEC 리포트는 2011년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.

김정일 위원장 사망을 이용한 애드웨어 유포

김정일 위원장 사망을 악용한 악성 전자 문서 파일 유포
국내 연예인 사생활 동영상으로 위장한 악성코드 유포
2012년 버전으로 위장한 허위 클라우드 백신
악성코드를 위한 안티바이러스 체크 웹 사이트
아크로뱃 제로데이 취약점을 악용한 타깃 공격
여러 가지 취약점을 이용한 제우스봇 전파 메일 발견
구글 안드로이드 마켓에 업로드된 악성 애플리케이션


안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다 

ASEC 보안 위협 동향 리포트 2011 Vol.24 발간 
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
어도비(Adobe)에서 한국 시각으로 1월 11일 어도비 리더(Adobe Reader)와 아크로뱃(Acrobat)에 존재하는 취약점을 제거하기 위한 보안 패치를 배포하였다.

이번 1월에 배포하는 보안 패치와 관련된 사항들에 대해 어도비에서는 보안 권고문 "Security updates available for Adobe Reader and Acrobat"을 통해 관련 사항들을 밝히고 있다.

이번 보안 패치에 대상이 되는 어도비 제품군들은 다음과 같다.

Adobe Reader X (10.1.1) and earlier 10.x versions for Windows and Macintosh
Adobe Reader 9.4.7 and earlier 9.x versions for Windows
Adobe Reader 9.4.6 and earlier 9.x versions for Macintosh
Adobe Acrobat X (10.1.1) and earlier 10.x versions for Windows and Macintosh
Adobe Acrobat 9.4.7 and earlier 9.x versions for Windows
Adobe Acrobat 9.4.6 and earlier 9.x versions for Macintosh

특히 이 번 보안 패치 중에는 2011년 12월 7일 발생하였던 어도비 리더에 존재하는 제로 데이(0-Day, Zero Day) 취약점을 악용한 타겟 공격(Targeted Attack)에서 사용되었던 CVE-2011-2462 취약점을 제거하기 위한 보안 패치도 포함되어 있다.

그 외 다음 취약점들을 제거하기 위한 보안 패치들도 포함되어 있다.

CVE-2011-4370 : Memory corruption vulnerability that could lead to code execution. 
CVE-2011-4371 : Heap corruption vulnerability that could lead to code execution.
CVE-2011-4372 : Memory corruption vulnerability that could lead to code execution.
CVE-2011-4373 : Memory corruption vulnerability that could lead to code execution.

어도비 리더(Adobe Reader)와 아크로뱃(Acrobat)에 보안 패치를 설치하기 위해서는 다음과 같은 절차로 가능하다.


[도움말] -> [업데이트 확인]


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
ASEC에서는 12월 8일 Adobe Reader에서 알려지지 않은 제로 데이(Zero Day, 0-Day) 취약점인 CVE-2011-2462 발견되었으며, 이를 악용한 타깃 공격(Targeted Attack)이 발생하였음을 공개한 바가 있다.

해당 제로 데이 취약점을 제거하기 위한 보안 패치를 Adobe에서 미국 현지 시각 12월 16일 배포하기 시작하였음을 보안 권고문 "APSB11-30 Security updates available for Adobe Reader and Acrobat 9.x for Windows"을 공개하였다.
 
이 번 보안 패치의 설치 대상이 되는 제품들은 다음과 같다.

Adobe Reader 9.x for Windows
Adobe Acrobat 9.x for Windows


해당 버전의 Adobe Reader와 Adobe Acrobat 사용자들은 다음의 순서로 Adobe에서 배포하는 보안 패치를 설치 할 수 있다.

[도움말] -> [업데이트 확인]


Adobe Reader X 제품은 보호 모드(Protected Mode)와 보호 뷰(Protected View) 기능을 통해 해당 취약점으로부터 보호가 가능하며, 해당 버전의 제품은 2012년 1월 12일경에 보안 패치를 배포 할 예정으로 밝히고 있다.

보호 모드와 보호 뷰 적용은 다음의 순서로 활성화가 가능하다.

메뉴 → 편집 → 기본 설정 → 일반  → 시작할 때 보호 모드 사용(활성)


메뉴 → 편집 → 기본 설정 → 보안(고급)  → 고급 보안 사용(활성)


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
안철수연구소 ASEC에서 2011년 11월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2011 Vol.23을 발간하였다.


이 번에 발간된 ASEC 리포트는 2011년 11월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.

DNS 서버 이상? BIND 제로데이
화학 업체를 대상으로 한 니트로 보안 위협
윈도우 커널 제로데이 취약점을 이용한 '듀큐' 악성코드
네트워크 분석기, 와이어샤크를 겨냥한 exploit
안드로이드 악성코드 FakeInst 변종 1600개로 급증
유럽을 타깃으로 제작된 안드로이드 악성 애플리케이션

안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다


ASEC 보안 위협 동향 리포트 2011 Vol.23 발간
 
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
한국 시각으로 2011년 12월 7일 새벽 Adobe에서는 보안 권고문 "APSA11-04 Security Advisory for Adobe Reader and Acrobat"을 공개하며 Adobe Acrobat에서 알려지지 않은 제로 데이(Zero-Day) 취약점인 CVE-2011-2462가 발견되었음을 알렸다.

Adobe에서는  이번에 발견된 제로 데이 취약점에 영향을 받는  Adobe Acrobat 버전들은 다음과 같다고 밝히고 있다.

Adobe Reader X (10.1.1) and earlier 10.x versions for Windows and Macintosh
Adobe Reader 9.4.6 and earlier 9.x versions for Windows, Macintosh and UNIX
Adobe Acrobat X (10.1.1) and earlier 10.x versions for Windows and Macintosh
Adobe Acrobat 9.4.6 and earlier 9.x versions for Windows and Macintosh

그리고 보안 권고문을 통해 해당 제로 데이 취약점을 악용한 타겟 공격(Targeted Attack)이 발생하였으며, 해당 취약점을 보고 한 업체로는 미국 군수 방위 업체인 록히드 마틴(Lockheed Martin)으로 밝히고 있다.


이 번 타겟 공격과 관련하여 시만텍(Symantec)에서는 "A New Zero Day PDF Exploit used in a Targeted Attack" 블로그를 통해 이메일의 첨부 파일로 제로 데이 취약점인 CVE-2011-2462이 존재하는 PDF 파일을 전송한 것으로 공개 하였다. 그리고 공격 대상이 된 기업들로는 통신, 제조, 유통, 컴퓨터 하드웨어와 하드웨어 업체들인 것으로 밝히고 있다. 

ASEC에서는 이 번 타겟 공격이 11월 말에서 12월 초를 전후하여 발생한 것으로 추정하고 있으며, 발견된 취약한 PDF 파일은 최소 2개 이상 인것 파악하고 있다.

일반적으로 PDF 파일에는 Universal 3D 파일 포맷같은 3차원 이미지를 포함할 수 있다. U3D 이미지 파일은 일반적인 블럭헤더와 블럭 타입의 특별한 블럭데이터를 가질 수 있는 구조이다.

이 블럭들 중 ShadingModifierBlock은 0xFFFFFF45 값을 가지고, ShadingModifierBlock은 힙
(Heap)에 객체를 생성할 때 사용한다.

이런 오브젝트들의 포인트도 힙에 저장되며 포인터를 위해 메모리에 할당되는 양은 포인터사이즈에 U3D 파일의 Shader List Count 필드를 곱한 것이다. 그러나 포인터는 0xe0형태로 힙 메모리에 초기화되지 않은 상태로 설정 될 경우 이를 악용 가능한 힙 변형이 발생 할 수 있다.

이 번에 발견된 취약한 PDF들은 아래 이미지와 같은 악의적인 3D Stream을 포함하고 있다.

 
해당 악의적인 3D Stream의 압축을 해제하게 되면 아래 이미지와 같은 U3D 파일이 생성되며 붉은 색 박스로 표시된 부분에 의해 실질적인 오버플로우(Overflow)가 발생하게 된다.
 


OpenAction을 통해 취약한 PDF 파일이 실행 될 때 아래 이미지와 같은 14번 오브젝트에서 AcroJS를 포함한 15번 오브젝트 부분의 스크립트를 실행하도록 되어 있다.


15번 오브젝트에는 아래 이미지와 같이  힙 스프레이를 통해 쉘코드를 메모리에 적재하는 AcroJS가 포함되어 있다.


쉘코드는 XOR 97로 디코딩(Decoding)하는 과정을 거쳐 백도어 기능을 수행하는 악성코드를 시스템에 생성하게 된다.


메일로 전달 된 CVE-2011-2462 제로 데이 취약점을 가지고 있는 PDF 파일을 실행하게 되면 아래 이미지와 동일한 내용을 가지고 있는 정상 PDF 파일이 보여진다.


그러나 실제로는 사용자 모르게 다음 파일들이 시스템에 생성되고 실행 된다.

C:\Documents and Settings\[사용자 계정명]\Local Settings\ctfmon.exe
C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\ManTech Employee Satisfaction Survey.pdf
C:\Documents and Settings\[사용자 계정명]\Local Settings\pretty.exe
C:\Documents and Settings\[사용자 계정명]\Local Settings\WSE4EF1.TMP 


생성된 파일들 중 
ManTech Employee Satisfaction Survey.pdf는 위 이미지와 동일한 취약한 PDF 파일이 실행 될 때 감염된 시스템의 사용자로 하여금 악성코드로 의심하지 못하도록 보여지는 정상 파일이다. 

생성된 
ctfmon.exe(39,936 바이트)는 자신의 복사본을 다시 동일한 위치에 pretty.exe(39,936 바이트)로 생성하며 DLL 파일인 WSE4EF1.TMP(31,232 바이트)를 드롭(Drop) 한다. 해당 파일들 모두 마이크로소프트 비주얼 C++(Microsoft Visual C++)로 제작 되었으며 실행 압축은 되어 있지 않다.

그리고 ctfmon.exe는 다음의 레지스트리(Registry) 키를 생성하여 시스템이 재부팅하더라도 자동 실행하도록 한다.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
office = 
"C:\Documents and Settings\[사용자 계정명]\Local Settings\pretty.exe"

 
드롭 된  WSE4EF1.TMP는 다음의 프로그램들이 실행되어 프로세스를 생성하게 되면 아래 이미지와 같이 스레드(Thread)로 해당 프로세스에 인젝션(Injection) 하게 된다.

Microsoft Outlook
Microsoft Internet Explorer
Firefox



인젝션에 성공하게 되면 HTTPS로 다음 시스템으로 접속을 시도하게 되나 테스트 당시에는 정상적인 접속이 이루어지지 않았다.

hxxps://www.pr[삭제]her.com/asp/kys[삭제]_get.asp?name=getkys.kys


정상적인 접속이 이루어지게 되면 다음의 악의적인 기능들을 수행하게 되며, 해당 악성코드들은 기존 다른 침해 사고에서 발견되었던 원격 제어 형태의 백도어(Backdoor)이다.

파일 업로드 및 다운로드
CMD Shell 명령 수행
시스템 강제 종료 및 재부팅
프록시(Proxy) 서버 


이번에 발견된 Adobe Acrobat에 존재하는 제로 데이 취약점인 CVE-2011-2462를 악용한 타겟 공격은 취약한 PDF 파일과 감염되는 악성코드 등 전반적인 사항들을 고려하였을때, 공격자는 기업 내부에 존재하는 중요 데이터를 탈취하기 위한 목적으로 제작 및 유포한 것으로 추정된다.

타겟 공격에 실제 악용된
CVE-2011-2462 취약점에 대한 보안 패치는 Adobe에 의해 현지 시각으로 12월 12일 배포 될 예정이나 다른 보안 위협에서 해당 제로 데이 취약점을 악용 할 가능성이 높음으로 각별한 주의가 필요하다.

해당 제로데이 취약점에 대한 임시 대응 방안으로 Adobe에서는 사용하는 Adobe Reader의 버전을 10.0으로 업그레이드 하고 해당 버전에 포함되어 있는 보호 모드(
Protected Mode)와 보호 뷰(Protected View) 기능을 활성화 할 것을 권고하고 있다.

메뉴 → 편집 → 기본 설정 → 일반  → 시작할 때 보호 모드 사용(활성)
 


메뉴 → 편집 → 기본 설정 → 보안(고급)  → 고급 보안 사용(활성)

 

이 번 발견된 Adobe Acrobat에 존재하는 제로 데이 취약점인 CVE-2011-2462을 악용한 악성코드들 모두 V3 제품군에서 다음과 같이 진단하고 있다.

PDF/
CVE-2011-2462
Win-Trojan/Agent.39936.BAT
Backdoor/Win32.CSon
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC Advisory SA-2011-001
최초 작성일 : 2011/11/17
마지막 개정 : 2011/11/17 09:30:00
위험 수준 : 위험


◈ 제목
 
BIND의 불안전한 레코드 구성에 의한 제로데이 서비스거부 공격
 
◈ 개요
 
2011년11월16일 오후부터 확인되지 않은 공격에 의해 일부 BIND 를 이용하는 곳에서 해당 서비스가 Crash 되는 문제가 보고되었다. 해당 취약점은 제로데이(Zero-Day) 공격으로 현재 세부적인 사항은 조사가 진행중이다.
 
주의: 실제 피해 사례가 보고되었고, BIND 를 이용하는 곳에서는 빠른 시일내에 업데이트 할 것을 강력히 권고한다.
 
◈ 공격유형
 
서비스 거부 공격
 
◈ 해당시스템
 
BIND 가 지원하는 모든 버전 (9.4-ESV, 9.6-ESV, 9.7.x, 9.8.x)
 
◈ 영향
 
공격자는 조작된 패킷을 BIND 가 운영되는 서버로 전송하여 DNS 서비스를 Crash 할 수 있다. 이로 인해 정상적인 DNS 서비스가 불가능해 진다.
 
◈ 설명
 
이 취약점은 특정 BIND 소프트웨어 버전에 한정되지 않고 모든 BIND 버전에 영향을 줄 수 있다. DNS(Domain Name System)는 인터넷 인프라의 중요한 요소로 호스트 이름을 IP 주소로 변경해 주거나 또는 반대의 역할을 수행한다. 공격자는 조작된 DNS 정보를 전달하여 조작된 DNS 정보에 의해 BIND 서비스가 Crash 되도록 유도한다.
 
이 공격기법 은 서비스거부 공격으로 원격에서 공격이 가능하다. 공격 발생시 BIND 로그에 다음과 같이 기록된다.
 
general: critical: query.c:1895: INSIST(! dns_rdataset_isassociated(sigrdataset)) failed, back trace
general: critical: exiting (due to assertion failure)
 
현재 이번 취약점과 관련하여 공격코드는 아직 알려져 있지 않다. 취약점 발생은 Recursive 쿼리를 수행하는 과정에서 캐쉬에서 RRSIG 데이터가 존재하지 않는 레코드를 돌려주는 과정에서 문제가 발생하는 것으로 알려져 있다. 현재 캐쉬상에서 불안전한 데이터를 돌려주는 것을 방지하기 위해 패치가 제작되었다.
 
◈ 자주묻는 질문(FAQ)
 
- 이번 취약점이 어떤 영향을 줄 수 있는가?
조작된 패킷 전송을 통해 원격지에서 공격자가 BIND 로 운영하고 있는 DNS 서비스를 중지시킬 수 있다.
 
- 어떤 제품이 영향을 받나?
BIND 로 운영되고 있는 소프트웨어가 영향을 받는다.
 
- 왜 이번 취약점이 큰 문제를 야기할 수 있나?
DNS 는 인터넷 인프라에서 중요한 서비스중에 하나이며, 호스트 주소를 IP 로 변경해 주는 역할을 담당하고 있기 때 문에 꼭 필요한 서비스이다. 이번 취약점은 조작된 패킷 전송을 통해 DNS 서비스를 중지할 수 있기 때문에 큰 문제를 발생시킬 수 있다. BIND 는 DNS 를 운영하는 곳에서 많이 사용되고 있는 소프트웨어중에 하나이다.
 
- 이 취약점은 어떻게 보고되었나요?
2011년11월16일 오후부터 BIND 가 알수 없는 이유로 중단되는 이슈가 보고되면서 알려졌다. 해당 취약점은 기존에 보고되지 않은 제로데이 취약점이다.
 
- 도메인 이름 시스템(DNS:Domain Name System)이란 무엇인가 ?
DNS 시스템은 사용자들이 기억하기 어려운 숫자 체계로 된 네트워트 IP 주소를 인지하기 쉬운 알파벳 체계의 인터넷 도메인 주소로 매핑해주는 시스템이다. DNS는 2개의 컴포넌트인 클라이언트와 서버로 구조로 되어 있으며, 클라이언트가 도메인 주소에 대해 서버에게 쿼리를 보내면 서버가 DSN 시스템의 데이터베이스를 참조하여 이에 해당하는 네트워크 IP주소를 응답해 준다.
 
- DNS를 사용하는 개인들도 패치가 필요한가?
금번 취약점은 BIND DNS 서버에 해당된다. 그러므로 DNS 서버를 운영하지 않는 개인들은 패치가 필요하지 않다.
 
◈ 해결책
 
BIND 소프트웨어의 패치를 적용하여 문제를 해결한다.
 
https://www.isc.org/software/bind/981-p1
https://www.isc.org/software/bind/974-p1
https://www.isc.org/software/bind/96-esv-r5-p1
https://www.isc.org/software/bind/94-esv-r5-p1
 
◈ 참고정보
 
- CVE 정보 : CVE-2011-4313
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4313
 
- ISC 사의 BIND 취약점 권고문
http://www.isc.org/software/bind/advisories/cve-2011-tbd
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
현지 시각 2011년 10월 18일 미국 보안 업체인 시만텍(Symantec)에서는 이란 원자력 발전소를 공격 대상으로한 스턱스넷(Stuxnet)의 변형인 Duqu 악성코드가 발견되었음 블로그 "W32.Duqu: The Precursor to the Next Stuxnet"를 통해 공개하였다.

그리고 Duqu에 대해 약 46 페이지의 분석 보고서 "W32.Duqu The precursor to the next Stuxnet" 를 공개하였다. 현재 해당 보고서는 현지 시각 2011년 11월 1일부로 1.3 버전으로 업데이트 되었다.

시만텍에서는 Duqu 악성코드를 분석하는 과정에서 2009년 발견되었던 스턱스넷 악성코드와 유사한 형태를 가지고 있으며, 동일 인물 또는 제작 그룹에 제작된 것으로 추정되고 있음을 밝히고 있다.

이번에 발견된 Duqu는 스턱스넷과 같이 산업 제어 시스템과 관련된 코드와 자체 전파 기능은 존재하지 않았다.  그러나 C&C(Command and Controal) 서버를 통해 원격 제어가 가능하며, 키로깅(Keylogging)을 통해 정보를 수집할 수 있는 기능이 존재한다. 그리고 시스템에 감염된지 36일이 지나면 자동 삭제하는 기능도 포함되어 있다.

최초에 배포된 분석 보고서에서는 Duqu의 감염 경로가 자세히 밝혀지지 않았으나 블로그 "Duqu: Status Updates Including Installer with Zero-Day Exploit Found"를 통해 아래 이미지와 같이 마이크로소프트 윈도우(Microsoft Windows)에 존재하는 알려지지 않은 제로 데이(Zero Day, 0-Day) 취약점을 악용한 것으로 밝혔다.


해당 제로 데이 취약점은 마이크로소프트 워드(Microsoft Word) 파일을 이용한 윈도우 커널(Windows Kernel) 관련 취약점으로 윈도우의 Win32k 트루타입 폰트 파싱 엔진(TrueType font parsing engine)에 존재하며 이로 인해 임의의 코드 실행이 가능하다.

현재 해당 취약점은 CVE-2011-3402로 마이크로소프트에서는 "Microsoft Security Advisory (2639658) Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege" 보안 권고문을 통해 자세하게 공개하였다.

그리고 추가적으로 마이크로소프트에서는 "Microsoft Security Advisory: Vulnerability in TrueType font parsing could allow elevation of privileges"를 통해 임시적으로 해당 취약점을 제거할 수 있는 Fix It 툴을 공개하였다.


현재 V3 제품군에서는 해당 Duqu 악성코드들을 다음의 진단명으로 진단하고 있다.

Win-Trojan/Duqu.6656
Win-Trojan/Duqu.68096
Win-Trojan/Duqu.24960.B 
Win-Trojan/Duqu.29568
Win-Trojan/Duqu.24960
Win-Trojan/Duqu
Win-Trojan/Agent.85504.HN 
Worm/Win32.Stuxnet 
 
해당 취약점은 보안 패치가 제공되지 않는 제로 데이 상태이며, 다른 악성코드나 보안 위협에서 해당 취약점을 악용할 가능성도 있음로 해당 Fix It을 통해 취약점을 제거하는 것이 중요하다.

그러나 해당 Fix It은 임시적인 방편임으로 향후 정식 보안 패치가 배포 될 경우에는 해당 보안 패치를 설치하는 것이 필요하다. 
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
금일 MS 보안패치가 나오자 마자 바로 0-Day 취약점들이 쏟아져 나왔습니다. 모두 Microsoft Windows와 Office 관련 취약점으로 이미 해당 취약점 중 익스플로러 관련 취약점은 악성코드 유포에 사용된 것으로 보입니다.

Microsoft Movie Maker Buffer Overflow
http://www.iss.net/threats/362.html

Microsoft Excel XLSX code execution
http://www.iss.net/threats/363.html

Microsoft Internet Explorer use-after-free code execution
http://www.iss.net/threats/364.html


위 취약점 들 중 엑셀 관련 취약점은 금일 배포된 보안패치로 해결이 가능한 취약점 입니다.
(관련 링크 : http://core.ahnlab.com/131)


현재 가장 이슈가 되고 있는 것은 이미 Internet Explorer 관련 취약점 입니다. 현재 알려진 바로는 이미 악성코드 유포에 사용되었으며 아래와 같은 파일명으로 유포가 되었다고 합니다.

* 20100307.htm (CVE-2010-0806 exploit)
    * bypasskav.txt (part of exploit obfuscation code)
          o notes.exe (backdoor installer)

                + note.exe (backdoor installer copy)
                + clipsvc.exe (backdoor installer copy)
                      # wshipl.dll (backdoor)
                + rsvm.exe (backdoor installer)
                      # wshipnotes.dll (backdoor)


위 파일들은 현재 V3 제품군에서 아래와 같은 진단명으로 진단되고 있습니다.

JS/CVE-2010-0806
Win-Trojan/Cosmu.32768.E
Win-Trojan/Mdrop.42496
Win-Trojan/Wisp.42496
Win-Trojan/Wisp.32768

현재 해당 취약점에 대한 패치는 나와 있지 않은 상태이며 MS에서는 Intetnet Explorer 8 버전을 사용하거나 아래 안내해 드리는 사이트에서 DEP를 활성화 할 수 있는 Fix it을 제공하고 있으니 임시로 조치하여 사용하시기 바랍니다


Internet Explorer 8 다운로드 : http://www.microsoft.com/korea/windows/internet-explorer/default.aspx
Fix it 다운로드 : http://support.microsoft.com/kb/981374




신고
Creative Commons License
Creative Commons License
Posted by 비회원