ASEC에서는 6월 26일 현재까지도 제로 데이(Zero Day, 0-Day) 취약점인 XML 코어 서비스 취약점(CVE-2012-1889)을 악용한 공격 사례들이 발생하고 있다고 공유한 바가 있다.


금일 해당 XML 코어 서비스 취약점을 악용한 다른 형태의 공격 사례가 발견되었으며, 해당 공격 사례는 XML 코어 서비스 뿐 만이 아니라 자바(JAVA)와 어도비 플래쉬(Adobe Flash) 취약점까지도 같이 악용하고 있는 것으로 파악되었다.


이 번에 발견된 XML 코어 서비스 취약점을 악용한 사례는 블랙홀(Blackhole)과 같은 웹 익스플로잇 툴킷(Web Exploit Toolkit) 형태로 스크립트 악성코드들을 기능별로 분류하여 단계적으로 취약점을 악용하도록 하고 있다.


이러한 단계적으로 취약점을 악용한 공격 형태는 아래 이미지와 같은 전체적인 구조를 가지고 있어, 일부 스크립트들만 분석하여서는 전체적인 공격 및 취약점 형태를 파악하기 어렵도록 하고 있다.



현재 해당 XML 코어 서비스 취약점 등을 악용한 공격 형태는 SQL 인젝션(Injection) 공격 기법 등으로 취약한 웹 페이지의 하단에 Exploit.html 웹 페이지로 연결되는 아이프레임(iFrame) 코드를 삽입하여, 웹 사이트 방문자 모르게 아래의 취약점들 중 하나가 자동으로 악용되도록 구성되어 있다.



해당 취약점들이 정상적으로 동작하게 될 경우에는 중국에 위치한 특정 시스템으로부터 win.exe (30,720 바이트)의 파일이 다운로드 및 실행하게 된다.


해당 win.exe (30,720 바이트) 파일은 XOR로 인코딩(Encoding) 되어 있는 파일로 이를 디코딩하게 되면 비주얼 C++(Visual C++)로 제작된 실행가능한 PE 파일이 생성된다.


다운로드 된 win.exe (30,720 바이트) 파일이 정상적으로 디코딩(Decoding) 된 이후에 실행되면, 다음의 배치(BAT) 파일들과 텍스트(TXT) 파일을 순차적으로 생성하게 된다.


C:\4.bat (66 바이트)

C:\2.txt (100 바이트)

C:\3.bat (15 바이트)


win.exe (30,720 바이트) 파일에 의해 생성된 4.bat (66 바이트)는 시스템 공유 폴더와 윈도우 방화벽을 강제로 종료하게 된다. 


그리고 2.txt는 미국에 위치한 특정 FTP 서버로 접속하는 정보들이 기록되어 있으며, 3.bat (15 바이트)는 해당 FTP 정보들을 바탕으로 커맨드라인(Command-Line) 명령으로 접속을 시도하는 역할을 하게 된다.


FTP 접속 정보들은 아래 이미지와 같이 win.exe (30,720 바이트) 파일 내부에 하드코딩되어 있는 상태로 기록되어 있다.



그러나 분석 당시에는 해당 FTP 서버로 정상적인 접속이 이루어지지 않았으며, 정상적인 접속이 이루어지게 될 경우에는 감염된 시스템에 설치되어 있는 보안 제품 정보들을 전송할 것으로 추정된다.


해당 XML 코어 서비스와 다른 취약점들을 악용한 악성코드들은 2012.06.28.05 엔진 버전 이후의 V3 제품군에서 모두 다음과 같이 진단한다.


JS/CVE-2012-1889 

HTML/Downloader

SWF/CVE-2011-0611

JS/Downloader

JS/Redirect

JS/Redirector 

Win-Trojan/Yolped.73728 


이 번에 발견된 XML 코어 서비스 취약점을 악용하는 공격 사례는 앞선 언급한 바와 같이 SQL 인젝션과 같은 공격 기법으로 취약한 웹 사이트를 대상으로 이루어짐으로 웹 사이트 방문시 각별한 주의가 필요하다.


현재 해당 XML 코어 서비스 취약점에 대한 보안 패치가 아직 제공되지 않지만, 마이크로소프트(Microsoft)에서는 임시 방안으로 픽스잇(Fix It)을 공개 중임으로 이를 설치하는 것이 중요하다.


그리고 다른 일반 어플리케이션들의 취약점들도 동반하고 있음으로 평소 자주 사용하는 어플리케이션들의 보안 패치를 설치하는 것도 중요하다.


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
2011년 12월 20일 ASEC에서는 북한의 김정일 위원장의 사망을 악용한 애드웨어 유포를 알린지 얼마 되지 않아 해외 보안 업체인 트렌드 마이크로(Trend Micro)에서는 블로그 "Kim Jong Il Malicious Spam Found"를 통해 전자 메일의 첨부 파일로 취약점이 존재하는 전자 문서 파일이 유포 된 것을 공개하였다.

트렌드 마이크로에서 블로그를 통해 공개한 취약한 전자 문서 파일이 첨부된 전자 메일은 다음의 이미지와 동일한 형식을 가지고 있는 것으로 공개 하였다.

 

해당 전자 메일에 첨부된 어도비 아크로뱃 리더(Adobe Acrobat Reader) 파일은 CVE-2010-2883 취약점과 함께 아래 이미지처럼 파일 내부에는 2011년 4월에 발견된 CVE-2011-0611 취약점을 악용하는 어도비 플래쉬(Adobe Flash) 파일을 포함하고 있다.


해당 취약한 어도비 아크로뱃 리더 파일이 실행되면 아래 이미지와 같이 김정일 위원장의 사진과 함께 그의 일생과 관련한 내용들을 담고 있는 PDF 파일이 실행 된다. 


그러나 해당 파일은 취약점이 존재하지 않는 정상 파일이며 시스템 사용자 모르게 다음의 파일들을 시스템에 생성하고 실행하게 된다.

C:\Documents and Settings\Tester\Local Settings\Brief introduction of Kim Jong-il.pdf (45,572 바이트) 
C:\Documents and Settings\Tester\Local Settings\abc.scr (156,672 바이트)


생성된 파일 중  Brief introduction of Kim Jong-il.pdf(45,572 바이트)는 위 이미지와 동일한 정상 파일이며, 동반 생성된 abc.scr(156,672 바이트)가 악의적인 기능을 수행하게 된다.

생성된 abc.scr(156,672 바이트)는 다음의 파일을 다시 생성하게 된다.

C:\Documents and Settings\Tester\Local Settings\Application Data\GoogleUpdate.exe(91,136 바이트)


그리고 다음의 레지스트리 키 값을 생성하여 시스템이 재부팅 되어도 자동 실행 되도록 구성하게 된다.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
GoogleUpd = ""C:\Documents and Settings\[사용자 계정명]\Local Settings\Application Data\GoogleUpdate.exe""


abc.scr(156,672 바이트)에의해 생성된 GoogleUpdate.exe(91,136 바이트)는 감염된 시스템의 인터넷 접속 여부를 확인하기 위해 구글 웹 사이트로 접속을 수행하게 된다.

그 후 다음의 시스템들 중 하나로 역접속(Reverse Connection)을 수행하여 공격자가 지정한 명령들을 수행하게 된다.

173.***.206.***

173.***.207.***


GoogleUpdate.exe
(91,136 바이트)는 공격자의 명령에 따라 다음의 악의적인 기능들을 수행하게 된다.


실행 중 프로세스 확인 및 강제 종료
CMD Shall 명령 수행
파일 업로드 및 다운로드, 삭제


이 외에 트렌드 마이크로에서는 아래 이미지와 같이 마이크로소프트 워드(Microsoft Word)의 "Microsoft Security Bulletin MS10-087 - Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점(2423930)" 취약점을 악용해 유포된 악성코드도 존재하는 것으로 밝히고 있다.


이 번 김정일 위원장의 사망을 악용해 유포된 취약점이 존재하는 전자문서와 악성코드들은 모두 2011.12.21.01 이후 엔진 버전의 V3 제품군에서 다음과 같이 진단한다.

PDF/Cve-2010-2883
Dropper/Cve-2010-3333
SWF/Cve-2011-0611

Win-Trojan/Infostealer.156672

Win-Trojan/Infostealer.91136.B  
Win-Trojan/PcClinet.80384 
Win-Trojan/PcClinet.118784

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원