- 신규 Java 0-day 취약점 주의!

2013 1 10일 새로 발견된 Java Zero-day 취약점 (CVE-2013-0422)을 이용하여 악성코드에 감염되는 실제 사례가 국내에서 발견되어 주의가 필요하다.

해당 취약점은 Blackhole Exploit Kit, Cool Exploit Kit, Nuclear Exploit Kit 등 자동화된 공격 도구에 이용되고 있으며 전세계에서 빠르게 확산되고 있는 상황이다.

이 취약점을 이용한 공격방법은 매우 다양한데, 아래와 같이 e-mail 에 악성링크 클릭 유도하거나 SEO poisoning 기법 이용하여 검색 사이트 상위에 노출시켜 접근토록 유도하는 사례 등도 발견되었다.


[그림 1. Java 취약점을 이용한 악성 e-mail ]


[그림2. Java 취약점을 이용한 악성스크립트 코드]

 

[그림3. 다운되는 악성 Jar 파일 구조]

 

현재 모든 버전의 Java 7 최신버전의 Java (Java 7 Update10)을 포함하여 Java 7의 어떤 버전이던지 익스플로잇이 포함된 악성스크립트에 노출되면 시스템이 감염되게 된다. Oracle에서는 현재 별도의 fix 툴을 제공하지 않고 있으므로, 악성코드에 감염되는 것을 예방하려면 아래와 같이 설치된 Java의 패치가 나오기 전까지 일시적으로 시스템에서 삭제하는 것을 권한다.

 

[그림4. Java 삭제방법 제어판 -> 프로그램 제거]

Java는 추후 공식 홈페이지인 http://www.java.com/ko/ 에서 다운로드하여 재설치할 수 있다.

 

V3 제품군에서는 아래와 같이 진단/치료가 가능하다.

Trojan/JAVA.Agent (2013.01.11.05)

JAVA/Cve-2013-0422 (2013.01.11.05)

JS/Agent (2013.01.11.05)

Posted by 비회원
최근 open.html, news.html, facebook_newpass.html, facebook.html, photo.html 등의 파일명의 스크립트 파일을 첨부한 스팸메일이 다수 발견되고 있으니 주의하시기 바랍니다.

기존의 메일을 통해 악성코드를 유포하는 방식은 악성코드를 ZIP 파일로 압축하여 첨부하거나, 특정 URL로 접속을 유도하여 악성코드를 다운로드 하는 형태였지만 이번에 발견된 메일은 스크립트 파일을 첨부하여 열람 하였을 시 자동으로 악성코드가 다운로드 및 실행되도록 유포하는 것이 특징입니다.

최근에 발견된 메일의 제목은 아래와 같으며 해당 제목외에도 다수가 존재합니다.

FaceBook message: intense sex therapy
Hello
Reset your Facebook password
Reset your Twitter password
FIFA World Cup South Africa... bad news
*도메인명* account notification
Delivery confirmation
Outlook Setup Notification
New discounts daily

Helping small *oles grow
*otent *apsules for lovers
*our cum on my ass and mouth!
hot public *udity with crazy jennifer
Alexa And Miley *uck And *uck A Good Cock
Getting a Massage and *ucking the *asseuse
young *hick shows her hot body
*usty *ilf fingers herself in the bathroom
*ature White Wife *ucked Anal by Black Man *ILF
German *ILF Face *ucked and Drenched in *um
Pretty *runette enjoys being *aughty

위와 같은 제목의 메일에 아래와 같은 형태의 스크립트 파일을 첨부하고 있습니다.


위 스크립트는 특정 사이트로 자동으로 접속하도록 하는 스크립트입니다. 자동으로 접속하는 사이트에서는 허위 백신이 설치 되거나 성인 약품을 광고하는 사이트로 확인되었습니다.



현재 V3 제품군에서는 해당 스크립트 파일을 Js/Agent, HTML/Redirect 등의 진단명으로 진단하고 있습니다. 항상 아래와 같은 사항을 준수하여 악성코드 감염을 예방 하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

Posted by 비회원