마이크로소프트(Microsoft)에서 2014년 1월 한 달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2014년 2월 12일 배포하였다.


이번에 마이크로소프트에서 배포된 보안 패치들은 총 7건으로 다음과 같다.


Microsoft Security Bulletin MS14-005 - 중요

Microsoft XML Core Services의 취약점으로 인한 정보 유출 문제점 (2916036)


Microsoft Security Bulletin MS14-006 - 중요

IPv6의 취약점으로 인한 서비스 거부 문제점 (2904659)


Microsoft Security Bulletin MS14-007 - 긴급

Direct2D의 취약점으로 인한 원격 코드 실행 문제점 (2912390)


Microsoft Security Bulletin MS14-008 - 긴급

Exchange용 Microsoft Forefront Protection의 취약점으로 인한 원격 코드 실행 문제점 (2927022)


Microsoft Security Bulletin MS14-009 - 중요

.NET Framework의 취약점으로 인한 권한 상승 문제점 (2916607)


Microsoft Security Bulletin MS14-010 - 긴급

Internet Explorer 누적 보안 업데이트 (2909921)


Microsoft Security Bulletin MS14-011 - 긴급

VBScript 스크립팅 엔진의 취약점으로 인한 원격 코드 실행 문제점 (2928390)


마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다. 


마이크로소프트 업데이트

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

마이크로소프트(Microsoft)에서 2013년 1월 한 달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2013년 2월 13일 배포하였다.


이번에 마이크로소프트에서 배포된 보안 패치들은 총 12건으로 다음과 같다.


Microsoft Security Bulletin MS13-009 - 긴급

Internet Explorer 누적 보안 업데이트 (2792100)


Microsoft Security Bulletin MS13-010 - Critical

Vulnerability in Vector Markup Language Could Allow Remote Code Execution (2797052)


Microsoft Security Bulletin MS13-011 - 긴급

미디어 압축 해제의 취약점으로 인한 원격 코드 실행 문제점 (2780091)


Microsoft Security Bulletin MS13-012 - 긴급

Microsoft Exchange Server의 취약점으로 인한 원격 코드 실행 문제점 (2809279)


Microsoft Security Bulletin MS13-013 - Important

Vulnerabilities in FAST Search Server 2010 for SharePoint Parsing Could Allow Remote Code Execution (2784242)


Microsoft Security Bulletin MS13-014 - 중요

NFS 서버의 취약점으로 인한 서비스 거부 문제점 (2790978)


Microsoft Security Bulletin MS13-015 - 중요

.NET Framework의 취약점으로 인한 권한 상승 문제점 (2800277)


Microsoft Security Bulletin MS13-016 - 중요

Windows 커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점 (2778344)


Microsoft Security Bulletin MS13-017 - 중요

Windows 커널의 취약점으로 인한 권한 상승 문제점 (2799494)


Microsoft Security Bulletin MS13-018 - 중요

TCP/IP의 취약점으로 인한 서비스 거부 문제점 (2790655)


Microsoft Security Bulletin MS13-019 - 중요

Windows CSRSS(Client/Server Run-time Subsystem)의 취약점으로 인한 권한 상승 문제점 (2790113)


Microsoft Security Bulletin MS13-020 - 긴급

OLE 자동화의 취약점으로 인한 원격 코드 실행 문제점 (2802968)


마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다. 


마이크로소프트 업데이트

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

마이크로소프트(Microsoft)에서 2012년 12월 한 달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2013년 1월 9일 배포하였다.


이번에 마이크로소프트에서 배포된 보안 패치들은 총 7건으로 다음과 같다.


Microsoft Security Bulletin MS13-001 - 긴급

Windows 인쇄 스풀러 구성 요소의 취약점으로 인한 원격 코드 실행 문제점 (2769369)


Microsoft Security Bulletin MS13-002 - 긴급

Microsoft XML Core Services의 취약점으로 인한 원격 코드 실행 문제점 (2756145)


Microsoft Security Bulletin MS13-003 - 중요

System Center Operations Manager의 취약점으로 인한 권한 상승 문제점 (2748552)


Microsoft Security Bulletin MS13-004 - 중요

.NET Framework의 취약점으로 인한 권한 상승 문제점 (2769324)


Microsoft Security Bulletin MS13-005 - 중요

Windows 커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점 (2778930)


Microsoft Security Bulletin MS13-006 - 중요

Microsoft Windows의 취약점으로 인한 보안 기능 우회 (2785220)


Microsoft Security Bulletin MS13-007 - 중요

Open Data 프로토콜의 취약점으로 인한 서비스 거부 (2769327)


마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다. 


마이크로소프트 업데이트



저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

마이크로소프트(Microsoft)에서 2012년 11월 한 달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2012년 12월 12일 배포하였다.


이번에 마이크로소프트에서 배포된 보안 패치들은 총 7건으로 다음과 같다.


Microsoft Security Bulletin MS12-077 - 긴급

Internet Explorer 누적 보안 업데이트 (2761465)


Microsoft Security Bulletin MS12-078 - 긴급

Windows 커널 모드 드라이버의 취약점으로 인한 원격 코드 실행 문제점 (2783534)


Microsoft Security Bulletin MS12-079 - 긴급

Microsoft Word의 취약점으로 인한 원격 코드 실행 문제점 (2780642)


Microsoft Security Bulletin MS12-080 - 긴급

Microsoft Exchange Server의 취약점으로 인한 원격 코드 실행 문제점 (2784126)


Microsoft Security Bulletin MS12-081 - 긴급

Windows 파일 처리 구성 요소의 취약점으로 인한 원격 코드 실행 문제점 (2758857)


Microsoft Security Bulletin MS12-082 - 중요

DirectPlay의 취약점으로 인한 원격 코드 실행 문제점 (2770660)


Microsoft Security Bulletin MS12-083 - 중요

IP-HTTPS 구성 요소의 취약점으로 인한 보안 기능 우회 (2765809)


마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다. 


마이크로소프트 업데이트


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

어도비 리더(Adobe Reader)와 마이크로소프트 오피스(Microsoft Office)와 같은 전자 문서에 존재하는 취약점을 악용하여 악성코드 감염을 시도하는 사례들은 지속적으로 발견되고 있다.


10월 17일 ASEC에서는 대만의 기상청 내부 직원을 대상으로한 타겟 공격(Targeted Attack)이 발생하였음을 발견하였다.


이번 대만 기상청의 내부직원을 대상으로한 타겟 공격은 아래 이미지와 동일한 이메일을 통해 진행되었다. 




해당 이메일들에는 첨부된 전자 문서는 "個人資料同意申請書.doc (247,200 바이트)",  "中央氣象局颱風資料庫研究用帳號申請表.doc (248,224 바이트)" 그리고 "國立中央大學大氣科學系通訊錄.xls (146,432 바이트)" 파일이 첨부되어 있었다.


첨부된 전자 문서 파일들은 개인정보 동의 신청서와 기상 관련 자료들 인것으로 위장하여 이메일의 수신인이 문서를 열어보기 쉬운 파일명을 사용하고 있다.


그리고 워드 문서의 경우에는 CVE-2012-0158 취약점을 악용하며 보안 권고문 "Microsoft Security Bulletin MS12-027 - 긴급 Windows 공용 컨트롤의 취약점으로 인한 원격 코드 실행 문제점 (2664258)" 을 통해 이미 보안 패치가 배포 중인 알려진 취약점이다.


그리고 취약한 전자 문서 파일들은 공통적으로 원격 제어가 가능한 백도어 형태의 악성코드 감염을 시도하고 있어, 내부 정보 탈취를 목적으로 유포된 것으로 추정된다.


마이크로소프트 오피스에 존재하는 취약점들을 악용하여 악성코드 감염을 시도하는 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.


Dropper/Cve-2012-0158

Dropper/Mdroppr 

Trojan/Win32.Scar 

Win-Trojan/Ghost.98304 

Win-Trojan/Downloader.66048.AU

Win-Trojan/Agentbypass.184320 


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/DOC.AccessViolation-DE


앞서 언급한 바와 같이 해당 취약한 전자 문서들은 기존에 알려진 취약점들을 악용하고 있음으로, 사용하는 운영체제와 오피스 제품들에 대한 보안 패치를 주기적으로 설치하는 것이 중요하다. 


그리고 외부에서 발신인이 잘 모르는 사람이 보낸 전자 문서 파일들이 첨부된 이메일을 수신할 경우에는 각별한 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

마이크로소프트(Microsoft)에서 2012년 9월 한 달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2012년 10월 10일 배포하였다.


이번에 마이크로소프트에서 배포된 보안 패치들은 총 7건으로 다음과 같다.


Microsoft Security Bulletin MS12-064 - 긴급

Microsoft Word의 취약점으로 인한 원격 코드 실행 문제점 (2742319)


Microsoft Security Bulletin MS12-065 - 중요

Microsoft Works의 취약점으로 인한 원격 코드 실행 문제점 (2754670)


Microsoft Security Bulletin MS12-066 - 중요

HTML 삭제 구성 요소의 취약점으로 인한 권한 상승 문제점 (2741517)


Microsoft Security Bulletin MS12-067 - 중요

FAST Search Server 2010 for SharePoint의 구문 분석 취약점으로 인한 원격 코드 실행 (2742321)


Microsoft Security Bulletin MS12-068 - 중요

Windows 커널의 취약점으로 인한 권한 상승 문제점 (2724197)


Microsoft Security Bulletin MS12-069 - 중요

Kerberos의 취약점으로 인한 서비스 거부 문제점 (2743555)


Microsoft Security Bulletin MS12-070 - 중요

SQL Server의 취약점으로 인한 권한 상승 문제점 (2754849)


마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다. 


마이크로소프트 업데이트


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

추석 연휴가 끝난 이후 ASEC에서는 최근 다양한 형태의 전자 문서들에 존재하는 취약점을 악용하는 악성코드들을 발견하였다.


전자 문서와 관련된 악성코드들이 발견되는 것이 이 번이 처음 발생한 사항이 아니지만, 마이크로소프트 워드(Microsoft Word), 한글 소프트웨어 그리고 어도비 리더(Adobe Reader) 파일인 PDF에 존재하는 알려진 취약점 등을 악용하는 악성코드가 동시 다발적으로 발견된 것은 특이 사항으로 볼 수 있다.


먼저 한글 소프트웨어와 관련된 악성코드는 크게 3가지 형태로 기존에 알려진 취약점을 악용하는 형태, 특이하게 내부에 악의적인 목적으로 제작된 자바 스크립트(Java Script)가 포함된 형태 그리고 한글 문서 자체가 특이한 OLE 포맷을 가지고 있는 형태가 발견되었다.


기존에 알려진 한글 취약점을 악용하는 취약한 한글 파일은 아래 이미지와 동일한 내용을 포함하고 있는 "붙임1_국방기술정보 위원명단_[2].hwp (1,061,892 바이트)"로 유포되었다.



해당 취약한 한글 파일은 HncApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플로우로 인한 임의의 코드 실행 취약점을 악용하고 있으며, 이는 기존에 알려진 취약점으로 이미 한글과 컴퓨터에서 보안 패치를 배포 중에 있다.


두 번째 발견된 취약한 한글 파일은 아래 이미지와 동일하게 문서 암호가 설정되어 있는 "122601.hwp (213,133 바이트)"와 동일 한 파일명에 파일 크기만 217,231 바이트로 다른 파일이 존재한다.


해당 한글 파일들의 내부에는 아래 이미지와 동일한 형태로 특이하게 자바 스크립트(Java Script)가 포함되어 있다.



내부에 포함되어 있는 해당 자바 스크립트 코드를 디코딩하게 되면, 특정 시스템에서 ie67.exe (99,328 바이트)의 다른 악성코드를 다운로드 후 실행하도록 되어 있다.


그리고 마지막으로 아래 이미지와 동일한 내용을 포함하고 있는 "실험 리포트.hwp (7,887,360 바이트)"라는 파이명으로 유포되었으나, 해당 문서를 여는 것만으로는 악성코드 감염 행위가 발생하지 않는다.



해당 한글 파일의 OLE 포맷을 보게되면 아래 이미지와 동일하게 기존에 발견된 특이항 형태의 섹션명이 포함된 한글 파일과 유사한 형태를 가지고 있다.



어도비 아크로뱃(Adobe Acrobat)에 존재하는 알려진 취약점을 악용하는 PDF 파일은 아래 이미지와 동일한 내용을 포함하고 있는 "안보현안분석.pdf  (679,753 바이트)" 파일명으로 유포 되었다.



해당 취약한 PDF 파일은 기존에 알려진 CVE-2009-0927 취약점을 악용하고 있으며, 2009년 3월 어도비에서 보안 권고문 "APSB09-04 Security Updates available for Adobe Reader and Acrobat"을 통해 이미 보안 패치가 배포 중에 있다.


마지막으로 발견된 마이크로소프트 워드에 존재하는 취약점을 악용하는 취약한 워드 파일은 유포 당시의 정확한 파일명은 확인 되지 않지만, 265,395 바이트의 크기를 가지고 있다.


그리고 해당 워드 파일은 CVE-2012-0158 취약점을 악용하며 보안 권고문 "Microsoft Security Bulletin MS12-027 - 긴급 Windows 공용 컨트롤의 취약점으로 인한 원격 코드 실행 문제점 (2664258)" 을 통해 이미 보안 패치가 배포 중인 알려진 취약점이다.


마이크로소프트 워드, 한글 소프트웨어 그리고 어도비 리더에 존재하는 취약점들을 악용하여 악성코드 감염을 시도하는 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.


HWP/Exploit

Dropper/Exploit-HWP

Dropper/Cve-2012-0158

PDF/Exploit

Backdoor/Win32.PcClient

Dropper/Win32.OnlineGameHack 

Win-Trojan/Infostealer.28672.K

Win-Trojan/Infostealer.81920.B


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-SEH

Exploit/DOC.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Document


앞서 언급한 바와 같이 이 번에 발견된 취약한 전자 문서 파일들은 모두 기존에 알려진 취약점들을 악용하고 있으며, 마이크로소프트, 한글과 컴퓨터 그리고 어도비에서 모두 해당 취약점들을 제거할 수 있는 보안 패치들을 배포 중에 있다.


그러므로 향후 유사한 보안 위협들로 인한 피해를 예방하기 위해서는 관련 보안 패치를 설치하는 것이 중요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 9월 18일 마이크로소프트(Microsoft)의 인터넷 익스플로러(Internet Explorer)에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용한 악성코드가 유포되었다는 소식을 전하 바가 있다.


한국 시각으로 9월 22일 마이크로소프트에서는 해당 CVE-2012-4969 취약점을 제거하기 위한 긴급 보안 패치를 보안 권고문 "Microsoft Security Bulletin MS12-063 - 긴급

Internet Explorer 누적 보안 업데이트 (2744842)"를 통해 배포 한다고 공개하였다.


앞서 언급한 바와 같이 현재 MS12-063(CVE-2012-4969) 취약점을 악용하는 악성코드들이 국내에서도 유포 중에 있다.


그러므로 지금 즉시 해당 긴급 보안 패치를 설치하여 해당 취약점을 악용하는 악성코드들의 감염을 예방하는 것이 중요하다.


마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다. 


마이크로소프트 업데이트





저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

한글과 컴퓨터에서 개발하는 한글 워드프로세스와 마이크로소프트(Microsoft)에서 개발하는 워드(Word)에 존재하는 알려진 취약점을 악용하는 악성코드들이 동시에 3건이 발견되었다.


첫 번째 취약한 한글 파일은 중공 5세대 핵심들의 불확실한 미래.hwp (241,873 바이트)로 아래 이미지와 동일한 내용을 가지고 있다.



두 번째  취약한 한글 파일은 미래모임.hwp (104,448 바이트)로 아래 이미지와 동일한 내용을 가지고 있다.



마지막으로 발견된 취약한 워드 파일은 부서간 의사소통 조사 설문지.doc (361,026 바이트) 로 아래 이미지와 동일한 내용이 포함되어 있다.


해당 워드 파일은 CVE-2012-0158 취약점으로 "Microsoft Security Bulletin MS12-027 - 긴급

Windows 공용 컨트롤의 취약점으로 인한 원격 코드 실행 문제점 (2664258)" 이미 보안 패치가 배포 중인 알려진 취약점이다.



특히 마지막 취약한 워드 파일의 경우에는 아래와 같이 사내 설문 조사 관련 전자 메일로 위장하여 첨부한 취약한 워드 파일을 실행하도록 유도하는 사회 공학 기법을 사용하고 있다.


From: 김** [mailto:surv***************sme@yahoo.co.kr] 

Sent: Thursday, September 20, 2012 11:57 AM

To: 강**(KANG, **** ***)

Subject: 부서간 의사소통 조사 설문  

동료 여러분:


안녕하십니까? 우선 이렇게 불쑥 이메일을 보내 폐를 끼치는 것에 대해 사과드립니다. 우리 회사의 여러 부서간 의사소통의 형편이 어떤지 더욱더 원활하게 진행되게 하는 방법이 없는지 조사하기 위하여 이번 설문조사를 베푸는 바입니다. 설문 내용을 잘 읽고 귀하께서 생각하시는 가장 적절한 항목을 선택해 주시기 바랍니다. 설문지는 첨부파일에 담겨 있습니다. 확인해 주십시오. 작성하신 후 직접 본 이메일 주소로 보내면 됩니다. 


다시 한번 감사 드립니다.


이 번에 발견된 3개의 취약한 전자 문서들은 모두 기존에 알려진 취약점들을 악용하여 공통적으로 백도어 기능을 수행하는 악성코드들을 생성 및 실행하고 있다.

한글 워드프로세스와 워드에 존재하는 취약점을 악용하여 악성코드 감염을 시도하는 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.

Dropper/Exploit-HWP
HWP/Exploit
DOC/Exploit
Win-Trojan/Infostealer.45056
Dropper/Infostealer.237222
Win-Trojan/Infostealer.61480960
Win-Trojan/Infostealer.52506624 
Win-Trojan/Infostealer.75264
Dropper/Infostealer.191322

APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.

Exploit/HWP.AccessViolation-SEH
Exploit/DOC.AccessViolation-DE

향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.

Dropper/MDP.Document

앞서 언급한 바와 같이 이 번에 발견된 취약한 전자 문서 파일들은 모두 기존에 알려진 취약점들을 악용하고 있으며, 한글과 컴퓨터 그리고 마이크로소프트에서 해당 취약점들을 제거할 수 있는 보안 패치를 배포 중에 있다.

그러므로 향후 유사한 보안 위협들로 인한 피해를 예방하기 위해서는 관련 보안 패치를 설치하는 것이 중요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

마이크로소프트(Microsoft)에서는 2012년 9월 17일 블로그 "Microsoft Security Advisory (2757760) Vulnerability in Internet Explorer Could Allow Remote Code Execution"를 통해 인터넷 익스플로러(Internet Explorer) 버전 7과 8에 알려지지 않은 제로 데이(Zero Day, 0-Day) 취약점이 발견되음을 공개하였다.


이 번에 발견된 해당 제로 데이 취약점은 인터넷 익스플로러에서 HTML 파일을 렌더링하는 과정에서 메모리 오염으로 인한 임의의 코드 실행 취약점으로, 현재 해당 제로 데이 취약점을 악용한 공격이 9월 14일을 전후하여 실제 발생하였다.


해당 제로 데이 취약점은 8월 26일 공개된 오라클 자바 JRE 7 제로 데이 취약점 악용 악성코드 유포 관련 서버에서 발견되어, 자바(Java) 취약점 악용과 관련이 있을 것으로 추정된다.


이 번에 유포된 인터넷 익스플로러 제로 데이 취약점을 악용에는 Exploit.html (304 바이트), Moh2010.swf (13,631 바이트), Protect.html (973 바이트)와 111.exe (16,896 바이트) 총 4개의 악성코드가 사용되었다.



최초 Exploit.html (304 바이트)에는 아래 이미지와 같이 Moh2010.swf (13,631 바이트)을 호출하는 코드를 포함하고 있으며, 해당 Moh2010.swf (13,631 바이트)는 DoSWF라는 어도비 플래쉬(Adobe Flash) 파일을 암호화 및 인코딩하는 툴에 의해 암호화되어 있다.



실제 Moh2010.swf (13,631 바이트)는 아래 이미지와 같은 도형만을 보여주게 되어 있으며, 다른 코드는 포함되어 있지 않다.



Exploit.html (304 바이트)에 의해 호출되는 Moh2010.swf (13,631 바이트)의 암호화를 해제하게 되면 아래 이미지와 같이 Protect.html (973 바이트)를 iFrame으로 호출하게 되어 있다.



Protect.html (973 바이트)는 아래 이미지와 같이 실질적인 인터넷 익스플로러의 제로 데이 취약점을 악용하는 코드가 포함되어 있다.



이 번에 발견된 해당 제로 데이 취약점이 정상적으로 악용될 경우에는 111.exe (16,896 바이트)를 다운로드하고 실행하게 된다.


해당 111.exe (16,896 바이트)이 실행되면 mspmsnsv.dll (10,240 바이트)를 다음 경로에 생성하게 된다.


C:\WINDOWS\system32\mspmsnsv.dll


그리고 윈도우 시스템에 존재하는 정상 파일인 svchost.exe를 실행시켜 해당 프로세스의 스레드로 생성한 mspmsnsv.dll (10,240 바이트)를 삽입하게 된다.


스레드로 정상적으로 동작하게 되면 ie.aq1.co.uk 으로 접속을 시도하나 분석 당시에는 정상적으로 접속이 이루어지지 않았다.



접속이 정상적으로 이루어지게 될 경우에는 공격자의 명령에 따라 원격 제어 등의 백도어 기능 들을 수행하게 된다.


이 번 인터넷 익스플로러 버전 7과 8에 존재하는 알려지지 않은 제로 데이 취약점을 악용과 관련된 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.


JS/Dufmoh

SWF/Exploit

Win-Trojan/Poison.16898

Trojan/Win32.Npkon


그리고 네트워크 보안 장비인 트러스가드(TrusGuard) 제품군에서는 해당 취약점을 악용하는 스크립트 악성코드들을 다음과 같이 탐지 및 차단한다.


ms_ie_execcommand_exploit(CVE-2012-4969)

javascript_malicious_heap_spray-4(HTTP)


현재 해당 제로 데이 취약점에 대한 보안 패치가 아직 마이크로소프트에서 배포하지 않고 있음으로, 인터넷 웹 사이트 방문시 각별한 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원