한국 시각으로 2011년 3월 15일 SANS의 블로그 “Adobe Flash 0-day being used in targeted attacks“를 통해 어도비(Adobe) 플래쉬 플레이어(Flash Player)에 알려지지 않은 제로 데이(0-Day, Zero Day) 취약점을 악용한 타킷 공격(Targeted Attack)이 공개되었다.
현재 어도비에서는 보안 권고문 “Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat“을 공개하였으며 해당 취약점(CVE-2011-0609)을 제거하기 위한 보안 패치는 2011년 3월 21일경에 배포 할 예정으로 밝히고 있다.
해당 취약점에 영향을 받는 소프트웨어들은 다음과 같다.
Adobe Flash Player 10.2.152.33과 이전 버전
구글(Google) 크롬(Chrome) 사용자를 위한 Adobe Flash Player 10.2.154.18과 이전 버전
구글 안드로이드(Android) 사용자를 위한 Adobe Flash Player 10.1.106.16과 이전 버전
이 번에 공개된 해당 타킷 공격은 이메일에 첨부된 마이크로소프트(Microsoft)의 엑셀(Excel) 파일로 유포되어 있으며 해당 엑셀 파일에 포함된 취약한 플래쉬 파일(SWF)에 의해 제로 데이 취약점이 발생하게 된다.
그러나 유포된 엑셀 파일 자체에는 취약점이 존재하지 않으며 아래 이미지와 같이 취약한 SWF 파일을 포함하고 있다.
해당 엑셀 파일은 취약한 SWF 파일과 함께 쉘코드(ShellCode)를 포함하고 있으며 해당 엑셀 파일이 실행되면 사용자 계정의 임시 폴더(Temp)에
svchost.exe(65,536 바이트)를 생성하고 실행하게 된다.
생성된 svchost.exe(65,536 바이트)를 실행되면 외부에 위치한 특정 시스템의 lost.html 페이지로 역 접속(Reverse Connection)을 수행하게 되며 해당 웹 페이지에 지정된 다른 파일을 다운로드 후 실행하게 되어 있다.
현재 해당 웹 페이지로 정상적인 접속이 수행되지 않지만 최초 타킷 공격 발생 당시에는 백도어 형태의 트로이목마를 다운로드 후 실행하도록 되어 있었다.
이 번 엑셀 파일로 유포된 플래쉬 플레이어의 알져지 않은 제로 데이 취약점을 악용하는 악성코드들은 V3 제품군에서 다음과 같이 진단한다.
Dropper/Cve-2011-0609
SWF/Cve-2011-0609
Win-Trojan/Poison.27136.R
Win-Trojan/Poison.46048
Win-Trojan/Downloader.65536.SF
어도비에서 이미 밝힌 바와 같이 플래쉬 플레이어에 존재하는 제로 데이 취약점을 제거하기 위한 보안 패치는 2011년 3월 21일 배포 예정이다.
그러므로 그 이전까지는 보낸 사람이 알 수 없는 이메일에 첨부된 파일과 메일 본문에 포함된 웹 사이트 링크 그리고 트위터(Twitter)와 페이스북(Facebook)으로 전달 된 알 수 없는 단축 URL(URL Shortening)들을 쉽게 클릭하지 않도록 주의하여야 한다
Categories:악성코드 정보