인터넷 익스플로러 제로 데이 악용 타켓 공격 상세 분석

2010년 3월 9일 마이크로소프트(Microsoft)의 인터넷 익스플로러(Internet Explorer)에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용한 타켓 공격(Targeted Attack)이 발생하였다.

현재까지 해당 타켓 공격에서 악용한 제로 데이 취약점은 미국과 일본으로 추정되는 지역을 대상으로 한 것으로 추정되고 있으며 이번 공격에 사용된 인터넷 익스플로러의 취약점은 마이크로소프트에서 보안 패치를 제공하지 않는 상황임으로 각별한 주의가 필요하다.

해당 취약점과 관련하여 마이크로소프트에서아는 아래와 같은 보안 권고문을 게시하였으며 미국 보안 업체인 맥아피(McAfee)에서도 이와 관련한 글을 블로그에 게시하였다.

Microsoft Security Advisory (981374)
Vulnerability in Internet Explorer Could Allow Remote Code Execution

ASEC에서는 이 번 타켓 공격에 악용된 인터넷 익스플로러의 제로 데이 취약점과 관련 악성코드에 대해 상세한 분석을 진행하였다.

이 번에 제로 데이 취약점을 악용한 스크립트 악성코드는 위 이미지와 같은 형태를 가지고 있으며 현재까지 쉘코드(Shellcode)는 동일하나 다른 악성코드를 다운로드하는 웹 사이트 주소 부분만 변경되어 악용되고 있다.


그러므로 향후에도 동일한 형태의 스크립트 악성코드 변형이 계속해서 발견될 것으로 예측 된다.

이 번에 알려진 취약점은 인터넷 익스플로러에서 사용하는 iepeers.dll에서 발생하며 기존에 발견된 다른 인터넷익스플로러 취약점 악용 사례와 같이 쉘코드를 채우는 Heap_spray 코드로 구성되어 있다.

해당 쉘코드로 인해 위 이미지에서와 같이 최종적으로 다른 악성코드를 다운로드 하는 웹 사이트 주소를 실행하여 다운로드 한 후 실행하도록 설계 되어 있다.


해당 취약점과 관련한 추가적인 정보는 아래 ASEC 보안 권고문을 참고 하기 바란다.

MS 인터넷익스플로러 'iepeers.dll' 코드실행 취약점 주의(제로데이 취약점)


이 번에 발생한 공격의 전체적인 흐름을 도식화 한 이미지가 아래와 같다.

최초 공격자는 전자 메일에 특정 웹 사이트로 연결하는 웹 사이트 링크를 본문에 포함하여 특정 대상들에게 무작위로 발송하였다.


해당 메일의 수신자가 해당 링크를 클릭하게 될 경우, 미국에 위치한 특정 시스템으로 접속하여 인터넷 익스플로러의 취약점을 악용하는 스크립트 악성코드를 실행하게 된다. 그 후 다시 동일한 시스템에서 백도어 성격을 가지고 있는 다른 트로이목마들을 다운로드 한 후 실행하도록 하게 되어 있다.

해당 트로이목마들이 실행되면 DLL 파일 1개를 생성한다. 그리고 인터넷 익스플로러와 파이어 폭스(Firefox)와 같은 웹 브라우저(Web Browers)와 아웃룩(Outlook) 메일 클라이언트가 실행될 경우 해당 DLL 파일을 해당 프로세스에 스레드(Thread) 인젝션(Injection)을 시도하며 그 후 입력하는 키보드 입력값을 후킹하도록 되어 있다.

그 외에도 원격제어, 프록시(Proxy) 기능과 윈도우 로그인 암호 등을 외부로 유출하는 기능도 수행하게 되어 있다.

현재 V3 제품군에서는 이번 인터넷 익스플로러의 제로 데이 취약점을 악용하는 악성코드들을 다음과 같이 진단한다.

JS/CVE-2010-0806
Win-Trojan/Cosmu.32768.E
Win-Trojan/Mdrop.42496
Win-Trojan/Wisp.42496
Win-Trojan/Wisp.32768
그리고 네트워크 보안 장비인 트러스가드(TrusGuard)에서도 해당 취약점을 악용하는 네트워크 패킷(Network Packet)을 다음과 같이 탐지 및 차단 가능하다.
ms_ie_iepeers_code_exec_exploit
앞서 언급한 바와 같이 현재까지 해당 인터넷 익스플로러의 취약점을 제거할 수 있는 보안 패치를 마이크로소프트에서 제공하지 않음으로 각별한 주의가 필요하다.
마이크로소프트에서는 이에 대한 가장 빠른 해결 방안으로 사용하는 인터넷 익스플로러 8이 영향을 받지 않음으로 업데이트 할 것을 권고하고 있다.

Categories:악성코드 정보

0 0 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments