1. 개요
2. 감염 방식 및 취약점 정보
2-1. 감염 방식
최초 악의적인 공격자에 의하여 해킹된 네이트온 메신저의 등록 되어진 친구들에게 국내의 특정 인터넷 게시판 URL 주소가 포함된 쪽지를 발송하게 된다. 이후 사용자가 이를 클릭할 경우 해당 컴퓨터의 MS 보안 패치 적용 유무 또는 최신 버전의 특정 웹 브라우저(Internet Explorer, Firefox)를 사용하지 않을 경우 자동으로 감염되게 된다.
정상적으로 수신되어진 쪽지 안에는 아래와 같이 특정 URL 주소가 포함되어져 있으며, 클릭시 자동으로 사이트에 접근하게 된다.
현재 링크로 접속되어진 사이트의 게시판에는 악의적인 주소가 포함 되어진 top.html, pop.html 와 같은 스크립트 파일로 연결을 시도하게 된다. (현재 해당 사이트의 게시판은 폐쇄되어진 상태이다.)
또한, 해당 게시판은 제로보드 구버전으로 최근 공개되어진 제로보드 취약점에 노출 되어진 게시판으로 추정 되어 진다.
※ 제로보드(게시판) 취약점 정보 및 보안 패치 정보
zboard.php 소스안에 iframe 형태로 추가된 main.html 스크립트 파일에는 MS의 특정 Internet Explorer 취약점을 악용하는 kr1.html, kr2.html 파일을 불러와 해당 게시판에 접속한 사용자 중 보안 패치가 적용되지 않은 사용자의 컴퓨터를 감염시키도록 되어 있다.
위 그림에 포함되어진 pop.html, top.html 소스에는 다음과 같은 특정 파일로 접근이 가능하도록 되어져 있다.
제일 먼저 main.html 부터 알아 보도록 하겠다. main.html 파일 내부에는 아래와 같이 4개의 함수와 함수내 각각의 변수로 받는 배열 값들이 서로 난독화 되어진 상태이다.
난독화 되어진 스크립트를 사용자가 알 수 있게 디코딩하게 되면 아래와 같은 악성 URL 주소가 포함되어진 파일로 접근하게 된다.
kr1.html 파일은 MS 인터넷 익스플로러의 MS10-018 취약점을, kr2.html 파일은 MS09-002 취약점을 이용하여 38.jpg 악성 파일을 다운로드하게 된다.
디코딩 되어진 kr1.html, kr2.html 스크립트 파일 내부에 포함되어진 악성파일 URL 주소를 다음과 같이 확인할 수 있다.
두번째로 in.js 파일을 알아 보도록 하겠다. in.js 파일 내부에는 아래와 같이 ff10.htm 파일로 접근이 가능하도록 되어있다.
ff10.htm 파일 내부에는 사용자 컴퓨터의 OS 버전 및 특정 웹 브라우저(Internet Explorer, Firefox)의 버전을 비교하여 최신 버전이 아닐 경우 Exploit Code로 부터 취약한 환경에서 악의적인 동작 수행이 가능하다. (일부 내용만 공개)
만약 사용자의 특정 웹 브라우저 버전이 낮을 경우 다음과 같이 취약점이 노출되어진 Firefox 또는 Internet Explorer 환경에서 아래와 같은 cosplay.swf (플래쉬 파일)을 다운로드 받게 된다.
다운로드 된 cosplay.swf 파일이 실행 되었을때 사용자가 보기에는 정상적으로 동작하는 평범한 Flash 영상으로 보이지만 내부에는 악의적인 코드가 포함 되어져 있으며, 취약점이 발생할 경우 38.jpg 악성파일을 다운로드 받아 실행되게 된다.
이러한 취약점으로 부터 다운로드 되어진 38.jpg 파일은 정상적인 그림 파일인 것처럼 확장자가 jpg로 위장 되어져 있으나 실제 악의적인 동작을 수행하게 된다.
3. 감염 증상
다운로드 되어진 38.jpg 악성파일이 실행되면 아래와 같이 특정 경로에 파일을 생성하게 된다.
또한, 아래와 같은 레지스트리 값을 등록하여 윈도우 시작 시 재감염이 발생하게 된다.
38.jpg.exe 파일에 의하여 생성되어진 winweng.exe 파일은 아래와 같이 특정 보안 프로그램의 기능을 무력화 시킨다. 또한, 윈도우 시작시 마다 winweng.exe 파일을 자동 실행하여 보안 프로그램이 실행되지 못하도록 한다.
또한, 해당 악성파일은 사용자가 Internet Explorer와 같은 웹 브라우저를 실행할 경우 iexplorer.exe 프로세스에 winpingying.ime 파일을 인젝션하여 특정 온라인 게임 계정 정보를 탈취하는 등의 악의적인 동작을 수행하게 된다.
4. 예방 조치 방법
위와 같은 악성파일의 유포 방식은 공개된 보안 패치를 적용하지 않고 인터넷을 이용하는 사용자들로 부터 금전적인 피해를 유발할 수 있으므로, 반드시 Windows 보안 패치를 비롯하여 응용 프로그램에 대한 최신 패치를 적용하는 등의 꾸준한 관리 습관을 가지도록 노력하여야 한다.
현재 잉카인터넷 대응팀에서는 다양한 변종 악성파일에 대하여 진단 및 치료 기능을 제공하고 있으며, 이러한 취약점 공격을 대비하여 상시 대응체계를 유지하고 있다.
※ nProtect Anti-Virus/Spyware 2007 제품으로 진단한 화면
[참고 : 메신저 쪽지 등으로 유포되는 악성코드 주의]
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=56&page=
[참고 : 네이트온 쪽지로 유포 중인 악성코드 그림 파일]
http://viruslab.tistory.com/1788
http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=56&page=
[참고 : 네이트온 쪽지로 유포 중인 악성코드 그림 파일]
http://viruslab.tistory.com/1788
2. 감염 방식 및 취약점 정보
2-1. 감염 방식
최초 악의적인 공격자에 의하여 해킹된 네이트온 메신저의 등록 되어진 친구들에게 국내의 특정 인터넷 게시판 URL 주소가 포함된 쪽지를 발송하게 된다. 이후 사용자가 이를 클릭할 경우 해당 컴퓨터의 MS 보안 패치 적용 유무 또는 최신 버전의 특정 웹 브라우저(Internet Explorer, Firefox)를 사용하지 않을 경우 자동으로 감염되게 된다.
정상적으로 수신되어진 쪽지 안에는 아래와 같이 특정 URL 주소가 포함되어져 있으며, 클릭시 자동으로 사이트에 접근하게 된다.
현재 링크로 접속되어진 사이트의 게시판에는 악의적인 주소가 포함 되어진 top.html, pop.html 와 같은 스크립트 파일로 연결을 시도하게 된다. (현재 해당 사이트의 게시판은 폐쇄되어진 상태이다.)
또한, 해당 게시판은 제로보드 구버전으로 최근 공개되어진 제로보드 취약점에 노출 되어진 게시판으로 추정 되어 진다.
※ 제로보드(게시판) 취약점 정보 및 보안 패치 정보
[국내 공개 웹 게시판(그누보드) 취약점 주의]
http://www.krcert.or.kr/secureNoticeView.do?num=492&seq=-1 (인터넷침해 대응센터)
[국내 공개 웹 게시판(테크노트) 취약점 주의]
http://www.krcert.or.kr/secureNoticeView.do?num=491&seq=-1 (인터넷침해 대응센터)
[XpressEngine Core 1.4.4.4(보안패치)]
http://xe.xpressengine.net/?mid=issuetracker&act=dispIssuetrackerDownload (제로보드)
http://www.krcert.or.kr/secureNoticeView.do?num=492&seq=-1 (인터넷침해 대응센터)
[국내 공개 웹 게시판(테크노트) 취약점 주의]
http://www.krcert.or.kr/secureNoticeView.do?num=491&seq=-1 (인터넷침해 대응센터)
[XpressEngine Core 1.4.4.4(보안패치)]
http://xe.xpressengine.net/?mid=issuetracker&act=dispIssuetrackerDownload (제로보드)
zboard.php 소스안에 iframe 형태로 추가된 main.html 스크립트 파일에는 MS의 특정 Internet Explorer 취약점을 악용하는 kr1.html, kr2.html 파일을 불러와 해당 게시판에 접속한 사용자 중 보안 패치가 적용되지 않은 사용자의 컴퓨터를 감염시키도록 되어 있다.
zboard.php의 특정 난독화 코드
zboard.php의 특정 난독화 코드(디코딩 후)
위 그림에 포함되어진 pop.html, top.html 소스에는 다음과 같은 특정 파일로 접근이 가능하도록 되어져 있다.
제일 먼저 main.html 부터 알아 보도록 하겠다. main.html 파일 내부에는 아래와 같이 4개의 함수와 함수내 각각의 변수로 받는 배열 값들이 서로 난독화 되어진 상태이다.
난독화 되어진 스크립트를 사용자가 알 수 있게 디코딩하게 되면 아래와 같은 악성 URL 주소가 포함되어진 파일로 접근하게 된다.
kr1.html 파일은 MS 인터넷 익스플로러의 MS10-018 취약점을, kr2.html 파일은 MS09-002 취약점을 이용하여 38.jpg 악성 파일을 다운로드하게 된다.
kr1.html 인코딩 상태의 파일 내용
디코딩 되어진 kr1.html, kr2.html 스크립트 파일 내부에 포함되어진 악성파일 URL 주소를 다음과 같이 확인할 수 있다.
두번째로 in.js 파일을 알아 보도록 하겠다. in.js 파일 내부에는 아래와 같이 ff10.htm 파일로 접근이 가능하도록 되어있다.
ff10.htm 파일 내부에는 사용자 컴퓨터의 OS 버전 및 특정 웹 브라우저(Internet Explorer, Firefox)의 버전을 비교하여 최신 버전이 아닐 경우 Exploit Code로 부터 취약한 환경에서 악의적인 동작 수행이 가능하다. (일부 내용만 공개)
만약 사용자의 특정 웹 브라우저 버전이 낮을 경우 다음과 같이 취약점이 노출되어진 Firefox 또는 Internet Explorer 환경에서 아래와 같은 cosplay.swf (플래쉬 파일)을 다운로드 받게 된다.
다운로드 된 cosplay.swf 파일이 실행 되었을때 사용자가 보기에는 정상적으로 동작하는 평범한 Flash 영상으로 보이지만 내부에는 악의적인 코드가 포함 되어져 있으며, 취약점이 발생할 경우 38.jpg 악성파일을 다운로드 받아 실행되게 된다.
이러한 취약점으로 부터 다운로드 되어진 38.jpg 파일은 정상적인 그림 파일인 것처럼 확장자가 jpg로 위장 되어져 있으나 실제 악의적인 동작을 수행하게 된다.
3. 감염 증상
다운로드 되어진 38.jpg 악성파일이 실행되면 아래와 같이 특정 경로에 파일을 생성하게 된다.
[생성파일]
C:\WINDOWS\system\winpingying.ime
C:\WINDOWS\system\Lcomres.dat
C:\WINDOWS\system\Lins.log
C:\WINDOWS\system\winweng.exe
C:\WINDOWS\system\winpingying.ime
C:\WINDOWS\system\Lcomres.dat
C:\WINDOWS\system\Lins.log
C:\WINDOWS\system\winweng.exe
또한, 아래와 같은 레지스트리 값을 등록하여 윈도우 시작 시 재감염이 발생하게 된다.
[윈도우 시작시 함께 실행될 수 있도록 레지스트리 값 등록]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
- 값 이름 : "기본값"
- 값 데이터 : "C:\WINDOWS\system\winweng.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
- 값 이름 : "기본값"
- 값 데이터 : "C:\WINDOWS\system\winweng.exe"
38.jpg.exe 파일에 의하여 생성되어진 winweng.exe 파일은 아래와 같이 특정 보안 프로그램의 기능을 무력화 시킨다. 또한, 윈도우 시작시 마다 winweng.exe 파일을 자동 실행하여 보안 프로그램이 실행되지 못하도록 한다.
- AhnLab (V3)
- 이스트소프트 (알약)
- 바이러스 체이서(Virus Chaser)
- 카스퍼스키
- 이스트소프트 (알약)
- 바이러스 체이서(Virus Chaser)
- 카스퍼스키
또한, 해당 악성파일은 사용자가 Internet Explorer와 같은 웹 브라우저를 실행할 경우 iexplorer.exe 프로세스에 winpingying.ime 파일을 인젝션하여 특정 온라인 게임 계정 정보를 탈취하는 등의 악의적인 동작을 수행하게 된다.
- Maplestory
- Aion
- Hangame
- Pmang
- Lineagea1
- Lineagea2
- Mabinogi
- DNF
- Aion
- Hangame
- Pmang
- Lineagea1
- Lineagea2
- Mabinogi
- DNF
4. 예방 조치 방법
위와 같은 악성파일의 유포 방식은 공개된 보안 패치를 적용하지 않고 인터넷을 이용하는 사용자들로 부터 금전적인 피해를 유발할 수 있으므로, 반드시 Windows 보안 패치를 비롯하여 응용 프로그램에 대한 최신 패치를 적용하는 등의 꾸준한 관리 습관을 가지도록 노력하여야 한다.
현재 잉카인터넷 대응팀에서는 다양한 변종 악성파일에 대하여 진단 및 치료 기능을 제공하고 있으며, 이러한 취약점 공격을 대비하여 상시 대응체계를 유지하고 있다.
1. 윈도우와 같은 OS 및 응용 프로그램에 대하여 최신 보안 패치를 적용하도록 한다.
2. 발신처가 불분명한 이메일이나 첨부 파일에 대한 열람 혹은 인스턴스 메시지를 통하여 노출되기 쉬운 URL 접근은 최대한 주의를 기울이도록 한다.
2.신뢰할 수 있는 보안업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이해 사용해야 하며, 실시간
감시 기능을 "ON" 상태로 유지하도록 한다.
2. 발신처가 불분명한 이메일이나 첨부 파일에 대한 열람 혹은 인스턴스 메시지를 통하여 노출되기 쉬운 URL 접근은 최대한 주의를 기울이도록 한다.
2.신뢰할 수 있는 보안업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이해 사용해야 하며, 실시간
감시 기능을 "ON" 상태로 유지하도록 한다.
※ nProtect Anti-Virus/Spyware 2007 제품으로 진단한 화면
'최신 보안 동향' 카테고리의 다른 글
DDoS 공격명령을 내릴 수 있는 트위터 봇에 대한 주의필요 (1) | 2011.02.01 |
---|---|
제우스(Zeus) 봇넷 VS 스파이아이(SpyEye) 봇넷 (0) | 2011.01.28 |
구글 단축주소를 이용해 유포중인 트위터 웜 해외 확산 주의 (0) | 2011.01.21 |
클라우드 기반의 Anti-Virus 동작을 방해하는 악성파일 출현 보고! (0) | 2011.01.19 |
국내 일부 인터넷 쇼핑몰, 웹하드 사이트 악성파일 유포 주의 (0) | 2011.01.18 |