※ 제로 데이(zero-day) 취약점?
패치가 발표되기도 전에 그 취약점을 이용한 악성코드나 해킹공격을 감행하는 수법.
한동안 잠잠하였던 한글과컴퓨터 소프트웨어(이하 '한글')에서 존재하였던 취약점을 악용하여 원격제어 형태의 악성코드 감염을 시도한 사례가 발견되었다.
이 번에 발견된 취약한 한글 파일은 한국 시간으로 11월 21~ 22일 사이에 정부 기관을 대상으로 유포된 것으로 추정된다.
해당 제로 데이 취약점을 가지고 있는 취약한 한글 문서를 열게 되면, 아래 이미지와 동일하게 "한국 공군의 위상에 대한 평가와 진단" 이라는 제목의 문서 내용이 보여지게 된다.
<그림 출처 : 안랩 ASEC 센터>
해당 취약한 한글 문서를 '한글2010'이 설치된 시스템에서 열게 되면 아래 경로에 "HncCtrl.exe(139,264바이트)" 파일이 생성된다.
C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\HncCtrl.exe
생성된 "
HncCtrl.exe
(139,264 바이트)"는 다음 경로에 추가적으로 "
taskmgr.exe
(61,440 바이트)"
와 "sens.dll
(36,864 바이트)"를 생성하게 된다.
C:\WINDOWS\system32\IE\sens.dllC:\WINDOWS\system32\IE\taskmgr.exe
그리고 다음 레지스트리(Registry) 키를 생성하여 시스템이 재부팅하더라도 자동 실행되도록 구성하게 된다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS\Parameters\ServiceDll = C:\WINDOWS\system32\IE\sens.dll
생성된 "sens.dll (36,864 바이트)"는 윈도우 시스템에 존재하는 정상 svchost.exe 프로세스에 스레드(Thread)로 인젝션시킨 이후 감염된 시스템에서 사용자가 입력하는 모든 키보드 입력 값들을 "report.tmp"에 기록하게 된다.
그리고 다른 "taskmgr.exe (61,440 바이트)"는 감염된 시스템이 인터넷 접속이 가능한지 확인하기 위해 구글(Google) 웹 사이트로 접속을 시도하게 된다.
접속이 성공하게 되면 아래 이미지에서와 같이 감염된 시스템에서 연결되어 있는 구글 사용자 세션을 이용하여 특정 지메일 계정으로 키보드 입력 값들이 기록 되어 있는 "report.tmp"을 첨부하여 발송하게 된다.
<그림 출처 : 안랩 ASEC 센터>
이 번에 발견된 국방 관련 내용을 가진 제로 데이 취약점을 악용한 한글 파일과 관련 악성코드들은 모두 V3 제품 군에서 다음과 같이 진단한다.
HWP/ExploitWin-Trojan/Agent.139264.QVWin-Trojan/Agent.61440.BBSWin-Trojan/Agent.36864.CCY
향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.
Dropper/MDP.Exploit
앞서 언급한 바와 같이 금일 발견된 취약한 한글 파일은 기존에 알려지지 않은 제로 데이 취약점을 악용하고 있다. 현재 한글과 컴퓨터를 통해 공식적인 보안 패치가 제공되지 않고 있음으로 외부에서 보내온 이메일에 첨부된 한글 파일이 존재 할 경우에는 각별한 주의를 기울여야 한다.
출처 및 참조 :
'IT > 해킹보안' 카테고리의 다른 글
키워드로 돌아보는 2012년 10대 보안위협 (0) | 2012.12.06 |
---|---|
경찰 "결제시스템" 뚫려...ISP(안전결제), 안심클릭 안전성 보완 필요 (0) | 2012.12.04 |
미국, 사이버도시 만들어 해킹 방어 훈련 (0) | 2012.11.30 |
바이러스,스파이웨어&애드웨어, 악성코드, 멀웨어[malware] 그리고 익스플로잇? (0) | 2012.11.27 |
악성코드와 멀웨어 포렌식 (0) | 2012.11.27 |
댓글