본문 바로가기
IT 보안소식

[사이트 변조] 민주통합당(http://www.minjoo.kr) "IE 0-Day(CVE-2012-4969)" 를 이용한 악성코드 유포!!

by 잡다한 처리 2012. 9. 21.
반응형


대선도 가까워지는데, 하필 대선에 참여하는 당의 홈페이지에서 악성코드가 유포 중이다.
참으로 안타까운 일이지만, 내가 할일은 해야겠다.

문재인 후보가 있는 민주통합당 홈페이지에서 IE 0-Day를 이용 한 악성스크립트가 삽입되어 악성코드가 유포 되고 있다.

민주통합당 홈페이지 접속 시 연결 되는 사이트는 다음과 같다. 

hxxp://www.minjoo.kr
hxxp://www.minjoo.kr/******/**/js/IF.htm
hxxp://www.minjoo.kr/******/**/js/eminjoon.htm
hxxp://www.minjoo.kr/******/**/js/iframe.html
hxxp://www.minjoo.kr/******/**/js/cminjoon.htm
hxxp://www.minjoo.kr/******/**/js/jminjooa.htm
hxxp://www.minjoo.kr/******/**/js/kminjoor.htm
hxxp://www.******.or.kr/html/inst.cab

해당 방식은 이전에 CVE-2012-1875,  CVE-2012-1889 취약점 스크립트를 유포 했을 때와 동일하다.  


민주통합당 홈페이지에 접속 하면 iframe을 이용하여 IF.htm 을 로드시킨다.




로드 된 IF.htm 은 IE버전, OS버전, IE언어를 체크하여 해당 조건에 맞는 스크립트를 연결 시켜 준다.
한마디로 Loader의 역활을 하는 htm 파일이다. 




실제 영문(EN), 중국(ZH), 일본(JA), 한국(KO) 별로 악성 스크립트가 분류 되어 있다.
(참고사항 : 언어별 국가코드는 "국가별 언어 코드(ISO 639: Two-letter Language Codes)" 에서 확인 할 수 있다)




그리고 image 객체 생성으로 AV가 탐지 할 것으로 예상하고, 한번 더 꼬아서 kkak 라는 치환문자로 대체하였다.
또한 다른 악성페이지인 iframe.html으로 연결 시킨다. 




연결 시키는 iframe.html 에는 CVE-2012-4969 취약점을 유발시키는 코드가 존재한다.



취약점이 있는 PC에서는 해당 악성스크립트가 동작 시 특정서버에서 http://www.******.**.**/html/inst.cab 파일을 다운한다.
해당 파일은 백도어 파일로써 특정 서버로 접속 하여 오퍼 명령에 따라 악성행위를 할 수 있다.

- 파일 생성 정보
C:\Documents and Settings\[사용자계정]\Local Settings\Temp\cacheclr.exe

- 레지스트리 생성 정보
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"RunOnce" = " C:\Documents and Settings\[사용자계정]\Local Settings\Temp\cacheclr.exe"



알약에서는 해당 파일을 "Backdoor.Poison.32768" 로 탐지 중이다.



재미있는 부분은 접속 하는 서버의 도메인 명이
"alyac.flnet.org, ahalab.4irc.com, alync.suroot.com" 이라는 점~~~~~~~~~~!!


현재 해당 IE 0-Day는 보안패치가 없기 떄문에 임시적인 Fix it으로 수정 할 수 있다.

정식 패치는 9월 22일 토요일에 긴급 패치 될 예정이다.


댓글