[사이트 변조] 민주통합당(http://www.minjoo.kr) "IE 0-Day(CVE-2012-4969)" 를 이용한 악성코드 유포!!

대선도 가까워지는데, 하필 대선에 참여하는 당의 홈페이지에서 악성코드가 유포 중이다.
참으로 안타까운 일이지만, 내가 할일은 해야겠다.

문재인 후보가 있는 민주통합당 홈페이지에서 IE 0-Day를 이용 한 악성스크립트가 삽입되어 악성코드가 유포 되고 있다.

민주통합당 홈페이지 접속 시 연결 되는 사이트는 다음과 같다. 

hxxp://www.minjoo.kr

hxxp://www.minjoo.kr/******/**/js/IF.htm

hxxp://www.minjoo.kr/******/**/js/eminjoon.htm

hxxp://www.minjoo.kr/******/**/js/iframe.html

hxxp://www.minjoo.kr/******/**/js/cminjoon.htm

hxxp://www.minjoo.kr/******/**/js/jminjooa.htm

hxxp://www.minjoo.kr/******/**/js/kminjoor.htm

hxxp://www.******.or.kr/html/inst.cab

해당 방식은 이전에 CVE-2012-1875,  CVE-2012-1889 취약점 스크립트를 유포 했을 때와 동일하다.  

민주통합당 홈페이지에 접속 하면 iframe을 이용하여 IF.htm 을 로드시킨다.

로드 된 IF.htm 은 IE버전, OS버전, IE언어를 체크하여 해당 조건에 맞는 스크립트를 연결 시켜 준다.
한마디로 Loader의 역활을 하는 htm 파일이다. 

실제 영문(EN), 중국(ZH), 일본(JA), 한국(KO) 별로 악성 스크립트가 분류 되어 있다.
(참고사항 : 언어별 국가코드는 "국가별 언어 코드(ISO 639: Two-letter Language Codes)" 에서 확인 할 수 있다)

그리고 image 객체 생성으로 AV가 탐지 할 것으로 예상하고, 한번 더 꼬아서 kkak 라는 치환문자로 대체하였다.
또한 다른 악성페이지인 iframe.html으로 연결 시킨다. 

연결 시키는 iframe.html 에는 CVE-2012-4969 취약점을 유발시키는 코드가 존재한다.

취약점이 있는 PC에서는 해당 악성스크립트가 동작 시 특정서버에서 http://www.******.**.**/html/inst.cab 파일을 다운한다.
해당 파일은 백도어 파일로써 특정 서버로 접속 하여 오퍼 명령에 따라 악성행위를 할 수 있다.

- 파일 생성 정보
C:\Documents and Settings\[사용자계정]\Local Settings\Temp\cacheclr.exe

- 레지스트리 생성 정보
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"RunOnce" = " C:\Documents and Settings\[사용자계정]\Local Settings\Temp\cacheclr.exe"

알약에서는 해당 파일을 "Backdoor.Poison.32768" 로 탐지 중이다.

재미있는 부분은 접속 하는 서버의 도메인 명이
"alyac.flnet.org, ahalab.4irc.com, alync.suroot.com" 이라는 점~~~~~~~~~~!!


현재 해당 IE 0-Day는 보안패치가 없기 떄문에 임시적인 Fix it으로 수정 할 수 있다.

• [Fix it] Internet Explorer 0-Day 취약점(CVE-2012-4969) Fix it 공개!!

정식 패치는 9월 22일 토요일에 긴급 패치 될 예정이다.