본문 바로가기
IT 보안소식

[사이트 변조] 경도일보(http://www.gddailynews.com) "ActiveX Exploit CVE-2008-2551"를 이용한 악성코드 유포!!

by 잡다한 처리 2013. 4. 10.
반응형

경북, 대구지역 일간지, 정치, 경제, 사회 등 기사, 칼럼등을 알려줘야하는 신문사이트가 변조되어 뉴스와 함께 악성코드도 같이 사용자들에게 알려주고 있다.
사이트 변조가 어제 오늘 하는 일은 아니지만, 이렇게 블로그에 작성 하는 이유는 ActiveX Exploit CVE-2008-2551 파일이 국내 유포사이트에 확인 된 것이 처음이기 때문이다.
해당 취약점은 0-Day가 아니라, ActiveX의 방식을 그대로 사용한 것이라 더욱 위험할 수 있다.
(보안 업데이트가 없기 때문에, 사용자는 더욱 주의 해야한다.)

 

* Active-X란?
일반적으로 말하는 "인터넷 서핑"이란 웹브라우저(web browser) 프로그램을 이용, 네트워크를 통해 전송된 HTML(HyperText Markup Language) 문서를 읽는 행위를 가리킨다. 이런 형태는 WWW(World Wide Web) 서비스가 처음 탄생한 1991년부터 지금까지 이어져오고 있다. 하지만 시간이 지나면서 단순히 문서를 읽는 것 외에도 동영상이나 음악을 감상하거나 은행 업무를 하는 등 다양한 인터넷 이용 형태가 등장하게 되었다. 그로 인해 웹브라우저와 HTML 문서 자체만으로는 이 모든 기능을 원활히 이용할 수 없게 되었다. 때문에 웹브라우저와 연동되는 특정 프로그램을 사용자의 PC에 추가로 설치해 웹브라우저의 기능을 확장시키는 방법이 등장했다.

출처 : 네이버 캐스트
 

관련 기사는 아래 링크에서 확인하시길~!!
경도일보 홈페이지 접속 시 연결 되는 사이트는 다음과 같다. 
hxxp://fgsaxxxxx.xxxo/index.html (Main Malware Script)
hxxp://fgsaxxxxx.xxxo/top.js (JRE & Applet Script)
hxxp://fgsaxxxxx.xxxo/wmck.jpg (Java Exploit CVE-2012-4681)
hxxp://fgsaxxxxx.xxxo/ckwm.jpg (Java Exploit CVE-2011-3544)
hxxp://www.sgfxxxx.xxxxo:81/int.exe (Malware File : Trojan.Dropper.Agent.13824)
hxxp://fgsaxxxxx.xxxo/zip.html (XML Core Services Exploit CVE-2012-1889)
hxxp://fgsaxxxxx.xxxo/win.html (Malware Iframe Script)
hxxp://fgsaxxxxx.xxxo/logo.swf (Malware ShellCode SWF File)
hxxp://www.sgfxxxx.xxxxo:81/int.jpg (Malware File : Trojan.Dropper.Agent.13824)
hxxp://fgsaxxxxx.xxxo/Moview1.html (IExplorer Exploit CVE-2012-4969)
hxxp://fgsaxxxxx.xxxo/ll.html (ActiveX Exploit CVE-2008-2551)
hxxp://220.***.**.113:81/iint.exe (Malware File : Trojan.Dropper.Agent.13824)
 
다른 파일들은 흔하게 볼 수 있는 패턴이므로, 이번 포스팅에서는 "ActiveX Exploit CVE-2008-2551" 에 대해서만 자세하게 알아보자.
위의 표로도 알 수 있듯이 ActiveX Exploit CVE-2008-2551 는 ll.html 이라는 파일에서 시작된다.
ll.html 파일은 아래와 같이 난독화 스크립트로 구성되어 있다.
 
 
아래 그림과 같이 디코드 된 값을 보면 특정 Cab 파일을 불러와 ActiveX를 설치하는 구문이 확인된다.
 

 

불러오는 CAB 파일의 정보를 조금 살펴보자.
다운로드 되는 CAB 파일 주소는 http://www.safetydoor.co.kr/AdodeFlashPlayer11.cab 와 같으며,
"Zhengzhou Leqi Technology Co.,Ltd." 이름의 디지털서명을 가지고 있다.
 
해당 디지털서명은 도용 한 것으로 추측되며, 디지털서명을 도용해서 사용하는 이유는 인터넷 익스플로러에서 디지털서명이 안되어있는 파일에 대해서 경고메시지를 띄우지 않게 하기 위해서라고 판단 된다.
 
또한 cab 파일 내부에는 "Adode Flash Player 11.ocx" 파일이 존재한다.
 
Adode Flash Player 11.ocx 파일은 ll.html 에서 ActiveX를 설치하는 구문의 특정한 파라미터값들을 가져와서
악성파일을 설치하게 된다.



위의 ll.html 의 특정 파라미터의 값을 가져와 OCX 파일에서 구동시킨다.

 
실제 사용자들은 ll.html이 연결되면 아래와 같이 ActiveX 설치창을 보게 된다.
이름 자체가 "AdodeFlashPlayer11.cab" 이기 때문에 자세히 보지 않으면, Flash Player 설치프로그램을 설치하는 것 같이 보일 수 있다.
 

※ 참고사항
정상적인 Flash Player 설치 ActiveX 창은 아래와 같이 배포자가 "Adobe Systems Incorprotated"로 되어 있다.
 
이번에 발견 된 파일들은 알약에서는 "Trojan.Dropper.Agent.13824" 로 탐지 중이다.



※ ActiveX Exploit CVE-2008-2551 해결방법
ActiveX Exploit CVE-2008-2551 취약점은 보안 업데이트가 존재 하지 않기때문에, 해결방법이 조금 특이하다. 

해당 취약점은 현재까지 동일한 CLSID 값으로 ActiveX를 설치하기 때문에 킬빗(KillBit)을 이용하여 CLSID값을 등록해 두면 동일한 CLSID ActiveX는 설치가 되지 않는다.
(킬빗의 원래 용도는 ActiveX 설치 차단이 목적이나, 이번 포스트에서는 CVE-2008-2551 취약점을 차단하는 용도로만 설명함)
 
방법은 아래와 같이 하면 된다.
(해당 방법은 Windows XP를 대상으로 작성 되었음. 다른 OS는 검색해 보시길!!)
 
1. 시작버튼 -> 실행 -> regedit
 
2. HKEY_LOCAL_MACHINE\software\microsoft\Internet Explorer\ActiveX Compatibility 로 이동


3. ActiveX Compatibility 에서 "새로만들기" -> "키" 생성
 4. 생성 된 키의 이름은 CLSID값인 C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61 로 변경
5. 생성 된 키의 하위에서 "DWORD" 값을 새롭게 만든다.
  6. 만들어진 새값의 이름을 "Compatibility Flags" 으로 수정하고, 데이터 값은 "400" 으로 수정한다.

댓글