본문 바로가기
IT 보안소식

한국모바일인증 웹 매니저(KMCWebManager), 원격코드 실행 취약점 관련 내용

by 잡다한 처리 2013. 10. 16.
반응형


지난 10월 11일 자체시스템에서 수집 된 파일 중 의심스러운 스크립트가 확인되었다.
해당 스크립트를 통해 다운로드 된 파일은 3월 20일 발생했던 사이버테러에 사용 되었던 악성코드와 유사한 파일로 확인된다.

3.20 사이버테러 이후 처음나오는 것은아니며, 5월 31일에 추가적으로 3.20 사이버테러와 유사한 악성코드가 다시 발견 된 경우도
있었다.

이번 10월 11일에 발견 된 스크립트 파일은 이전과 동일하게 날씨닷컴에서 사용하는 위젯 서비스를 통해 다수의 웹사이트에
경유지 역활을 수행했다. (실제 다수 페이지에 날씨위젯이 사용되고 있다)


 
- 10월 11일 확인 된 스크립트 및 실행파일 주소

http://www.nalsee.com/*******/*****_image.js
http://www.kc****.org/***/images/logo.jpg (알약 탐지명 : Trojan.Agent.TroyM.A)


- 10월 11일 사용 된 경유지 서버 리스트

http://www.artoffice.co.kr         http://www.nalsee.com/*******/*****_image.js
http://www.bikemania.cc http://www.nalsee.com/*******/*****_image.js
http://www.jurassicresort.co.kr http://www.nalsee.com/*******/*****_image.js
http://www.djpachul.net http://www.nalsee.com/*******/*****_image.js
http://www.machoen.co.kr         http://www.nalsee.com/*******/*****_image.js
http://www.bangrangja.com http://banner.nalsee.com/*******/*****_image.
http://www.cargillfeed.co.kr http://www.nalsee.com/*******/*****_image.js
http://www.jinhaenh.com http://www.nalsee.com/*******/*****_image.js
http://www.jinjub.com http://www.nalsee.com/*******/*****_image.js
http://www.busta.or.kr http://www.nalsee.com/*******/*****_image.js
http://www.heungyangnh.com http://www.nalsee.com/*******/*****_image.js
http://www.jajae1009.com         http://www.nalsee.com/*******/*****_image.js
http://www.dknonghyup.co.kr http://www.nalsee.com/*******/*****_image.js
http://www.ecolaw.co.kr http://banner.nalsee.com/*******/*****_image.js
http://www.aeromaster.co.kr http://www.nalsee.com/*******/*****_image.js
http://www.ibs21.co.kr http://www.nalsee.com/*******/*****_image.js
http://www.ddubug.com http://www.nalsee.com/*******/*****_image.js
http://www.06bh.com         http://www.nalsee.com/*******/*****_image.js
http://www.dms114.com http://www.nalsee.com/*******/*****_image.js
http://www.idongchon.co.kr http://www.nalsee.com/*******/*****_image.js
http://hanbit.tjapt.kr         http://banner.nalsee.com/*******/*****_image.js
http://www.kbvma.or.kr http://www.nalsee.com/*******/*****_image.js
http://138.0691.org         http://www.nalsee.com/*******/*****_image.js
http://www.seromtrophy.co.kr http://www.nalsee.com/*******/*****_image.js
http://www.gsclub.or.kr http://www.nalsee.com/*******/*****_image.js
http://www.lcnmotors.com         http://www.nalsee.com/*******/*****_image.js
http://www.inlinetoday.com http://www.nalsee.com/*******/*****_image.js
http://www.smtsystem.co.kr http://www.nalsee.com/*******/*****_image.js
http://www.taeangt.net http://banner.nalsee.com/*******/*****_image.js
http://www.energyzone.co.kr http://www.nalsee.com/*******/*****_image.js
http://www.hyungze.co.kr         http://www.nalsee.com/*******/*****_image.js
http://www.mightyclub.co.kr http://www.nalsee.com/*******/*****_image.js
http://www.gsnlcf.com http://www.nalsee.com/*******/*****_image.js
http://www.gsnonghyup.com http://www.nalsee.com/*******/*****_image.js
http://www.jigoknong.com        http://www.nalsee.com/*******/*****_image.js
http://www.oganh.com http://www.nalsee.com/*******/*****_image.js
http://www.gochonnh.com http://www.nalsee.com/*******/*****_image.js
http://www.dongandong.com http://www.nalsee.com/*******/*****_image.js
http://www.damyangair.co.kr http://www.nalsee.com/*******/*****_image.js
http://www.badasamo.com http://www.nalsee.com/*******/*****_image.js
http://www.pancos.co.kr http://www.nalsee.com/*******/*****_image.js
http://www.iser.or.kr         http://www.nalsee.com/*******/*****_image.js


해당 *****_image.js 스크립트를 살펴보면 5월 31일에 발견 된 스크립트와 유사한 모양을 하고 있으며,
사용 된 프로그램의 종류만 다른 것을 알 수 있다.

아래의 그림은 5월 31일 발견 된 스크립트로 "제큐어웹 ActiveX"의 모듈을 타겟으로 설계되었다.
일주일 후 인터넷침해대응센터(KISA)에서는 보안 업데이트 공지사항을 내놓았다.



이번에 발견 된 스크립트는 한국모바일인증 1.4 ActiveX 모듈을 타겟으로 설계되었으며, 3일 후 인터넷침해대응센터(KISA)에서
마찬가지로 공지사항을 내놓았다.



이미 지난 제큐어웹은 버리고, 이번에 발견 된 한국모바일인증 웹 매니저에 대해서만 살펴보자.
 
위의 그림에서 보면 "CLSID:1D5DA295-5704-4A1A-B547-D0829EAE44CE" 레지스트리가 존재하는데,
이는 "한국모바일인증 웹 매니저 1.4" 모듈이 설치 되면 생성되는 레지스트리키이다.

이 내용으로 유추 해 보자면, 이번 제작자는 한국모바일인증 웹 매니저 1.4 가 설치 된 사용자만 노렸다는 말이 된다.
 
하지만 여기서 중요한 점은 한국모바일인증 웹 매니저는 현재 1.5 버전으로 업데이트(8월 21일) 된지 1달이나 지났기 때문에,
일반적인 사용자가 대상이 아니라 특정 기업을 타겟으로 잡은것이 아닌가 하는 개인적인 판단이 들었다.

한국모바일인증을 사용하는 고객사는 일반기업, 지방자치단체, 정부기관, 교육기관 등 생각보다 많다.



그래도 다행스럽게 한국모바일인증 업체의 빠른 대처로 10월 14일 한국모바일인증 웹 매니저 1.6 버전으로 업데이트 되었다.
(현재 설치되는 한국모바일인증 웹 매니저는 모두 1.6버전이다) 



- 한국모바일인증 웹 매니저 업데이트 현황

* KMCWebManager_1.0 : 웹컨트롤 1.0 (2011.06.24)
* KMCWebManager_1.1 : 웹컨트롤 1.1 (2012.10.15)
* KMCWebManager_1.2 : 웹컨트롤 1.2 (2012.10.29)
* KMCWebManager_1.3 : 웹컨트롤 1.3 (2013.04.29)
* KMCWebManager_1.4 : 웹컨트롤 1.4 (2013.07.31)
* KMCWebManager_1.5 : 웹컨트롤 1.5 (2013.08.21)
* KMCWebManager_1.6 : 웹컨트롤 1.6 (2013.10.14)


- 한국모바일인증 웹 매니저 ActiveX CLSID 리스트

KMCWebManager_1.0 : CLSID:A129273F-CFA6-432F-8641-D46827453955
KMCWebManager_1.1 : CLSID:4812C2D3-ADBF-4EA2-986A-BDB5D734F68A
KMCWebManager_1.2 : CLSID:53988776-6FD2-4950-B43F-F7E75FB8DCB9
KMCWebManager_1.3 : CLSID:2DEBB91B-6EE8-42D3-88FE-4B23D55BE746
KMCWebManager_1.4 : CLSID:1D5DA295-5704-4A1A-B547-D0829EAE44CE
KMCWebManager_1.5 : CLSID:23E3FDD4-AA11-482E-A35C-C4E521D59097
KMCWebManager_1.6 : CLSID:C32BEEC2-CA90-42A8-B002-2A73EBBEB5C4


댓글