알약(ALYac), 리그 익스플로잇(RIG Exploit Kit) 공격도구를 통한 악성코드 유포 주의

국민 보안 프로그램 알약(ALYac)에서 운영하는 알약 블로그에서는 리그 익스플로잇(RIG Exploit Kit) 공격도구를 통한 

악성코드 유포 주의에 대한 글을 포스팅 하였다.

좀 더 자세한 내용을 적고 싶지만, 현재 시간이 새벽 2시 30분이라....;;

내일 간단하게 나마 리그 익스플로잇(RIG Exploit Kit)에 대한 내용을 적어보도록 하겠다.

■ 관련 내용

• 아주경제, 순천향대, 악성코드 유포 조직 새로운 리그킷(RIG Exploit Kit) 사용 밝혀

• Ec0noMist Blog, DBD의 새로운 위협, RIG Exploit Kit으로 인한 Critroni 랜섬웨어 감염 주의

• KAHU Security, RIG Exploit Pack

원본 보기 : http://blog.alyac.co.kr/155

안녕하세요? 알약대응팀입니다.

일명 리그 익스플로잇 킷(RIG Exploit Kit)이라고 불리는 '보안취약점을 악용한 악성코드 유포도구'가 2014년 08월 26일부터 국내 웹 사이트를 통해서도 공격에 활용된 정황이 다수 목격되고 있습니다.

리그 익스플로잇 킷은 2014년 중순 경 주로 해외에서 공격사례가 보고된 바 있었지만 국내에서는 널리 알려진 종류는 아닙니다. 그런 가운데 기존 한국 맞춤형 인터넷 뱅킹 악성코드 유포조직이 리그 익스플로잇 킷 도구를 도입해 국내에 랜섬웨어, 파밍, RAT 악성코드 유포에 본격적으로 활용하기 시작하였습니다.

그 동안 국내에서 사용된 보안취약점 공격방식은 공격 스크립트 형태가 상대적으로 단순하고 추적이 용이한 상태이지만, 리그 익스플로잇 킷은 분석을 방해하기 위한 난독화 부분이 강화되었고, PHP 세션 아이디(PHPSSESID)값을 통해서 호출과 응답을 이용하는 특징이 있습니다.

더불어 마이크로소프트사의 실버라이트 취약점도 함께 이용될 수 있기 때문에 이용자들은 최신 버전으로 업데이트하여 사용하시길 권장드립니다.

[RIG Exploit Kit 대표 취약점]

- Microsoft Internet Explorer Use-After-Free Remote Code Execution Vulnerability (CVE-2013-2551)

- Microsoft Internet Explorer Use-After-Free Remote Code Execution Vulnerability (CVE-2014-0322)

- Adobe Flash Player Remote Code Execution Vulnerability (CVE-2014-0497)

- Microsoft Silverlight Double Deference Remote Code Execution Vulnerability (CVE-2013-0074)

- Oracle Java SE Memory Corruption Vulnerability (CVE-2013-2465)

- Oracle Java SE Remote Java Runtime Environment Code Execution Vulnerability (CVE-2012-0507)

알약에서는 현재 보고되고 있는 악성코드들에 대해 아래와 같이 탐지중에 있습니다.

Trojan.Dropper.KRBanker.csrss

Spyware.KRBanker.csrss

Trojan.Ransom.Critroni.A

현재 계속적으로 모니터링을 진행하면서 DB업데이트를 진행하고 있으며, 이용자분들은 항시 알약의 DB를 최신버전을 유지해 주시길 당부 드립니다.

감사합니다.