인터넷 익스플로러 10 제로데이(IE10 0-Day) "CVE-2014-0322"를 이용한 악성파일 유포 주의!!


2014년 2월 13일 인터넷 익스플로러 10(Internet Explorer 10)과 관련 된 제로데이(0-Day)취약점(CVE-2014-0322)이 발견되었다.

현재 해당 취약점을 이용한 악성 웹 페이지에 접속 시 악성코드 감염 등 보안 위협에 쉽게 노출되오니,
해당 제품을 사용하시는 사용자들은 
보안 패치 적용 전까지 Internet Explorer 10 브라우저를 이용하여 인터넷을 사용하지 않도록
주의하길 바란다.

이번에 발견 된 Internet Explorer 취약점은 Use After Free 취약점을 이용한 메모리 손상을 통해 임의의 코드를 실행 할 수 있다는 
내용이다.

- 제로데이 공격이란?
운영체제(OS)나 네트워크 장비 등 핵심 시스템의 보안 취약점이 발견된 뒤 이를 막을 수 있는 패치가 발표되기도 전에 그 취약점을 이용한 악성코드나 해킹공격을 감행하는 수법 (보통 Zero Day, 0-Day, Zero-Day 로 표기 한다.)



※ 이번 기회에 Internet Explorer 11로 업그레이드 하는 것도 방법일 수 있겠다.
- Internet Explorer 11 다운로드 페이지 : http://windows.microsoft.com/ko-kr/internet-explorer/download-ie
■ 영향을 받는 소프트웨어
- Internet Explorer 9
- Internet Explorer 10

■ 영향을 받지 않는 소프트웨어
- Internet Explorer 11

 
□ 관련 내용은 아래와 같으니 참고하기 바란다.

정식 보안패치가 나올 때 까지 Internet Explorer 11 버전으로 업그레이드 해야 하며 
MS의 보안 업데이트 발표 전까지 다른 인터넷 브라우저(Mozilla Firefox, Google Chrome, Opera, Swing 등)를 
사용하는 것이 
안전하다.

- 파이어폭스(Mozilla Firefox) : http://www.mozilla.or.kr/ko

- 구글 크롬(Google Chrome) : http://www.google.com/chrome

- 오페라(Opera) : http://www.opera.com/browser

- 스윙 브라우저(Swing-browser) : http://swing-browser.com


또는 EMET를 사용하여 임시적으로 막는 방법도 괜찮다.
※ EMET(Enhanced Mitigation Experience Toolkit)는 소프트웨어의 취약성이 악용되지 못하도록 하는 유틸리티입니다. EMET는 보안 완화 기술을 이용하여 이 목표를 구현합니다. 이러한 기술은 공격자가 소프트웨어의 취약성을 악용하기 위해 넘어야 하는 특수한 보호 장치 및 장애 장치로 작동합니다. 이러한 보안 완화 기술이 있다고 해서 취약성이 악용되지 않는다고 보장할 수는 없습니다. 그렇지만 이러한 기술은 취약성을 악용하기 어렵게 합니다.

- EMET 설명(한글) : http://support.microsoft.com/kb/2458544
- EMNET 다운로드(영문) : http://www.microsoft.com/en-us/download/details.aspx?id=41138

EMET 설치 완료 후, 아래와 같이 확인하면 된다.
1. Apps을 클릭하면 현재 보호 되고 있는 프로그램들을 볼 수 있다.



2. 리스트 중에서 "iexploer.exe" 가 존재하면, 그냥 냅두면 된다.



3. 만약 iexplore.exe가 없다면, "Add Application"을 클릭하여 iexplore.exe 파일을 찾아서 추가하면 된다.



4. 그럼 아래와 같이 프로그램이 추가되어 있는 것을 볼 수 있다.



그럼 이제 간단하게 이번 제로데이인 CVE-2014-0322 취약점 파일에 대해 살펴보자.

이번 취약점이 삽입 된 변조 사이트 접속 시 연결되는 사이트는 다음과 같다.
hxxp://alists*****.com/Data/img/img.html (Exploit.JS.CVE-2014-0322.A)
hxxp://alists*****.com/Data/img/Tope.swf (Exploit.SWF.Downloader)
hxxp://alists*****.com/Data/img/Erido.jpg (Backdoor.Agent.86016)
hxxp://gifas*****.net/include.html (Exploit.JS.CVE-2014-0322.A)
hxxp://gifas.*****.net/Tope.swf (Exploit.SWF.Downloader)
hxxp://gifas.*****.net/Erido.jpg (Backdoor.Agent.86016)

※ Erido.jpg 파일은 XOR(0x95)로 암호화가 풀리게 되면, stream.exe 파일명으로 실행된다.


취약점 페이로드로 보이는 Exploit.JS.CVE-2014-0322.A 파일을 살펴보자.

해당 파일의 특이사항으로는 "EMET 프로그램"이 설치되어 있는 것을 "EMET.DLL" 파일의 존재로 확인하고,
파일 존재 시 스크립트 실행을 중지하는 코드가 들어가 있다.



EMET 프로그램이 설치되면, C:\WINDOWS\AppPatch 폴더에서 "EMET.DLL" 파일이 존재하게 된다.
이 말은 즉, EMET 프로그램으로 임시 방어를 할 수 있다는 뜻이다^^



그리고 플래시 플레이어 파일로 이루어진 악성 Tope.swf 파일을 추가다운로드 하여 실행 시킨다.


Tope.swf 파일을 살펴보면, "Erido.jpg" 파일을 다운로드 하여 vector 클래스에 의해 실행파일로 설치된다.



Erido.jpg 파일은 XOR(0x95)로 암호화가 되어 있으며, 차후 stream.exe 파일명으로 실행된다.
ZxShell Backdoor 로 판단되며, 해당 포스팅에서는 파일 분석은 하지 않는다.


현재 알약에서는 해당 파일들을 아래와 같이 탐지 중이다.




(참고사항) 사용 된 샘플의 인증서 내용이 조금 의심스럽다.
변종파일에 모두 유효한 디지털서명이 담겨 있는데, 국내 사이트에 관련 된 인증서로 확인된다.
(인증서와 관련 된 국내 사이트 : http://microdigital.co.kr/korean, http://m.ipopclub.co.kr)





댓글(10)

Designed by JB FACTORY