IE 0 day (CVE 2012-4792) 디씨인사이드를 통해 사용자 공격- 위험에서 경고로
12.26일 국내에서 처음으로 IE 브라우저 6,7,8 모든 버전에 영향을 미치는 제로데이 공격이 국내에도 직접 발생한 정황이 빛스캔㈜의 PCDS를 통해 탐지된바 있음을 1월 초에 알려드린 바가 있다. (관련내용: http://p4ssion.com/332 )
IE 제로데이 취약성은 현재 Metasploit에 POC 코드가 공개 되어 있으며 국내를 대상으로 한 공격에는 아직 대규모 공격으로 전이된 정황은 포착 되지 않았다. 그러나 12.26일 최초 공격 발견 이후 1월 2주차인 1월 5일에 추가 공격이 발생된 것이 빛스캔의 PCDS를 통해 탐지가 됨으로 인해 위험 단계를 벗어날 가능성이 매우 높아진 상황이다. 모든 방문자에 대해 패치가 없는 제로데이 공격이 발생된 사이트는 대형 커뮤니티인 디씨인사이드다.
현재 상태는 여전히 공격의 효과를 검증하는 것으로 판단되며, 효과 판단을 위해 국내 대형 커뮤니티에 직접 활용하여 효과를 검증하는 단계로 파악된다.
최초 디씨인사이드에 대한 공격은 1월5일 23시경에 발견 되었으며 IE 0 day를 이용한 공격코드가 직접 활용 되었다. 또한 국내 사이트를 해킹하여 공격코드를 올려둠으로써 탐지 및 의심을 회피하려는 목적이 분명함을 관찰 할 수 있다. 하루 정도의 제로데이 효과 관찰 이후에는 다시 1월 6일 오후 5시경에는 기존에 적극적으로 활용하던 Java 공격세트 5개와 MS XML 취약성인 CVE 2012-1889 취약성에 대한 공격 코드로 변경된 것을 관찰 할 수 있었다.
지난 주말의 상태로 살펴보건대 적극적으로 공격의 효과를 관찰하고 있는 것으로 보이며 이번 20시간 가량의 감염 관찰을 통해 충분한 데이터를 얻었을 것으로 예상된다. 그 결과에 따라 IE 0 day에 대한 대규모 공격은 곧 시작될 수도 있을 것이다.
IE 0day에 대한 최초 발견 보고 이후에 주의 깊은 관찰 수준을 유지하고 있는 상태에서 대형 커뮤니티를 통한 효과 검증과 같은 사례는 곧 이어질 대규모 공격을 예상 하게 함으로 위험 단계에서 경고 단계로 레벨을 높이는 것이 타당한 상황이다.
1월 5일 1차 제로데이 악성코드 공격 발견
< 디씨인사이드 접속 시 자동실행 되는 제로데이 공격코드 내용>
1차 제로데이 공격코드 구조 –
Gall.dcinside.com/list.php (소스코드 내에 onedaynet.co.kr에 기 생성해둔 악성링크 추가)
- Open.onedaynet.co.kr/xxxxx/ads.js
- Opne.onedaynet.co.kr/xxxxxx/popup.htm
<popup.htm 파일 내의 ie 0day 공격코드 내용>
사용자에게 자동 감염된 악성코드는 국내 백신 중 일부가 탐지하는 상황이라 공격기법에 대한 인지와는 다르게 일부에서는 악성코드 유포 정황에 대해서 인지가 되었을 것으로 판단된다.
최종 유포된 악성코드는 it.moyiza.com/xxxxx/m.exe 이다. 탐지 결과는 다음과 같다.
< ie 0day 공격코드를 이용해 사용자 PC를 감염 시킨 최종 악성파일의 진단 상태>
결론적으로 1월 5일 늦은 밤 디씨인사이드 커뮤니티로부터 시작된 제로데이 공격은 일부 방문자들의 백신에 의해 최종 파일이 탐지되는 상태를 통해 발견 되었을 가능성이 높다. 공격기법은 탐지 되지 않으나 최종 악성파일은 탐지되는 상태의 악성파일을 공격자가 사용 하였기에 발견이 된 것이고 백신을 우회하는 악성파일을 감염시켰을 경우는 인지가 전혀 될 수 없는 상황이라 할 수 있다.
새로운 제로데이에 대한 테스트 이후에 공격자들은 이전의 공격 패턴으로 복귀하는 것이 관찰 되었으며 그 의미는 충분한 결과 테스트가 완료 되었을 수도 있다는 의미일 것이다. 테스트의 결과에 따라 공격의 빈도와 영향력은 매우 달라질 것임은 분명한 일일 것이다.
1월 5일 늦은 밤에 발생한 1차 제로데이 검증의 결과를 넘어서 1월 6일 오후 5시를 넘어서 변경된 공격 코드들은 기존에 자주 활용 하던 Java 관련된 공격 세트와 MS XML 취약성을 공격하는 코드로 변경이 된 것을 확인 할 수 있었다.
< 디씨인사이드 메인의 광고링크에 추가된 악성링크의 감염 현장>
2차 변경 시에는 WemakePrice라는 국내 소셜 쇼핑의 광고 코드내에 악성링크를 추가하는 방식을 사용하여 탐지를 회피한 것을 확인 할 수 있다. 본 광고 또한 디씨인사이드 커뮤니티의 메인에 노출이 되는 광고이며 방문 즉시 실행이 되어 감염 되는 형태라 할 수 있다.
< 디씨인사이드 광고 소스 내에 추가된 악성링크>
< 2차로 변경된 공격링크로부터 설치되는 최종 악성파일의 진단결과 >
1차의 제로데이 공격 코드와 2차의 기존 공격 유형으로 변경된 공격코드에 의해 디씨인사이드 커뮤니티는 구글의 악성코드 감염 사이트에 등재된 것을 확인 할 수 있다.
<구글 크롬에서 발생되는 Stopbadware 경고창>
일반적으로 구글에서 탐지하는 유형은 직접적인 악성코드가 설치 될 때에 탐지되는 유형이며 공격기법에 따른 탐지는 할 수가 없는 상황이다. 즉 1,2차에 걸친 공격에 의해 유포된 최종 악성파일들에 대해 탐지된 비율이 있었고 이벤트가 발생 했기에 차단된 것으로 볼 수 있다.
< Stopbadware 경고의 상세 내용>
빛스캔의 시스템 체계에서 탐지가 되었으나 가장 우려하는 부분은 국내 활용 비율이 매우 높은 IE 6,7,8 버전의 브라우저에 대한 제로데이가 공공연하게 실험이 되고 있으며 이제 대규모 커뮤니티를 통한 실전투입 테스트를 마쳤다는 점이다. 그 결과와 효과에 따라 직접적으로 이용이 될 수 있을 것으로 판단된다.
최근 공격의 특징 중에서 국내 주요 사이트에 대한 침해사고 비율이 극도로 증가한 형태를 보이고 있다. 본 내용은 1월 1주차 빛스캔 정보제공 서비스에서 언급하였던 풍선효과의 영향으로 볼 수도 있을 것이다. 대선 기간 이전에 빛스캔에서는 공격 가능성을 인지하고 DDoS 공격 파일에 대한 정보와 악성파일 감염 이후의 연결 정보 (C&C)에 대한 정보를 각 기업과 기관에 제공하여 제공 이후에 공격의 범위가 대거 줄어든 것을 확인한 바가 있다.
<정보제공 이후의 공격 범위의 변화>
공격자들은 탐지와 대응에 대해 고민을 충분히 한 것으로 판단 되며 그 이후에 직접적으로 해외가 아닌 국내 사이트를 해킹하여 공격에 대한 탐지를 회피하려는 것으로 예측 되고 있다. 국내 사이트 중에서도 금융과 방문자 비율이 높은 사이트에 대한 직접적인 공격이 발생된 것은 그만큼 국내의 인터넷 환경이 취약하고 언제든 무너질 수 있는 위험한 상태임을 반증하는 것이라고 볼 수 있다.
국내의 인터넷 환경은 연말을 기점으로 하여 중요도가 높은 사이트를 가리지 않고 악성코드 감염에 이용 되는 상황에 직면해 있는 지금 시점에서 IE 0 day 공격까지 결합되는 상황은 최악의 상황으로 언제든지 치달을 수 있다고 판단 된다. IE 버전 6,7,8을 사용하는 일반 사용자들은 매우 높은 수준의 주의를 기울여야 하며, 불가피한 경우를 제외 하고는 반드시 업데이트를 해야 할 것으로 판단 된다.
현재 시점에서 2013.1.1일 MS에서는 긴급하게 해당 취약성 공격을 발생 되지 않게 하는 Fix-it을 발표하였다. 그러나 정식적인 패치가 아니므로 앞으로도 정식 업데이트가 이뤄지기 이전에는 심각성은 매우 높은 상황이라 할 수 있다. Fix-it은 직접 방문하여 설치하여야 함으로 당연히 설치 비율은 매우 낮을 것으로 예상된다.
국내 주요 전자상거래 환경은 IE 6,7,8 버전이 주 대상으로 되어 있어서 현재 시점에서 피해를 예방하기 위해서는 IE 9 이상의 버전으로 업데이트가 강력하게 요구된다. IE 9 이상의 업데이트 이외에 반드시 하위 버전을 사용해야 할 기업이나 기관의 경우는 MS에서 발표된 Fix-it을 긴급하게 적용할 것을 권고한다.
관련 내용:
파이어아이측에서 발표한 외교자문위원회 홈페이지 해킹을 통한 제로데이 공격 발생
http://blog.fireeye.com/research/2012/12/council-foreign-relations-water-hole-attack-details.html
exploit-db에 공개된 Metasploit IE 제로데이 PoC 코드
http://www.exploit-db.com/exploits/23754/
IE CVE-2012-4792 긴급 대응을 위한 MS Fix-it
http://support.microsoft.com/kb/2794220
현재 빛스캔은 국내 120만개의 웹서비스와 해외 10만 여 개의 웹서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 특히 전세계적으로 공격이 매우 극심한 국내의 상황에서 특화된 기술과 역량을 통해 집중적인 노력을 기울이고 있으며 매주 수요일 한주간의 한국 인터넷 위협현황에 대해 카이스트와 공동으로 정보를 제공 하고 있다. 알려지지 않은 위협에 대해 대응을 하고 싶은 기업과 기관은 필요한 내용이다.
문의는 info@bitscan.co.kr로 하면 된다.
'Security Indicator > Insight' 카테고리의 다른 글
| IE 0 day와 Java 0 day가 대량 공격을 하는 지금의 위기. (0) | 2013.01.13 |
|---|---|
| 대선 DDoS 대응과 그 후폭풍 ( 최근 대량의 국내 사건/ 사고에 대한 원인) (0) | 2013.01.10 |
| IE 제로데이 공격 ( CVE 2012-4792, IE 6,7,8 대상) 국내 인터넷 대상 공격 발견- 진행형 (0) | 2013.01.07 |
| 한국 인터넷 금융의 위험 신호( 증권사 메인 웹서비스가 악성코드 감염경로로 활용) (0) | 2013.01.07 |
| 디지털 페스트 II (0) | 2012.12.04 |
