태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

IE 0 day (CVE 2012-4792) 디씨인사이드를 통해 사용자 공격- 위험에서 경고로

 

12.26일 국내에서 처음으로 IE 브라우저 6,7,8 모든 버전에 영향을 미치는 제로데이 공격이 국내에도 직접 발생한 정황이 빛스캔㈜의 PCDS를 통해 탐지된바 있음을 1월 초에 알려드린 바가 있다. (관련내용: http://p4ssion.com/332 )

 

 

IE 제로데이 취약성은 현재 Metasploit에 POC 코드가 공개 되어 있으며 국내를 대상으로 한 공격에는 아직 대규모 공격으로 전이된 정황은 포착 되지 않았다. 그러나 12.26일 최초 공격 발견 이후 1월 2주차인 1월 5일에 추가 공격이 발생된 것이 빛스캔의 PCDS를 통해 탐지가 됨으로 인해 위험 단계를 벗어날 가능성이 매우 높아진 상황이다. 모든 방문자에 대해 패치가 없는 제로데이 공격이 발생된 사이트는 대형 커뮤니티인 디씨인사이드다.

 

현재 상태는 여전히 공격의 효과를 검증하는 것으로 판단되며, 효과 판단을 위해 국내 대형 커뮤니티에 직접 활용하여 효과를 검증하는 단계로 파악된다.

 

최초 디씨인사이드에 대한 공격은 1월5일 23시경에 발견 되었으며 IE 0 day를 이용한 공격코드가 직접 활용 되었다. 또한 국내 사이트를 해킹하여 공격코드를 올려둠으로써 탐지 및 의심을 회피하려는 목적이 분명함을 관찰 할 수 있다. 하루 정도의 제로데이 효과 관찰 이후에는 다시 1월 6일 오후 5시경에는 기존에 적극적으로 활용하던 Java 공격세트 5개와 MS XML 취약성인 CVE 2012-1889 취약성에 대한 공격 코드로 변경된 것을 관찰 할 수 있었다.

 

지난 주말의 상태로 살펴보건대 적극적으로 공격의 효과를 관찰하고 있는 것으로 보이며 이번 20시간 가량의 감염 관찰을 통해 충분한 데이터를 얻었을 것으로 예상된다. 그 결과에 따라 IE 0 day에 대한 대규모 공격은 곧 시작될 수도 있을 것이다.

 

IE 0day에 대한 최초 발견 보고 이후에 주의 깊은 관찰 수준을 유지하고 있는 상태에서 대형 커뮤니티를 통한 효과 검증과 같은 사례는 곧 이어질 대규모 공격을 예상 하게 함으로 위험 단계에서 경고 단계로 레벨을 높이는 것이 타당한 상황이다.

 

1월 5일 1차 제로데이 악성코드 공격 발견

< 디씨인사이드 접속 시 자동실행 되는 제로데이 공격코드 내용>

 

1차 제로데이 공격코드 구조 –

Gall.dcinside.com/list.php (소스코드 내에 onedaynet.co.kr에 기 생성해둔 악성링크 추가)

  • Open.onedaynet.co.kr/xxxxx/ads.js
  • Opne.onedaynet.co.kr/xxxxxx/popup.htm

 

<popup.htm 파일 내의 ie 0day 공격코드 내용>

 

사용자에게 자동 감염된 악성코드는 국내 백신 중 일부가 탐지하는 상황이라 공격기법에 대한 인지와는 다르게 일부에서는 악성코드 유포 정황에 대해서 인지가 되었을 것으로 판단된다.

최종 유포된 악성코드는 it.moyiza.com/xxxxx/m.exe 이다. 탐지 결과는 다음과 같다.

 

< ie 0day 공격코드를 이용해 사용자 PC를 감염 시킨 최종 악성파일의 진단 상태>

 

결론적으로 1월 5일 늦은 밤 디씨인사이드 커뮤니티로부터 시작된 제로데이 공격은 일부 방문자들의 백신에 의해 최종 파일이 탐지되는 상태를 통해 발견 되었을 가능성이 높다. 공격기법은 탐지 되지 않으나 최종 악성파일은 탐지되는 상태의 악성파일을 공격자가 사용 하였기에 발견이 된 것이고 백신을 우회하는 악성파일을 감염시켰을 경우는 인지가 전혀 될 수 없는 상황이라 할 수 있다.

 

새로운 제로데이에 대한 테스트 이후에 공격자들은 이전의 공격 패턴으로 복귀하는 것이 관찰 되었으며 그 의미는 충분한 결과 테스트가 완료 되었을 수도 있다는 의미일 것이다. 테스트의 결과에 따라 공격의 빈도와 영향력은 매우 달라질 것임은 분명한 일일 것이다.

 

1월 5일 늦은 밤에 발생한 1차 제로데이 검증의 결과를 넘어서 1월 6일 오후 5시를 넘어서 변경된 공격 코드들은 기존에 자주 활용 하던 Java 관련된 공격 세트와 MS XML 취약성을 공격하는 코드로 변경이 된 것을 확인 할 수 있었다.

< 디씨인사이드 메인의 광고링크에 추가된 악성링크의 감염 현장>

 

2차 변경 시에는 WemakePrice라는 국내 소셜 쇼핑의 광고 코드내에 악성링크를 추가하는 방식을 사용하여 탐지를 회피한 것을 확인 할 수 있다. 본 광고 또한 디씨인사이드 커뮤니티의 메인에 노출이 되는 광고이며 방문 즉시 실행이 되어 감염 되는 형태라 할 수 있다.

 

< 디씨인사이드 광고 소스 내에 추가된 악성링크>

 

< 2차로 변경된 공격링크로부터 설치되는 최종 악성파일의 진단결과 >

 

1차의 제로데이 공격 코드와 2차의 기존 공격 유형으로 변경된 공격코드에 의해 디씨인사이드 커뮤니티는 구글의 악성코드 감염 사이트에 등재된 것을 확인 할 수 있다.

<구글 크롬에서 발생되는 Stopbadware 경고창>

 

일반적으로 구글에서 탐지하는 유형은 직접적인 악성코드가 설치 될 때에 탐지되는 유형이며 공격기법에 따른 탐지는 할 수가 없는 상황이다. 즉 1,2차에 걸친 공격에 의해 유포된 최종 악성파일들에 대해 탐지된 비율이 있었고 이벤트가 발생 했기에 차단된 것으로 볼 수 있다.

< Stopbadware 경고의 상세 내용>

빛스캔의 시스템 체계에서 탐지가 되었으나 가장 우려하는 부분은 국내 활용 비율이 매우 높은 IE 6,7,8 버전의 브라우저에 대한 제로데이가 공공연하게 실험이 되고 있으며 이제 대규모 커뮤니티를 통한 실전투입 테스트를 마쳤다는 점이다. 그 결과와 효과에 따라 직접적으로 이용이 될 수 있을 것으로 판단된다.

 

최근 공격의 특징 중에서 국내 주요 사이트에 대한 침해사고 비율이 극도로 증가한 형태를 보이고 있다. 본 내용은 1월 1주차 빛스캔 정보제공 서비스에서 언급하였던 풍선효과의 영향으로 볼 수도 있을 것이다. 대선 기간 이전에 빛스캔에서는 공격 가능성을 인지하고 DDoS 공격 파일에 대한 정보와 악성파일 감염 이후의 연결 정보 (C&C)에 대한 정보를 각 기업과 기관에 제공하여 제공 이후에 공격의 범위가 대거 줄어든 것을 확인한 바가 있다.

<정보제공 이후의 공격 범위의 변화>

 

공격자들은 탐지와 대응에 대해 고민을 충분히 한 것으로 판단 되며 그 이후에 직접적으로 해외가 아닌 국내 사이트를 해킹하여 공격에 대한 탐지를 회피하려는 것으로 예측 되고 있다. 국내 사이트 중에서도 금융과 방문자 비율이 높은 사이트에 대한 직접적인 공격이 발생된 것은 그만큼 국내의 인터넷 환경이 취약하고 언제든 무너질 수 있는 위험한 상태임을 반증하는 것이라고 볼 수 있다.

 

국내의 인터넷 환경은 연말을 기점으로 하여 중요도가 높은 사이트를 가리지 않고 악성코드 감염에 이용 되는 상황에 직면해 있는 지금 시점에서 IE 0 day 공격까지 결합되는 상황은 최악의 상황으로 언제든지 치달을 수 있다고 판단 된다. IE 버전 6,7,8을 사용하는 일반 사용자들은 매우 높은 수준의 주의를 기울여야 하며, 불가피한 경우를 제외 하고는 반드시 업데이트를 해야 할 것으로 판단 된다.

 

현재 시점에서 2013.1.1일 MS에서는 긴급하게 해당 취약성 공격을 발생 되지 않게 하는 Fix-it을 발표하였다. 그러나 정식적인 패치가 아니므로 앞으로도 정식 업데이트가 이뤄지기 이전에는 심각성은 매우 높은 상황이라 할 수 있다. Fix-it은 직접 방문하여 설치하여야 함으로 당연히 설치 비율은 매우 낮을 것으로 예상된다.

 

국내 주요 전자상거래 환경은 IE 6,7,8 버전이 주 대상으로 되어 있어서 현재 시점에서 피해를 예방하기 위해서는 IE 9 이상의 버전으로 업데이트가 강력하게 요구된다. IE 9 이상의 업데이트 이외에 반드시 하위 버전을 사용해야 할 기업이나 기관의 경우는 MS에서 발표된 Fix-it을 긴급하게 적용할 것을 권고한다.

관련 내용:

파이어아이측에서 발표한 외교자문위원회 홈페이지 해킹을 통한 제로데이 공격 발생

http://blog.fireeye.com/research/2012/12/council-foreign-relations-water-hole-attack-details.html

 

exploit-db에 공개된 Metasploit IE 제로데이 PoC 코드

http://www.exploit-db.com/exploits/23754/

 

IE CVE-2012-4792 긴급 대응을 위한 MS Fix-it

http://support.microsoft.com/kb/2794220

 

 

현재 빛스캔은 국내 120만개의 웹서비스와 해외 10만 여 개의 웹서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 특히 전세계적으로 공격이 매우 극심한 국내의 상황에서 특화된 기술과 역량을 통해 집중적인 노력을 기울이고 있으며 매주 수요일 한주간의 한국 인터넷 위협현황에 대해 카이스트와 공동으로 정보를 제공 하고 있다. 알려지지 않은 위협에 대해 대응을 하고 싶은 기업과 기관은 필요한 내용이다.

문의는 info@bitscan.co.kr로 하면 된다.

Posted by 바다란
TAG 2012-4792

IE 제로데이 공격 ( CVE 2012-4792, IE 6,7,8 대상) 국내 인터넷 대상 공격 발견

  * 본 내용은 이미 언론에 노출된 내용이나, 금주차에도 관련 공격이 계속 되고 있어서 주의 환기 차원에서 언론사 제공 원문을 공개합니다.


IE 브라우저 6,7,8 모든 버전에 영향을 미치는 공격이 국내에도 직접 발생한 정황이 빛스캔㈜의 PCDS를 통해 탐지되었다. 해당 취약성은 CVE 2012-4792로 취약성 번호가 명명 되었으며 해외에서는 타켓화된 공격에 이용된 정황이 연말에 발견된 바가 있다. 해당 취약성은 원격코드 실행 취약성이며 IE 브라우저에서 사용되는 CDwnBindInfo 오브젝트가 사용된 이후 FollowHyperlink2 메소드에 의해 해제될 때 발생되는 취약성이다. 또한 해당 취약성은 주로 중국/대만/ 미국을 대상으로 하여 공격이 발생 되고 있다고 보고 되고 있지만 국내 사례는 Fireeye 발표시점에 발견된 최초의 사례가 존재한다.

 

본 취약성은 최초 웹사이트를 통해 직접 감염이 가능한 형태로 해외에서 보고가 되었으며 미국 외교자문위원회 홈페이지를 해킹하여 모든 방문자들에게 IE 취약성 공격이 발생된 사례가 12.27일 Fireeye 사의 블로그를 통해 공개된 바가 있다. 국내에서 발견된 사례는 12.26일 발견된 사례이며, 대규모 공격에 활용되지는 않았으나 화상회의 솔루션 제공 업체의 홈페이지에 IE 제로데이 취약성을 이용하는 악성링크가 추가되어 모든 방문자들에게 감염 시도를 한 정황이 최초 발견이 된 상황이다. 현재는 해당 취약성에 대해 전문분석이 진행 중이며 빠른 시일 내에 빛스캔의 정보제공 서비스 구독 고객사에 전달될 것이며 Exploit-db 게재도 진행될 예정이다.

 

 

국제적인 사이버전 및 정보 유출에나 사용될 것으로 예상되는 제로데이 공격들은 현재 한국 인터넷을 대상으로 하여 계속 발생되고 있는 상황이다. 해외에서 최초 발견된 공격은 중요 인사들이 회원으로 가입해 있는 미국 외교자문 위원회 홈페이지를 대상으로 하여 발생 되었지만 국내에서는 그 보다 비중이 낮다고 할 수 있는 화상 회의 솔루션 제공 업체에서만 발견이 되었는데, 화상회의 솔루션을 운영중인 기업과 기관이 국내 굴지의 대기업들과 경제 관련 단체, 기관들이 이용하고 있어서 정보 유출의 목적으로 사용되었을 정황이 높은 것으로 판단 되고 있다.

 

IE 제로데이 취약성은 현재 Metasploit에 POC 코드가 공개 되어 있으며 국내를 대상으로한 공격에는 아직 대규모 공격으로 전이된 정황은 포착 되지 않았다. 해당 제로데이 취약성만을 이용한 공격이 발견 된 상황이며, 곧 국내를 대상으로한 공격킷에 포함되어 적극적으로 활용 될 것으로 예상된다.

<IE 제로데이 공격코드 연결 구조- 국내발견 링크>

 

<26일부터 발견된 IE 제로데이 난독화된 공격 코드 (국내 발견)>

 

<26일 발견된 공격 코드 Decode 결과>

국내 발견된 사례를 통해 공격코드를 Decode 해보면 Metasploit의 PoC 코드와 유사한 형태를 띄는 것을 확인 할 수 있다.

 

빠른 대응이 필요한 시점이며, 현재 2013.1.1일 MS에서는 긴급하게 해당 취약성 공격을 발생 되지 않게 하는 Fix-it을 발표하였다. 그러나 정식적인 패치가 아니므로 앞으로도 정식 업데이트가 이뤄지기 이전에는 심각성은 매우 높은 상황이라 할 수 있다. Fix-it은 직접 방문하여 설치하여야 함으로 당연히 설치 비율은 매우 낮을 것으로 예상된다.

 

국내 주요 전자상거래 환경은 IE 6,7,8 버전이 주 대상으로 되어 있어서 현재 시점에서 피해를 예방하기 위해서는 IE 9 이상의 버전으로 업데이트가 강력하게 요구된다. IE 9 이상의 업데이트 이외에 반드시 하위 버전을 사용해야 할 기업이나 기관의 경우는 MS에서 발표된 Fix-it을 긴급하게 적용할 것을 권고한다.

 

2012년 6월에도 MS XML Core Service의 취약성을 이용한 제로데이가 국내에서 대규모로 활용된 사례가 있으며 CVE 2012-1889 취약성은 7월초 MS의 Fix-it이 발표 되었으나 정식 해결책이 아닌 임시방안이라 공격은 계속된 사례가 있다. 7월의 MS 정기패치가 발표된 이후 지금까지도 XML 취약성을 이용한 공격은 계속되고 있어서 본 IE 제로데이 취약성의 경우도 대규모로 활용될 가능성이 상당히 높은 상태라 할 수 있다.

<CVE 2012-1889 MS XML 취약성 대응 타임라인>

 

*국내 사례인 화상회의 솔루션 업체의 홈페이지의 악성링크는 여전히 live한 상태이며 빠른 시일 내에 대규모 공격에 이용될 것으로 판단되어 긴급 대응이 요구된다. 빛스캔의 탐지 DB를 이용한 차단 장비 (TriCubeLab)를 이용한 경우 국내의 제로데이 공격 악성링크는 즉시 차단된 상태를 유지하고 있다. 또한 국내 업체에서 개발한 화상회의 솔루션을 사용하는 기업 및 기관은 IE 브라우저 사용 및 솔루션내의 해당 회사 링크가 있을 경우 감염 위험이 극도로 높으므로 대응을 권고한다. 현재 화상회의 솔루션은 국내 수출 관련 대기업과 기관이 다수 사용하고 있는 상태이다. 화상회의 솔루션 제공 업체에 대한 문의는 info@bitscan.co.kr로 문의 시에 제한적으로 제공한다.

 

관련 내용:

파이어아이측에서 발표한 외교자문위원회 홈페이지 해킹을 통한 제로데이 공격 발생

http://blog.fireeye.com/research/2012/12/council-foreign-relations-water-hole-attack-details.html

 

exploit-db에 공개된 Metasploit IE 제로데이 PoC 코드

http://www.exploit-db.com/exploits/23754/

 

IE CVE-2012-4792 긴급 대응을 위한 MS Fix-it

http://support.microsoft.com/kb/2794220

 

 

현재 빛스캔은 국내 120만개의 웹서비스와 해외 10만 여 개의 웹서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 특히 전세계적으로 공격이 매우 극심한 국내의 상황에서 특화된 기술과 역량을 통해 집중적인 노력을 기울이고 있으며 매주 수요일 한주간의 한국 인터넷 위협현황에 대해 카이스트와 공동으로 정보를 제공 하고 있다.

문의는 info@bitscan.co.kr로 하면 된다.

Posted by 바다란