보안

인터넷 익스플로러, 'Helps.html' 제로데이 취약점 주의

편집부 | ITWorld 2013.01.04
마이크로소프트에서 개발한 웹 브라우저인 인터넷 익스플로러(Internet Explorer)의 몇몇 버전에서 2013년 01월 4일 현재 보안취약점이 해결되지 않은 제로데이(Zero-Day) 취약점(CVE-2012-4792)을 이용한 공격이 증가하고 있다. 
 
해당 취약점은 미국 외교협회(Council on Foreign Relations/CFR) 웹 사이트가 해킹됐다는 소식을 통해 처음 알려졌다. 
 
이번 취약점은 아직 마이크로소프트를 통해 공식적인 보안 업데이트가 제공되고 있지 않기 때문에 해킹된 웹 사이트에 접근하는 것만으로도 악성파일에 감염될 수 있는 상황이므로, 인터넷 익스플로러 사용자들의 각별한 주의가 필요하다. 
 
해당 제로데이 보안 취약점은 인터넷 익스플로러의 6, 7, 8 등 총 세 가지 버전에서 영향을 미치게 된다. 마이크로소프트에서는 다음 주내로 보안 업데이트를 제공할 예정이다. 
 
마이크로소프트는 이번 제로데이 공격의 심각성이 높다는 판단하에 신속히 보안 권고문을 등록하고, 임시 보안패치 프로그램(Fix-it)을 우선 제공하고 있다.
 
잉카인터넷 측은 "해당 웹 브라우저 사용자들은 임시라도 Fix-it 프로그램을 설치해 혹시 모를 보안위협에 대비하는 노력이 필요하다"고 경고했다.
 
이번 악성파일은 'Helps.html' 이름의 스크립트를 이용해서 작동된다.
 
'Helps.html' 파일은 해당 스크립트가 특정 브라우저 버전과 한국어, 중국어, 영어, 대만어, 일본어, 러시아어 등의 웹 브라우저에서 작동하도록 언어를 설정하고, 'today.swf'라는 플래시 파일과 'news.html'이라는 또다른 스크립트 파일이 실행되도록 호출한다. 'news.html' 파일은 다시 'robots.txt'라는 파일을 연다.
 
'Helps.html' 악성파일은 'xsainfo.jpg'라는 XOR 기능으로 암호화된 악성파일을 다운로드하고 임시폴더(Temp)에 'flowertep.jpg'라는 이름으로 생성한다. 그런 다음 다시 파일명을 'shiape.exe' 파일로 변환하고 실행한 후 스스로 삭제한다.
 
'today.swf' 파일 내부에는 아래 화면과 같이 힙 스프레이(Heap Spray) 기법을 이용해 쉘코드(Shellcode)를 삽입한다.
 
쉘코드 작동을 통해 'xsainfo.jpg' 이름의 악성파일이 다운로드 시도된다. 이 파일은 내부에 XOR 연산으로 HEX 코드가 암호화(Encode)되어 있고, 사용자의 컴퓨터에 설치될 때는 'flowertep.jpg' 이름의 파일로 복호화되어 생성된다. 이때 0x83(0x00 무시) 이라는 키를 통해서 복호화된다.
 
복호화된 'flowertep.jpg' 파일은 다시 임시폴더(Temp)에 'shiape.exe' 이름의 악성파일로 생성되고 실행된 후 스스로 삭제된다. 악성파일은 특정 호스트로 접속을 시도하며 공격자의 추가명령을 대기하며, 다양한 해킹시도를 할 수 있다.
 
악성파일의 등록 정보에는 중국어 설명이 포함되어 있어서 제작국가가 중국으로 의심된다는 논란이 있기도 하다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.