IE 제로데이 취약점 코드, 이탈리아 겨울용품 사이트에서 처음 발견
보안패지 아직 발표되지 않아 피해 확산 우려...사용자 각별한 주의!
[보안뉴스
권 준] 지난 9월 14일 이탈리아의 특정 사이트에서 마이크로소프트(MS)의 웹 브라우저인 인터넷 익스플로러(Internet Explorer)
제품에서 악성파일 유포 등에 악용될 수 있는 새로운 제로데이 취약점 코드가 발견돼 큰 파장이 예상되고 있다.
|
|
|
MS 인터넷 익스플로러의 제로데이 취약점 코드가 처음 발견된 이탈리아의 겨울용품 판매사이트 [출처 : 잉카인터넷 대응팀] |
이번 제로데이 Exploit 코드는 아직 공식적인 보안패치가 발표되지 않은 취약점을 이용하는 악성파일로 짧은 시간에 파급효과가 커질 수 있는 위험성을 가지고 있으므로, 사용자들의 각별한 주의가 요구된다고 잉카인터넷 대응팀 측은 밝혔다.
MS는 현재 해당 취약점을 분석하고 있는 것으로 알려져 있다. 악성파일들은 이탈리아의 겨울용품 사이트에서 처음 보고됐으며, 현재는 Exploit Code 파일들은 모두 제거된 상황으로 알려졌다. 또한, 국내에서는 해당 이탈리아 사이트 접속 자체가 차단 조치된 상태이다.
이번에
발견된 IE 제로데이 기능을 가진 악성파일은 이탈리아의 겨울용품 사이트의 특정 경로에 등록된 상태로 처음 발견된 것으로 알려졌으며, 지난 9월
14일 악성파일들이 등록됐다가 9월 16일 제거돼 현재는 exp.txt 파일만 등록되어 있는 상태라는 게 잉카인터넷 대응팀 측의 설명이다.
이번에
보고된 악성파일들의 바이러스토탈 진단현황은 다음과 같다.
[exploit.html]
https://www.virustotal.com/file/9d66323794d493a1deaab66e36d36a
820d814ee4dd50d64cddf039c2a06463a5/analysis/
[Moh2010.swf]
https://www.virustotal.com/file/70f6a2c2976248221c251d9965ff2313
bc0ed0aebb098513d76de6d8396a7125/analysis/
[Protect.html]
https://www.virustotal.com/file/2a2e2efffa382663ba10c492f407dda8
a686a777858692d073712d1cc9c5f265/analysis/
[111.exe]
https://www.virustotal.com/file/85ad20e922f5e9d497ec06ff8db5af8
1fbdcbb6e8e63dc426b8faf40d5cc32c6/analysis/
exploit.html 파일은 Moh2010.swf 플래시 파일을 실행하게 되는데, Moh2010.swf 파일은 DoSWF(http://www.doswf.com/) 프로그램으로 플래시 파일이 암호화되어 있고, 내부에는 아이프레임 스크립트 명령어를 통해서 ‘Protect.html’ 파일이 실행되도록 구성되어 있다는 것.
‘Protect.html’
파일은 인터넷 익스플로러 버전 7과 8을 타깃으로 작동하며, 추후 ‘111.exe’ 파일 설치를 시도하게 되는데, 111.exe 파일은 일부분이
XOR 연산방식으로 암호화되어 있는 것으로 잉카인터넷 대응팀 측은 분석했다.
이와 관련 잉카인터넷 대응팀 관계자는 “새로운 IE 제로데이 취약점용 악성파일에 대한 보안 모니터링을 강화하는 한편 이용자들의 피해를 최소화하기 위해서 유관 보안위협에 대한 이상 징후를 예의주시하고 있다”며, “이러한 악성파일은 일반 사용자가 악성여부를 판별하기가 매우 어렵기 때문에 안전한 PC 사용을 위해 백신을 항상 최신 버전으로 업데이트하고 실시간 감시기능을 활성화해 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다”고 강조했다.
[권 준 기자(editor@boannews.com)]
출처 : 보안뉴스
댓글