본문 바로가기
악성코드 정보

정상 윈도우 시스템 파일 교체 악성코드, MS11-050 취약점을 사용하다.

by 알 수 없는 사용자 2011. 7. 3.

악성코드 제작자들에게 악성코드를 제작하고 유포하는 것은 금전적인 이득을 취하기 위한 하나의 생계수단<?>이 되었다. 이를 위해서 제작한 악성코드를 여러가지 경로(주로 해킹된 웹 사이트를 통해서...) 유포시킨 후 가능하면 악성코드에 감염된 PC를 많이 양산해야 한다는 의미이고 이때 해킹된 웹 사이트에 접속한 PC에 있을지 모르는 여러가지 취약점들을 고려하여 최적화된 악성 스크립트가 사용되고 있다.


요즘 해킹된 웹 사이트를 통해서
1차적으로 삽입된 악성 스크립트를 분석해 보면 2개 이상의 취약점을 이용하는 것은 기본이다. 얼마전부터 정상 윈도우 시스템 파일을 교체하는 악성코드가 MS11-050(CVE-2011-1255)취약점을 이용한 유포사례가 발견되었다. 그리고 해당 취약점에 대한 분석정보가 ASEC블로그에 포스팅되었다.

• ASEC블로그: CVE-2011-1255 취약점 악용 악성코드 유포

국내 해킹된 웹 사이트들에서도 해당 취약점을 이용한 악성코드 유포사례가 발견되고 있어 사용자들의 주의와 보안 업데이트 설치가 요구된다.


참고로 V3:2011.07.04.00 이상의 엔진버전에서는 이번 MS11-050취약점을 이용한 악성코드는 아래와 같이 진단하고 있다.

SWF/Cve-2011-2110
HTML/Cve-2011-1255
HTML/Agent
Dropper/Onlinegamehack.81872

※ 악성코드 유포구조
이번 주에 발견된 MS11-050
취약점을 이용한 악성코드 유포사례의 구조는 아래와 같다.

                                           [그림 1] MS11-050 취약점을 이용한 악성코드 유포

※ main.html 분석

                                                         [그림 2] main.html의 메인 코드
 

위 코드는 쿠키정보를 체크하여 실행하지 말지를 결정하는 부분으로 mail.html파일 역시 해킹된 웹 사이트에 접속 시 사용한 브라우저 버전을 체크하고 그 결과 값에 따라 악성코드를 다운로드하기 위한 취약점이 결정한다.


※ yy.html 분석
이번에는
yy.html파일에 대해서 살펴보도록 하겠다. [그림 1]에 표현된 다른 취약점들은 이미 여러번 다뤘기 때문에 생략한다.


                                                           [그림 3] yy.html의 취약점과 Shellcode
 

• MS11-050 취약점에 관련된 정보:

 -. http://blogs.technet.com/b/srd/archive/2011/06/14/ms11-050-ie9-is-better.aspx

 -. http://www.microsoft.com/korea/technet/security/bulletin/MS11-050.mspx


                                                           [그림 4] Shellcode의 복호화 루틴

[그림 3]에 포함된 Shellcode를 분석해 보면 기존의 형태와 동일하게 Shellcode의 일부가 암호화되어 있으며 아래 복호화 루틴을 거치면 오른쪽 그림에서 보는 것처럼 악성코드를 다운로드 하는 URL이 존재함을 알 수가 있다.

Shellcode가 다운로드 하는 pe71.jpg는 NSIS(http://nsis.sourceforge.net/Main_Page)로 패키징된 악성코드이며, 실행되면 윈도우 정상 파일인 ws2help.dll -> ws3help.dll로 백업, 악성코드가 생성한 dll을 ws2help.dll로 교체한다.

                                                      [그림 5] 악성코드에 감염됐을때 동작구조

[그림 5]에서 보는 것처럼 프로그램에서 ws2help.dll의 특정 함수를 호출했을때 백업된 정상파일 ws3help.dll로부터 호출된 함수의 정보를 가져와서 실행할 수 있도록 매핑된 구조를 가지고 있다. 이는 악성코드로 교체된 ws2help.dll을 살펴보면 이해할 수 있다.

                                 [그림 6] 악성 ws2help.dll과 백업된 정상파일 ws3help.dll의 매핑구조

• 참고 정보: 
 -. 윈도우 시스템 파일을 변조하는 악성코드 주의: http://core.ahnlab.com/294
 -. imm32.dll 교체 악성코드, 당신 PC의 권한을 탐하다.: http://core.ahnlab.com/283
 -. 윈도우 정상 파일을 악성코드로 교체하는 Win-Trojan/Agent.30904.H: http://core.ahnlab.com/280
 -. imm32.dll을 패치하는 악성코드 조치 가이드 Ver. 2.0: http://core.ahnlab.com/267
 -. 악성코드로 인한 imm32.dll 파일 변조 조치 가이드: http://core.ahnlab.com/173

댓글