MS10-002 취약점 악용 스크립트 생성기

2010년 1월 22일 ASEC에서는 1월 15일 발생한 마이크로소프트(Microsoft) 인터넷 익스플로러(Internet Explorer)의 알려지지 않은 취약점을 악용한 공격이 발생한 것을 알리고 이에 대한 상세한 분석을 진행하였다.

그리고 실제 공격이 활성화 되고 있음으로 마이크로소프트에서는 해당 취약점을 제거할 수 있는 보안 패치 MS10-002를 긴급으로 배포하여 해당 취약점으로 인한 피해 확산을 막고자 하였다.

ASEC TFT에서는 해당 취약점을 악용하는 보안 위협들에 대해 추가적인 정보 수집 및 분석을 진행하는 과정에서 중국 언더그라운드 웹 사이트들에서 1월 20일경 MS10-002 취약점을 악용하는 스크립트 악성코드를 자동으로 생성하는 공격 툴이 제작되고 유포 중인 것을 확인 하였다.

해당 MS10-002 취약점 악용하는 자동화 툴들은 모두 가운데 박스 부분에 악성코드가 위치할 웹 사이트 주소만 지정해주면 자동으로 해당 취약점을 악용하는 스크립트 파일이 다음 이미지와 같이 생성되도록 되어 있다.

이 번에 발견된 자동화 툴에서 생성된 악의적인 스크립트는 기존에 발견된 것들과 비교하여 버퍼(Buffer) 주소가 0x0c0d0c0d에서 0x0a0a0a0a 로 변경되었다.

제작된 쉘코드(Shellcode) 역시 특정 파일을 다운로드 할 수 있는 기능으로만 정리됨 함께 스크립트가 함수 단위로 더 정교하게 정리되었다. 그리고 인터넷 익스플로러로 로딩되었느지를 검사하는 루틴과 함께 보안 제품의 진단을 우회하기 위해 난독화가 추가된 특징들이 있다.

이렇게 자동으로 취약점을 악용하는 스크립트 악성코드를 생성하는 툴들은 2009년 7월에 발견된 중국산 MPEG2TuneRequest 취약점 악용 툴의 사례가 있었던 것 처럼 중국 언더그라운드에는 더 많이 존재할 것으로 추정된다.

그러므로 마이크로소프트의 인터넷 익스플로러 사용자는 마이크로소프트에서 제공하는 긴급 보안 패치인 MS10-002를 즉시 설치하여 추가적인 다른 보안 위협들에 의한 패해를 예방하기 바란다.