본문 바로가기
악성코드 정보

인터넷 익스플로러 제로 데이 취약점 악용 변형 스크립트

by 알 수 없는 사용자 2011. 10. 27.

2010년 3월 11일 ASEC에서는 마이크로소프트(Microsoft)의 인터넷 익스플로러(Internet Explorer)에서 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용한 타켓 공격(Targeted Attack)이 발생하였다고 전한 바 있었다.

3월 18일 해외에서 이 번에 발견된 인터넷 익스플로러의 제로 데이 취약점을 악용하는 스크립트 변형이 발견되었다.



이 번에 발견된 해당 취약점을 악용하는 스크립트 악성코드는 위 이미지와 같이 기존과 동일한 쉘코드(Shellcode)를 사용하고 다운로드 받는 파일을 XOR로 디코딩하여 실행 시키는 특징이 있다.

실제 해당 스크립트 악성코드가 실행되면 중국에 위치한 특정 시스템으로 부터 2929.exe(30,532 바이트)를 사용자 계정의 Application Data 폴더에 a.exe 라는 파일명으로 다운로드 하게 된다. 다운로드 한 해당 파일은 다시 동일한 폴더에 b.exe 라는 파일명으로 복사를 하게 된다.

그러나 다운로드 한 파일은 아래 이미지에서와 같이 정상적인 PE 파일 형태가 아니나 해당 스크립트 악성코드에 의해 XOR 디코딩을 통해 정상적인 PE 파일 형태로 변경하여 실행 하도록 한다.


이 번에 발견된 인터넷 익스플로러의 제로 데이 취약점을 악용하는 스크립트 악성코드 변형과 해당 스크립트 파일에 의해 다운로드 악성코드는 V3 제품군에서 다음과 같이 진단 한다.

JS/CVE-2010-0806.B
Win-Trojan/Zpack.30532

현재 마이크로소프트에서는 해당 제로 데이 취약점을 제거하기 위한 보안 패치를 제작하고 있는 것으로 알려져 있으나 언제 정식으로 배포 될지는 알려지지 않았다.

그러므로 사용하는 웹 브라우저(Web Browser)가 인터넷 익스플로러인 사용자는 해당 취약점의 영향을 받지 않는 인터넷 익스플로러 8로 업그레이드 함으로 이러한 보안 위협을 예방 할 수 있다.

댓글