MS10-087 취약점 악용 워드 악성코드 생성기

ASEC에서는 최근 발견되고 있는 마이크로소프트(Microsoft) 워드(Word)나 어도비 아크로뱃 리더(Adobe Acrobat Reader) 파일 포맷인 PDF와 같은 전자 문서 취약점을 악용한 악성코드들이 지속적으로 발견되고 있음을 언급한 적이 있다.

최근 7월에는 다수의 MS10-087 취약점 악용 워드 악성코드 발견된 사례가 있으며, 오사마 빈 라데 사망과 일본 대지진과 관련한 사회적인 이슈들이 발생 할 때마다, 이를 악용한 전자문서 취약점을 악용한 악성코드들도 발견되었다.

이렇게 발견되는 전자문서 취약점을 악용한 악성코드들은 사회 공학 기법(Social Engineering)을 이용한 이메일의 첨부 파일 형태로 유포되는 사례가 대부분이며, 실제 EMC/RSA에서 발생한 APT(Advanced Persistent Threat) 형태의 침해 사고에서의 타깃 공격(Targeted Attack)도 취약한 전자문서가 첨부된 이메일로부터 침해 사고가 시작되었다.

특히 최근에 발견되고 있는 취약한 워드 문서들은 대부분이 CVE-2010-3333 취약점인 MS10-087 취약점을 악용하고 있어 보안 패치의 설치가 근본적인 예방책이라 할 수 있다.

금일 ASEC에서는 MS10-087 취약점을 악용할 수 있는 취약한 워드 문서를 생성할 수 있는 악성코드 생성기를 발견하였다.

해당 악성코드 생성기는 아래 이미지와 같은 형태를 가지고 있으며, 클릭 몇 번만으로 악성코드가 포함된 취약한 워드 문서를 생성 할 수 있도록 구성 되어 있다.

위 이미지에서의 제일 상단에는 취약한 워드 문서를 열 때 정상 파일인 것으로 위장하기 위한 정상 워드 문서나 RTF 파일를 선택하도록 되어 있다. 두번째는 취약한 워드 문서를 열었을 때 사용자 모르게 실행될 백도어 형태의 악성코드를 선택하도록 되어 있다.

그리고 마지막으로는 정상 RTF 문서 파일과 악성코드가 합쳐진 취약한 워드 파일을 생성 할 위치를 선택 할 수 있도록 구성되어 있다.

이 외에 해당 생성기는 마이크로소프트 오피스의 버전에 맞도록 간체 중국어, 번체 중국어, 일본어, 한국어 그리고 영어를 선택하여 취약한 워드 문서가 정상적으로 실행되도록 하였다.

이러한 생성기가 중국 언더그라운드에서 공유되고 있다는 점은 취약점이나 악성코드 제작에 대한 특별한 기술이 필요 없이 누구나 악성코드를 생성 가능하다는 점에서 전자 문서 취약점을 악용한 악성코드는 지속적으로 발견 될 것으로 보여진다.

이러한 전자 문서의 취약점을 악용하는 악성코드를 예방하기 위한 근본적인 대응 방안은 보안 패치의 설치라고 할 수 있다.

그리고 다양한 악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 사전에 주의를 하는 것이 중요하다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.