해외 대규모 SQL 인젝션 공격으로 악성코드 유포

2009년 12월 9일 해외 보안 업체와 해외 언론 들을 통해 2009년 11월 말에서 2009년 12월 초사이 대규모 SQL 인젝션(Injection) 공격으로 인해 약 12만 개의 웹 사이트가 공격을 받고 악성코드 유포에 악용된 사실이 보고 되었다.

이 번에 발견된 대규모 SQL 인젝션 공격은 다음의 취약점들을 악용하는 자바 스크립트로 제작된 악성 스크립트 파일을 통해 최종적으로 온라인 게임 관련 개인 정보들을 유출하는 악성코드를 다운로드 한 후 실행하도록 제작 되어 있었다.

* 공격 대상 취약점

MS07-009 

Vulnerability in Microsoft Data Access Components Could Allow Remote Code Execution (927779)

MS09-002 

Cumulative Security Update for Internet Explorer (961260)

MS09-032

Cumulative Security Update of ActiveX Kill Bits (973346)

MS09-043 

Vulnerabilities in Microsoft Office Web Components Could Allow Remote Code Execution (957638)

APSB08-11

Flash Player update available to address security vulnerabilities

위와 같이 마이크로소프트(Microsoft)에서 개발한 웹 브라우저인 인터넷 익스플로러(Internet Explorer)와  어도비(Adobe)의 플래쉬(Flash)에 존재하는 취약점들을 악용하게 되어 있다.

해당 대규모 SQL 인젝션 공격의 최종 목적은 특정 웹 사이트에 존재하는 down.css (93184 바이트)의 파일을 다운로드 한 후 실행 하도록 되어 있다.

해당 악성코드는 볼란드 델파이(Boland Delphi)로 제작되었으며 실행되면 다음 특정 폴더에 파일들을 생성한다.

C:\Program Files\Common Files\auto.exe

C:\Documents and Settings\<사용자 계정>\Local Settings\Temp\~rkwof.tmp

그리고 USB 이동형 저장 장치를 통해 전파를 하고자 다음과 같은 파일들을 생성한다.

C:\AutoRun.inf

C:\auto.exe

윈도우 시스템의 특정 레지스트리 키 값들을 생성해서 윈도우 시스템이 부팅할 때 마다 자동 실행 되도록 하며 중국에 위치한 특정 시스템에서 온라인 게임의 사용자 정보를 유출하는 트로이목마들을 다수 다운로드 하게 되어 있다.

이번 대규모 SQL 인젝션 공격과 관련한 악성코드는 V3 제품군에서 다음과 같이 진단한다.

Packed/Upack

JS/Shellcode

JS/Redirect

Win-Trojan/Downloader.93184.AD

Win-Trojan/Agent.8256.B

Win-Trojan/Buzus.93184.U

취약한 웹 사이트를 통해 유포되는 악성코드의 감염으로 인한 피해를 예방하기 위해서는 아래와 같은 보안 수칙을 숙지하고 지켜 나가야만 한다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.