본문 바로가기
악성코드 정보

지속적으로 악용되는 윈도우 쉘(LNK) 제로 데이 취약점

by 알 수 없는 사용자 2011. 10. 26.

2010년 7월 19일 ASEC에서는 마이크로소프트(Microsoft) 윈도우(Windows) 운영체제에서 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점인 윈도우 쉘 취약점이 발견되었고 이를 악용한 악성코드 역시 발견되었다는 이야기를 전한 바가 있다.


현재 해당 윈도우 쉘 취약점은 LNK 취약점이라고도 불리우고 있으며 이와 관련해 마이크로소프트에서는 공식적인 보안 패치를 아직 제공되지 않는 상황이다. 그러나 해당 취약점에 대한 임시 대응 방안인 픽스잇(Fix it)을 배포하고 있는 상황이다.

공식적인 보안 패치가 제공되지 않는 상황에서 7월 19일에는 이를 악용한 악성코드인 Stuxnet 트로이목마가 발견되었다.

그리고 2010년 7월 23일에는 해외 보안 업체인 이셋(ESET)의 블로그 "New malicious LNKs: here we go…"를 통해 해당 취약점을 악용하여 유포된 다른 악성코드 변형들이 발견되기 시작하였으며 V3 제품군에서는 다음과 같이 진단한다.

Win-Trojan/Exploit-lnk
Win-Trojan/Chymine.5120
Win32/Vobfus.worm.10240
Win-Trojan/Chymine.142848
Win32/Vobfus.worm.113664

어제인 2010년 7월 22일에는 다양한 형태의 메일로 유포되었던 해외 금융 정보를 탈취하는 목적으로 제작된 Zbot 변형역시 해당 제로 데이 취약점을 악용하여 유포된 사실이 확인 되었다.

이 번에 유포된 Zbot 변형들은 기존과 유사하게 아래 메일과 같은 메일 형태로 유포되었으며 제목으로는 "Microsoft Windows Security Advisory"이 사용되었다.


첨부 파일로는 메일 본문에 존재하는 것과 같이 첨부 파일로는 2286198.zip(39,495 바이트)가 존재하며 암호로는 "security"가 설정되어 있다.

해당 압축 파일의 압축을 풀게 되면 해당 취약점을 악용하는 LNK 파일인 dsafnegweje.lnk(392 바이트)lol.dll(40,960 바이트)가 생성된다.

그리고 생성된 lol.dll(40,960 바이트)는 중국에 위치하고 서버로부터 다른 Zbot 변형과 악성코드들을 다운로드 하도록 되어 있다. 다운로드 된 Zbot 변형들은 모두 중국에 위치한 C&C 서버에 의해 명령을 받고 조정되도록 설정되어 있다.

V3 제품군에서는 이번에 메일로 유포된 악성코드들을 다음과 같이 진단한다.

Win-Trojan/Exploit-lnk
Win-Trojan/Zbot.130048
Win-Trojan/Zbot.40960
Win-Trojan/Zbot.41472

해당 제로 데이 취약점으로 인해 해외 보안 업체인 소포스(Sophos)에서는 "Windows Shortcut Exploit Protection Tool"와 지데이타(G-Data)에서는 "G Data LNK-Checker"라는 이번 윈도우 쉘(LNK) 제로 데이 취약점을 방지하는 별도의 유틸을 개발하여 무료로 배포하고 있으니 참고 하기 바란다.

현재까지 ASEC에서 확인하 바로는 이번 윈도우 쉘과 관련된 제로 데이 취약점은 웹 사이트를 통한 다운로드와 메일을 통해서도 유포되고 있음으로 각별히 많은 주의를 기울여야 된다.

댓글