CVE-2011-1255 취약점 악용 악성코드 유포

마이크로소프트(Microsoft)에서는 매월 두째 주 화요일 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점을 제거하기 위한 보안 패치를 배포하고 있다. 이번 2011년 6월에도 역시 총 16개의 보안 패치를 배포하였다.

이번 마이크로소프트에서 배포한 보안 패치 중 "MS11-050 Internet Explorer 누적 보안 업데이트(2530548)"에 포함되어 있는 CVE-2011-1255 취약점을 악용하는 악성코드가 발견되었다.

이 번에 발견된 해당 취약점을 악용하는 악성코드는 아래 이미지와 같은 스크립트(Script) 악성코드 형태이며 최종적으로는 특정 시스템에 존재하는 다른 악성코드를 다운로드 및 실행 하도록 되어 있다.

해당 스크립트 악성코드는 아래 이미지와 같은 쉘코드(Shellcode)를 메모리(Memory)에서 동작하도록 하였으며 미국에 위치한 특정 시스템에서 인코딩(Encoding) 되어 있는 파일을 다운로드 하도록 되어 있다.

아래 이미지와 같이 다운로드 된 인코딩 된 파일이 정상적으로 디코딩(Decoding)되면, 윈도우(Windows) 시스템에서 정상적으로 실행 가능한 PE 파일 형태로 변환된다.

디코딩 된 해당 파일은 WinExec 명령을 통해 임시(Temp) 폴더에 svchost.exe 파일명으로 변경하여 복사 한 후 실행 하도록 되어 있다.

그리고 svchost.exe(44,544 바이트)이 정상적으로 실행이 되면 프로그램 폴더(C:\Program Files\Common Files) 아래에 자신의 복사본을 다시 msdtc.exe(44,544 바이트)로 생성하게 된다.

생성된 msdtc.exe(44,544 바이트)가 실행이 되면 다음의 악의적인 기능들을 수행하게 된다.

시스템 하드웨어 정보 수집

키보드 입력 정보 가로채기

파일 업로드 및 다운로드

커맨드(Command) 명령 실행

폴더 및 파일 이름 확인

파일 삭제 및 파일명 변경

최근 어도비 플래쉬 플레이어(Adobe Flash Player) 취약점을 악용하여 온라인 게임의 사용자 정보를 탈취하거나 윈도우 시스템 관련 파일들을 패치(Patch)하는 악성코드들이 지속적으로 발견 중에 있다.

이러한 악성코드들은 윈도우 시스템에 존재하는 취약점 또는 일반적으로 많이 사용하는 어플리케이션(Applications)들에 존재하는 보안 취약점들을 악용하여 악성코드를 유포하고자 하는 공통점이 존재한다.

그러므로 이러한 악성코드들의 감염을 예방하기 위해서는 마이크로소프트에서 배포하는 보안 패치와 함께 자주 사용하는 어플리케이션들의 보안 패치들까지 반듯이 설치하여야만 악성코드 감염에 대한 근본적인 대응이 가능하다.

이 번에 발견된 CVE-2011-1255 취약점 악용해 유포되었던 악성코드들은 V3에서 다음과 같이 진단 가능하다.

HTML/Cve-2011-1255

Exploit/Cve-2011-1255

Win-Trojan/Misdat.44544