세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
MS제로데이 취약점 패치 공개...최근 DDoS 공격 원인일 수 있어
  |  입력 : 2009-07-08 10:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

공격수행 악성코드 발견...리스트에 포함된 사이트 공격대상


청와대와 네이버, 옥션 등을 포함한 국내 주요 홈페이지가 접속 장애를 겪는 등 국내 인터넷 일부가 DDoS 공격으로 인한 마비 현상을 보이고 있는 가운데, DDoS 공격의 원인은 최근 보고된 MS의 제로데이 취약점을 노린 악성코드가 유력한 것으로 파악되고 있다.


방송통신위원회(위원장 최시중)과 한국정보보호진흥원(원장 황중연, 이하 KISA)은 7일 오후 7시경부터 대량 유해 트래픽을 수반하는 분산서비스거부공격(DDoS)으로 인하여 국내 일부 사이트에 대한 인터넷 접속이 지연되거나 접속이 되지 않아, 사용자들의 주의가 필요하다고 밝혔다.


공격을 수행한 악성코드는 파일명 ‘msiexec2.exe(파일길이 : 33,841 바이트)’으로 V3 진단명은  ‘Win-Trojan/Agent.33841’인 것으로 전해졌다. 이 파일은 실행될 때 ‘uregvs.nls’ 파일을 생성하고  이 EXE 파일에는 코드 내부에 공격 리스트를 담고 있다.

 ▲악성코드에 포함돼 있는 공격 대상 사이트 주소 ⓒ보안뉴스

실제 공격을 수행하는 파일은 DLL 파일로 현재까지 perfvwr.dll(파일 길이 : 65,536 바이트, V3 진단명 : Win-Trojan/Agent.65536.VE)과 wmiconf.dll(파일 길이 : 67,072 바이트, V3 진단명 : Win-Trojan/Agent.67072.DL) 등 2개의 파일이 발견됐으며, DLL 파일은 공격할 리스트를 읽어 들여 해당 사이트로 공격한다.


[악성코드에 포함된 공격 사이트 리스트]

국내 사이트

www.president.go.kr (청와대), www.mnd.go.kr (국방부), www.mofat.go.kr (외교통상부), www.assembly.go.kr (대한민국 국회), www.usfk.mil (주한 미군), blog.naver.com (네이버 블로그), mail.naver.com (네이버 메일), banking.nonghyup.com (농협 인터넷 뱅킹), ezbank.shinhan.com (신한은행 인터넷 뱅킹), ebank.keb.co.kr (외환은행 인터넷 뱅킹), www.hannara.or.kr (한나라당), www.chosun.com (조선일보), www.auction.co.kr (옥션)


미국 사이트

www.whitehouse.gov, www.faa.gov, www.dhs.gov, www.state.gov, www.voanews.com, www.defenselink.mil, www.nyse.com, www.nasdaq.com, finance.yahoo.com, www.usauctionslive.com, www.usbank.com, www.washingtonpost.com, www.ustreas.gov 


이 악성코드는 감염된 PC를 좀비컴퓨터로 만들어 분산서비스공격(DDoS)를 수행한다. 이 악성코드가 만들어내는 트래픽은 한 PC에서 초당 1,050 패킷으로 100 킬로 바이트 정도 발생한다. 이 악성코드는 여러 사이트를 공격하기 때문에 특정 사이트가 받는 트래픽은 한 PC당 초당 100 패킷, 7 킬로바이트 정도로 파악되고 있다. 따라서 웹서비스에 대해 장애를 일으키기 위해서는 상당수의 감염 컴퓨터가 존재해야 할 것으로 보여 현재 많은 PC가 해당 공격 악성코드에 감염됐을 것으로 추정되고 있다.


현재까지 이 악성코드의 정확한 전파 경로는 알려져 있지 않고 있지만 이 악성코드와 연관된 다른 악성코드는 이전에도 나타났던 것으로 확인되고 있다.


[관련자료]

- 신종 분산서비스거부공격(DDoS)에 따른 "주의" 경보발령 (KrCERT/CC)

http://www.krcert.or.kr/noticeView.do?num=340 

http://xcoolcat7.tistory.com/520 


이번 공격은 MS 윈도우즈의 MPEG2TuneReuqest Active-X 제로데이 취약점에 따른 것으로 파악되고 있다. 최근 여러 보안 업체 및 기관에서는 MS 윈도우즈의 비디오 스트리밍을 위한 Active-X 컨트롤에 원격 코드 실행 취약점이 발견됐다고 전하고 있기 때문. 현재 해당 취약점을 이용한 공격 및 피해 사례가 급증하고 있으며, 이 취약성으로 인한 악성코드가 나타나 국내의 PC들이 좀비 PC로 만들고, DDoS 공격의 Agent 및 봇넷 형태로 활용되고 있다.


문제는 아직까지 MS는 이 취약점에 대한 공식 보안 패치를 제공하지 않고 있다는 것으로, NSHC는 이 취약점 관련 비공식 보안 패치 작업을 시작해 8일 AM 5:00에 완료했다고 밝히고 있다.

 

# 긴급 패치파일 파일 다운로드 주소

http://www.nshc.net/bbs.php?table=sub_nshc_04_01&query=view&uid=626

[MS 제로데이 취약성으로 인한 피해사례]

o 마이크로소프트 윈도우즈의 비디오 스트리밍을 위한 ActiveX 컨트롤(msvidctl.dll)의 버퍼플로우

o 마이크로소트프는 본 취약점에 대해 Security Advisory를 발표함.

o 공격자는 악의적인 웹 사이트에 사용자가 접속하도록 유도하여 공격자가 심어놓은 코드 실행

    ※ TV 튜너 지원을 제공하는데 사용되는 MPEG2TuneReuqest ActiveX 컨트롤 취약점

    ※ 관련 CLSID : 0955AC62-BF2E-4CBA-A2B9-A63F772D46CF 외 44개 [1]

    ※ 관련 CVE : CVE-2008-0015 [5]


[영향 받는 시스템]

 o 영향 받는 소프트웨어

   - Windows XP Service Pack 2 and Windows XP Service Pack 3

   - Windows XP Professional x64 Edition Service Pack 2

   - Windows Server 2003 x64 Edition Service Pack 2

   - Windows Server 2003 with SP2 for Itanium-based Systems


 o 영향 받지 않는 소프트웨어

   - Microsoft Windows 2000 Service Pack 4

   - Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2

   - Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1

   - Windows Server 2008 for 32-bit Systems

   - Windows Server 2008 for x64-based Systems

   - Windows Server 2008 for Itanium-based Systems


[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

#DDoS   #제로데이   #패치   #악성코드   #청와대   
jav4st   2009-08-16 오전 4:12:13
이번 ddos공격은 실행 자체에 attacker의 호스트에 등록되는게 아니고 실행하면 그 pc가 client가 되어 공격하는거군요
HAHAHA   2009-07-08 오후 8:55:47
아 역시 컴퓨터는 슈퍼컴터가 짱일텐데 ;;
DHTL나킴   2009-07-08 오후 12:38:48
옥션 피해 장난아니겠네요, 그건그렇고 미국은 왜 공격했을까요?, 범인은 한국인일까~ 범인 잡히면 진짜 뭐 돼겟네..ㅋ


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)