[º¸¾È´º½º ±Ç ÁØ] ÃÖ±Ù ¹ß°ßµÇ°í Àִ Ÿ±ê °ø°Ý(Targeted Attack) À̳ª APT(Advanced Persistent Threat) ÇüÅÂÀÇ °ø°Ýµé¿¡¼´Â °øÅëÀûÀ¸·Î ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ¿ÀÇǽº(Microsoft Office), ¾îµµºñ ¸®´õ(Adobe Reader) ±×¸®°í ÇÑ±Û ÇÁ·Î±×·¥¿¡ Á¸ÀçÇÏ´Â Ãë¾àÁ¡µéÀ» ¾Ç¿ëÇÏ´Â »ç·Ê°¡ ÀÚÁÖ ¹ß°ßµÇ°í ÀÖ´Ù.
±× Áß¿¡¼ ÃÖ±Ù¿¡´Â ƯÈ÷ ¾îµµºñ ¸®´õ¿Í ¾îµµºñ Ç÷¡½Ã(Adobe Flash)¿¡ Á¸ÀçÇÏ´Â Ãë¾àÁ¡µéÀ» ¾Ç¿ëÇÏ¿© ¿ø°Ý Á¦¾î ±â´ÉÀ» °¡Áö°í ÀÖ´Â ¾Ç¼ºÄڵ带 À¯Æ÷ÇÏ´Â »ç·Ê°¡ ÀÚÁÖ ¹ß°ßµÇ°í ÀÖ´Ù°í ¾È·¦ ASEC(http://asec.ahnlab.com) ÃøÀº ¹àÇû´Ù.
ÇØ¿Ü¿¡¼ ¾îµµºñ Ç÷¡½Ã¿¡ Á¸ÀçÇÏ´Â CVE-2012-0754 Ãë¾àÁ¡À» ¾Ç¿ëÇÏ´Â ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ¿öµå(Microsoft) ÆÄÀÏÀ» ÀÌ¿ëÇÑ Å¸±ê °ø°ÝÀÌ ¹ß°ßµÇ¾úÀ¸¸ç, ÇØ´ç °ø°ÝÀº À̸ÞÀÏÀÇ Ã·ºÎ ÆÄÀÏ·Î Ãë¾àÇÑ ¿öµå ÆÄÀÏÀÌ Ã·ºÎµÇ¾î ÀÖ´Â °ÍÀ¸·Î 6ÀÏ °ø°³µÈ °Í.
¾îµµºñ Ç÷¡½Ã¿¡ Á¸ÀçÇÏ´Â CVE-2012-0754 Ãë¾àÁ¡Àº Á¦·Î µ¥ÀÌ(Zero-Day, 0-Day) Ãë¾àÁ¡Àº ¾Æ´Ï¸ç, ¹Ì±¹ ÇöÁö ½Ã°¢À¸·Î 2012³â 2¿ù 15ÀÏ ¾îµµºñ¿¡¼ º¸¾È ±Ç°í¹® ¡®APSB12-03 Security update available for Adobe Flash Player¡¯ À» ÅëÇØ º¸¾È ÆÐÄ¡¸¦ ¹èÆ÷ Áß¿¡ ÀÖ´Ù.
À̹ø¿¡ ¹ß°ßµÈ CVE-2012-0754 Ãë¾àÁ¡À» ¾Ç¿ëÇÏ´Â Ãë¾àÇÑ ¾îµµºñ Ç÷¡½Ã ÆÄÀϵéÀº ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ¿öµå¿Í ¿¢¼¿(Excel)¿¡ Æ÷ÇÔµÈ ÇüÅ·Π¹ß°ßµÈ °ÍÀ¸·Î ³ªÅ¸³µ´Ù.
¹ß°ßµÈ ¿öµå ÆÄÀÏ¿¡´Â À§ À̹ÌÁö¿Í °°Àº ±¸Á¶¸¦ °¡Áö°í ÀÖ´Â ÆÄÀÏ ³»ºÎ¿¡´Â 2,431 ¹ÙÀÌÆ® Å©±âÀÇ Ç÷¡½Ã ÆÄÀÏÀÌ ¾Æ·¡ À̹ÌÁö¿Í °°ÀÌ Æ÷ÇԵǾî ÀÖ´Ù.
±×¸®°í ´Ù¸¥ Ãë¾àÇÑ ¿¢¼¿ ÆÄÀÏÀº ¾Æ·¡ À̹ÌÁö¿Í °°Àº ±¸Á¶¸¦ °¡Áö°í ÀÖÀ¸¸ç ÇØ´ç ÆÄÀÏ ³»ºÎ¿¡µµ Ç÷¡½¬ ÆÄÀÏÀÌ Æ÷ÇԵǾî ÀÖ´Ù.
Ç÷¡½Ã Ç÷¹À̾ Á¸ÀçÇÏ´Â CVE-2012-0754 Ãë¾àÁ¡Àº Ç÷¡½Ã Ç÷¹À̾¼ MP4 ÆÄÀÏÀ» ÆĽÌÇÏ´Â °úÁ¤¿¡¼ ¹ß»ýÇÑ ¿À·ù·Î ÀÎÇÑ ÄÚµå ½ÇÇà Ãë¾àÁ¡ÀÌ´Ù.
ÇØ´ç ÀüÀÚ ¹®¼ ³»ºÎ¿¡ Æ÷ÇÔµÈ Ãë¾àÇÑ Ç÷¡½Ã ÆÄÀϵéÀº ½©Äڵ带 Æ÷ÇÔÇÑ HeapAlloc ºÎºÐ°ú Ãë¾àÇÑ MP4 ÆÄÀÏ Àç»ýÀ» À§ÇÑ ºÎºÐÀ¸·Î ±¸ºÐµÇ¾î ÀÖ´Ù.
Ãë¾àÇÑ MP4 ÆÄÀÏÀº Ç÷¡½¬ ÆÄÀÏ¿¡ ÀÇÇØ ÀÖ´Â ¹Ì±¹¿¡ À§Ä¡ÇÑ Æ¯Á¤ ½Ã½ºÅÛ¿¡¼ test.mp4(22,384 ¹ÙÀÌÆ®) ÆÄÀÏÀ» ´Ù¿î·ÎµåÇÏ°Ô µÇ¾î ÀÖ´Ù.
´Ù¿î·ÎµåµÈ MP4 ÆÄÀÏÀº ¾Æ·¡ À̹ÌÁö¿Í °°Àº ÇüŸ¦ °¡Áö°í ÀÖ´Ù.
¾îµµºñ Ç÷¡½Ã¿¡ Á¸ÀçÇÏ´Â CVE-2012-0754 Ãë¾àÁ¡À¸·Î ÀÎÇØ ´Ù¿î·ÎµåµÈ ÆÄÀÏÀÌ ½ÇÇàµÇ¸é ÀÚ½ÅÀÇ º¹»çº»À» ´ÙÀ½°ú °°ÀÌ »ý¼ºÇÑ´Ù.
C:\Program Files\Common Files\[½ÇÇà½Ã ÆÄÀϸí].exe (23,040 ¹ÙÀÌÆ®)
À©µµ¿ì ·¹Áö½ºÆ®¸®(Windows Registry)¿¡ ´ÙÀ½ Å°¸¦ »ý¼ºÇÏ¿© ½Ã½ºÅÛÀÌ ÀçºÎÆõǾ ÀÚµ¿ ½ÇÇàÇϵµ·Ï ±¸¼ºÇÏ°í ÀÖ´Ù.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\common
= "C:\Program Files\Common Files\[½ÇÇà½Ã ÆÄÀϸí].exe
±×¸®°í ¾Æ·¡ À̹ÌÁö¿Í °°ÀÌ ¹Ì±¹¿¡ À§Ä¡ÇÑ Æ¯Á¤ ½Ã½ºÅÛÀ¸·Î ¿ªÁ¢¼Ó(Reverse Connection)À» ¼öÇàÇÏ°Ô µÇ³ª Å×½ºÆ® ´ç½Ã¿¡´Â Á¤»óÀûÀ¸·Î Á¢¼ÓÀÌ ÀÌ·ç¾îÁöÁö ¾Ê¾Ò´Ù.
¿ªÁ¢¼ÓÀÌ ¼º°øÇÏ°Ô µÇ¸é °ø°ÝÀÚÀÇ ¸í·É¿¡ µû¶ó ´ÙÀ½°ú °°Àº ¾ÇÀÇÀûÀÎ ±â´ÉµéÀ» ¼öÇàÇÏ°Ô µÈ´Ù.
¿î¿µÃ¼Á¦ Á¤º¸ ¼öÁý
½ÇÇà ÁßÀÎ ÇÁ·Î¼¼½º ¸®½ºÆ®
Ä¿¸Çµå(Command) ¸í·É ½ÇÇà
À̹ø¿¡ ¹ß°ßµÈ ¾îµµºñ Ç÷¡½ÃÀÇ CVE-2012-0754 Ãë¾àÁ¡À» ¾Ç¿ëÇÏ´Â ¾Ç¼ºÄÚµåµéÀº ¸ðµÎ V3 Á¦Ç°±º¿¡¼ ´ÙÀ½°ú °°ÀÌ Áø´ÜÇÑ´Ù.
Dropper/Cve-2012-0754
SWF/Cve-2012-0754
MP4/Cve-2012-0754
Win-Trojan/Yayih.4861440
Win-Trojan/Renos.61440.E
ÇØ´ç ¾îµµºñ Ç÷¡½Ã Ãë¾àÁ¡Àº ÇöÀç º¸¾È ÆÐÄ¡°¡ ¹èÆ÷ Áß¿¡ ÀÖÀ¸¹Ç·Î ¾îµµºñ Ç÷¡½Ã Ç÷¹ÀÌ¾î ´Ù¿î·Îµå ¼¾ÅÍ(Adobe Flash Player Download Center)¸¦ ÅëÇØ Áö±Ý Áï½Ã ¾÷µ¥ÀÌÆ® ÇÏ´Â °ÍÀÌ Áß¿äÇÏ´Ù°í ¾È·¦ ASEC ÃøÀº ¹àÇû´Ù.
[±Ç ÁØ ±âÀÚ(editor@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>