Ãë¾àÇÑ À¥ »çÀÌÆ® ´ë»ó SQL ÀÎÁ§¼Ç °ø°Ý °¡´É... °¢º°È÷ ÁÖÀÇÇؾß
[º¸¾È´º½º ±èÅÂÇü] ¾È·¦ ½ÃÅ¥¸®Æ¼¼¾ÅÍ(ASEC)¿¡¼´Â 6¿ù 28ÀÏ XML ÄÚ¾î ¼ºñ½º Ãë¾àÁ¡À» ¾Ç¿ëÇÑ ´Ù¸¥ ÇüÅÂÀÇ °ø°Ý»ç·Ê°¡ ¹ß°ßµÆÀ¸¸ç ÀÌ °ø°Ý»ç·Ê´Â XML ÄÚ¾î ¼ºñ½º»Ó ¸¸ÀÌ ¾Æ´Ï¶ó ÀÚ¹Ù(JAVA)¿Í ¾îµµºñ Ç÷¡½¬(Adobe Flash) Ãë¾àÁ¡±îÁöµµ °°ÀÌ ¾Ç¿ëÇÏ°í ÀÖ´Â °ÍÀ¸·Î ÆÄ¾ÇµÆ´Ù°í ¹àÇû´Ù.
ASEC´Â Áö³ 6¿ù 26ÀÏ ÇöÀç±îÁöµµ Á¦·Î µ¥ÀÌ(Zero Day, 0-Day) Ãë¾àÁ¡ÀÎ XML ÄÚ¾î ¼ºñ½º Ãë¾àÁ¡(CVE-2012-1889)À» ¾Ç¿ëÇÑ °ø°Ý»ç·ÊµéÀÌ ¹ß»ýÇÏ°í ÀÖ´Ù°í °øÀ¯ÇÑ ¹Ù ÀÖ´Ù.
À̹ø¿¡ ¹ß°ßµÈ XML ÄÚ¾î ¼ºñ½º Ãë¾àÁ¡À» ¾Ç¿ëÇÑ »ç·Ê´Â ºí·¢È¦(Blackhole)°ú °°Àº À¥ ÀͽºÇ÷ÎÀÕ ÅøŶ(Web Exploit Toolkit) ÇüÅ·Π½ºÅ©¸³Æ® ¾Ç¼ºÄÚµåµéÀ» ±â´Éº°·Î ºÐ·ùÇÏ¿© ´Ü°èÀûÀ¸·Î Ãë¾àÁ¡À» ¾Ç¿ëÇϵµ·Ï ÇÏ°í ÀÖ´Ù´Â °Í.
ÀÌ·¯ÇÑ ´Ü°èÀûÀ¸·Î Ãë¾àÁ¡À» ¾Ç¿ëÇÑ °ø°Ý ÇüÅ´ ¾Æ·¡ À̹ÌÁö¿Í °°Àº ÀüüÀûÀÎ ±¸Á¶¸¦ °¡Áö°í ÀÖ¾î ÀϺΠ½ºÅ©¸³Æ®µé¸¸ ºÐ¼®Çؼ´Â ÀüüÀûÀÎ °ø°Ý ¹× Ãë¾àÁ¡ ÇüŸ¦ ÆľÇÇϱ⠾î·Æµµ·Ï ÇÏ°í ÀÖ´Ù.
ÇöÀç ÇØ´ç XML ÄÚ¾î ¼ºñ½º Ãë¾àÁ¡ µîÀ» ¾Ç¿ëÇÑ °ø°Ý ÇüÅ´ SQL ÀÎÁ§¼Ç(Injection) °ø°Ý ±â¹ý µîÀ¸·Î Ãë¾àÇÑ À¥ ÆäÀÌÁöÀÇ ÇÏ´Ü¿¡ Exploit.html À¥ ÆäÀÌÁö·Î ¿¬°áµÇ´Â ¾ÆÀÌÇÁ·¹ÀÓ(iFrame) Äڵ带 »ðÀÔÇÏ¿© À¥ »çÀÌÆ® ¹æ¹®ÀÚ ¸ð¸£°Ô ¾Æ·¡ÀÇ Ãë¾àÁ¡µé Áß Çϳª°¡ ÀÚµ¿À¸·Î ¾Ç¿ëµÇµµ·Ï ±¸¼ºµÇ¾î ÀÖ´Ù.
¡¤CVE-2010-0886 - Security Alert for CVE-2010-0886 and CVE-2010-0887 Released
¡¤CVE-2011-0611 - APSB11-08 Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat
¡¤CVE-2012-1889 - Microsoft Security Advisory (2719615) Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution
ÇØ´ç Ãë¾àÁ¡µéÀÌ Á¤»óÀûÀ¸·Î µ¿ÀÛÇÏ°Ô µÉ °æ¿ì¿¡´Â Áß±¹¿¡ À§Ä¡ÇÑ Æ¯Á¤ ½Ã½ºÅÛÀ¸·ÎºÎÅÍ win.exe(30,720 ¹ÙÀÌÆ®)ÀÇ ÆÄÀÏÀÌ ´Ù¿î·Îµå ¹× ½ÇÇàÇÏ°Ô µÈ´Ù.
ÇØ´ç win.exe(30,720 ¹ÙÀÌÆ®) ÆÄÀÏÀº XOR·Î ÀÎÄÚµù(Encoding)µÇ¾î ÀÖ´Â ÆÄÀÏ·Î À̸¦ µðÄÚµùÇÏ°Ô µÇ¸é ºñÁÖ¾ó C++(Visual C++)·Î Á¦ÀÛµÈ ½ÇÇà °¡´ÉÇÑ PE ÆÄÀÏÀÌ »ý¼ºµÈ´Ù.
´Ù¿î·Îµå µÈ win.exe(30,720 ¹ÙÀÌÆ®) ÆÄÀÏÀÌ Á¤»óÀûÀ¸·Î µðÄÚµù(Decoding) µÈ ÀÌÈÄ¿¡ ½ÇÇàµÇ¸é ´ÙÀ½ÀÇ ¹èÄ¡(BAT) ÆÄÀϵé°ú ÅؽºÆ®(TXT) ÆÄÀÏÀ» ¼øÂ÷ÀûÀ¸·Î »ý¼ºÇÏ°Ô µÈ´Ù.
¡¤C:\4.bat (66 ¹ÙÀÌÆ®)
¡¤C:\2.txt (100 ¹ÙÀÌÆ®)
¡¤C:\3.bat (15 ¹ÙÀÌÆ®)
win.exe (30,720 ¹ÙÀÌÆ®) ÆÄÀÏ¿¡ ÀÇÇØ »ý¼ºµÈ 4.bat (66 ¹ÙÀÌÆ®)´Â ½Ã½ºÅÛ °øÀ¯ Æú´õ¿Í À©µµ¿ì ¹æȺ®À» °Á¦·Î Á¾·áÇÏ°Ô µÈ´Ù.
±×¸®°í 2.txt´Â ¹Ì±¹¿¡ À§Ä¡ÇÑ Æ¯Á¤ FTP ¼¹ö·Î Á¢¼ÓÇÏ´Â Á¤º¸µéÀÌ ±â·ÏµÇ¾î ÀÖÀ¸¸ç 3.bat (15 ¹ÙÀÌÆ®)´Â ÇØ´ç FTP Á¤º¸µéÀ» ¹ÙÅÁÀ¸·Î Ä¿¸Çµå¶óÀÎ(Command-Line) ¸í·ÉÀ¸·Î Á¢¼ÓÀ» ½ÃµµÇÏ´Â ¿ªÇÒÀ» ÇÏ°Ô µÈ´Ù.
FTP Á¢¼Ó Á¤º¸µéÀº ¾Æ·¡ À̹ÌÁö¿Í °°ÀÌ win.exe (30,720 ¹ÙÀÌÆ®) ÆÄÀÏ ³»ºÎ¿¡ ÇϵåÄÚµùµÇ¾î ÀÖ´Â »óÅ·Π±â·ÏµÇ¾î ÀÖ´Ù. ±×·¯³ª ºÐ¼® ´ç½Ã¿¡´Â ÇØ´ç FTP ¼¹ö·Î Á¤»óÀûÀÎ Á¢¼ÓÀÌ ÀÌ·ç¾îÁöÁö ¾Ê¾ÒÀ¸¸ç Á¤»óÀûÀÎ Á¢¼ÓÀÌ ÀÌ·ç¾îÁö°Ô µÉ °æ¿ì¿¡´Â °¨¿°µÈ ½Ã½ºÅÛ¿¡ ¼³Ä¡µÇ¾î ÀÖ´Â º¸¾È Á¦Ç° Á¤º¸µéÀ» Àü¼ÛÇÒ °ÍÀ¸·Î ÃßÁ¤µÈ´Ù.
ÇØ´ç XML ÄÚ¾î ¼ºñ½º¿Í ´Ù¸¥ Ãë¾àÁ¡µéÀ» ¾Ç¿ëÇÑ ¾Ç¼ºÄÚµåµéÀº V3 Á¦Ç°±º¿¡¼ ¸ðµÎ ´ÙÀ½°ú °°ÀÌ Áø´ÜÇÑ´Ù.
¡¤JS/CVE-2012-1889
¡¤HTML/Downloader
¡¤SWF/CVE-2011-0611
¡¤JS/Downloader
¡¤JS/Redirect
¡¤JS/Redirector
¡¤Win-Trojan/Yolped.73728
¾È·¦ ½ÃÅ¥¸®Æ¼¼¾ÅÍ´Â ¡°À̹ø¿¡ ¹ß°ßµÈ XML ÄÚ¾î ¼ºñ½º Ãë¾àÁ¡À» ¾Ç¿ëÇÏ´Â °ø°Ý »ç·Ê´Â ¾Õ¼± ¾ð±ÞÇÑ ¹Ù¿Í °°ÀÌ SQL ÀÎÁ§¼Ç°ú °°Àº °ø°Ý ±â¹ýÀ¸·Î Ãë¾àÇÑ À¥ »çÀÌÆ®¸¦ ´ë»óÀ¸·Î ÀÌ·ç¾îÁüÀ¸·Î À¥ »çÀÌÆ® ¹æ¹®½Ã °¢º°ÇÑ ÁÖÀÇ°¡ ÇÊ¿äÇÏ´Ù¡±°í ´çºÎÇß´Ù.
¶ÇÇÑ ¡°ÇöÀç ÇØ´ç XML ÄÚ¾î ¼ºñ½º Ãë¾àÁ¡¿¡ ´ëÇÑ º¸¾È ÆÐÄ¡°¡ ¾ÆÁ÷ Á¦°øµÇÁö ¾ÊÁö¸¸ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®(Microsoft)¿¡¼´Â Àӽà ¹æ¾ÈÀ¸·Î ÇȽºÀÕ(Fix It)À» °ø°³ ÁßÀÓÀ¸·Î À̸¦ ¼³Ä¡ÇÏ´Â °ÍÀÌ Áß¿äÇÏ´Ù¡±°í °Á¶Çß´Ù.
ÀÌ¿Í ÇÔ²² ¡°´Ù¸¥ ÀÏ¹Ý ¾îÇø®ÄÉÀ̼ǵéÀÇ Ãë¾àÁ¡µéµµ µ¿¹ÝÇÏ°í ÀÖÀ½À¸·Î Æò¼Ò ÀÚÁÖ »ç¿ëÇÏ´Â ¾îÇø®ÄÉÀ̼ǵéÀÇ º¸¾È ÆÐÄ¡¸¦ ¼³Ä¡ÇÏ´Â °Íµµ Áß¿äÇÏ´Ù¡±°í µ¡ºÙ¿´´Ù.
[±èÅÂÇü ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>