노벨평화상 웹사이트에서 파이어폭스 제로데이 공격 악성코드 유포
이번에 발견된 Firefox의 Zero-Day 취약점은 자세히 분석 중이다.
이 악성코드들은 V3 최신 엔진에서 JS/Belmoo, Win-Trojan/Belmoo.48640으로 진단한다.
자세한 사항은 <아래> ASEC 블로그(http://blog.ahnlab.com/asec/427) 내용을 참고하면 된다.
파이어 폭스 제로 데이 취약점 악용 악성코드 유포
유럽 현지 시각으로 10월 26일 노벨 평화 상(Nobel Peace Prize) 웹 사이트에서 웹 브라우저(Web Browser)인 파이어폭스(Firefox)에 존재하는 기존에 알려지지 않은 제로 데이(0-Day, Zero-Day) 취약점을 악용하여 악성코드를 유포한 사고가 발생하였다.
이와 관련하여 모질라 시큐리티 블로그(Mozilla Security Blog)에서도 이와 관련한 정보들을 공개하고 있으며 이번 제로데이 취약점에 영향을 받는 버전은 파이어폭스 3.5 와 파이어폭스 3.6 인 것으로 밝히고 있다.
이번에 발생한 파이어폭스에 존재하는 알려지지 않은 제로 데이 취약점은 자바스크립트(Java Script) 형태를 가지고 있으며 이로 인해 특정 시스템에서 트로이목마를 다운로드한 후 실행하는 것으로 알려져 있다.
현재 ASEC에서는 파이어폭스에 존재하는 제로 데이 취약점과 자바스크립트 형태의 악성코드에 대해서는 추가적인 정보 수집과 함께 자세한 분석을 진행 중에 있다.
현재 알려진 해당 웹 브라우저의 제로 데이 취약점으로 인해 다운로드 후 실행되는 파일은 트로이목마로서 백도어의 기능을 가지고 있으며 48,640 바이트의 크기를 가지고 있다.
다운로드되는 악성코드가 실행되면 자신의 복사본을 다음과 같이 생성한다.
C:WINDOWStempsymantec.exe (48,640 바이트)
레지스트리에 다음 키들을 생성하여 윈도우 시스템 재부팅시 자동 실행하도록 구성하고 있다.
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Microsoft Windows Update = “C:WINDOWStempsymantec.exe”
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
Microsoft Windows Update = “C:WINDOWStempsymantec.exe”
그리고 미국에 위치한 특정 시스템에 접속을 시도하나 분석 당시에는 정상적인 접속이 이루어지지 않으며 정상 동작을 하게 될 경우에는 다음의 악의적인 기능들을 수행할 것으로 분석 된다.
현재 실행 중인 프로그램 리스트 수집
웹 브라우저로 접속중인 웹 사이트 주소들 수집
프로세스 강제 종료
커맨드라인(CommandLine) 명령 수행
이번 파이어폭스의 알려지지 않은 제로 데이 취약점을 악용하여 다운로드 후 실행되는 악성코드는 V3 제품군에서 다음과 같이 진단한다.
Win-Trojan/Belmoo.48640
파이어폭스를 개발하는 모질라에서 해당 제로 데이 취약점을 제거하는 보안 패치를 배포하기 전까지 임시 대응 방안으로 다음 사항들을 제안하고 있다.
파이어폭스에서 자바스크립트 비활성화
파이어폭스 노스크립트(NoScript) 플러그인 사용
안랩 개요
안랩(www.ahnlab.com)은 1995년 3월 창립된 소프트웨어 기업으로서 세계적 수준의 보안 기술력과 전문적인 소프트웨어 제품 및 서비스 역량을 갖춘 신뢰도 높은 기업이다. 설립 이래 꾸준히 성장해 2012년에 국내 패키지 소프트웨어 업계 최초로 매출 1000억을 돌파하는 성과를 거둔 바 있다. 세계적으로 정보보안 시장이 형성되기 시작한 1988년부터 쌓은 정보보안 노하우를 기반으로 시장을 개척해왔으며, 국내 보안 업체 중 유일하게 5대 국제 인증을 모두 획득해 글로벌 기업들과 대등한 기술력으로 경쟁하고 있다. 네트워크 및 엔드포인트 보안 솔루션, 보안 컨설팅, 보안 관제 등 최신 보안 위협에 다층적인 해법을 제공한다. 지능형 지속 위협(APT)에 대응하는 트러스와처, 디도스 등 네트워크 침입을 탐지/차단하는 트러스가드, 모바일 및 PC용 악성코드를 진단/치료하는 V3가 대표적 제품군이다.
웹사이트: http://www.ahnlab.com
연락처
안철수연구소 커뮤니케이션팀
송창민 대리
02-2186-7955
