[DDos공격] MPEG2TuneRequest activeX 제로데이 취약점 이용 유력

2009/07/09 00:50
Leave a Comment

관련글 출처:  http://www.boannews.com/media/view.asp?idx=16962&kind=0

  와대및 다수의 국가기관 사이트,  네이버, 옥션 등의 홈페이지가 DDoS 공격을 받아 서비스 마비현상을 보이고 있습니다.   또한 미국쪽의 다수 사이트들도 공격을  받았구요..  미국쪽의 일부 사이트쪽에선  한국이 중계지점으로 지목되어  한국으로부터 접속을 차단한 바  있다고 합니다.  공격지가 어디인지 제대로 파악이 되지않은 상태인데.. 치밀한 준비끝에 이루어졌으며 사실상  예고된 공격의 성격을 가지고 있다고 합니다.   국정원에선  북한을 배후로 지목하기도 했습니다.    어쨋든 이번의  DDoS 공격의 원인은 최근 보고된 MS의 제로데이 취약점을 노린 악성코드가 실제적인 공격수단으로  보인다고 합니다. 이번 공격은  MS의 공식 패치도 아직 발표되지 않은  상태이기때문에 더욱 더 우려되는 상태이구요..  현재 내 컴퓨터가 좀비가 되어 있지는 않은지 점검이 필요할 듯합니다.

  2009년 7월 7일 중국에서 Microsoft DirectShow (msvidctl.dll) 취약점을 이용한 Zero-Day Exploit이 출현했습니다. 

▶  전파방법 : 윈도우 취약점을 악용하여 전파되거나 홈페이지 은닉 악성코드로 전파됨
    격자는 악의적인 웹 사이트에 사용자가 접속하도록 유도하여 공격자가 심어놓은 코드 실행
 - 취약점 내역: TV 튜너 지원을 제공하는데 사용되는 MPEG2TuneReuqest ActiveX 컨트롤 취약점,
 - 관련 CVE : CVE-2008-0015 [5]

▶  악성코드 공격특성  
   격을 수행한 악성코드는 파일명 msiexec2.exe(파일길이 : 33,841 바이트)’으로   이 파일은 실행될 때 uregvs.nls 파일을 생성하고 EXE 파일에는 코드 내부에 공격 리스트를 담고 있음.
  실제 공격을 수행하는 파일은 DLL 파일로 현재까지 perfvwr.dll(파일 길이 : 65,536 바이트) wmiconf.dll(파일 길이 : 67,072 바이트) 2개의 파일이 발견됐으며, DLL 파일은 공격할  리스트를 읽어 들여 해당 사이트로 공격함

▶  감염후 증상
   염된 PC를 좀비컴퓨터로 만들어 분산서비스공격(DDoS)를 수행. 악성코드가 만들어내는 트래픽은 한 PC에서 초당 1,050 패킷으로 100 킬로 바이트 정도 발생

▶  대응방법
  1) 응급패치 실시:  MS공식 패치는 아닙니다.
        (주) NSHC보안연구소에선 관련된 임시보안패치를 배포중입니다. 하지만  기존의 동영상서비스 이용에 문제가 발생할 수 도 있으니 안전이 더 우선시되는 곳에서만 배포하라고 권하고 있던군요...  
배포 URL: http://www.nshc.net/bbs.php?table=sub_nshc_04_01&query=view&uid=626 

  2) Outbreak Prevention 실시
      실행파일에 대한  쓰기 금지 또는 실행차단을 할 것
      msiexec1.exe  msiexec2.exe  msiexec3.exe  wmcfg.exe  wversion.exe
      perfvwr.dll  wmiconf.dll   uregvs.nls

▶  악성코드에 포함된 공격사이트 리스트

국내 사이트
http://www.president.go.kr/ (청와대), http://www.mnd.go.kr/ (국방부), http://www.mofat.go.kr/ (외교통상부), http://www.assembly.go.kr/ (대한민국 국회), http://www.usfk.mil/ (주한 미군), blog.naver.com (네이버 블로그), mail.naver.com (네이버 메일), banking.nonghyup.com (농협 인터넷 뱅킹), ezbank.shinhan.com (신한은행 인터넷 뱅킹), ebank.keb.co.kr (외환은행 인터넷 뱅킹), http://www.hannara.or.kr/ (한나라당), http://www.chosun.com/ (조선일보), http://www.auction.co.kr/ (옥션)

미국 사이트
http://www.whitehouse.gov/, http://www.faa.gov/, http://www.dhs.gov/, http://www.state.gov/, http://www.voanews.com/, http://www.defenselink.mil/, http://www.nyse.com/, http://www.nasdaq.com/, finance.yahoo.com, http://www.usauctionslive.com/, http://www.usbank.com/, http://www.washingtonpost.com/, http://www.ustreas.gov/ 

크리에이티브 커먼즈 라이센스
Creative Commons License

우키 보안운영/취약성

2009/07/09 00:50 2009/07/09 00:50
Trackback Address:http://wsecurity.cafe24.com/trackback/118