WMF 취약점 관련 악성코드 유포 웹사이트 및 메일서버 분석 사례

WMF 취약점 관련 악성코드 유포 웹사이트 및 메일서버 분석 사례 

다운로드 ===>  WMF 취약점 관련 악성코드 유포 웹사이트 및 메일서버.pdf

 [자료: 한국정보보호진흥원(KISA)]

__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 - 2 -
1. 개요
취약점이 알려지기 이전에 해당 취약점을 공격하는 것을 흔히 “제로데이 공격”이라고 한다. 제
로데이 공격은 시스템 운영자들이 공격에 대비할 수 있는 시간도 없고, 보안 패치도 없는 상태에
서 무방비 상태로 공격에 노출되어 대규모의 피해가 발생될 수 있는 심각한 공격이다. 그런데,
WMF(Windows Meta File) 취약점을 이용한 제로데이 공격이 2006년 시작과 함께 발생하여 연초
부터 각 기관의 보안 담당자들을 긴장시켰다. WMF는 윈도우에서 사용되는 그래픽 파일로서 MS
오피스의 클립아트 등에 사용되고 있다. WMF 취약점은 2005년 12월 27일 해외 유명 보안 사이트
를 통해 알려졌으며, 이 취약점을 이용한 공격이 웹사이트, E-mail, MSN 메신져 등 다양한 경로
를 통해 광범위하게 이루어졌다. MS사에서는 이례적으로 정기 패치 발표일에 앞서 2006년 1월 6
일 긴급 보안 패치를 보급하기도 하여 이 사건의 심각성을 짐작할 수 있다.
국내 서버들이 해킹의 경유지 서버로 많이 이용되고 있는데 이번 WMF 취약점을 이용한 제로데이
공격에서도 국내 웹사이트와 메일서버가 공격에 이용되어, 각각의 서버에 대한 사고분석을 진행하였다.
WMF 취약점을 이용하여 악성코드를 유포하는 웹 사이트의 경우 지난해 극성을 떨었던 중국발
해킹과 마찬가지로 해당 웹 사이트를 방문만 하더라도 감염이 될 수 있었던 상황이었다. 특히 이
번 사건의 경우 취약점에 대한 보안 패치가 없는 상태였으므로 해당 웹사이트 방문자의 대다수가
감염되었을 것으로 추정된다.
또한, WMF 악성코드를 첨부하여 스팸메일을 발송한 국내 메일서버의 경우 1만여명 이상의 특
정 사용자들을 대상으로 공격용 메일을 발송하였다. 미국, 대만 등 전세계 정부기관 및 주요 민간
기업을 주요 공격 대상으로 하였으며, 한국 사용자들에게 일부 공격 메일이 발송된 흔적을 발견할
수 있었다. 특정 사용자들을 타겟으로 한 이 공격은 지난 2003년의 Peepview 사건과 마찬가지로
특정 목적을 지닌 공격이 아닌가 의심스럽게 하고 있다.
본 문서에서는 WMF 취약점을 이용하여 악성코드를 유포한 국내 웹 사이트와 메일서버를 각각
분석한 내용을 살펴보도록 한다.
2. 악성코드 유포 웹사이트 분석
2006년 1월 3일, 국내 A업체의 홈페이지에 악성코드 다운로드 링크가 삽입된 것이 인지되어 홈
페이지 분석 작업을 진행하였다.
확인 결과, 해커는 해당 서버에 WMF 취약점 공격 프로그램을 설치한 후, 해당 업체의 홈페이
지 접속 시 공격 프로그램이 다운로드 되도록 링크를 삽입한 것으로 확인되었다. 해당 프로그램
이 사용자 PC에서 실행될 경우, 키로거 프로그램과 원격제어 프로그램이 설치되어 개인정보가 유
출 뿐만 아니라 원격에서 해커에 의해 시스템이 완전히 장악될 수 있다.
KrCERT-IN-2006-01 http://www.krcert.or.kr
WMF 취약점 관련 악성코드 유포 웹사이트 및 메일서버 분석 사례 cert@krcert.or.kr
_______________________________________________________________________________________ _
__________________________________________________________________________________________