WMF 취약점 관련 악성코드 유포 웹사이트 및 메일서버 분석 사례

WMF 취약점 관련 악성코드 유포 웹사이트 및 메일서버 분석 사례 

다운로드 ===>  WMF 취약점 관련 악성코드 유포 웹사이트 및 메일서버.pdf

 [자료: 한국정보보호진흥원(KISA)]

__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 - 2 -
1. 개요
취약점이 알려지기 이전에 해당 취약점을 공격하는 것을 흔히 “제로데이 공격”이라고 한다. 제
로데이 공격은 시스템 운영자들이 공격에 대비할 수 있는 시간도 없고, 보안 패치도 없는 상태에
서 무방비 상태로 공격에 노출되어 대규모의 피해가 발생될 수 있는 심각한 공격이다. 그런데,
WMF(Windows Meta File) 취약점을 이용한 제로데이 공격이 2006년 시작과 함께 발생하여 연초
부터 각 기관의 보안 담당자들을 긴장시켰다. WMF는 윈도우에서 사용되는 그래픽 파일로서 MS
오피스의 클립아트 등에 사용되고 있다. WMF 취약점은 2005년 12월 27일 해외 유명 보안 사이트
를 통해 알려졌으며, 이 취약점을 이용한 공격이 웹사이트, E-mail, MSN 메신져 등 다양한 경로
를 통해 광범위하게 이루어졌다. MS사에서는 이례적으로 정기 패치 발표일에 앞서 2006년 1월 6
일 긴급 보안 패치를 보급하기도 하여 이 사건의 심각성을 짐작할 수 있다.
국내 서버들이 해킹의 경유지 서버로 많이 이용되고 있는데 이번 WMF 취약점을 이용한 제로데이
공격에서도 국내 웹사이트와 메일서버가 공격에 이용되어, 각각의 서버에 대한 사고분석을 진행하였다.
WMF 취약점을 이용하여 악성코드를 유포하는 웹 사이트의 경우 지난해 극성을 떨었던 중국발
해킹과 마찬가지로 해당 웹 사이트를 방문만 하더라도 감염이 될 수 있었던 상황이었다. 특히 이
번 사건의 경우 취약점에 대한 보안 패치가 없는 상태였으므로 해당 웹사이트 방문자의 대다수가
감염되었을 것으로 추정된다.
또한, WMF 악성코드를 첨부하여 스팸메일을 발송한 국내 메일서버의 경우 1만여명 이상의 특
정 사용자들을 대상으로 공격용 메일을 발송하였다. 미국, 대만 등 전세계 정부기관 및 주요 민간
기업을 주요 공격 대상으로 하였으며, 한국 사용자들에게 일부 공격 메일이 발송된 흔적을 발견할
수 있었다. 특정 사용자들을 타겟으로 한 이 공격은 지난 2003년의 Peepview 사건과 마찬가지로
특정 목적을 지닌 공격이 아닌가 의심스럽게 하고 있다.
본 문서에서는 WMF 취약점을 이용하여 악성코드를 유포한 국내 웹 사이트와 메일서버를 각각
분석한 내용을 살펴보도록 한다.
2. 악성코드 유포 웹사이트 분석
2006년 1월 3일, 국내 A업체의 홈페이지에 악성코드 다운로드 링크가 삽입된 것이 인지되어 홈
페이지 분석 작업을 진행하였다.
확인 결과, 해커는 해당 서버에 WMF 취약점 공격 프로그램을 설치한 후, 해당 업체의 홈페이
지 접속 시 공격 프로그램이 다운로드 되도록 링크를 삽입한 것으로 확인되었다. 해당 프로그램
이 사용자 PC에서 실행될 경우, 키로거 프로그램과 원격제어 프로그램이 설치되어 개인정보가 유
출 뿐만 아니라 원격에서 해커에 의해 시스템이 완전히 장악될 수 있다.
KrCERT-IN-2006-01 http://www.krcert.or.kr
WMF 취약점 관련 악성코드 유포 웹사이트 및 메일서버 분석 사례 cert@krcert.or.kr
_______________________________________________________________________________________ _
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 - 3 -
□ 홈페이지 초기 화면에 WMF관련 iframe 링크 삽입
해커는 홈페이지 디렉토리에 Windows WMF 취약점 공격 프로그램인 ill.wmf 파일을 설치한 후,
피해 홈페이지 접속 시 다운로드 되도록 홈페이지의 초기 화면에 iframe 링크를 삽입하였다.
이와는 별도로 2개의 html 파일(happynewyear.html, a.html)이 생성되어 있었는데, 이 파일들 또
한 WMF 공격 프로그램 다운로드를 위한 iframe이 삽입되어 있었다. 이들 파일은 다른 악성코드 유
포지 사이트들에서 해당 파일들을 링크하도록 하였을 것으로 생각된다.
하지만, 해당 시스템에서는 웹로그를 남기지 않아 구체적인 공격 원인, 악성코드 삽입 페이지에 대한
접속자 현황 등은 파악할 수 없었다.
□ 백도어 등의 악성 프로그램 설치
해당시스템에는 TCP 12584 포트를 사용하는 백도어 프로그램(svchost.exe)과 TCP 8088번을 사용
하는 원격 제어 프로그램(pcshare.exe)이 설치되어 있었다.
544 java -> 8080 TCP C:₩jdk1.3.1_06₩bin₩java.exe
3512 PcShare -> 8088 TCP C:₩WINNT₩system32₩Microsoft₩Protect₩S-1-5-18₩User₩Gs₩PcShare.exe
1948 svchost -> 12584 TCP C:₩winnt₩svchost.exe
2196 dns -> 53 UDP C:₩WINNT₩System32₩dns.exe
WMF 악성코드를 유포하는 해당 홈페이지 방문을 통해 ill.wmf 파일이 홈페이지 접속자 PC에
서 실행되면 mail.exe라는 프로그램이 설치되게 되며, mail.exe 프로그램 실행을 통해 pcshare가 설치
된 원격 시스템으로 reverse 커넥션 형태로 접속이 되게 된다. 접속이 성공하게 되면, 해커는 pcshare를 통
해 접속된 PC의 제어가 가능하게 된다.
․백도어 프로그램(pcshare.exe) 설치 위치
c:winntsystem32MicrosoftProjectS-1-5-18UserGs
c:winntsystem32MacromedFlashGs
KrCERT-IN-2006-01 http://www.krcert.or.kr
WMF 취약점 관련 악성코드 유포 웹사이트 및 메일서버 분석 사례 cert@krcert.or.kr
_______________________________________________________________________________________ _
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 - 4 -
□ 터미널 서비스를 이용한 불법 접속
서버분석 작업을 진행 중, 외부 IP에서 Windows 터미널 서비스를 통해 접속하고 있는 것이 확
인되어, 외부 IP에 대한 Whois 조회 결과 중국에 할당된 IP(61.52.xxx.xxx)로 확인되었다.
분석 도중 해커와 동시에 접속을 한 경우, 해커가 피해 서버의 내용을 모두 삭제하는 경우가
발생할 수 있어 서버의 백업 작업을 진행하도록 조치하였으며, Windows의 IPSEC 기능을 이용하
여 터미널 서비스의 접속을 차단하였다.
3. 악성코드 유포 메일서버 분석
2006년 1월 4일, 해외 보안업체인 F-Secure로부터 WMF 취약점 공격용 메일을 유포하는 국내 B업
체의 메일서버 정보를 입수하여 해당 서버에 대한 현장 조사를 실시하였다.
해당 시스템은 Windows 2000 서버에 21/TCP(FTP), 25/TCP(Mail), 80/TCP(Web) 등 다양한 서비
스를 제공하고 있었으며, 데모용으로 사용되고 있었다.
사고 분석 결과, 관리자 권한을 가진 불법 계정을 생성한 후 해당 서버를 메일 릴레이 서버로 이용
하여 다량의 WMF 공격용 메일을 발송하였다. 공격용 메일은 “Confidential"이라는 제목이며,
”map.wmf"라는 WMF 취약점을 공격하는 파일을 첨부하고 있었다. 미국 정부기관, 대만 정부기관 등
세계 각국의 정부기관 또는 주요 민간기업을 대상으로 1만여개 이상의 메일을 발송하였다. 메일 발송
은 B업체에서 직접 보내지 않고, 국내 G 고등학교에서 발송하여, 국내 시스템들이 WMF 공격용 메
일 발송을 위한 발송 근원지 및 릴레이 서버로 악용되었다.
□ 메일 서버에서 외부 릴레이 허용
B업체의 메일서버는 사용자 계정으로 인증을 거쳤을 경우 외부에서의 릴레이를 허용하도록 설정되
어 있었다. WMF 공격용 메일이 발송되기 시작한 2005년 12월 30일에 Open Relay 서버의 블랙리스
트를 관리하는 njabl.org 사이트에 해당 서버가 블랙리스트에 등재되었다.
KrCERT-IN-2006-01 http://www.krcert.or.kr
WMF 취약점 관련 악성코드 유포 웹사이트 및 메일서버 분석 사례 cert@krcert.or.kr
_______________________________________________________________________________________ _
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 - 5 -
□ 메일서버 사용을 위한 Brute Force 공격 시도 실패
이벤트 로그 분석 결과 2005년 12월 30일 18시 12분경 guest와 administrator 계정으로 메일서버
사용을 위한 Brute Force 공격을 2~30회 시도하였으나 접속은 성공하지 못한 것을 확인할 수 있었다.
□ 확장 저장 프로시져인 xp_cmdshell 실행 성공
Brute Force 공격 실패 직후인 2005년 12월 30일
18시 14분에 MS-SQL 확장 저장 프로시져인
xp_cmdshell의 실행 성공 기록이 이벤트 로그에 남
아 있었다. xp_cmdshell은 MS-SQL 서버를 통해 임
의의 커맨드 명령을 실행할 수 있는 프로시져로써,
정상적인 웹 프로그램에서 사용할 수도 있으나 일
반적으로 공격자에 의해 많이 사용되고 있어 해당
기록이 공격에 의한 것으로 추정된다.
KrCERT-IN-2006-01 http://www.krcert.or.kr
WMF 취약점 관련 악성코드 유포 웹사이트 및 메일서버 분석 사례 cert@krcert.or.kr
_______________________________________________________________________________________ _
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 - 6 -
□ 불법계정 생성
B업체 시스템 운영자가 알지 못하는 관리자 권한을 가진 “user”라는 불법 사용자계정이 추가되어
있었으며, 해당 계정을 이용하여 공격용 메일이 발송되어진 것으로 보여진다.
□ 악의적인 WMF 파일을 첨부한 공격용 스팸 메일 발송
2006년 1월 4일 분석 당시 네트워크 회
선을 단절하여 발송되지 못한 924개의 공
격용 메일이 메일 큐에 쌓여 있었다.
공격용 메일은 “Confidential"이라는 제
목이며, ”map.wmf"라는 WMF 취약점을
공격하는 파일을 첨부하고 있으며, 미국
정부기관, 대만 등 세계 각국의 정부기관
및 민간기업에 다량의 메일을 발송하였다.
공격용 메일의 글자체가 “중국어
간체”로 되어 있어 중국에서 제작된
것으로 추정되며, 공격 메일에 첨부
된 map.wmf 파일을 실행할 경우 중
국 소유의 특정 사이트로부터 다시
트로이목마 프로그램을 다운로드 받
게 된다.
KrCERT-IN-2006-01 http://www.krcert.or.kr
WMF 취약점 관련 악성코드 유포 웹사이트 및 메일서버 분석 사례 cert@krcert.or.kr
_______________________________________________________________________________________ _
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 - 7 -
메일 헤더 분석결과, 최초 메일 발신지가 국내 G고등학교에서 관리하는 웹서버로 확인되었으며, G
고등학교의 웹서버 역시 해킹당하여 대량 메일 발송기(중국에서 제작)가 설치되었고 이 메일 발송기
에서 공격용 메일이 발송되었다.
Received: from WEBSERVER ([xxx.xxx.106.100]) by victim with Microsoft
SMTPSVC(5.0.2195.6713);
Mon, 2 Jan 2006 16:28:22 +0900
Subject: Confidential
From: "=?windows-1252?B?VG9tbXk=?=" <tommy@security.state.gov>
To: "jb11@nrc.gov"
또한, 메일 로그 분석 결과 아래와 같은 공격메일 발송 흔적이 남아 있었으며, 2005년 12월 30일부
터 2006년 1월 3일까지 G고등학교에서 B업체의 메일서버를 릴레이로 이용하여 1만여통 이상의 공격
용 메일을 발송하였다.
ex051230.log:2005-12-30 09:17:10 220.65.106.100 WEBSERVER SMTPSVC1 victim
192.168.2.170 0 MAIL - +FROM:<martinbrown@state.gov> 250 0 46 33 0 SMTP - - - -
ex051230.log:2005-12-30 09:17:10 220.65.106.100 WEBSERVER SMTPSVC1 victim
192.168.2.170 0 MAIL - +FROM:<martinbrown@state.gov> 250 0 46 33 0 SMTP - - - -
ex051230.log:2005-12-30 09:17:10 220.65.106.100 WEBSERVER SMTPSVC1 victim
192.168.2.170 0 MAIL - +FROM:<martinbrown@state.gov> 250 0 46 33 0 SMTP - - - -
ex051230.log:2005-12-30 09:17:11 220.65.106.100 WEBSERVER SMTPSVC1 victim
192.168.2.170 0 MAIL - +FROM:<martinbrown@state.gov> 250 0 46 33 0 SMTP - - - -
□ 공격대상 분석
메일로그에 남은 Unique한 공격 대상자는 1만여명이었으며, 미국 인터넷 사용자, 미국 정부기관,
대만 등 세계 각국의 정부기관 및 주요 민간기업이 대상이었으며, 국내 사용자 계정으로도 일부 메일
이 발송된 흔적이 남아 있었다. 하지만, 국내 사용자들의 경우 해당 메일을 수신하였으나 바로 삭제
하였거나, 해당 메일이 수신되지 않았다고 하여 피해는 없었던 것으로 확인되었다.
4. 결론
지난 2005년에 발생되었던 중국발 홈페이지 해킹사고의 경우 주로 게임 아이디/패스워드를 유
출하기 위한 악성 프로그램이 개인 PC에 설치되었다. 하지만 이번 WMF 취약점을 통해 감염되는
악성 프로그램은 단순히 게임 아이디/패스워드를 유출하는 수준을 넘어서 화면캡쳐, 키보드입력
내용 모니터링 등 감염된 PC에 대한 모든 제어권을 가질 수 있다. 원격 제어용 악성프로그램은
인증서 유출, 계좌번호 및 비밀번호 유출 등이 가능하여 이를 이용한 금융범죄의 위험성도 있다.
이미 지난해 말에도 개인의 금융정보를 노린 홈페이지 해킹이 증가할 것으로 예측하였는데, 이러한
예측은 이번 WMF 취약점을 이용한 공격 사례를 통해 그 가능성을 확인할 수 있었다. 특히, 이번 사
건은 아직 보안 패치가 발표되지 않은 취약점을 이용하여 은밀하게 이루어졌으며, 홈페이지를 통한
불특정 다수를 대상으로 함과 동시에 특정 사용자들에게 메일을 발송하는 등 targeting된 공격 양상
KrCERT-IN-2006-01 http://www.krcert.or.kr
WMF 취약점 관련 악성코드 유포 웹사이트 및 메일서버 분석 사례 cert@krcert.or.kr
_______________________________________________________________________________________ _
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터 - 8 -
도 보여 보다 치밀하고 범죄적인 양상을 띈 것을 확인할 수 있었다.
이처럼 최근 해킹은 국가기밀, 산업기밀, 개인의 금융정보 등을 노리는 각종 범죄적인 해킹이 급증
하고 있으며, 그 수법도 알려지지 않은 취약점을 악용할 정도로 교묘해 지고 있다. 따라서, 따라서,
주기적인 보안패치, 바이러스 백신 사용 등 기본적인 보안조치와 더불어 나의 정보는 내가 지킨다는
정보보호 인식을 가져야만 할 것이다. 최근 E-mail, 메신져, ActiveX 등을 통해 사용자를 속이는 사회
공학적인 공격도 증가하고 있음을 인식하여야 할 것이다.
또한, 서버관리자들도 단순히 자신의 서버가 해킹당하고 그치는 것이 아니라 해당 서버가 또 다른
해킹이나 범죄에 악용될 수 있어 피해자가 아닌 공격자가 될 수 있음을 인식해야 한다.