MS제로데이 취약점 패치 공개...최근 DDoS 공격 원인일 수 있어

공격수행 악성코드 발견...리스트에 포함된 사이트 공격대상

청와대와 네이버, 옥션 등을 포함한 국내 주요 홈페이지가 접속 장애를 겪는 등 국내 인터넷 일부가 DDoS 공격으로 인한 마비 현상을 보이고 있는 가운데, DDoS 공격의 원인은 최근 보고된 MS의 제로데이 취약점을 노린 악성코드가 유력한 것으로 파악되고 있다.

방송통신위원회(위원장 최시중)과 한국정보보호진흥원(원장 황중연, 이하 KISA)은 7일 오후 7시경부터 대량 유해 트래픽을 수반하는 분산서비스거부공격(DDoS)으로 인하여 국내 일부 사이트에 대한 인터넷 접속이 지연되거나 접속이 되지 않아, 사용자들의 주의가 필요하다고 밝혔다.

공격을 수행한 악성코드는 파일명 ‘msiexec2.exe(파일길이 : 33,841 바이트)’으로 V3 진단명은 ‘Win-Trojan/Agent.33841’인 것으로 전해졌다. 이 파일은 실행될 때 ‘uregvs.nls’ 파일을 생성하고 이 EXE 파일에는 코드 내부에 공격 리스트를 담고 있다.

▲악성코드에 포함돼 있는 공격 대상 사이트 주소 ⓒ보안뉴스

실제 공격을 수행하는 파일은 DLL 파일로 현재까지 perfvwr.dll(파일 길이 : 65,536 바이트, V3 진단명 : Win-Trojan/Agent.65536.VE)과 wmiconf.dll(파일 길이 : 67,072 바이트, V3 진단명 : Win-Trojan/Agent.67072.DL) 등 2개의 파일이 발견됐으며, DLL 파일은 공격할 리스트를 읽어 들여 해당 사이트로 공격한다.

[악성코드에 포함된 공격 사이트 리스트]

국내 사이트

www.president.go.kr (청와대), www.mnd.go.kr (국방부), www.mofat.go.kr (외교통상부), www.assembly.go.kr (대한민국 국회), www.usfk.mil (주한 미군), blog.naver.com (네이버 블로그), mail.naver.com (네이버 메일), banking.nonghyup.com (농협 인터넷 뱅킹), ezbank.shinhan.com (신한은행 인터넷 뱅킹), ebank.keb.co.kr (외환은행 인터넷 뱅킹), www.hannara.or.kr (한나라당), www.chosun.com (조선일보), www.auction.co.kr (옥션)

미국 사이트

www.whitehouse.gov, www.faa.gov, www.dhs.gov, www.state.gov, www.voanews.com, www.defenselink.mil, www.nyse.com, www.nasdaq.com, finance.yahoo.com, www.usauctionslive.com, www.usbank.com, www.washingtonpost.com, www.ustreas.gov

이 악성코드는 감염된 PC를 좀비컴퓨터로 만들어 분산서비스공격(DDoS)를 수행한다. 이 악성코드가 만들어내는 트래픽은 한 PC에서 초당 1,050 패킷으로 100 킬로 바이트 정도 발생한다. 이 악성코드는 여러 사이트를 공격하기 때문에 특정 사이트가 받는 트래픽은 한 PC당 초당 100 패킷, 7 킬로바이트 정도로 파악되고 있다. 따라서 웹서비스에 대해 장애를 일으키기 위해서는 상당수의 감염 컴퓨터가 존재해야 할 것으로 보여 현재 많은 PC가 해당 공격 악성코드에 감염됐을 것으로 추정되고 있다.

현재까지 이 악성코드의 정확한 전파 경로는 알려져 있지 않고 있지만 이 악성코드와 연관된 다른 악성코드는 이전에도 나타났던 것으로 확인되고 있다.

[관련자료]

- 신종 분산서비스거부공격(DDoS)에 따른 "주의" 경보발령 (KrCERT/CC)

http://www.krcert.or.kr/noticeView.do?num=340

http://xcoolcat7.tistory.com/520

이번 공격은 MS 윈도우즈의 MPEG2TuneReuqest Active-X 제로데이 취약점에 따른 것으로 파악되고 있다. 최근 여러 보안 업체 및 기관에서는 MS 윈도우즈의 비디오 스트리밍을 위한 Active-X 컨트롤에 원격 코드 실행 취약점이 발견됐다고 전하고 있기 때문. 현재 해당 취약점을 이용한 공격 및 피해 사례가 급증하고 있으며, 이 취약성으로 인한 악성코드가 나타나 국내의 PC들이 좀비 PC로 만들고, DDoS 공격의 Agent 및 봇넷 형태로 활용되고 있다.

문제는 아직까지 MS는 이 취약점에 대한 공식 보안 패치를 제공하지 않고 있다는 것으로, NSHC는 이 취약점 관련 비공식 보안 패치 작업을 시작해 8일 AM 5:00에 완료했다고 밝히고 있다.

# 긴급 패치파일 파일 다운로드 주소

http://www.nshc.net/bbs.php?table=sub_nshc_04_01&query=view&uid=626

[MS 제로데이 취약성으로 인한 피해사례]

o 마이크로소프트 윈도우즈의 비디오 스트리밍을 위한 ActiveX 컨트롤(msvidctl.dll)의 버퍼플로우

o 마이크로소트프는 본 취약점에 대해 Security Advisory를 발표함.

o 공격자는 악의적인 웹 사이트에 사용자가 접속하도록 유도하여 공격자가 심어놓은 코드 실행

※ TV 튜너 지원을 제공하는데 사용되는 MPEG2TuneReuqest ActiveX 컨트롤 취약점

※ 관련 CLSID : 0955AC62-BF2E-4CBA-A2B9-A63F772D46CF 외 44개 [1]

※ 관련 CVE : CVE-2008-0015 [5]

[영향 받는 시스템]

o 영향 받는 소프트웨어

- Windows XP Service Pack 2 and Windows XP Service Pack 3

- Windows XP Professional x64 Edition Service Pack 2

- Windows Server 2003 x64 Edition Service Pack 2

- Windows Server 2003 with SP2 for Itanium-based Systems

o 영향 받지 않는 소프트웨어

- Microsoft Windows 2000 Service Pack 4

- Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2

- Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1

- Windows Server 2008 for 32-bit Systems

- Windows Server 2008 for x64-based Systems

- Windows Server 2008 for Itanium-based Systems

[오병민 기자(boan4@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)