[긴급] 파이어폭스 제로데이 취약점 악용 악성코드 유포

ASEC, 프로세스 강제 종료 등 악의적인 기능들 수행할 것으로 분석

[보안뉴스 김정완] 노벨평화상 웹사이트에서 웹브라우저인 파이어폭스(Firefox)에 존재하는 기존에 알려지지 않은 제로데이(Zero-Day) 취약점을 악용해 악성코드를 유포한 사고가 유럽 현지 시각으로 10월 26일 발생했다.

▲모질라 시큐리티 블로그에서도 이와 관련한 정보들을 공개하고 있다. 사진은 모질라 시큐리티 블로그 관련 페이지 캡쳐 사진.

모질라 시큐리티 블로그에서도 이와 관련한 정보들을 공개하고 있으며 이번 제로데이 취약점에 영향을 받는 버전은 파이어폭스 3.5와 3.6 버전인 것으로 밝히고 있다.

이번에 발생한 파이어폭스에 존재하는 알려지지 않은 제로데이 취약점은 자바스크립트 형태를 가지고 있으며 이로 인해 특정 시스템에서 트로이목마를 다운로드 한 후 실행하는 것으로 알려져 있다.

이와 관련 안철수연구소(대표 김홍선) 시큐리티대응센터(ASEC)는 현재 파이어폭스에 존재하는 제로데이 취약점과 자바스크립트 형태의 악성코드에 대해서는 추가적인 정보 수집과 함께 자세한 분석을 진행 중에 있다고 밝히고 있다.

ASEC에 따르면, 현재 알려진 해당 웹브라우저의 제로데이 취약점으로 인해 다운로드 후 실행되는 파일은 트로이목마로서 백도어의 기능을 가지고 있으며 48,640바이트의 크기를 가지고 있다. 또한 다운로드되는 악성코드가 실행되면 자신의 복사본을 다음과 같이 생성한다.

C:\WINDOWS\temp\symantec.exe(48,640 바이트)

그리고 레지스트리에 다음 키들을 생성해 윈도우 시스템 재부팅시 자동 실행하도록 구성하고 있다.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Microsoft Windows Update = "C:\WINDOWS\temp\symantec.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Microsoft Windows Update = "C:\WINDOWS\temp\symantec.exe"

아울러 ASEC은 미국에 위치한 특정 시스템에 접속을 시도하나 분석 당시에는 정상적인 접속이 이루어지지 않으며 정상 동작을 하게 될 경우에는 △현재 실행 중인 프로그램 리스트 수집, △웹 브라우저로 접속중인 웹 사이트 주소들 수집, △프로세스 강제 종료, △커맨드라인(CommandLine) 명령 수행 등의 악의적인 기능들을 수행할 것으로 분석했다.

이번 파이어폭스의 알려지지 않은 제로데이 취약점을 악용해 다운로드 후 실행되는 악성코드는 V3 제품군에서는 ‘Win-Trojan/Belmoo.48640’으로 진단한다.

특히 이와 관련 ASEC는 파이어폭스를 개발하는 모질라에서 해당 제로데이 취약점을 제거하는 보안 패치를 배포하기 전까지 임시 대응 방안으로 △파이어폭스에서 자바스크립트 비활성화, △파이어폭스 노스크립트(NoScript) 플러그인 사용 등을 제안했다.

[김정완 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)