보안 위협 분석 보고서

Similar documents
< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

*2008년1월호진짜

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

ActFax 4.31 Local Privilege Escalation Exploit

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

untitled

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

RHEV 2.2 인증서 만료 확인 및 갱신

MF5900 Series MF Driver Installation Guide

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀

Adobe Flash 취약점 분석 (CVE )

Secure Programming Lecture1 : Introduction

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

ìœ€íŁ´IP( _0219).xlsx

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

목 차 1. 개 요 배경 요약 정보 대상시스템 원리 공격 기법 및 기본 개념 Heap Spray Font 공 격..

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

목 차 1. 드라이버 설치 설치환경 드라이버 설치 시 주의사항 USB 드라이버 파일 Windows XP에서 설치 Windows Vista / Windows 7에서 설치 Windows

스턱스넷 상세 분석 보고서

Studuino소프트웨어 설치

Xcovery 사용설명서

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8

07_alman.hwp

JDK이클립스

Internet Explorer 11 자동업데이트방지 사용자가이드 작성일 : Version 1.0

#WI DNS DDoS 공격악성코드분석

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

ISP and CodeVisionAVR C Compiler.hwp

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

슬라이드 1

Windows Server 2012

Windows 8에서 BioStar 1 설치하기

Install stm32cubemx and st-link utility

NTD36HD Manual

CODESYS 런타임 설치과정

<41736D6C6F D20B9AEBCADBEE7BDC42E687770>

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

목차 개요...3 iusb 만들기...5 iusb 사용 보안영역에로그인 보안영역에서로그아웃 하드웨어안젂하게제거 비밀번호변경 설정...19 USB 초기화...21 iusb 정품등록...24 iusb 의기타기능

ICAS CADWorx SPLM License 평가판설치가이드

201112_SNUwifi_upgrade.hwp


6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO

A SQL Server 2012 설치 A.1 소개 Relational DataBase Management System SQL Server 2012는마이크로소프트사에서제공하는 RDBMS 다. 마이크로소프트사는스탠다드 standard 버전이상의상업용에디션과익스프레스 exp

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

리눅스 취약점대응방안권고 / KISA 취약점점검팀 영향받는플랫폼 OS, FAQ 추가 개요 미국보안회사 에의해 시스템의 라이브러리 의특정함수에서임의코드를실행할수있는취약점이공개 해당취약점은 CVE 지정, 도메인네임을

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

<31305FBEC6C0CCC5DB2E687770>

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 운영체제의버전확인은어떻게확인하나요? 3 Q5. 보안패치는어떻게하나요? 4 Q6. 보안패치가됐

MF Driver Installation Guide

BEA_WebLogic.hwp

Microsoft Word - src.doc

Red Alert Malware Report

System Recovery 사용자 매뉴얼

문서의 제목 나눔고딕B, 54pt

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

A Hierarchical Approach to Interactive Motion Editing for Human-like Figures

문서의 제목 나눔고딕B, 54pt

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

5th-KOR-SANGFOR NGAF(CC)

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

View Licenses and Services (customer)

Microsoft PowerPoint - Kaspersky Linux Server 제안서.pptx

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

내PC지키미 사용자메뉴얼

CPU 점유율이 100%시 대처방법

방송통신기술 이슈&전망 2013년 제 28 호 요약 본고에서는 차세대 지능형 전력망이라 불리우는 스마트그리드에 대한 일반적인 개 념 및 효과에 대해 알아보고, 현재 스마트그리드 구축에 있어 이슈가 되고 있는 사 이버 보안측면에서 고려해야 할 위협요소와 취약성에 대해 살

XCom v2.x User's Manual

08_spam.hwp

<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707

Endpoint Protector - Active Directory Deployment Guide

< F69736F6E696E6720BEC7BCBAC4DAB5E520B0A8BFB020BBE7B0EDBAD0BCAE20BAB8B0EDBCAD2E687770>

PowerPoint Presentation

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 보안패치는어떻게하나요? 3 Q5. 보안패치가됐는지어떻게확인하나요? 5 Q6. 스마트폰도랜섬웨

Microsoft Word - AntiVirus 2008_FAQ.doc

목 차 DEXTUpload Pro 소개 시스템 요구 사항 기능 및 특징 시스템 구성도 벤치마킹 적용 효과 유지보수 안내 담당자 안내

H3250_Wi-Fi_E.book

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

PowerPoint Template

유포지탐지동향

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3

Microsoft PowerPoint - AME_InstallRoutine_ver8.ppt

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

슬라이드 제목 없음

Transcription:

[ 보안위협분석보고서 ] 윈도우단축아이콘핸들링 제로데이 (0-day) 취약점상세분석보고서 2010. 07. 19 ( 주 ) 하우리사전대응팀

본정보는보안위협에대한신속한정보공유를위해각정부기관및기업정보보호담당자를대상으로배포됩니다. 목차 1. 보안위협동향분석... 1 1-1. 윈도우단축아이콘핸들링제로데이 (0-day) 취약점을이용한악성코드발견... 1 2. 취약점상세분석... 4 2-1. [MSA2286198] Windows Shell 의취약점으로인한원격코드실행문제점... 4 2-1-1. Windows Shell Shortcut Parsing Vulnerability - CVE-2010-2568... 4 3. 하우리사전대응팀... 8 1

1. 보안위협동향분석 1-1. 윈도우단축아이콘핸들링제로데이 (0-day) 취약점을이용한악성코드발견 7월 16일 MS에서는 Windows Shell.LNK 취약점 (CVE-2010-2568) 에대한제로데이 (0-day) 공격을발견하고이에따라보안권고 (2286198) 을발표했다. 해당취약점은윈도우컴포넌트인 Windows Shell이단축아이콘을처리하는과정에서발생하는취약점이다. 이취약점을이용하면 USB와같은이동식저장매체를통해쉽게악성코드를유포할수있다. 이번에발견된제로데이취약점을이용한악성코드는이미오래전부터유포되어온것으로추정되며, 세계적인전기전자기업인지멘스 (Siemens) 의 WinCC SCADA 시스템을타겟으로공격한다. 견된악성코드는.LNK 취약점을이용하였다는차이점이있다. 해당악성코드는내부에포함된문자열을토대로 Stuxnet 이라명명되었다. 다음은지멘스 (Siemens) WinCC SCADA 시스템이다. SCADA 시스템이란원거리에있는장비들을한곳에서집중감시하며제어할수있는시스템을말하며, 이시스템은외부망과분리되어있다. 지멘스에서개발된 SCADA 소프트웨어인 WinCC 프로그램을이용해서시스템을모니터링하고컨트롤할수있다. 이번취약점은윈도우 XP, 윈도우서버 2003, 윈도우비스타, 윈도우서버 2008, 윈도우 7을포함한모든버전의윈도우가영향을받으며, 32비트 64비트버전모두가해당된다. 또한, USB에감염된악성코드를다시모든 USB에전파시킬수있기때문에웜으로이용되거나수많은악성코드에악용될것으로예상되므로사용자의각별한주의가필요하다. 공식패치가발표되기전까지아이콘핸들러에대한레지스트리값을삭제하고, WebClient 서비스를정지시켜단축아이콘이나타나지않도록하여임시조치를취할수있다. 하지만, 아이콘이나타나지않아사용자들의불편이발생한다. 단축아이콘 (Shortcut) 은.LNK 확장자를사용하며, 프로그램을편리하게실행하기위해원본과의연결상태를파일로만들어놓은윈도우파일이다. < 지멘스 (Siemens) WinCC SCADA 시스템 > 해당악성코드는지멘스 (Siemens) WinCC SCADA 프로그램을찾아서, 해당프로그램이설치되어있을경우기본패스워드를사용하여로그인을시도한다. 이것은 SCADA 프로그램을사용하는시스템이외부망과분리되어있기때문에비교적접근이용이한 USB 드라이브와제로데이취약점을노린것으로보인다. 악성코드는 mrxcls.sys, mrxnet.sys 두개의드라이버파일을시스템에설치한다. <Stuxnet - 생성된 2 개의드라이버파일 > 이드라이버파일들은대만의유명랜카드회사인리얼텍세미컨덕터 (Realtek Semiconductor) 의인증서로위장해서명되어있다. <VirusBlokAda - Stuxnet 악성코드발견 > 7월 17일벨라루스 (Belarus) 의안티바이러스업체인 VirusBlokAda 를통해서 Windows Shell.LNK 취약점을이용한 2개의악성코드가최초보고되었다. USB 및기타이동저장장치악성코드는일반적으로윈도우오토런파일 (autorun.inf) 을이용하지만이번에발 1

<Stuxnet - 드라이버파일의디지털서명정보 > <Stuxnet - 드라이버파일의디지털서명정보 > 인증서는 VeriSign에의해인증되는유효한인증서이다. 악성코드제작자가어떠한경로로개인키를획득하여디지털서명을했는지는아직밝혀지지않았다. 또한이와더불어드라이버파일은루트킷기능을수행하여악성코드파일들을은폐시켜탐지를어렵게하기도했다. Stuxnet 악성코드는 2개의 tmp 파일 (~WTR4141.tmp, ~WTR4132.t mp) 과 4개의단축아이콘을생성하여 USB를감염시킨다. 다음은 ~WTR4141.tmp을연결하는단축아이콘의내부파일정보이다. < 악성코드가생성한단축아이콘의내부파일정보 > ~WTR4141.tmp 파일은주요악성코드의역할을수행한다. <Stuxnet - 드라이버파일의디지털서명정보 > Stuxnet 악성코드는백신을우회하기위해드라이버파일들을서명하는방법을사용하였다. 이는특정백신프로그램이서명된파일에대해서는정상파일로판단하고통과시키는것을악용한것으로추정된다. 드라이버파일들은다음그림과같이 1월 25일에서명되었으며인증서의유효기간은 6월 12일까지로되어있다. 따라서해당기간동안백신에탐지되지않고있던악성코드가인증서의유효기간이만료되자 VirusBlokAda에의해최초발견된것으로추측되며 VirusBlokAda 측에서는관련된내용을리얼텍에확인요청하였다. 현재, 베리사인 (VeriSign) 측은이인증서에대해사용하지못하도록조치한상태이다. <~WTR4141.tmp 파일 > 2

7월 16일기준으로 Stuxnet 악성코드유포지에대한 MMPC(Micro soft Malware Protection Center) 의통계를살펴보면특히이란과인도네시아에공격이집중되어다는것을아래도표를통해서알수있다. 2. 레지스트리편집기를열어다음의레지스트리키경로로이동한다. - 경로 : HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler < 레지스트리경로이동 > < 출처 : MMPC - Stuxnet 악성코드감염국가별분포 > 3. 레지스트리편집기에서파일-> 내보내기를선택한다. - 파일이름을 LNK_Icon_Backup.reg로지정하고레지스트리키를백업한다. 또한 Stuxnet 악성코드감염은계속해서보고되고있으며지난몇일새하루에약 1000여대이상씩증가추세를보이고있다. < 레지스트리키백업 > 4. 해당레지스트리키의데이터값을삭제한다. < 출처 : MMPC - Stuxnet 악성코드증가율 > Windows Shell.LNK 취약점임시대응방안 MS에서공식패치를제공하기전까지취약점공격에사용될수있는레지스트리키값을삭제하여임시조치할수있다. 1. 시작-> 실행에 regedit를입력하여레지스트리편집기를실행한다. < 레지스트리편집기실행 > < 레지스트리키의데이터값삭제 > 5. 인터넷익스플로러또는윈도우를재시작한다. 이번제로데이취약점을이용한악성코드는지멘스 (Siemens) 의 WinCC SCADA 시스템을타겟으로공격했다. 이번악성코드의유포는스마트그리드 ( 차세대전력망 ) 와같은국가적위험을초래하는폐쇄망시스템을타겟으로했다는점에서의미가크다. 악성코드의위협이개인에서이제는국가적인범위까지점점확장되고있다. 외부네트워크와차단되어안전하다고생각했던폐쇄망에대한보안대책을다시한번논의해보아야할것이다. 3

2. 취약점상세분석 2-1. [MSA2286198] Windows Shell의취약점으로인한원격코드실행문제점 (1) 취약점개요마이크로소프트윈도우의컴포넌트인 Windows Shell이단축아이콘내에존재하는파일의링크를처리하는과정에서, 악의적인파일의실행요청을적절하게검증하지못해원격의공격자로부터명령코드의실행을허용할수있는취약점이발견되었다. 공격자는취약점을이용해특수한단축아이콘을생성한후, 사용자에게전송하는방식으로공격을수행한다. 사용자가공격자로부터전송된단축아이콘을직접실행하지않더라도, 아이콘을확인하는순간원격의명령코드가실행된다. 해당취약점은로컬시스템또는네트워크로연결된파일시스템에특수하게조작된단축아이콘이존재해야공격이가능하다는단점이있지만, USB 웜과같은형태로전파되거나네트워크공유, 이메일, 게시판등을통해실행을유도하는사회공학적기법으로공격을수행할수있다. 현재해당취약점에대한공식패치가제공되고있지않은상태이기때문에사용자의각별한주의가요구된다. - Windows Server 2008 for Itanium-based Systems, SP2 - Windows 7 for 32-bit Systems - Windows 7 for x64-based Systems - Windows Server 2008 R2 for x64-based Systems - Windows Server 2008 R2 for Itanium-based Systems (2) 취약점상세분석 2-1-1. Windows Shell Shortcut Parsing Vulnerability - CVE-2010-2568 취약점이발생하는 LNK 파일은자체적으로데이터를저장하고있지않으며, 데이터의경로만지정해주는링크파일로써흔히 단축아이콘 이라는이름으로불린다. LNK파일의포맷은아래의 URL을통해확인할수있다. http://msdn.microsoft.com/enus/library/dd871305(prot.10).aspx <LNK 파일포맷정보 > 취약점유형중요도패치공개일참조사이트 원격코드실행긴급현재해당취약점에대한패치가공개되지않았음 ( 취약점공개일 : 2010년 7월 16일 ) http://www.microsoft.com/technet/security/adv isory/2286198.mspx LNK 파일을에디터로열어 0x05 바이트부터 16바이트크기로저장된 LinkCLSID 필드를확인하면 CLASS-ID(00021401-0000-0000- C000-000000000046) 가저장된것을확인할수있다. 취약점식별코드취약시스템 - CVE-2010-2568 - Windows XP SP3 - Windows XP Professional x64 Edition SP2 - Windows Server 2003 SP2 - Windows Server 2003 x64 Edition SP2 - Windows Server 2003 with SP2 for Itaniumbased Systems - Windows Vista SP1, SP2 - Windows Vista x64 Edition SP1, SP2 - Windows Server 2008 for 32-bit Systems, SP2 - Windows Server 2008 for x64-based Systems, SP2 <LinkCLSID 필드의 CLASS-ID> 해당 CLASS-ID는 LNK 파일의핸들러로써, shell32.dll 파일로연결된다. 단축아이콘을더블클릭할경우 shell32.dll을통해실제프로그램이호출된다. <LNK 파일의핸들러 > 4

LNK 파일은유일하게응용프로그램을링크하는데사용되는것같지만, 실제로제어판에존재하는아이콘들역시 LNK 파일로구성되어있다. 일반응용프로그램의 LNK 파일은단순히실행파일의경로를지정하고있지만, 제어판애플릿아이콘은 cpl 파일을실행하기위한정보가추가되어있다. cpl 파일은 dll 파일로써제어판을통해실행되는프로그램을의미한다. < 제어판애플릿아이콘의 LNK 파일구조 > < 일반적인응용프로그램의 LNK 파일구조 > 파일이제어판에속한아이콘일경우, ItemList의두번째아이템의제어판식별자를통해식별할수있으며, 파일의속성을확인하면다음과같이대상위치가제어판으로식별되는것을확인할수있다. File Header뒤의 File Path는실제적으로 ItemList 구조체로이루어져있으며, ItemList 구조체를살펴보면 Item에대한정보들이배열형태로저장되어있다. 해당 Item은 LNK 파일의특성에따라하나이거나그이상일수있다. <Item List 구조체 > 이를실제데이터에매칭시키면아래와같이표현될수있다. 0x0014와 0x00BE가데이터의길이가되며, 뒤에붙는데이터가해당길이에맞게입력되어있다. < 제어판애플릿아이콘의 LNK 파일속성 > 파일포맷에서기인하는이러한차이점으로인해, 제어판애플릿아이콘의경우일반 LNK 파일과구별되는큰특징을갖고있다. 제어판에존재하는 LNK 파일의일부는화면에보여지는순간, cpl 파일이로드되는특성이있다. 다음과같이 ProcessMon을통해확인할경우, 제어판에들어있는일부 cpl 파일이자동으로로드되는것을확인할수있다. <ItemList 맵핑정보 > 제어판애플릿아이콘인경우일반응용프로그램 LNK 파일보다한개더많은 Item 필드가존재한다. cpl 파일처리와관련된 ItemList 구조체정보는공개되어있지않기때문에, 해당구조체에대한자세한정보는알수없다. < 제어판접속시 cpl(dll) 파일로딩 > 5

제어판애플릿아이콘의이러한특성을이용할경우, 일반적인 LNK 파일을제어판애플릿아이콘과유사하게조작하여 LNK 파일이저장된폴더를여는순간특정 DLL 파일이실행되도록유도할수있다. 제어판애플릿아이콘중 cpl 파일이자동으로로드되는아이콘과그렇지않은아이콘을비교함으로써, 이러한차이를보이는필드를손쉽게파악할수있다. 자동실행되는아이콘과그렇지않은아이콘을비교한결과 ItemList가사이즈필드를제외하고모두동일하였으나, cpl에대한정보를설정하는구조체의두번째필드가차이를보이는것이확인되었다. 따라서구조체에대한정보가공개되지않았으나, 해당필드를 0으로설정할경우 Windows Shell에의해자동으로실행되도록설정되는구조적인문제점이존재하는것으로확인되었다. < 변경후의 LNK 파일 > 필드에대한조작이끝난후, 실행될파일의경로를지정한다. < 실행파일경로조작 > 파일을저장한후 LNK 파일이존재하는디렉터리에접근하는순간, 핸들러인 shell32.dll의 LoadLibraryW API를통해 xxx.dll을호출하여 dll 파일이실행된다. 취약점이발생하는순간의콜스택은아래와같다. < 자동실행여부설정필드파악 > 이러한정보를기반으로자동실행되지않는단축아이콘을제어판애플릿의자동실행아이콘으로조작함으로써, 악의적인 DLL파일을실행하는 LNK 파일을생성할수있다. 세번째에위치한 cpl 관련구조체의두번째필드를 0으로조작한다. < 취약점이발생하는순간의콜스택 > LoadCPLModule 함수내부에서 LoadLibraryW API가 xxx.dll 파일을로드한다. < 변경전의 LNK 파일 > 6

의 3번째아이템 ) 의두번째에위치한필드 ( 절대오프셋 : 0x7A) 를확인하여값이아래와같이조작되었는지확인한다. - ItemList의 3번째아이템의두번째필드 ( 절대오프셋 : 0x7A) 의 4 바이트가 0인경우 < 공격자의 dll 호출 > xxx.dll이로드되는순간 dll main 함수가실행되며, 공격자가의도한명령코드가실행된다. 또한해당취약점을이용하는공격자는명령코드실행을위해별도의 dll을전송해야한다. LNK 파일을파싱한후 cpl 관련구조체 (ItemList의 3번째아이템 ) 의두번째에위치한필드 ( 절대오프셋 : 0x7A) 가 0인경우, 저장된파일의링크를확인해야한다. 파일의경로가제어판애플릿아이콘의 cpl 파일이위치하는 c:\windows\system32\ 가아닌경우, 취약점을내포한 LNK 파일로판단할수있다. < 원격명령코드실행 > < 조작된 LNK 파일 > (3) 취약점탐지방안 해당취약점을탐지하기위해서는 LNK 파일이제어판애플릿아이콘과같이, 자동실행되는형태로조작되었는지확인해야한다. LNK 파일을파싱한후, ItemList 구조체를검색하여두번째아이템에아래와같은제어판애플릿아이콘속성을갖는식별자가존재하는지검사해야한다. - 제어판애플릿아이콘식별자 20 20 EC 21 EA 3A 69 10 A2 DD 08 00 2B 30 30 9D <ItemList 의제어판애플릿아이콘식별자확인 > 제어판애플릿아이콘으로판단될경우, cpl 관련구조체 (ItemList 7

3. 하우리사전대응팀 하우리사전대응팀은취약점등최신보안위협의분석을통해해킹및악성코드로발전할수있는가능성을 연구하여사전에예방하는활동을수행합니다. 기타문의사항은아래의연락처로문의주시기바랍니다. 하우리사전대응팀최상명 Tel: 02-3676-1100 내선 : 145 Email: sionics@hauri.co.kr 8

2024 © docsplayer.org 개인정보보호 | 약관 | 지원