EG's Security World!!

KrCERT에서 공지한 내용 관련하여 악성코드 분석당시 상황은 이러했다.

MS08-067보안 패치가 되어 있지 않은 상태였고, 윈도우 방화벽도 해제되어 있었다.

※ MS08-067업데이트 유무 확인하기
XP경우 C:\Windows\ 폴더에 숨김/시스템 폴더 보기를 설정하게 되면...
$NT....(폴더명이 생각안난다.. ㅡ.ㅡ)
하지만... 그.. 폴더명을 보면.. .뒤에 숫자가 있는데...
기를 확인하면 설치된 보안업데이트 항목을 확인할수 있습니다.
예를들어 http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx같은 경우 페이지를 보면 958644를 확인할수 있으며.. $NT....958644 폴더가 있는지 유무로 업데이트되었는지 확인할 수 있다.

또한 445포트를 이용하여 랜덤으로 IP를 생성하여 10개의 공격 스캔하는 것을 확인할 수 있었고,
랜덤포트(분석당시 4832)를 열어 리슨상태에 있었다.

10개인 이유는 XP에서 제공하는 Half Connection(SYN_SENT상태 이후 작업이 이뤄지지 않음 형태)이 10개로 한정되어 있기 때문이고(EventID 4226: TCP/IP has reached the security limit imposed on the number of concurrent TCP connect attempts.),
리슨한 포트는... P2P형태로 악성코드를 공유하기 때문이다...

일명... 445포트로 스캔하고 취약점이 발견되면 리슨포트로 HTTP프로토콜 형식으로 악성코드를 리버스 리쿼스트하는 형태이다.

악성코드에 대해 설명을 드리면,

랜덤으로 생성되는 dll파일이 svchost.exe를 통해서 로드되며, 서비스로 등록이 된다.
TCPView를 통해서 살펴보면 관련된 445포트로 외부 IP로 접근할려는 시도를 하는게 확인이 되는데
해당된 DLL또한 Autoruns 또는 "서비스 관리->서비스"를 확인하면 로드된 dll을 확인할수 있다.

(그림 캡쳐를 함께 보여드리면 좋은데... 지금 회사가 아닌바람에.... ㅡ.ㅡ;;)

해결로 생각된게... MD5확인하는 것인데...
관련하여 백신업체에서 이러한 방법으로 해결하는 것이 안타깝기 그지없다...
하지만... 이게 한계임에도 분명한거 같다...
KrCERT에서는 관련하여 MD5값을 확인하는 것까지 설명하였으나, 일반인이 사용하기에는 어려움이 있다...
고민고민했지만, 이럴수 없는 입장을 이해해주면 좋겠다...

더 자세하게, 공학적인 측면으로 접근하여 공지하지 못함에... 정말 맘이 아프다...
일일이 윈도우에서 정상적으로 돌아가는 서비스나, 이들과 연관된 dll들을 나열하고 인지시키기에는 정말 힘든일이기 때문이다...
백신마져도 이를 포기하고, 조용히 업그레이드하고 치료하는게 바로 이때문이 아닐까 싶다....

하지만... 이렇게 공지하게되면 아는사람은 욕을 하는때도 있다... 완전 억울 oTL

하지만... 저녁에 갑자기 연락받아 새벽 4시까지 사고분석하는 것에 대하여... 이처럼 결론은 나왔다는데 뿌듯하다...

공격기법은 날이갈수록 늘어가는데....

이를 소수가 감당하기에는 정말 버거운 일이 아닐수 없다...
정말 십만해커양병설을 진행해야 할때가 아닌가 싶다....
(해커... 크래커가 아님 ㅡ.ㅡ;;)

아래는 KrCERT에서 공지한 내용이다...
부디 도움이 되시길....
이 감염은 공식적으로 500건가량의 가정PC에서 검출되어 현재도 치료중에 있는 것으로 알고 있다..
더 많을 수도 있겠지....
하지만 케이블사업자들은 가정집 PC 포멧하라고 공지한다는데..... ㅡ.ㅡ;;
아직 케이블사업자들은 인지가 바뀌기에는 시간이 좀 걸릴거 같다....
(우리집 창문에 케이블 선을 들여 창문이 안닫히는 경우만 봐도.... ㅡ.ㅡ;;;;)

결론 : 사실 이번 감염은.... 윈도우 방화벽만 키고, 보안 패치만 잘 되었더라면 문제가 없었을지 모른다.
아직 국내의 보안 마인드의 수준을 살펴볼수 있는 계기가 된듯싶다... 그러기에 아직 할일이 많다!

제목: MS08-067 취약점을 이용한 악성코드 피해 주의요망

 

□ 개요

  o MS08-067 취약점[1, 2]을 악용하는 악성코드에 의한 국내 일부 인터넷 사용자 PC의

    인터넷 접속장애 사례가 발생하여 주의가 요구됨

    ※ MS08-067 취약점은 윈도우 Server Service에 존재하는 원격코드실행 취약점으로

       자세한 내용은 보안공지[2]를 참조

    

□ 악성코드 전파 및 피해 증상

  o MS08-067 업데이트[1]를 설치하지 않은 시스템을 스캔하여 악성코드에 감염시킴

  o 전송된 악성코드는 시스템 폴더에 복사 후에 서비스로 등록되어 자동 실행

  o 임의의 IP로 과도한 스캔 패킷을 발생시켜 HTTP, FTP등 TCP 기반의 통신 장애 유발

 

□ 조치 방법

  o 근본 조치 방법

     - 악성코드 치료 백신 이용

     - MS08-067 보안업데이트[1] 설치

       ※ 현재까지 나온 모든 보안업데이트 적용 권고

     - 윈도우 자동 업데이트 설정

       시작 → 제어판 → 자동 업데이트 → 자동(권장) 체크 → 적용 → 확인

 

  o 임시 조치 방법

     - 윈도우 시스템 폴더에서 파일 사이즈가 62,976 byte 이고,

       md5 값이 "d9cb288f317124a0e63e3405ed290765"인 랜덤.dll 파일을 찾아서 삭제

① 윈도우 시스템 폴더로 이동     > C:\Winnt\System32(Windows NT/2000)     > C:\Windows\System32(Windows XP) ② 파일 사이즈가 62,976 byte인 파일 찾기     > dir | findstr "62,976" ③ md5 값 조회    ※ md5 값은 인터넷에 공개된 도구[3]를 활용하여 확인 가능 ④ 안전모드 부팅 후     > 윈도우 시스템 폴더로 이동하여 확인된 파일 삭제     > regedit를 이용하여 레지스트리에서 확인된 파일명에 해당하는 서비스 삭제 ⑤ 재부팅

 

□ 예방 방법

  o 네트워크 관리자

    - 운영 중인 보안장비에서 탐지가 가능하도록 최신 룰 업데이트

    - 외부로부터 TCP 139, 445 트래픽이 유입이 되지 않도록 차단하고,

      기관/기업 내부 네트워크에서도 불필요한 경우 차단

  o 일반 인터넷 이용자

    - 윈도우에서 최신 보안업데이트 설치 및 개인방화벽 사용

    - 백신 사용 및 윈도우 보안업데이트 생활화

      ※ ISP에서는 인터넷 가입 고객에게 필히 최신 보안업데이트를 설치하도록 안내해주시기 바라며,

          불필요한 445 포트는 자체 검토 후 차단해주시기 바랍니다.

 

□ 참조사이트

[1] http://www.microsoft.com/korea/technet/security/bulletin/MS08-067.mspx

[2] http://www.krcert.or.kr/secureNoticeView.do?num=288&seq=-1

[3] http://www.pc-tools.net/win32/md5sums/