비디오: Уязвимость нулевого дня - 0day в WinRAR (십월 2024)
보안 업체 인 파이어 아이 (FireEye)의 연구원들은 공격자들이 인터넷 익스플로러 (Internet Explorer)에서 심각한 취약점을 악용한다고 말했다. 감염된 웹 사이트에 액세스하려는 사용자는 일반적인 드라이브 바이 공격으로 컴퓨터 메모리를 감염시키는 맬웨어에 감염됩니다.
파이어 아이는 지난주 분석에서 인터넷 익스플로러의 제로 데이 결함 두 개를 악용하는 악성 코드를 "전국 및 국제 보안 정책에 관심이있는 방문자를 끌어들이는 것으로 알려진 전략적으로 중요한 웹 사이트"에 악용했다. FireEye는 미국에 기반을두고 있다는 사실을 넘어 사이트를 식별하지 못했습니다.
FireEye 연구원들은 "이 익스플로잇은 새로운 정보 유출 취약점과 IE 범위를 벗어난 메모리 액세스 취약점을 이용하여 코드 실행을 달성합니다"라고 말했습니다. "다양한 방법으로 악용되는 취약점 중 하나입니다."
이 취약점은 Windows XP 또는 Windows 7에서 실행되는 Internet Explorer 7, 8, 9 및 10에 존재합니다. 현재 공격은 Windows XP 및 Windows 8에서 실행되는 영어 버전의 Internet Explorer 7 및 8을 대상으로하지만이 취약점 악용은 FireEye는 다른 버전과 언어를 대상으로 변경 될 것이라고 말했다.
비정상적으로 정교한 APT
FireEye는이 APT (Advanced Persistent Threat) 캠페인은 이전 DeptyDog로 알려진 일본과 중국의 대상에 대한 이전 APT 공격에 사용 된 것과 동일한 명령 및 제어 서버를 사용하고 있다고 말했다. FireEye는이 APT는 컴퓨터 메모리에서만 실행되는 악성 페이로드를 배포하기 때문에 매우 정교하다고 지적했습니다. 디스크 자체에는 쓰지 않기 때문에 감염된 시스템에서 법 의학적 증거를 탐지하거나 찾기가 훨씬 어렵습니다.
FireEye는 "메모리 내 페이로드 전달 전략 및 여러 가지 중첩 된 난독 화 방법과 함께 전략적인 웹 타협을 활용함으로써이 캠페인은 예외적으로 달성하기 어려웠습니다."라고 FireEye는 말했습니다.
그러나 디스크가없는 맬웨어는 메모리에 완전히 상주하기 때문에 컴퓨터를 재부팅하면 감염이 제거 된 것으로 나타납니다. FireEye 연구원들은 공격자들이 지속적으로 걱정할 필요가없는 것으로 보이며, 공격자들은 자신의 의도 된 대상이 단순히 손상된 웹 사이트를 다시 방문하여 재감염 될 것이라고 확신하고 있다고 FireEye 연구원들은 말했습니다.
또한 공격자는 네트워크를 통해 다른 대상에 도달하거나 사용자가 시스템을 재부팅하고 감염을 제거하기 전에 필요한 정보를 찾아야하기 때문에 매우 빠르게 이동하고 있음을 의미합니다. 트립 와이어의 보안 연구원 인 켄 웨스틴 (Ken Westin)은“공격자가 권한을 가져 와서 권한을 확대하면 지속성을 설정하기 위해 다른 많은 방법을 배치 할 수있다.
보안 회사 Triumfant의 연구원들은 디스크없는 맬웨어가 증가했다고 주장했으며 이러한 공격을 ATV (Advanced Volatile Threats)라고합니다.
사무실 결함과 무관
최신 인터넷 익스플로러 제로 데이 취약점은 지난주에 발표 된 Microsoft Office의 중대한 결함에 뒤떨어졌습니다. Microsoft Windows 및 Office가 TIFF 이미지에 액세스하는 방식의 결함은이 Internet Explorer 버그와 관련이 없습니다. 공격자가 이미 Office 버그를 악용하고 있지만 대부분의 대상은 현재 중동 및 아시아에 있습니다. 영구적 패치를 기다리는 동안 컴퓨터가 그래픽을 여는 기능을 제한하는 FixIt을 설치하는 것이 좋습니다.
FireEye는이 취약점에 대해 Microsoft에 알 렸지만 Microsoft는 아직이 결함에 대해 공개적으로 언급하지 않았습니다. 이 버그가 내일 패치 화요일 릴리스에 맞춰 해결 될 가능성은 거의 없습니다.
Enhanced Mitigation Experience Toolkit 인 최신 버전의 Microsoft EMET는 IE 취약점과 Office 취약점을 대상으로하는 공격을 성공적으로 차단합니다. 조직은 EMET 설치를 고려해야합니다. 버그가 수정 될 때까지 Internet Explorer 11 버전으로 업그레이드하거나 Internet Explorer 이외의 브라우저를 사용할 수도 있습니다.
XP 문제
이 최신 워터 링 캠페인은 또한 공격자가 Windows XP 사용자를 대상으로하는 방법을 강조합니다. Microsoft는 2014 년 4 월 이후 Windows XP에 대한 보안 업데이트 제공이 중단 될 것이라고 사용자에게 반복해서 경고했으며 사용자는 최신 버전의 운영 체제로 업그레이드해야합니다. 보안 연구원들은 많은 공격자들이 XP 취약점의 캐시에 앉아 있다고 믿고 있으며 Microsoft가 노화 운영 체제에 대한 지원을 종료 한 후 Windows XP를 대상으로하는 공격의 물결이있을 것이라고 믿고 있습니다.
독립 보안 연구원 인 Graham Cluley는 자신의 블로그에 "지체하지 마십시오. 보안을 중요하게 생각하면 Windows XP에서 가능한 빨리 다른 것으로 업그레이드하십시오."
