IE 취약점 이용한 파일리스 악성코드 유포 중

IE 취약점 이용한 파일리스 악성코드 유포 중 AhnLab ASEC 분석팀 l 2020-02-05     최근 또 다시 인터넷 익스플로러(Internet Explorer, IE) 취약점을 이용한 파일리스 방식의 악성코드가 유포됐다. 국내에는 IE 웹 브라우저를 이용하는 사용자 수가 많은 만큼, 관련 보안 패치를 적용하지 않은 경우 피해가 발생할 수 있어 각별한 주의가 필요하다.     안랩 시큐리티대응센터(AhnLab Security Emergency response Center, 이하 ASEC)는 IE의 스크립팅 엔진 관련 원격코드 실행 취약점(CVE-2019-1367)을 이용한 파일리스 방식의 악성코드를 확인했다. 해당 악성코드에 감염되면 메모리 손상, 권한 탈취 및 시스템 제어 등의 피해가 발생할 수 있다.   보안 패치가 적용되지 않은 시스템에 해당 악성코드가 유입되면 쉘코드가 감염 PC의 메모리 영역에서 동작하며 현재 실행 중인 프로세스와 운영체제 버전 등을 확인한다. 또 특정한 경로에 악성코드를 추가로 다운받아 악의적인 행위를 수행한다. 이 악성코드가 이용하는 취약점에 영향받는 버전은 IE 9, 10뿐만 아니라 가장 최신 버전인 IE 11도 포함된다.   현재 V3 제품은 해당 악성코드를 행위기반 엔진의 파일리스 공격 탐지 기술로 차단하고 있으며, 탐지 시 사용자에게 [그림 1]과 같은 알림창을 통해 상세한 정보를 제공한다. 최신 버전의 엔진이 적용된 V3를 사용 중인 경우, 해당 취약점을 이용한 원격코드 실행 공격을 방지할 수 있다.   <V3 제품군 진단명> - Malware/MDP.Exploit.M2718 - Exploit/JS.CVE-2019-1367.S1073   [그림 1] V3의 행위기반 탐지 알림창   또는 MS에서 제공하는 대응 가이드를 참고해 수동으로 해당 취약점에 대해 조치하는 것도 가능하다.   ▶ MS의 보안 패치 및 대응 가이드 바로가기   IE의 스크립팅 엔진 관련 원격코드 실행 취약점(CVE-2019-1367)을 이용한 파일리스 방식의 악성코드에 대한 상세한 내용은 ASEC 블로그에서 확인할 수 있다. ASEC은 블로그를 통해 V3가 해당 악성코드를 탐지하는 시연 동영상도 제공하고 있다.   ▶ ASEC 블로그 바로가기