RIG Exploit Kit 공격도구를 통한 악성코드 유포 주의

RIG Exploit Kit 공격도구를 통한 악성코드 유포 주의

안녕하세요. 알약입니다.

일명 리그 익스플로잇 킷(RIG Exploit Kit)이라고 불리는 '보안취약점을 악용한 악성코드 유포도구'가 2014년 08월 26일부터 국내 웹 사이트를 통해서도 공격에 활용된 정황이 다수 목격되고 있습니다.

리그 익스플로잇 킷은 2014년 중순 경 주로 해외에서 공격사례가 보고된 바 있었지만 국내에서 널리 알려진 종류는 아닙니다. 그런 가운데 기존 한국 맞춤형 인터넷 뱅킹 악성코드 유포조직이 리그 익스플로잇 킷 도구를 도입해 국내에 랜섬웨어, 파밍, RAT 악성코드 유포에 본격적으로 활용하기 시작했습니다.

그 동안 국내에서 사용된 보안취약점 공격방식은 공격 스크립트 형태가 상대적으로 단순하고 추적이 용이한 상태입니다. 그러나 리그 익스플로잇 킷은 분석을 방해하기 위한 난독화 부분이 강화되었고, PHP 세션 아이디(PHPSSESID)값을 통해서 호출과 응답을 이용하는 특징이 있습니다.

더불어 마이크로소프트사의 실버라이트 취약점도 함께 이용될 수 있기 때문에 사용자분들께서는 최신 버전으로 업데이트하여 사용하시길 권장드립니다.

[RIG Exploit Kit 대표 취약점]

- Microsoft Internet Explorer Use-After-Free Remote Code Execution Vulnerability (CVE-2013-2551)

- Microsoft Internet Explorer Use-After-Free Remote Code Execution Vulnerability (CVE-2014-0322)

- Adobe Flash Player Remote Code Execution Vulnerability (CVE-2014-0497)

- Microsoft Silverlight Double Deference Remote Code Execution Vulnerability (CVE-2013-0074)

- Oracle Java SE Memory Corruption Vulnerability (CVE-2013-2465)

- Oracle Java SE Remote Java Runtime Environment Code Execution Vulnerability (CVE-2012-0507)

알약에서는 현재 보고되고 있는 악성코드들에 대해 아래와 같이 탐지중에 있습니다.

Trojan.Dropper.KRBanker.csrss

Spyware.KRBanker.csrss

Trojan.Ransom.Critroni.A

현재 계속하여 모니터링과 함께 DB업데이트를 진행하고 있습니다. 사용자분들께서는 알약의 DB를 항시 최신버전으로 유지해 주시길 당부 드립니다. 감사합니다.