Home | Data Center | Contact US | Login

Á¦¸ñ DLL ÇÏÀÌÀçÅ· Ãë¾àÁ¡À¸·Î ÀÎÇÑ ¾Ç¼ºÄÚµå °¨¿° ÁÖÀÇ
ÀÛ¼ºÀÏ 2010-08-27 09:03:16

¡à °³¿ä
   o ÀϺΠÀÀ¿ëÇÁ·Î±×·¥¿¡¼­ ·ÎµåÇÏ´Â ¶óÀ̺귯¸® ÆÄÀÏÀÇ °æ·Î¸¦ ºÎÀûÀýÇÏ°Ô °ËÁõÇÔÀ¸·Î ÀÎÇØ 
     ¿ø°ÝÄÚµå½ÇÇà Ãë¾àÁ¡ÀÌ ¹ß»ý [1, 3, 4, 5, 10]
   o °ø°ÝÀÚ´Â Ãë¾àÇÑ ÇÁ·Î±×·¥À» »ç¿ëÇÏ´Â ÆÄÀÏÀ» USB À̵¿ÀúÀå¸Åü, ¾ÐÃà ÇØÁ¦µÈ ÆÄÀÏ, WebDav, 
     ¿ø°Ý ³×Æ®¿öÅ© °øÀ¯ µîÀ» ÅëÇØ ¿­µµ·Ï À¯µµÇÏ¿©, µ¿ÀÏÇÑ °æ·ÎÀÇ ¾ÇÀÇÀûÀÎ ¶óÀ̺귯¸® ÆÄÀÏÀÌ
     ·ÎµåµÇ¾î ½ÇÇàµÇ°Ô ÇÔÀ¸·Î½á ¾Ç¼ºÄڵ带 À¯Æ÷ÇÒ ¼ö ÀÖÀ½ [1, 6, 7]
   o Ãë¾àÁ¡À» °ø°ÝÇÏ´Â °³³äÁõ¸íÄڵ尡 °ø°³µÇ¾ú°í ´Ù¼öÀÇ ÀÀ¿ëÇÁ·Î±×·¥ÀÌ Ãë¾àÇÒ °ÍÀ¸·Î 
     ÃßÁ¤[2, 5]µÇ¹Ç·Î, °³¹ßÀÚÀÇ Ãë¾àÁ¡ Á¡°Ë Á¶Ä¡ ¹× »ç¿ëÀÚÀÇ °¢º°ÇÑ ÁÖÀÇ°¡ ¿ä±¸µÊ

¡à ÇØ´ç ½Ã½ºÅÛ
   o ¿µÇâ ¹Þ´Â ¼ÒÇÁÆ®¿þ¾î [1, 5]
     - ¿ÜºÎ ¶óÀ̺귯¸®¸¦ ¾ÈÀüÇÏÁö ¾ÊÀº ¹æ½ÄÀ¸·Î ·ÎµåÇÏ´Â ÀÀ¿ëÇÁ·Î±×·¥
       ¡Ø LoadLibrary() ¹× LoadLibraryEx()¿¡¼­ ¶óÀ̺귯¸® ÆÄÀÏÀÇ Àý´ë °æ·Î¸¦ ÀÎÀÚ·Î Àü´ÞÇÏÁö 
          ¾ÊÀº °æ¿ì Ãë¾àÁ¡ÀÌ ¹ß»ýÇÒ ¼ö ÀÖÀ½

¡à ±ÇÀå Á¶Ä¡ ¹æ¾È
   o ÇØ´ç Ãë¾àÁ¡Àº Ãë¾àÇÑ ÀÀ¿ëÇÁ·Î±×·¥À» °³¹ßÇÑ Á¦Àۻ翡¼­ º¸¾È ¾÷µ¥ÀÌÆ®¸¦ ¹ßÇ¥ÇؾßÇÒ
     »ç¾ÈÀ¸·Î, ÀÀ¿ëÇÁ·Î±×·¥ °³¹ßÀÚ´Â ´ÙÀ½°ú °°Àº Á¶Ä¡¸¦ ±ÇÀåÇÔ
     - ÀÀ¿ëÇÁ·Î±×·¥ÀÌ Ãë¾àÇÑÁö ¿©ºÎ¸¦ "DLL Hijacking Audit Tool[11]"·Î ÆÇ´Ü
     - MicrosoftÀÇ MSDN »çÀÌÆ®¿¡¼­ DLL °Ë»ö ¼ø¼­[8] ¹× DLL º¸¾È[9]¿¡ °üÇÑ ¹®¼­¸¦ Âü°íÇÏ°í,
       ¿ÜºÎ ¶óÀ̺귯¸®¸¦ ¾ÈÀüÇÏ°Ô ·ÎµåÇÒ ¼ö ÀÖµµ·Ï ÇØ´ç Ãë¾àÁ¡À» ÆÐÄ¡
   o ÀÏ¹Ý »ç¿ëÀÚ´Â Ãë¾àÁ¡À» ÅëÇÑ °ø°ÝÀ» ¿ÏÈ­½ÃÅ°±â À§ÇØ ´ÙÀ½°ú °°Àº ¼³Á¤ Àû¿ë
     - Microsoft ±â¼úÀÚ·á 2264107[12]¸¦ Âü°íÇÏ¿© WebDAV¿Í ¿ø°Ý ³×Æ®¿öÅ© °øÀ¯·ÎºÎÅÍ
       ¶óÀ̺귯¸®°¡ ·ÎµùµÇÁö ¾Êµµ·Ï ¼³Á¤
     - WebClient ¼­ºñ½º¸¦ ºñÈ°¼ºÈ­
       * ½ÃÀÛ ¡æ ½ÇÇà ¡æ services.msc ÀÔ·Â ÈÄ È®ÀÎ ¡æ WebClient ¼­ºñ½º ¼Ó¼º ¡æ ½ÃÀÛ À¯ÇüÀ»
         "»ç¿ë ¾È ÇÔ"À¸·Î ¼³Á¤ ¹× ¼­ºñ½º ÁßÁö ¼±Åà ÈÄ È®ÀÎ
     - ¹æÈ­º®¿¡¼­ TCP 139, 145 Æ÷Æ® Â÷´Ü
       ¡Ø WebClient¿¡ Á¾¼ÓÀûÀ̰ųª ÇØ´ç Æ÷Æ®¸¦ »ç¿ëÇÏ´Â À©µµ¿ì ¼­ºñ½º³ª ÀÀ¿ëÇÁ·Î±×·¥À» »ç¿ëÇϴ ½Ã½ºÅÛÀº, ±â´É»ó Àå¾Ö°¡ ¹ß»ýÇÒ ¼ö ÀÖÀ½
   o Ãë¾àÁ¡¿¡ ÀÇÇÑ ÇÇÇظ¦ ÁÙÀ̱â À§ÇÏ¿© »ç¿ëÀÚ´Â ´ÙÀ½°ú °°Àº »çÇ×À» ÁؼöÇؾßÇÔ
     - ÆÄÀÏ°øÀ¯ ±â´É µîÀ» »ç¿ëÇÏÁö ¾ÊÀ¸¸é ºñÈ°¼ºÈ­ÇÏ°í °³ÀιæÈ­º®À» ¹Ýµå½Ã »ç¿ë
     - »ç¿ëÇÏ°í ÀÖ´Â ¹é½ÅÇÁ·Î±×·¥ÀÇ ÃֽŠ¾÷µ¥ÀÌÆ®¸¦ À¯ÁöÇÏ°í, ½Ç½Ã°£ °¨½Ã±â´ÉÀ» È°¼ºÈ­
     - ½Å·ÚµÇÁö ¾Ê´Â À¥ »çÀÌÆ®ÀÇ ¹æ¹® ÀÚÁ¦
     - Ãâó°¡ ºÒºÐ¸íÇÑ À̸ÞÀÏÀÇ ¸µÅ© Ŭ¸¯Çϰųª ÷ºÎÆÄÀÏ ¿­¾îº¸±â ÀÚÁ¦

¡à ¿ë¾î Á¤¸®
   o DLL(Dynamic Link Library, µ¿Àû ¿¬°á ¶óÀ̺귯¸®): µ¿½Ã¿¡ Çϳª ÀÌ»óÀÇ ÇÁ·Î±×·¥¿¡¼­ »ç¿ëµÉ
     ¼ö ÀÖ´Â ÄÚµå¿Í µ¥ÀÌÅ͸¦ Æ÷ÇÔÇÑ ¶óÀ̺귯¸®·Î, DLLÀ» »ç¿ëÇϸé ÇÁ·Î±×·¥À» ºÐ¸®µÈ ±¸¼º ¿ä¼Ò·Î 
     ¸ðµâÈ­ÇÏ¿© ÀÛ¼ºÇÒ ¼ö ÀÖÀ½
   o WebDAV(Web Distributed Authoring and Versioning): À¥ ±â¹ÝÀ¸·Î ÆÄÀÏÀÇ »ý¼º, º¹»ç,
     À̵¿ ¹× »èÁ¦¿Í °°Àº ±â´ÉÀÌ ¼öÇàµÇ´Â ¹æ½ÄÀ» Á¤ÀÇÇÏ´Â HTTP È®Àå

¡à Âü°í»çÀÌÆ®
   [1] http://www.microsoft.com/technet/security/advisory/2269637.mspx
   [2] http://www.theregister.co.uk/2010/08/20/windows_code_execution_vuln/
   [3] http://isc.sans.edu/diary.html?storyid=9445
   [4] http://acrossecurity.blogspot.com/2010/08/binary-planting-update-day-6.html
   [5] http://www.acrossecurity.com/advisories.htm
   [6] http://blog.metasploit.com/2010/08/exploiting-dll-hijacking-flaws.html
   [7] http://blog.rapid7.com/?p=5325
   [8] http://msdn.microsoft.com/en-us/library/ms682586(VS.85).aspx
   [9] http://msdn.microsoft.com/en-us/library/ff919712(VS.85).aspx
   [10] http://blog.zoller.lu/2010/08/cve-2010-xn-loadlibrarygetprocaddress.html
   [11] https://www.metasploit.com/redmine/projects/framework/repository/raw/external/
source/DLLHijackAuditKit.zip

   [12] http://support.microsoft.com/kb/2264107
  ±¹³» °ø°³ °Ô½ÃÆÇ(Á¶Àºº¸µå) ´ÙÁß Ãë¾àÁ¡ º¸¾È ¾÷µ¥ÀÌÆ® ±Ç°í
  Adobe Reader/Acrobat ºñÁ¤±â º¸¾È ¾÷µ¥ÀÌÆ® ±Ç°í






ȸ»ç¼Ò°³ °³ÀÎÁ¤º¸Ãë±Þ¹æħ ÀÌ¿ë¾à°ü À̸ÞÀÏÁÖ¼Ò ¹«´Ü¼öÁý°ÅºÎ CONTACT US IDC ¾àµµ
ȸ»ç¼Ò°³ °³ÀÎÁ¤º¸Ãë±Þ¹æħ ÀÌ¿ë¾à°ü À̸ÞÀÏÁÖ¼Ò ¹«´Ü¼öÁý°ÅºÎ CONTACT US IDC ¾àµµ ȸ»ç¼Ò°³ °³ÀÎÁ¤º¸Ãë±Þ¹æħ ÀÌ¿ë¾à°ü À̸ÞÀÏÁÖ¼Ò ¹«´Ü¼öÁý°ÅºÎ CONTACT US IDC ¾àµµ