​
　

안랩 시큐리티대응센터(AhnLab Security Emergency response Center, 이하 ASEC)는 IE의 스크립팅 엔진 관련 원격코드 실행 취약점(CVE-2019-1367)을 이용한 파일리스 방식의 악성코드를 확인했다. 해당 악성코드에 감염되면 메모리 손상, 권한 탈취 및 시스템 제어 등의 피해가 발생할 수 있다.

보안 패치가 적용되지 않은 시스템에 해당 악성코드가 유입되면 쉘코드가 감염 PC의 메모리 영역에서 동작하며 현재 실행 중인 프로세스와 운영체제 버전 등을 확인한다. 또 특정한 경로에 악성코드를 추가로 다운받아 악의적인 행위를 수행한다. 이 악성코드가 이용하는 취약점에 영향받는 버전은 IE 9, 10뿐만 아니라 가장 최신 버전인 IE 11도 포함된다.

현재 V3 제품은 해당 악성코드를 행위기반 엔진의 파일리스 공격 탐지 기술로 차단하고 있으며, 탐지 시 사용자에게 [그림 1]과 같은 알림창을 통해 상세한 정보를 제공한다. 최신 버전의 엔진이 적용된 V3를 사용 중인 경우, 해당 취약점을 이용한 원격코드 실행 공격을 방지할 수 있다.


<V3 제품군 진단명>

- Malware/MDP.Exploit.M2718

- Exploit/JS.CVE-2019-1367.S1073

​
[그림 1] V3의 행위기반 탐지 알림창

또는 MS에서 제공하는 대응 가이드를 참고해 수동으로 해당 취약점에 대해 조치하는 것도 가능하다.
▶ MS의 보안 패치 및 대응 가이드 바로가기


IE의 스크립팅 엔진 관련 원격코드 실행 취약점(CVE-2019-1367)을 이용한 파일리스 방식의 악성코드에 대한 상세한 내용은 ASEC 블로그에서 확인할 수 있다. ASEC은 블로그를 통해 V3가 해당 악성코드를 탐지하는 시연 동영상도 제공하고 있다.
▶ ASEC 블로그 바로가기

　

[출처 : 안랩(((www.ahnlab.com)]