안랩 ASEC에서 2012년 10월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.34을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 10월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

10월에 발견된 취약한 한글 문서 파일

MS 워드, PDF 문서들의 취약점을 악용하는 악성코드 다수 발견

한글 소프트웨어의 제로데이 취약점 악용 악성코드

미국 대선 뉴스로 위장한 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷

플레임 악성코드 변형 miniFlame 변형 발견

윈도우 도움말 파일을 이용한 악성코드 유포

국방 관련 내용을 담은 취약한 한글 파일

연봉 계약서로 위장한 취약한 한글 파일 발견

한반도 정황 관련 내용의 취약한 한글 파일 발견

대만 기상청을 대상으로 한 타깃 공격 발견

이스라엘 정부 기관 대상의 타깃 공격 발생

국내 PC 사용자를 대상으로 유포된 아두스카 부트킷

usp10.dll 파일을 이용한 온라인 게임 악성코드


2) 모바일 악성코드 이슈

NH모바일 웹 피싱사이트

방통위 사칭 악성 애플리케이션


3) 악성코드 분석 특집

패치드(Patched) 형태의 악성코드 변천사

ZeroAccess로도 알려진 Smiscer 변형

IFEO 를 이용하는 악성코드

Bootkit Story Part 1. 모체를 찾아라!


4) 보안 이슈

Adobe사의 유출된 code signing 악용사례 발생

미국 금융 기업 DDoS 공격

개인 금융 정보 탈취를 노리는 Banki 트로이목마 변형


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.34 발간


저작자 표시 비영리 변경 금지
신고
Posted by 비회원
최근 국내 유명 연예인인 A양을 촬영한 것으로 알려진 사생활 동영상이 유포되어 사회적으로 큰 이슈를 일으키고 있다.

이러한 사회적인 큰 이슈를 악용하여 2011년 12월 8일 저녁 국내에서도 많은 사용자가 있는 소셜 네트워크 서비스(Social Network Service)인 트위터(Twitter) 등을 통해 해당 연예인의 사생활 동영상으로 위장한 악성코드가 유포 되었다.


해당 트위터 계정은 비교적 최근에 생성한 것으로 보여지며, 해당 계정의 사용자에 대해 자세한 사항들이 존재하지 않는다. 그리고 다른 일반적인 내용 없이 위 이미지와 같이 유명 연예인의 동영상 파일로 위장한 ZIP 압축 파일을 다운로드하도록만 유도하고 있다.

해당 URL을 복사하여 웹 브라우저에서 다운로드를 시도하게 되면 아래 이미지와 같이 "[삭제] 아나운서 2분50초짜리.zip.zip(6.67MB)" 파일이 다운로드 된다.


다운로드 된 ZIP 압축 파일의 압축을 풀게 되면 아래 이미지와 같이 다수의 JPG 이미지 파일과 SFX로 압축된 EXE 파일이 존재한다.


그리고 텍스트 파일에서는 압축 파일에 같이 포함된 SFX로 압축된 EXE 파일을 실행하여야지만 동영상을 볼 수 있는 것 처럼 실행을 유도하고 있다.


해당 EXE 파일을 실행하게 되면 위 이미지와 같이 압축을 풀 경로를 선택하도록 하고 있으며, 아래 이미지와 같이 실제 성인 동영상 파일과 다수의 이미지 파일들이 해당 폴더에 생성된다.


그러나 해당 파일을 실행한 시스템의 사용자 모르게 netsecurity.exe(143,360 바이트) 파일도 같이 압축이 풀리면서 실행 된다.

netsecurity.exe이 실행되면 윈도우 시스템 폴더(C:\Windows\System32)에 netdrvsrty.exe(114,800 바이트) 파일을 생성하고, 윈도우 레지스트리(Windows Registry)에 다음 키 값을 생성하여 시스템 재부팅 이후에도 자동 실행 되도록 구성한다.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
netsecurityDRV = "C:\WINDOWS\system32\netdrvsrty.exe"



생성된 netdrvsrty.exe는 마이크로소프트 비주얼 C++(Microsoft Visual C++) MFC로 제작 되었으며 해당 파일은 코드 상으로는 감염된 시스템의 IP 주소를 수집하고 감염된 시스템의 인터넷 익스플로러(Internet Explorer) 즐겨찾기 폴더에 웹 페이지 바로가기 파일들을 생성하게 되어 있다. 그러나 테스트 당시에는 코드상으로 존재하는 해당 악의적인 기능들이 정상 동작 하지 않았다.

이러한 일련의 사항들을 살펴 볼 때 이번 유명 연예인의 사생활 동영상으로 위장하여 유포된 악성코드는 제작자의 명령에 따라 즐겨찾기 파일들 조작하는 애드웨어(Adware) 기능을 수행하기 위해 제작된 것으로 볼 수 있다.

해당 유명 연예인의 사생활 동영상으로 위장하여 유포된 악성코드들 모두 V3 제품 군에서 다음과 같이 진단한다.

Downloader/Win32.Korad
Trojan/Win32.Sysckbc
Dropper/Agent.6596635
저작자 표시
신고
Posted by 비회원
안철수연구소 ASEC에서 2011년 10월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2011 Vol.21을 발간하였다.


이 번에 발간된 ASEC 리포트는 2011년 10월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.

* 10월 주요 보안 위협 이슈들

MySQL 사이트에 삽입된 악성 스크립트
스티브 잡스 사망 관련 메일로 위장한 악성코드
Smiscer Rootkit
QR 코드를 통해 감염되는 안드로이드 악성코드 발견
NETFLIX 위장 안드로이드 악성 애플리케이션
CVE-2011-2140 취약점을 이용한 악성코드 유포
플래시가 당신 컴퓨터의 웹 카메라와 마이크를 조종한다
리눅스 Tsunami DDoS 공격 툴의 맥 OS X 포팅
국내PC를 감염 목표로 하는 부트킷 상세 분석


안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다

 ASEC 보안 위협 동향 리포트 2011 Vol.21 발간
저작자 표시
신고
Posted by 비회원