안철수연구소 ASEC에서 2012년 1월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2011 Vol.25을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2012년 1월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.

MS12-004 윈도우 미디어 취약점을 악용한 악성코드 유포
스페이스와 탭을 이용한 자바스크립트 난독화 소스 출현
보안 제품의 업데이트를 방해하는 Hosts 파일 변경 악성코드 주의
내 하드디스크가 타버린다고? 불안심리를 자극하는 Hoax 악성코드
단축 URL을 이용해 트위터로 유포 중인 피싱 웹사이트
악성코드 버그로 인한 “응용 프로그램 초기화 오류”와 BSOD(Hard Disk) 발생
MADDEN NFL 12 로 위장한 악성 애플리케이션
일본 성인사이트에서 유포되는 악성 애플리케이
Hash Collision 공격을 통한 웹 서버 서비스 거부 공격(DoS)
HP LaserJet  펌웨어 관련 치명적 보안 취약점 발견

이 외에 악성코드 분석 특집으로 "모바일 악성코드 동향"을 포함하고 있다.
 

안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다 

ASEC 보안 위협 동향 리포트 2011 Vol.25
Posted by 비회원

자바스크립트 소스를 이용하여 악성코드를 심는 방법은 일반화 된지 오래 되었다. 특히 악성코드 제작자들은 자바스크립트 소스를 분석하기 어렵게 만들기 위한 난독화 과정을 거쳐, 백신제품의 엔진에 반영하기 어렵게 하고 있다. 지금까지는 주로 문자열 인코딩 방식을 ASCII 코드가 아닌 다른 방식을 이용하여 알아보기 힘들게 만들었다.

그러나 이번에 새롭게 등장한 방식은 이러한 틀에서 벗어난 방식이다. 화면에 난독화 코드로 보이는 부분이 존재하지 않고, 다만 커다란 빈 공간이 많이 보인다.


그림 1 최근 한 언론사 홈페이지에 삽입되었던 소스코드


보기에는 공백으로 보이지만 실제 커서 위치시켜 이동시켜 보면 스페이스와 탭이 섞여 있는 것을 확인할 수 있다. 보다 정확한 확인을 위해 HEX 값을 확인해 보면 그림 2와 같음을 확인할 수 있다.

그림 2 해당 소스코드의 HEX값 확인 결과


스페이스와 탭의 아스키 코드 값은 16진수로 각각 20 09이다. 따라서 위와 같이 표현된 코드의 경우 스페이스와 탭을 2진수 표현 값으로 이용한 것으로 추론 가능하다.
 

사실 이러한 방법은 빌리 호프만(Billy Hoffman)[각주:1]이 이미 2008 Blackhat 보안 컨퍼런스에서 Circumventing Automated JavaScript Analysis”라는 주제로 발표할 당시 언급한 적이 있다. (발표자료 다운로드) 다만, 발표 당시에는 Crazy Idea (“현실적으로 불가능한 아이디어이라는 의미)로 소개되었으나 실제 코드가 발견되었다는 것이 중요하다.

 

그림 3 2008 Blackhat 컨퍼런스에서 발표된 실제 발표자료


위의 자료를 보면 스페이스는 1, 탭은 0을 의미한다. 탭과 스페이스로 구성된 코드는 다양한 방법으로 난독화를 해제할 수 있다. 스페이스와 탭을 각각 1 0으로 고쳐서 직접 계산하고 표에서 찾는 방법이 있고, 간단한 프로그램을 작성하여 분석하는 방법도 있다. 또한 별도의 툴을 이용하지 않고, 브라우저만 이용하는 방법을 이용하여 분석하는 방법이 있다.

먼저 소스코드를 보기 좋게 정렬한다. 화면에 스페이스와 탭만 출력되어서는 악성페이지를 불러올 수 없다. 분명 스페이스와 탭을 복호화 하는 코드가 포함되어 있을 것이다. 스페이스와 탭 코드 바로 윗 부분에, 빌리 호프만의 발표자료에 있던 복호화 코드와 동일한 소스가 있는 것을 확인할 수 있다.

그림 4 디코딩 함수 정의, 호출 부분, 호출시 전달인자는 난독화 된 코드이다.


그림 4는 난독화된 부분과 복호화 코드만 남겨두고 정상인 부분은 제거한 것이다. 스페이스와 탭으로 구성된 난독화 된 문자열이 복호화 함수로 전달되어 복호화 될 것이다.  실제 복호화 된 코드를 출력해보면 그림 5와 같다. (상세 결과는 모자이크 처리)

그림 5 복호화시 출력 결과


출력결과에서 알 수 있듯이 일부 메시지는 HEX값으로 되어 있는 것을 알 수 있다. 다시 난독화 해제를 해주면 실제 호출하고자 하는 파일의 주소를 확인할 수 있다.

그림 6 최종 호출하는 파일의 주소


그림 6과 같이 연결하고자 하는 악성코드 유포페이지로 유도하는 주소와 코드를 확인할 수 있다. 현재 해당 URL은 접속되지 않는 것으로 보아 제작자에 의해 폐쇄된 것으로 보인다.

이러한 악성코드가 동작하거나 감염되는 것을 막기 위해서 다음과 같은 조치를 취해야 한다.

<개인>

1. 백신 프로그램의 경우 최신버전의 엔진을 사용한다.

 

2. 윈도우 XP의 경우 SP 버전 등을 확인하여 최신버전을 설치하여 사용하고, 미설치된 보안업데이트가 있을 경우 모두 설치한다.

3. IE 8.0 이상의 브라우저를 사용하거나 타사 브라우저를 사용한다.

http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko

위 링크 이동 후, 서비스팩 및 IE 업데이트 설치 진행

 

4. Flash Player를 비롯한 ActiveX 프로그램들은 최신 버전을 설치한다.

http://get.adobe.com/kr/flashplayer/
위 링크 이동 후, "지금 다운로드" 클릭하여 설치 진행
(
추가 프로그램 설치를 원치 않을시엔 선택사항 체크 해제 하신 후 다운로드 클릭)

5. 최근에 많이 이용되는 Java 취약점을 보완하기 위해 최신 버전의 Java 프로그램을 설치한다.

http://www.java.com/ko/
위 링크 이동 후 "무료 자바 다운로드" 클릭하여 설치 진행

 

<기업 보안관리자>

1. 백신 프로그램의 경우 최신버전의 엔진을 사용한다.

 

2. 부득이한 경우를 최소화하고, 보안업데이트 및 최신 윈도우 서비스팩를 설치한다.

 

3. 부득이한 경우를 최소화하고, IE8 버전 이상을 사용한다.

 

4. 추가 응용프로그램들의 업데이트는 아래 글을 참고한다.

http://asec.ahnlab.com/758

 

 

 

  1. Acidus라는 닉네임으로 잘 알려진 미국 해커. 前 SPI Dynamics 연구원(웹보안 연구기업). 前 HP 웹보안 연구그룹 연구원. 現 Zoompf 설립자 겸 대표 (웹보안컨설팅 회사) [본문으로]
Posted by 곰탱이푸우

http://core.ahnlab.com/192
http://core.ahnlab.com/193


위 링크의 글들에서 광고성 html 을 가장하여 유포되고 있는 스팸의 유포형식과 난독화된 스크립트에 대해서 살펴보았습니다.

난독화된 스크립트를 디코딩하여 수집한 game.exe 파일은 실행 시 아래 그림과 같이 'Defense Center'라는 FakeAV 를 설치하게 됩니다.




game.exe 파일에 의해 다수의 악성코드가 설치가 되며 그 중 아래의 경로에 생성되는 폴더 및 파일들이 은폐 및 hooking이 된 상태입니다.

c:\windows\PRAGMA[랜덤한 문자]\

이 경우 아래 링크의 v3alureon_gen_np.exe 전용백신을 다운로드 후 전용백신으로 %systemroot%를 검사하여 은폐 및 hooking을 풀어줍니다.

v3alureon_gen_np.zip

검사가 완료되게 되면 아래 그림처럼 바이러스가 없다고 메세지 창이 뜨게 될 것입니다. 왜냐하면 파일을 진단한 것이 아니라 은폐 및 hooking을 풀어준 것이기 때문입니다.




은폐 및 hooking을 풀어준 후 V3 로 해당 폴더를 진단/치료 시 정상적으로 진단/치료가 가능합니다.

작일 (6월 30일)부터 아래의 메일 제목으로 지속적으로 악성 html 링크가 삽입된 악성 스팸메일이 유포 중이니 주의하시기 바랍니다. 해당 스팸메일로 유포되는 악성코드 및 취약점 Exploit 파일은 곧 V3엔진에 업데이트 될 예정입니다.

[악성 스팸 메일 제목]
[랜덤한 메일 계정] has sent you a birthday ecard.
young limber girl
hello
Welcome to YouTube



<악성 html링크를 삽입한 랜덤한 메일 계정] has sent you a birthday ecard. 제목의 스팸메일>



<악성 html링크를 삽입한 Welcome to YouTube 제목의 스팸메일>





Posted by 비회원

http://core.ahnlab.com/193


상기의 이전 글에서 최근 html 파일을 첨부하거나 html 링크를 삽입한 스팸메일을 통해 악성코드를 다운로드 하는 스팸메일의 형태를 살펴보았습니다. 

이어서 난독화된 악성 스크립트를 살펴 보도록 하겠습니다.


<삽입된 iframe에 의해 연결된 페이지 정보>


상기와 같이 난독화된 악성 스크립트는 악성 스크립트 제작자가 제작한 루틴 및 사용되지 않는 쓰레기 코드로 구성되어 있으며 디코딩 후 실제 악의적인 웹 페이지가 완성이 되게 됩니다. 



<최종 디코딩 된 악성 스크립트>

최종 디코딩된 악성 스크립트는 MDAC[Microsoft Data Access Components], PDF, JAVA 취약점을 이용하여 악성코드를 로컬에 저장하고 실행하게 됩니다. 


<취약점을 이용한 파일 및 다운로드 된 파일>
 
취약점을 이용한 파일 및 game.exe 파일은 아래와 같은 진단명으로 V3에서 진단/치료가 가능합니다.

game.exe
 -> Win-Trojan/Agent.26112.RQ
Notes10.pdf
 -> PDF/Exlpoit
Applet10.html
 ->HTML/Agent



다음 글에서 다운로드 된 game.exe 파일 실행 시 증상에 대해 살펴보도록 하겠습니다.




Posted by 비회원

http://core.ahnlab.com/191
http://core.ahnlab.com/189


최근들어 상기 링크에 포스팅된 글들에서 언급해 드렸듯이 악성 html 파일을 첨부했거나 악성 html 링크를 삽입한 스팸메일이 지속적으로 유포되고 있습니다.

현재 글을 포함하여 앞으로 포스팅할 글들에서 해당 html 파일들의 상세한 정보를 알아보고자 합니다.


Case 1. 메일 내 링크를 삽입하여 사용자의 클릭 유도

우선, 앞서 언급해 드린 것과 같이 스팸메일 자체 html에 링크를 삽입하여 사용자가 클릭을 하도록 유도합니다.

금일 발견된 악성 스팸메일의 정보는 아래와 같습니다. 메일 본문 곳곳에 악성 html 링크가 삽입되어 있습니다.

메일 제목 : Amazon.com: Get Ready for Cyber Monday Deals

메일 본문


<곳곳에 악성 html 링크가 삽입된 메일 본문>




<html 메일 본문 내 삽입된 악성 html 링크>



Case 2. 악성 html 파일을 첨부한 스팸메일

악성 html 파일을 첨부한 스팸메일들은 아래와 같이 악성 html 파일을 첨부하여 첨부된 html 파일을 실행하도록 사용자를 유도합니다.

메일 제목 : I Love You Forever

메일 본문

Why You?
see attach ;)

첨부된 파일 : foryou.html



<삽입된 악성 html 링크>


메일 내 삽입된 악성 html 링크 클릭 혹은 첨부된 악성 html을 실행할 경우 아래와 같이 iframe이 삽입된 html 페이지로 연결되게 됩니다.


<iframe이 삽입된 악성 html>


해당 html에 의해 캐내다 성인 약품 광고 사이트 등으로 연결이 되며 사용자는 광고성 html 파일이라고 생각하게 됩니다. 하지만 삽입된 iframe에 의해 난독화된 웹 페이지로 사용자가 알아차리지 못한 채 연결이 되게 됩니다.



<사용자로 하여금 광고성 html 파일로 속이기 위한 광고페이지 연결>



다음 글에서 난독화 된 웹페이지를 살펴 보도록 하겠습니다.
Posted by 비회원