이메일에 첨부되어 스팸 메일(Spam Mail)처럼 유포되는 악성코드들은 대부분이 ZIP으로 압축된 EXE 파일이 첨부되거나 EXE 또는 SCR 등의 파일 확장자를 가진 첨부 파일 형태로 유포되는 것이 일반적이다.


그러나 최근에 와서는 이메일 본문에 단축 URL(URL Shortening) 또는 하이퍼 링크를 제공하여, 특정 악성코드를 유포하는 웹 사이트 또는 피싱(Phishing) 웹 사이트로 연결을 유도하는 형태들도 발견되고 있다.


금일 새벽 국내에 유명 IT 업체인 HP를 사칭하여 악성코드 감염을 유도하는 악의적인 스팸 메일들이 대량으로 유포되었다.


이번에 유포된 악성코드 감염을 목적으로하는 악의적인 스팸 메일은 다음과 같은 형태를 가지고 있다.


* 메일 제목 - 다음 중 하나

Scan from a HP ScanJet #[임의의 숫자열] 

Scan from a Hewlett-Packard ScanJet #[임의의 숫자열]

Scan from a Hewlett-Packard ScanJet [임의의 숫자열]


* 메일 본문

Attached document was scanned and sent


to you using a Hewlett-Packard HP Officejet 1178P.

Sent by: SHAVON

Images : 1

Attachment Type: .HTM [INTERNET EXPLORER]


Hewlett-Packard Officejet Location: machine location not set

Device: [임의의 숫자열]


* 첨부 파일

HP_Doc_06.04-[임의의 숫자열].htm


이 번에 발견된 스팸 메일은 과거의 악성코드를 유포를 목적으로하는 다른 형태의 악의적인 스팸 메일들과는 다른 특징을 보이고 있다. 


해당 스팸 메일은 웹을 기반으로하여 일반 응용프로그램들의 취약점을 악용하는 웹 익스플로잇 툴킷(Web Exploit Toolkit)과 결합하여 다양한 취약점들을 동시에 악용하는 특징을 보이고 있다.


이러한 웹 익스플로잇 툴킷과 결합된 스팸 메일의 전체적인 구조를 도식화하게 되면 아래 이미지와 동일하다.



첨부되어 있는 htm 파일을 실행하게 될 경우에는 웹 브라우저에서는 아래 이미지와 같이 웹 사이트 접속에 잠시 장애가 있는 것으로 위장하고 있다.



그러나 실제 해당 스크립트 파일을 편집기 등으로 확인을 하게 되면, 아래 이미지와 같은 스크립트 코드가 하단에 존재하는 것을 볼 수 있다.



하단에 포함된 스크립트 코드를 디코딩하게 되면 아래 이미지와 같이 러시아에 위치한 시스템으로 접속을 하는 코드가 포함되어 있다.


해당 스크립트 코드가 실제 웹 브라우저에 의해 실행되면 아래 이미지와 같이 러시아에 위치한 특정 시스템으로 연결되도록 구성되어 있으며, 해당 시스템은 웹 익스플로잇 툴킷의 한 형태인 블랙홀 익스플로잇 툴킷(Blackhole Exploit Toolkit)이 설치 되어 있다.



해당 시스템에서는 최초 아래 이미지와 같이 마이크로소프트 인터넷 익스플로러(Microsoft Internet Explorer)에 존재하는 MS06-014 MDAC(Microsoft Data Access Components) 기능의 취약점으로 인한 원격 코드 실행 문제점 (911562) 취약점을 악용하는 스크립트 코드를 전송하게 된다.



그 다음으로는 어도비 아크로뱃 리더(Adobe Acrobat Reader)에 존재하는 Security updates available for Adobe Reader and Acrobat CVE-2010-0188 취약점을 악용하는 PDF 파일을 전송하게 된다.



마지막으로는 자바 애플렛(Java Applet)에 존재하는 Oracle Java SE Critical Patch Update Advisory CVE-2012-0507 취약점을 악용하는 JAR 파일을 전송하게 된다.


위에서 언급한 3가지의 취약점 모두가 정상적으로 악용되지 않을 경우에는 정상 구글(Google) 메인 페이지로 연결하게 된다.



그러나 위 3가지 취약점 중 하나라도 정상적으로 악용될 경우에는 아래 이미지와 같이 동일한 시스템에 존재하는 info.exe (86,016 바이트) 파일을 다운로드하고 실행하게 된다.



해당 익스플로잇 3가지로 인해 다운로드 된 info.exe 파일이 실행되게 되면 윈도우 시스템에 존재하는 정상 explorer.exe 프로세스의 메모리 영역에 자신의 코드를 삽입하게 된다.



자신의 코드가 정상적으로 삽입되면,다음과 같은 경로에 자신의 복사본을 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Application Data\KB01458289.exe


그리고 윈도우 시스템이 재실행이 되더라도 자동 실행 되도록 레지스트리(Registry)에 다음의 키를 생성하게 된다.


HKCU\Software\Microsoft\Windows\CurrentVersion\Run 

KB01458289.exe = ""C:\Documents and Settings\[사용자 계정명]\Application Data\KB01458289.exe""


해당 악성코드는 아래 이미지와 같이 내부에 하드코딩 되어 있는 C&C 서버와 암호화된 SSL(Secure Socket Layer) 통신을 시도하게 된다.



정상적으로 접속이 성공하게 될 경우에는 아래 이미지와 같이 암호화 된 데이터를 통신하게 된다.



그리고 공격자의 명령에 따라 인터넷 익스플로러와 파이어폭스(Firefox) 웹 브라우저가 접속을 시도하는 웹 사이트를 모니터링하고, 관련 정보들을 외부로 유출하게 된다.


이 번에 발견된 HP를 사칭하여 악성코드 감염을 목적으로한 악의적인 스팸 메일은 일반 응용프로그램의 취약점을 악용하는 웹 익스플로잇 툴킷과 결합된 형태이다.


이메일 수신인과 관련이 없는 의심스럽거나 수상한 스팸 메일들을 받게되면 메일 자체를 삭제하고, 첨부된 파일은 어떠한 형태라도 실행하지 않는 주의가 필요하다.


그리고 평소 자주 사용하는 응용 프로그램들은 윈도우 보안 패치와 함께 주기적으로 설치하여, 이러한 일반 응용 프로그램들의 취약점을 악용하는 악성코드 감염을 주의하도록한다.


해당 HP를 사칭한 스팸 메일을 통해 감염을 시도하는 악성코드들은 모두 V3 제품군에서 다음과 같이 진단한다.


JS/Iframe

JS/CVE-2006-0003

PDF/CVE-2010-0188

Win-Trojan/Infostealer.86016.F 

Win-Trojan/Downloader.86016.JU

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
안철수연구소 ASEC에서 2012년 2월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.26을 발간하였다. 

 
이 번에 발간된 ASEC 리포트는 2012년 2월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.

1) 악성코드 이슈
 PC에 존재하는 모든 문서 파일을 탈취하는 악성코드
누군가 나를 지켜보고 있다? 웹캠으로 도촬하는 악성코드
가짜 KB국민은행 피싱 사이트 주의
스마트폰의 문자 메시지로 전달되는 단축 URL
특정 기관을 목표로 발송되는 발신인 불명의 이메일 주의
시리아 반정부군을 감시하기 위한 악성코드 유포
변형된 MS12-004 취약점 악용 스크립트 발견
MS11-073 워드 취약점을 이용하는 타깃 공격 발생
어도비 플래시 취약점 이용한 문서 파일 발견
wshtcpip.dll 파일을 변경하는 온라인게임핵 발견
윈도우 비스타, 윈도우 7을 대상으로 하는 온라인게임핵 악성코드 발견

2) 모바일 악성코드 이슈
안드로이드 애플리케이션에 포함된 윈도우 악성코드

3) 보안 이슈
국내 동영상 플레이어 프로그램의 취약점
아래아한글 스크립트 실행 취약

4) 악성코드 분석 특집
내가 설치한 앱이 악성코드라고?

 
안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 

ASEC 보안 위협 동향 리포트 2011 Vol.26 발간
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

스마트폰의 사용이 많아지고 이를 이용한 다양한 네트워크 활동들이 보편화가 됨에 따라 이와 관련한 다양한 형태의 보안 위협들을 계속 발견되고 있다.

이와 관련해 가장 큰 보안 위협 이슈로는 안드로이드(Android) 운영체제에 감염되는 악성코드들을 들 수 있으다.

이 외에 최근 ASEC에서는 아래 이미지와 같이 무작위로 휴대전화 번호를 선택하여 문자 메시지(SMS, Short Message Service)를 발송한 것이 확인 되었다.


해당 문자 메시지는 일반적인 스팸성 문자 메시지와는 다르게 메시지 내부에 단축 URL(URL Shortening)을 포함하고 있어, 스마트폰 사용자라면 쉽게 클릭한번 만으로 특정 웹 사이트로 연결되도록 구성한 특징이 있다.

해당 문자 메시지에 포함된 단축 URL은 테스트 당시 해당 단축 URL로 연결되는 웹 사이트로 정상 접속이 되지 않았다. 하지만 스마트폰에 감염되는 악성코드나 스팸성 웹 사이트 등으로 연결되는 다른 보안 위협들로 연결될 가능성이 존재한다.

특히 이러한 단축 URL을 악용한 보안 위협들의 다양한 사례는 트위터(Twitter)와 같은 소셜 네트워크 서비스(Social Network Service)에서도 존재하고 있다. 

그러므로 트위터로 전달되는 메시지와 함께 스마트폰으로 전달 된 문자 메시지에 포함된 단축 URL의 클릭시에는 각별한 주의가 필요하다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
안철수연구소 ASEC에서 2012년 1월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2011 Vol.25을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2012년 1월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.

MS12-004 윈도우 미디어 취약점을 악용한 악성코드 유포
스페이스와 탭을 이용한 자바스크립트 난독화 소스 출현
보안 제품의 업데이트를 방해하는 Hosts 파일 변경 악성코드 주의
내 하드디스크가 타버린다고? 불안심리를 자극하는 Hoax 악성코드
단축 URL을 이용해 트위터로 유포 중인 피싱 웹사이트
악성코드 버그로 인한 “응용 프로그램 초기화 오류”와 BSOD(Hard Disk) 발생
MADDEN NFL 12 로 위장한 악성 애플리케이션
일본 성인사이트에서 유포되는 악성 애플리케이
Hash Collision 공격을 통한 웹 서버 서비스 거부 공격(DoS)
HP LaserJet  펌웨어 관련 치명적 보안 취약점 발견

이 외에 악성코드 분석 특집으로 "모바일 악성코드 동향"을 포함하고 있다.
 

안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다 

ASEC 보안 위협 동향 리포트 2011 Vol.25
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

많은 분들이 소셜 네트워크를 사용하고 있습니다. 국내에서는 싸*월드, 아이러브*쿨 등 해외에서는 Twitter, FaceBook 등등을 많이 사용하고 있는데 이러한 소셜 네트워크를 이용하여 피싱 뿐만 아니라 악성코드가 많이 배포되고 있어서 이번 글을 포스팅하게 되었습니다.

필자도 가끔식 Twitter에 트위트 메세지를 남기고 있습니다. 자주 들어가지는 않지만 조금 전에 잠시 들어갔다가 자극적인 트위트 메세지를 발견하였습니다. 메세지 내 단축 URL이 있어서 클릭을 해 보았습니다.


<Fig 1. 악성 URL로 연결되는 단축 URL이 존재하는 Twitter의 트위트 메세지>


역시나 공짜로 무언가를 얻는 것이란 참으로 힘든 일인가 봅니다. 단축 URL을 클릭을 해 보니 아래 악성코드 유포 URL로 연결되는 것을 확인하였습니다.

잠깐~~ 참고하세요 !

단축 URL을 사용하게 되는 이유는 Twitter의 메세지는 문자수 길이에 제한이 있습니다. 만약 URL 문자수 길이가 너무 많은 길이를 차지하게 된다면 메세지를 작성하는데 제한을 받게 되기 때문에 단축 URL 서비스 하는 곳에서 단축 URL을 만들어서 사용하게 되는 것이죠 ^^


<Fig 2. 단축 URL 클릭 후 악성코드 유포 페이지로 연결된 화면>


ActiveX Object 에러가 발생하였다는 메세지 경고창과 함께 동영상을 보기 위해 ActiveX를 설치하라고 유도합니다.

<Fig 3. 악성코드 다운로드 유도하기 위한 허위 경고창>


역시나 우리의 기대를 저버리지 않고 다운로드 창을 띄워 파일을 다운로드 하도록 합니다. 다운로드한 파일은(inst.exe) 오른쪽 그림과 같은 파일이며 이제는 우리에게 너무나 익숙한 아이콘의 파일이 다운로드 되었습니다.


<Fig 4. 악성코드 다운로드 유도하기 위한 허위 경고창>


<Fig 5. 다운로드 된 악성파일>


다운로드한 파일을 실행하면 'Security Tool'이라는 FakeAV 악성 파일이 실행되며 허위 진단 후 사용자에게 결제를 유도하는 페이지로 연결하게 됩니다.



<Fig 6. FakeAV 실행된 화면>


<Fig 7. 허위 진단 후 결제페이지로 연결된 화면>


현재 첨부된 악성 파일은 아래와 같은 진단명으로 V3에서 진단 및 치료가 가능합니다.

파일명 : inst.exe 
진단명 : Win-Trojan/Fakeav.1113600.AA



악성코드 유포 사이트는 SiteGuard 엔진에 업데이트 하였으며 아래 그림과 같이 페이지 연결이 차단이 되고 있습니다.




작년 이맘 때면 출근 길에 벚꽃을 볼 수가 있었는데 날씨가 아직 풀리지 않아서인지 벚꽃이 눈에 들어오지 않네요. 벚꽃이 개화하면 여의도로 산책 나오셔요~ ^^







신고
Creative Commons License
Creative Commons License
Posted by 비회원