안랩 ASEC에서 2013년 8월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.44을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2013년 8월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

메모리 패치형 Banki의 온라인 뱅킹 정보 탈취 기법 분석

고객님, 영수증이 발급되었습니다

아마존 구매 관련 메일로 위장한 스팸 메일

특정 은행 대출 승인 메일로 위장한 스팸 메일

휴가철, 사용자의 휴가비를 노려라!

동영상 재생 프로그램을 이용한 악성코드 유포

토렌트 파일로 위장한 악성코드 주의

Your reservation is now confirmed!’

델타 항공 메일로 위장한 악성코드 유포


2) 모바일 악성코드 이슈

V3 모바일 설치 위장 스미싱 주의!

금융사 피싱 앱 주의


3) 보안 이슈

자바 취약점과 결합된 메모리 해킹

인터넷 뱅킹 보안 대책


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2013 Vol.44 발간



저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

- 기존 메모리해킹 금융정보 유출에 더해, 이체 시 수신인 계좌번호/이체금액을 공격자가 원하는 계좌번호/이체금액으로 변경 

- 이체 프로세스가 정상적으로 진행되기 때문에 금융기관이 해당 피해를 인지하기 거의 어려워 

- 인터넷뱅킹 사용 전에 V3 최신 업데이트 및 검사 필수(V3 개인/기업용 모두 진단 및 치료 가능) 

- 최초 악성코드 감염을 방지하기 위해 기본 보안수칙 준수 필수


추석 연휴를 앞두고 기존 메모리 해킹방식에 새로운 수법을 더한 금전유출 악성코드가 발견되어 인터넷뱅킹 사용자의 각별한 주의가 요구된다.

 

안랩[대표 김홍선, www.ahnlab.com]은 지난 7월에 발견된 ‘보안모듈의 메모리 해킹 악성코드’에서 좀더 진화한 형태의 금전유출 시도 악성코드를 발견하고, 분석결과를 발표했다.

 

이번에 발견된 악성코드는 금융정보를 유출하는 기존 메모리 해킹[수정]방식[지난 7월 발견]에, 인터넷뱅킹 거래 시에 공격자가 원하는 특정 은행 계좌번호와 이체 금액으로 변경하는 기능이 더해졌다.

 

기존의 메모리 해킹방식은 사용자가 금융거래를 위해 금융기관 사이트 방문 시 보안을 위해 자동으로 구동되는 키보드 보안솔루션, 공인인증서 등 보안모듈의 메모리를 해킹[수정]한다. 이후 정상 작동 과정에서 보안모듈을 무력화한 후, 공인인증서 비밀번호, 보안카드 번호 등 금전 이체에 필요한 정보를 탈취한다. 이어서 거래가 정상적으로 이루어지지 않도록 강제로 인터넷뱅킹을 종료한 후, 탈취한 금융정보와 동일한 보안카드 번호를 이용해 금전을 탈취한다. 이 때, 거래가 성사되지 않은 인터넷뱅킹 건은 은행에서 동일한 보안카드 번호를 요청하는 점을 악용했다.

 

이번 악성코드는 동일한 메모리 해킹 방법으로 보안카드 정보를 제외한 금융정보 유출을 하는 것은 물론이고, 사용자가 특정 은행에서 금전을 이체할 때 1]받는 사람의 계좌번호를 공격자의 계좌번호로 몰래 바꾸고, 2]사용자의 계좌 잔액을 파악[공격자가 설정한 기준금액에 맞거나 더 많을 시]한 후 이체하는 금액도 사용자 몰래 수정한다. 이 과정에서 사용자가 입력하는 보안카드 정보는 공격자가 가로채지 않고 정상적으로 은행에 전송되며, 이후 인터넷뱅킹 종료 없이 프로세스 자체는 정상적으로 완료[공격자의 계좌번호 및 수정된 금액으로]된다. 따라서 이 경우 금융기관 입장에서는 정상적인 이체사례여서 이상 징후를 파악하기 불가능하다.

 

인터넷뱅킹을 자주 이용하는 사용자는 피해예방을 위해 사용자 PC를 최신 PC 백신으로 유지하고 실시간 감시를 동작시켜야 한다. 특히 인터넷뱅킹 사용 전에는 귀찮더라도 반드시 최신 백신으로 PC를 사전 검사하는 것이 좋다. 또한, 최초 악성코드의 침입 자체를 막는 것도 중요하다. 이를 위해 믿을 수 없는 사이트 방문 자제, 수상한 이메일의 첨부파일 실행 자제, SNS 및 이메일에 포함된 URL 실행 자제 등 기본 보안 수칙 준수가 필수적이다.

 

현재 V3[기업용 및 개인용]는 해당 악성코드를 모두 진단 및 치료하고 있다.

 

이호웅 안랩 시큐리티대응센터장은 “이번 악성코드의 경우는 긴 추석 연휴기간 중이나 월급날 등 인터넷 뱅킹이 활발하게 일어나는 특정 시기에 더욱 증가 할 가능성이 높다. 인터넷뱅킹 사용자는 금전피해를 보지 않도록 귀찮더라도 최신 백신 업데이트 등 기본 보안 수칙을 준수하는 것이 반드시 필요하다.”라고 말했다.

 

<진화한 메모리 해킹[수정]공격 시나리오>

 

1. 사용자가 보안 취약 사이트 방문 및 기타 다양한 경로로 해당 악성코드에 감염[악성코드 잠복]

 

2. 이후 [악성코드 감염PC]사용자가 [공격자가 미리 설정한] 특정 금융 사이트를 방문 시 악성코드가 해당 사실을 감지

 

3. 악성코드는 사용자의 금융 사이트 방문 시 구동되는 키보드보안솔루션, 공인인증서 등 금융 사이트 구동 시에 사용자 보안을 위해 자동으로 구동되는 보안 보안모듈에 대한 메모리 해킹 공격 감행. 이와 함께, 새롭게 금전 이체 작업 시 은행으로 전송되는 “계좌이체번호”와 “이체금액” 변조

 

4. 금융기관 아이디/비밀번호, 공인인증서 비밀번호 등 개인[금융]정보 탈취함과 동시에, 피해자가 이체작업 시 이체 계좌번호를 공격자의 계좌번호로 바꾸고 금액도 변경. 이체 금액 변경은 미리 사용자의 잔액을 파악한 뒤, 공격자가 설정한 기준과 맞거나 더 많을 시 작동

 

<지난 메모리 해킹[수정] 악성코드와 차이점>

 

- 기존 메모리 해킹 악성코드: 각 타깃 은행 별 보안 모듈의 메모리를 해킹[수정]해 보안 모듈을 무력화 -> 인터넷뱅킹 로그인 ID/PW, 공인인증서 비밀번호, 보안카드 번호 등 금전 이체에 필요한 정보 탈취 -> 인터넷 뱅킹 프로세스 강제 종료 [인터넷뱅킹 비성사 건에 대해 동일한 보안카드 번호를 요구하는 점을 악용해 금전 탈취]

 

- 이번 이체정보 변경 악성코드: 각 타깃 은행 별 보안 모듈의 메모리를 해킹[수정]해 보안 모듈을 무력화 -> 인터넷뱅킹 로그인 ID/PW, 공인인증서 비밀번호 등 금융정보 탈취, 보안카드 정보는 탈취하지 않음 -> 이체 실행 시, 수신인의 계좌번호를 공격자가 원하는 계좌번호로 변경, 조건 충족 시 이체 금액도 변경 -> 인터넷뱅킹 프로세스 정상 종료

 

항목

기존 메모리해킹 악성코드

이번 이체정보 변경 악성코드

비 고

보안 모듈 메모리 해킹[수정]여부

타겟은행에서 사용하는 보안 모듈의 메모리를 해킹[수정]해 보안 모듈을 무력화

타겟은행에서 사용하는 보안 모듈의 메모리를 해킹[수정]해 보안 모듈을 무력화

동일

보안카드 정보 탈취

보안카드 정보 1회 탈취 [은행 서버로 전송 안됨]

보안카드 정보 탈취하지 않음 [은행 서버로 정상 전송]

 

인터넷뱅킹 프로세스 종료여부

탈취한 보안카드 정보를 이용하기 위해 사용자의 인터넷뱅킹 프로세스 종료

받는 사람의 계좌정보 및 금액을 변경하는 형태이므로 인터넷뱅킹 프로세스 종료하지 않음

 

최종 금전탈취 방법

인터넷뱅킹 비성사 건에 대해 동일한 보안카드 번호를 요구하는 점을 악용해 탈취한 보안카드 정보 및 금융 정보로 금전 이체 및 인출

특정 은행 고객이 인터넷뱅킹으로 이체 실행 시 중간에서 받는 사람의 계좌정보와 금액[기준 충족 시]만 변경. 즉 사용자가 공격자에게 직접 금액을 전송하는 형태

 

 

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안랩 ASEC에서 2012년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.36을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2012년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

포털 사이트 겨냥한 금감원 사칭 피싱 악성코드 주의’

택배 사이트 배송조회 페이지에서 유포된 악성코드

토렌트 사이트에서 유포된 hosts.ics 생성 악성코드

최신 영화 공유 파일을 이용한 악성코드 유포

다앙한 DDoS 공격 기능이 있는 악성코드

PUP(불필요한 프로그램)의 습격

한컴 엑셀 파일 취약점을 이용한 백도어 유포

전자 계정 명세서로 위장한 스팸 메일

이메일로 도착한 문자메시지


2) 모바일 악성코드 이슈

금융사 피싱 앱 주의

문자메시지 수집하는 사생활 침해 악성 앱 주의

성인 악성 앱 주의

안드로이드 랜섬웨어 주의 


3) 보안 이슈

주요 정부기관 DNS 서버 DDoS

국제 사회에 영향을 미치는 에드워드 스노든 효과


4) 2013년 상반기 보안 동향

* 상반기 보안 위협 동향

정부기관, 언론 및 금융기관을 대상으로 한 대규모 보안 사고

메모리 패치 기능을 이용한 인터넷 뱅킹 악성코드

국내 소프트웨어 대상 제로데이 취약점 증가

한국적 특색이 강해지는 모바일 악성코드

파밍과 결합된 온라인 게임 계정정보 탈취 악성코드

자바와 인터넷 익스플로러 취약점의 지속적인 악용

국가간 갈등을 유발하는 인터넷의 사이버 첩보전


* 상반기 모바일 악성코드 동향

2013년 상반기 모바일 악성코드 급증

정보 유출 및 과금 유발 트로이목마 다수

사용자 과금 유발 악성 앱 최다

국내 스마트폰을 노린 악성코드


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.42 발간


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 4월 4일 온라인 뱅킹 정보 탈취를 위해 제작된 스파이아이(SpyEye) 트로이목마가 이제는 온라인 뱅킹외에 다양한 국가에 위치한 다양한 산업군의 웹 사이트들에서 사용자 계정 정보들의 탈취를 노린다는 정보를 전달한 바가 있다.


이러한 스파이아이 트로이목마가 감염 형태가 기존에 발견되었던 스파이아이 변형들과 다른 새로운 형태의 스파이아이 변형이 발견되었다.


이 번에 발견된 스파아이 트로이목마는 전체적인 동작면에서는 기본적으로 동일한 것으로 미루어 현재까지 언더그라운드에 공개된 다양한 온라인 뱅킹 정보 탈취 트로이목마들의 소스코드 중 스파이아이의 소스코드를 사용된 것으로 추정된다.


추가적으로 ASEC에서는 2012년 5월 중순부터 해당 새로운 스파이아이 트로이목마 변형이 유포되기 시작한 것으로 추정되며, 그리고 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 한 종류인 블랙홀 익스플로잇 툴킷(Blackhole Exploit Toolkit)에 의해 유포된 것으로 추정하고 있다.


해당 스파이아이 트로이목마에 감염되면 감염된 시스템에서 실행 중인 정상 윈도우 시스템 파일 explorer.exe의 프라이빗 메모리(Private Memory) 영역에 자신의 코드 16,384 바이트를 삽입하게 된다.



정상적으로 explorer.exe의 메모리 영역에 자신의코드가 삽입되면 자신의 복사본을 다음 경로에 설정 파일과 함께 생성하나, 기존 스파이아이 변형들처럼 유저 모드(User Mode)의 은폐 기능을 수행하지는 않는다.


C:\Documents and Settings\All Users\Application Data\default\bin.exe


다음 레지스트리 키(Registry Key)를 생성하여 윈도우 시스템이 재부팅되어도 자동 실행되도록 구성한다.


HKCU\Software\Microsoft\Windows\CurrentVersion\Run\default

"C:\Documents and Settings\All Users\Application Data\default\bin.exe"


그리고 독일에 위치한 C&C 서버와 암호화된 통신을 통하여 별도의 설정 파일인 web.dat을 아래의 경로에 생성하게 된다.


C:\Documents and Settings\All Users\Application Data\default\web.dat 

C:\Documents and Settings\All Users\Application Data\default\cfg.dat


생성된 설정 파일은 RC4로 인코딩되어 있으며, 이를 디코딩하는 키값은 해당 스파이아이 트로이목마 내부에 가지고 있으며, 생성된 설정 파일을 디코딩하게 되면 아래 이미지와 같은 텍스트 파일이 나타나게 된다.



해당 설정 파일에는 아래 이미지와 같은 독일에 위치한 은행의 온라인 뱅킹 웹 사이트의 로그인을 위한 사용자 계정과 암호를 후킹하기 위한 코드가 설정되어 있다. 



이 외에 이번에 발견된 스파이아이 변형은 웹 폼 인젝션(Web Form Injection)을 위해 마이크로소프트 인터넷 익스플로러(Internet Explorer), 구글 크롬(Google Chrome)과 파이어폭스(Firefox) 웹 브라우저 실행 여부를 확인하고 접속하는 웹 사이트 주소를 확인하게 된다.


그리고 파이어폭스의 사용자 설정 파일인 user.js 을 확인하여 아래 이미지와 같은 코드를 삽입하여, 파이어폭스에 포함되어 있는 보안 경고 기능을 무력화 하게 된다.



이 번에 발견된 스파이아이 변형은 전체적인 감염 동작은 기존에 발견된 스파이아이 변형들과 동일하게 정상 explorer.exe 의 메모리 영역에 자신의 코드를 삽입하고, 웹 브라우저가 접속하는 웹 사이트 주소를 설정 파일과 비교하여 웹폼 인젝션을 통해 사용자 계정과 암호를 후킹하는 것은 동일하다. 


그러나 기존 스파이아이 변형들이 가지고 있는 유저 모드 은폐 기능을 통해 생성한 파일 복사본과 설정 파일들을 은폐하는 기능이 존재하지 않는 차이점만을 가지고 있다.


이 번에 발견된 스파이아이의 새로운 변형은 V3 제품군에서 다음과 같이 진단한다.


Win-Trojan/Spyeyes.19968.B


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
한국 시각으로 2011년 12월 7일 새벽 Adobe에서는 보안 권고문 "APSA11-04 Security Advisory for Adobe Reader and Acrobat"을 공개하며 Adobe Acrobat에서 알려지지 않은 제로 데이(Zero-Day) 취약점인 CVE-2011-2462가 발견되었음을 알렸다.

Adobe에서는  이번에 발견된 제로 데이 취약점에 영향을 받는  Adobe Acrobat 버전들은 다음과 같다고 밝히고 있다.

Adobe Reader X (10.1.1) and earlier 10.x versions for Windows and Macintosh
Adobe Reader 9.4.6 and earlier 9.x versions for Windows, Macintosh and UNIX
Adobe Acrobat X (10.1.1) and earlier 10.x versions for Windows and Macintosh
Adobe Acrobat 9.4.6 and earlier 9.x versions for Windows and Macintosh

그리고 보안 권고문을 통해 해당 제로 데이 취약점을 악용한 타겟 공격(Targeted Attack)이 발생하였으며, 해당 취약점을 보고 한 업체로는 미국 군수 방위 업체인 록히드 마틴(Lockheed Martin)으로 밝히고 있다.


이 번 타겟 공격과 관련하여 시만텍(Symantec)에서는 "A New Zero Day PDF Exploit used in a Targeted Attack" 블로그를 통해 이메일의 첨부 파일로 제로 데이 취약점인 CVE-2011-2462이 존재하는 PDF 파일을 전송한 것으로 공개 하였다. 그리고 공격 대상이 된 기업들로는 통신, 제조, 유통, 컴퓨터 하드웨어와 하드웨어 업체들인 것으로 밝히고 있다. 

ASEC에서는 이 번 타겟 공격이 11월 말에서 12월 초를 전후하여 발생한 것으로 추정하고 있으며, 발견된 취약한 PDF 파일은 최소 2개 이상 인것 파악하고 있다.

일반적으로 PDF 파일에는 Universal 3D 파일 포맷같은 3차원 이미지를 포함할 수 있다. U3D 이미지 파일은 일반적인 블럭헤더와 블럭 타입의 특별한 블럭데이터를 가질 수 있는 구조이다.

이 블럭들 중 ShadingModifierBlock은 0xFFFFFF45 값을 가지고, ShadingModifierBlock은 힙
(Heap)에 객체를 생성할 때 사용한다.

이런 오브젝트들의 포인트도 힙에 저장되며 포인터를 위해 메모리에 할당되는 양은 포인터사이즈에 U3D 파일의 Shader List Count 필드를 곱한 것이다. 그러나 포인터는 0xe0형태로 힙 메모리에 초기화되지 않은 상태로 설정 될 경우 이를 악용 가능한 힙 변형이 발생 할 수 있다.

이 번에 발견된 취약한 PDF들은 아래 이미지와 같은 악의적인 3D Stream을 포함하고 있다.

 
해당 악의적인 3D Stream의 압축을 해제하게 되면 아래 이미지와 같은 U3D 파일이 생성되며 붉은 색 박스로 표시된 부분에 의해 실질적인 오버플로우(Overflow)가 발생하게 된다.
 


OpenAction을 통해 취약한 PDF 파일이 실행 될 때 아래 이미지와 같은 14번 오브젝트에서 AcroJS를 포함한 15번 오브젝트 부분의 스크립트를 실행하도록 되어 있다.


15번 오브젝트에는 아래 이미지와 같이  힙 스프레이를 통해 쉘코드를 메모리에 적재하는 AcroJS가 포함되어 있다.


쉘코드는 XOR 97로 디코딩(Decoding)하는 과정을 거쳐 백도어 기능을 수행하는 악성코드를 시스템에 생성하게 된다.


메일로 전달 된 CVE-2011-2462 제로 데이 취약점을 가지고 있는 PDF 파일을 실행하게 되면 아래 이미지와 동일한 내용을 가지고 있는 정상 PDF 파일이 보여진다.


그러나 실제로는 사용자 모르게 다음 파일들이 시스템에 생성되고 실행 된다.

C:\Documents and Settings\[사용자 계정명]\Local Settings\ctfmon.exe
C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\ManTech Employee Satisfaction Survey.pdf
C:\Documents and Settings\[사용자 계정명]\Local Settings\pretty.exe
C:\Documents and Settings\[사용자 계정명]\Local Settings\WSE4EF1.TMP 


생성된 파일들 중 
ManTech Employee Satisfaction Survey.pdf는 위 이미지와 동일한 취약한 PDF 파일이 실행 될 때 감염된 시스템의 사용자로 하여금 악성코드로 의심하지 못하도록 보여지는 정상 파일이다. 

생성된 
ctfmon.exe(39,936 바이트)는 자신의 복사본을 다시 동일한 위치에 pretty.exe(39,936 바이트)로 생성하며 DLL 파일인 WSE4EF1.TMP(31,232 바이트)를 드롭(Drop) 한다. 해당 파일들 모두 마이크로소프트 비주얼 C++(Microsoft Visual C++)로 제작 되었으며 실행 압축은 되어 있지 않다.

그리고 ctfmon.exe는 다음의 레지스트리(Registry) 키를 생성하여 시스템이 재부팅하더라도 자동 실행하도록 한다.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
office = 
"C:\Documents and Settings\[사용자 계정명]\Local Settings\pretty.exe"

 
드롭 된  WSE4EF1.TMP는 다음의 프로그램들이 실행되어 프로세스를 생성하게 되면 아래 이미지와 같이 스레드(Thread)로 해당 프로세스에 인젝션(Injection) 하게 된다.

Microsoft Outlook
Microsoft Internet Explorer
Firefox



인젝션에 성공하게 되면 HTTPS로 다음 시스템으로 접속을 시도하게 되나 테스트 당시에는 정상적인 접속이 이루어지지 않았다.

hxxps://www.pr[삭제]her.com/asp/kys[삭제]_get.asp?name=getkys.kys


정상적인 접속이 이루어지게 되면 다음의 악의적인 기능들을 수행하게 되며, 해당 악성코드들은 기존 다른 침해 사고에서 발견되었던 원격 제어 형태의 백도어(Backdoor)이다.

파일 업로드 및 다운로드
CMD Shell 명령 수행
시스템 강제 종료 및 재부팅
프록시(Proxy) 서버 


이번에 발견된 Adobe Acrobat에 존재하는 제로 데이 취약점인 CVE-2011-2462를 악용한 타겟 공격은 취약한 PDF 파일과 감염되는 악성코드 등 전반적인 사항들을 고려하였을때, 공격자는 기업 내부에 존재하는 중요 데이터를 탈취하기 위한 목적으로 제작 및 유포한 것으로 추정된다.

타겟 공격에 실제 악용된
CVE-2011-2462 취약점에 대한 보안 패치는 Adobe에 의해 현지 시각으로 12월 12일 배포 될 예정이나 다른 보안 위협에서 해당 제로 데이 취약점을 악용 할 가능성이 높음으로 각별한 주의가 필요하다.

해당 제로데이 취약점에 대한 임시 대응 방안으로 Adobe에서는 사용하는 Adobe Reader의 버전을 10.0으로 업그레이드 하고 해당 버전에 포함되어 있는 보호 모드(
Protected Mode)와 보호 뷰(Protected View) 기능을 활성화 할 것을 권고하고 있다.

메뉴 → 편집 → 기본 설정 → 일반  → 시작할 때 보호 모드 사용(활성)
 


메뉴 → 편집 → 기본 설정 → 보안(고급)  → 고급 보안 사용(활성)

 

이 번 발견된 Adobe Acrobat에 존재하는 제로 데이 취약점인 CVE-2011-2462을 악용한 악성코드들 모두 V3 제품군에서 다음과 같이 진단하고 있다.

PDF/
CVE-2011-2462
Win-Trojan/Agent.39936.BAT
Backdoor/Win32.CSon
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
안철수연구소는 ASEC 블로그를 통해서 배너광고를 통한 악성코드 유포사례에 대해서 여러차례 다룬 바 있고
이번에 발견된 사례도 기존과 크게 다르지 않다.


1. 악성코드 유포는 어떻게?

이번에 발견된 사례는 아래 그림과 같은 형식으로 유포가 되었다.

 

                                               [그림 1] 배너광고를 통한 악성코드 유표과정

2. 악성코드 감염은 어떻게?
[그림 1]처럼 악성 스크립트가 삽입된 배너광고에 노출된 PC가 만약 보안 취약점이 존재했다면 악성코드에 감염되었을 확률이 높다.

[그림 2] 배너에 삽입된 악성 스크립트

악성 스크립트가 정상적으로 동작하면 브라우저 버전, 취약점등 조건에 따라 최종적으로 아래 주소에서 악성코드를 다운로드 및 실행한다.


배너광고에 노출된 PC에 악성코드를 다운로드 및 실행하기 위해서 사용된 취약점은 아래와 같다.

※ CSS 메모리 손상 취약점(MS11-003, CVE-2010-3971)
http://technet.microsoft.com/ko-kr/security/bulletin/ms11-003

※ Adobe Flash Player 취약점: CVE-2011-2140
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2140
http://www.adobe.com/support/security/bulletins/apsb11-21.html

위 취약점들을 사용한 악성 스크립트에 포함된 쉘코드는 아래 그림처럼 암호화된 URL가지고 있으며 복호화한 후 다운로드 및 실행하도록 되어 있다.


[그림 3] Shellcode의 복호화 루틴

[그림 4] urlmon.URLDownloadToFileA 함수 호출
 

edi= 다운로드할 악성코드 URL, http://***.78.***.175/Ags/AGS.gif

ebx= 악성코드를 저장할 경로, %USERPROFILE%\Application Data\Y.exe

Y.exe가 실행되면 아래 그림과 같이 파일을 생성 및 백업한다.

                                           [그림 5] Y.exe의 실행과정

[그림 5]
에서처럼 악성 ws2help.dll은 HttpSendRequestA()를 메모리상에서 Inline Patch하여 특정 온라인 게임 사용자의 계정정보를 탈취하는 게임핵 악성코드이다.

             [그림 6] 악성 ws2help.dll에 의해서 HttpSendRequestA()함수 패치 전과 후

[그림 6]
을 보면 악성 ws2help.dll에 의해서 HttpSendRequestA()함수가 패치될 경우 0x100030f0란 주소로 분기하도록 되어 있음을 알 수 있다.

위와 같이 하는 이유는 사용자가 입력한 ID/PW를 사이트로 전송하기 전에 악성 ws2help.dll에 의해서 입력된 계정정보를 탈취하기 위한 목적이고 사용자의 계정정보는 아래 그림에서 보는 것처럼 특정 사이트로 전송된다.

                                   [그림 7] 특정 사이트로 전송되는 ID/PW

3. 안철수연구소의 대응상태

* V3 엔진버전 : 2011.11.21.00
JS/Shellcode
JS/Downloader
Dropper/Win32.OnlineGameHack


만약 악성코드에 감염되어 백신이 실행되지 않을 경우 아래 전용백신을 다운로드하여 검사 및 치료한다.

                          GameHackKill 전용백신 다운로드

 


4. 맺음말
주말이면 어김없이 취약한 웹 사이트를 통해서 악성코드 유포가 되풀이 되고 있고 아직도 상당수의 사용자들이 보안 업데이트를 하지 않아 악성코드 감염피해를 입고 있지만 백신(전용백신)으로 치료하면 그만이라는 생각을 가지고 있는 것 같다.

옛 속담에 "소잃고 외양간 고친다."란 말이 있다. 이 속담의 의미처럼 가장 기본이면서도 중요한 보안 업데이트를 꾸준히 함으로써 큰 피해를 미연에 방지했으면 한다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC