안랩 ASEC에서 2012년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.36을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

온라인 뱅킹 트로이목마 Banki(1)

온라인 뱅킹 트로이목마 Banki(2)

패스워드를 노리는 악성코드

악성코드의 3단 콤보 공격

온라인 게임핵 변종 악성코드

특정 후보의 정책관련 한글문서 위장 악성코드

부킹닷컴을 사칭한 악성코드

과다 트래픽을 발생시키는 악성코드

상품권 번호 탈취하는 온라인 게임핵 악성코드

Xerox WorkCentre를 사칭한 악성 메일

Facebook을 사칭한 악성 e-mail 주의


2) 모바일 악성코드 이슈

국내 스마트폰 사용자를 노린 Win-Android/Chest 악성코드

PUP 앱의 폭발적인 증가


3) 보안 이슈

Stuxnet 기술을 이용하는 MySQL 취약점

지속적으로 보고되는 인터넷 익스플로러 use-after-free 취약점


4) 2012년 보안 동향 분석

악성코드 통계

- 2012년 악성코드, 1억3353만1120 건

- 악성코드 대표 진단명 감염보고 최다 20

- 2012년 악성코드 유형 ‘트로이목마’가 최다

모바일 악성코드 이슈

- 월간 모바일 악성코드 접수량

- 모바일 악성코드 유형

- 모바일 악성코드 진단명 감염보고 최다

보안 통계  

- 2012년 4분기 마이크로소프트 보안 업데이트 현황

웹 보안 통계

- 웹 사이트 악성코드 동향

웹 보안 이슈


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.36 발간


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

연말에 휴가를 계획중이라면 예약 관련 내용의 메일을 확인할 경우 주의가 필요하다.

 

전 세계 26만여개의 숙박업체 예약 서비스를 하고 있는 Booking.com(부킹닷컴)을 사칭한 메일을 통해 악성코드가 유포되고 있다.

[그림 1] 부킹닷컴을 사칭한 악성코드 첨부 메일 원본

 

이러한 스팸 메일은 지난 7월에도 보고된 바 있고, 10월에는 시스코사의 위협 발생 경보에 아래와 같은 허위 호텔 예약 확인이라는 이메일 내용이 공개된 적이 있다.

 

 

 

 

 

[그림 2] Cisco - Threat Outbreak Alerts: Fake Hotel Reservation Confirmation E-mail Messages

 

해당 악성코드는 사회공학적 기법을 이용하여 휴가시즌에 주로 메일을 통해 유포되고 있으며, 메일 본문에는 예약 내용 확인을 위해 첨부 파일 실행을 유도하고 있다.

 

메일에 첨부된 압축 파일을 해제하면 Booking Summary Details.pdf.exe 파일을 확인할 수 있다. 해당 파일을 실행하면 자기 복제 본을 svchost.exe 파일 이름으로 아래와 같이 생성하고 레지스트리 값에 등록하여 부팅 시 자동 실행되도록 한다.

 

[파일 생성]

%ALLUSERSPROFILE%\svchost.exe

 

[레지스트리 등록]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="%ALLUSERSPROFILE%\svchost.exe"

 

svchost.exe 파일이 실행되면 아래 그림과 같이 TCP 8000 포트를 오픈 하여 대기 상태인 것을 확인할 수 있다.

 

[그림 2] svchost.exe의 네트워크 연결 정보

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

Win-Trojan/Jorik.38400.F

신고
Posted by DH, L@@