현지 시각으로 2012년 8월 9일 해외 보안 업체 캐스퍼스키(Kaspersky)에서 블로그 "Gauss: Nation-state cyber-surveillance meets banking Trojan"와 함께 분석 보고서인 "Gauss:Abnormal Distribution"를 공개하였다.


이 번 캐스퍼스키에서 공개한 분석 보고서에서는 Gauss로 명명된 악성코드가 발견되었으며, 해당 악성코드들이 기존에 발견되었던 Duqu와 Stuxnet 변형으로 알려진 Flame과 유사도가 높은 것으로 밝히고 있다.


해당 Gauss 악성코드의 전체적인 구조는 아래 캐스퍼스키에서 공개한 이미지와 동일한 형태로 Duqu, Stuxnet 그리고 Flame과 유사한 모듈화된 형태를 가지고 있다.



이 번에 발견된 해당 Gauss 악성코드들의 특징은 다음과 같으며, Flame에서 발견되었던 특징들이 유사하게 발견되었다.


1) 2011년 9월에서 10월사이에 제작 및 유포된 것으로 추정, 제작 이후 수 차례 모듈 업데이트 및 C&C 서버 주소가 변경됨


2) 웹 브라우저 인젝션 이후 사용자 세션을 가로채는 기법으로 사용자 암호, 브라우저 쿠키 및 히스토리 수집


3) 감염된 PC에서 네트워크 정보, 프로세스, 폴더, BIOS와 CMOS 정보들 수집


4) USB를 이용 다른 PC로 전파되며 사용된 취약점은 Stuxnet에서 최초 악용되었던 "MS10-046: Windows 셸의 취약성으로 인한 원격 코드 실행 문제" 사용


5) Palida Narrow 폰트 설치


6) C&C 서버와 통신 후 수집한 정보들 모두 전송하고 다른 모듈들을 다운로드


그리고 해당 악성코드들이 수집하는 정보들은 다음과 같으며, Stuxnet과 같이 시스템 파괴 등의 목적보다는 정보 수집을 주된 목적으로 하고 있다.


1) 컴퓨터 명, 윈도우 버전, 실행 중인 프로세스 리스트


2) Program Files 폴더의 디렉토리 리스트


3) 감염된 PC의 인터넷 익스플로러 버전


4) 네트워크 및 DNS 정보


5) 쿠키를 검색해서 쿠키 중 다음 문자열이 있는지 검색 후 웹 페이지 접속시에 사용자 암호 추출

paypal, mastercard, eurocard, visa, americanexpress, bankofbeirut, eblf, blombank, byblosbank, citibank, fransabank, yahoo, creditlibanais, amazon, facebook, gmail, hotmail, ebay, maktoob


이 번에 발견된 Gauss 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

Trojan/Win32.Mediyes
JS/Gauss
Win-Trojan/Gauss.1310208
Win-Trojan/Gauss.270336
Win-Trojan/Gauss.194560
Win-Trojan/Gauss.172032
Win-Trojan/Gauss.397312
Win-Trojan/Gauss.430080
 
캐스퍼스키의 분석 보고서를 참고로 할 때 Gauss 악성코드들은 특정 금융 정보나 개인 정보 탈취 목적이라기 보다는 Flame 악성코드와 유사하게 특정 조직에 대한 포괄적인 금융 정보를 포함한 다양한 정보들을 수집하기 위해 제작된 것으로 분석 된다.


저작자 표시 비영리 변경 금지
신고
Posted by 비회원
ASEC에서는 1월 27일 MS12-004 윈도우 미디어 취약점(CVE-2012-0003)을 악용한 악성코드 유포가 발견되었으며, 마이크로소프트(Microsoft)에서 1월 11일 배포한 보안 패치로 해당 취약점을 제거 할 수 있음을 공개하였다. 

그리고 해당 취약점을 악용한 악성코드는 한국과 중국을 포함한 극동 아시아 권을 주된 대상으로 유포된 것으로 분석하였으며, 최종적으로는 온라인 게임 관련 정보들을 탈취하기 위한 것음을 밝힌 바가 있다.

2월 2일 국내 웹 사이트에서 Heap Feng Shui라는 기법을 이용해 제작된 새로운 형태의 MS12-004 취약점 악용 스크립트 악성코드 변형이 발견되었다. 

이 번에 새롭게 발견된 해당 스크립트 악성코드는 ASEC에서 추가적인 조사 과정에서 1월 30일 경에 제작되어 유포가 진행 된 것으로 추정하고 있다.

Heap Feng Shui라는 기법을 이용해 제작된 새로운 형태의 스크립트 악성코드는 아래와 같은 전체적인 구조를 가지고 있다.


Heap Feng Shui는 2007년 Black Hat Europe에서 최초로 발표된 기법으로 순차적인 자바 스크립트(Java Script) 할당을 통해 브라우저(Browser)에서 힙(Heap) 영역을 다루게 된다.

 
해당 MS12-004 취약점을 악용하는 스크립트는 yty.mid 파일을 호출하도록 되어 있으나, 아래 이미지와 같이 손상된 MIDI 파일이 존재하여 실질적인 공격이 성공하지는 않을 것으로 분석하고 있다.


이 번에 발견된 해당 스크립트 악성코드의 쉘코드(Shellcode)에서는 국내에 위치한 특정 시스템에서 i.exe(20,480 바이트)를 다운로드 한 후 실행 하도록 되어 있다.

다운로드 후 실행 되는 i.exe는 비주얼 베이직(Visual Basic)으로 제작되었으며 국내에서 제작된 특정 온라인 게임의 사용자 정보 탈취와 함께 특정 ASP 파일을 읽어오도록 되어 있다.

현재까지 새로운 MS12-004 취약점 악용 스크립트 변형은 주말 사이에 총 72건이 V3에서 진단 된 것으로 미루어 해당 스크립트 악성코드는 향후 온라인 게임 관련 악성코드와 함께 지속적으로 유포될 것으로 예측 된다.

그러므로 사용하는 윈도우(Windows) 운영체제에 대한 최신 보안 패치를 설치하는 것이 악성코드 감염을 예방하는 원천적인 방법이다.

Heap Feng Shui 기법을 이용해 제작된 MS12-004 취약점을 악용하는 스크립트 악성코드와 관련된 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.

Downloader/Win32.Small
HTML/Ms12-004
Exploit/Ms12-004
JS/Redirector
SWF/Cve-2011-2140
JS/Cve-2010-0806
저작자 표시
신고
Posted by 비회원
안철수연구소는 ASEC 블로그를 통해서 배너광고를 통한 악성코드 유포사례에 대해서 여러차례 다룬 바 있고
이번에 발견된 사례도 기존과 크게 다르지 않다.


1. 악성코드 유포는 어떻게?

이번에 발견된 사례는 아래 그림과 같은 형식으로 유포가 되었다.

 

                                               [그림 1] 배너광고를 통한 악성코드 유표과정

2. 악성코드 감염은 어떻게?
[그림 1]처럼 악성 스크립트가 삽입된 배너광고에 노출된 PC가 만약 보안 취약점이 존재했다면 악성코드에 감염되었을 확률이 높다.

[그림 2] 배너에 삽입된 악성 스크립트

악성 스크립트가 정상적으로 동작하면 브라우저 버전, 취약점등 조건에 따라 최종적으로 아래 주소에서 악성코드를 다운로드 및 실행한다.


배너광고에 노출된 PC에 악성코드를 다운로드 및 실행하기 위해서 사용된 취약점은 아래와 같다.

※ CSS 메모리 손상 취약점(MS11-003, CVE-2010-3971)
http://technet.microsoft.com/ko-kr/security/bulletin/ms11-003

※ Adobe Flash Player 취약점: CVE-2011-2140
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2140
http://www.adobe.com/support/security/bulletins/apsb11-21.html

위 취약점들을 사용한 악성 스크립트에 포함된 쉘코드는 아래 그림처럼 암호화된 URL가지고 있으며 복호화한 후 다운로드 및 실행하도록 되어 있다.


[그림 3] Shellcode의 복호화 루틴

[그림 4] urlmon.URLDownloadToFileA 함수 호출
 

edi= 다운로드할 악성코드 URL, http://***.78.***.175/Ags/AGS.gif

ebx= 악성코드를 저장할 경로, %USERPROFILE%\Application Data\Y.exe

Y.exe가 실행되면 아래 그림과 같이 파일을 생성 및 백업한다.

                                           [그림 5] Y.exe의 실행과정

[그림 5]
에서처럼 악성 ws2help.dll은 HttpSendRequestA()를 메모리상에서 Inline Patch하여 특정 온라인 게임 사용자의 계정정보를 탈취하는 게임핵 악성코드이다.

             [그림 6] 악성 ws2help.dll에 의해서 HttpSendRequestA()함수 패치 전과 후

[그림 6]
을 보면 악성 ws2help.dll에 의해서 HttpSendRequestA()함수가 패치될 경우 0x100030f0란 주소로 분기하도록 되어 있음을 알 수 있다.

위와 같이 하는 이유는 사용자가 입력한 ID/PW를 사이트로 전송하기 전에 악성 ws2help.dll에 의해서 입력된 계정정보를 탈취하기 위한 목적이고 사용자의 계정정보는 아래 그림에서 보는 것처럼 특정 사이트로 전송된다.

                                   [그림 7] 특정 사이트로 전송되는 ID/PW

3. 안철수연구소의 대응상태

* V3 엔진버전 : 2011.11.21.00
JS/Shellcode
JS/Downloader
Dropper/Win32.OnlineGameHack


만약 악성코드에 감염되어 백신이 실행되지 않을 경우 아래 전용백신을 다운로드하여 검사 및 치료한다.

                          GameHackKill 전용백신 다운로드

 


4. 맺음말
주말이면 어김없이 취약한 웹 사이트를 통해서 악성코드 유포가 되풀이 되고 있고 아직도 상당수의 사용자들이 보안 업데이트를 하지 않아 악성코드 감염피해를 입고 있지만 백신(전용백신)으로 치료하면 그만이라는 생각을 가지고 있는 것 같다.

옛 속담에 "소잃고 외양간 고친다."란 말이 있다. 이 속담의 의미처럼 가장 기본이면서도 중요한 보안 업데이트를 꾸준히 함으로써 큰 피해를 미연에 방지했으면 한다.

저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC