안랩 ASEC에서 2012년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.36을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

온라인 뱅킹 트로이목마 Banki(1)

온라인 뱅킹 트로이목마 Banki(2)

패스워드를 노리는 악성코드

악성코드의 3단 콤보 공격

온라인 게임핵 변종 악성코드

특정 후보의 정책관련 한글문서 위장 악성코드

부킹닷컴을 사칭한 악성코드

과다 트래픽을 발생시키는 악성코드

상품권 번호 탈취하는 온라인 게임핵 악성코드

Xerox WorkCentre를 사칭한 악성 메일

Facebook을 사칭한 악성 e-mail 주의


2) 모바일 악성코드 이슈

국내 스마트폰 사용자를 노린 Win-Android/Chest 악성코드

PUP 앱의 폭발적인 증가


3) 보안 이슈

Stuxnet 기술을 이용하는 MySQL 취약점

지속적으로 보고되는 인터넷 익스플로러 use-after-free 취약점


4) 2012년 보안 동향 분석

악성코드 통계

- 2012년 악성코드, 1억3353만1120 건

- 악성코드 대표 진단명 감염보고 최다 20

- 2012년 악성코드 유형 ‘트로이목마’가 최다

모바일 악성코드 이슈

- 월간 모바일 악성코드 접수량

- 모바일 악성코드 유형

- 모바일 악성코드 진단명 감염보고 최다

보안 통계  

- 2012년 4분기 마이크로소프트 보안 업데이트 현황

웹 보안 통계

- 웹 사이트 악성코드 동향

웹 보안 이슈


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.36 발간


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

국내에서는 3가지 피해사례가 끊임없이 발견되고 있다.

1. 온라인게임 계정 유출로 인한 피해

2. 안드로이드 기반의 스마트폰 소액결제로 인한 피해

3. 상품권 번호 유출로 인한 피해

 

1,2 번 항목에 해당하는 악성코드는 ASEC 블로그를 통하여 많은 정보를 게시하였다.

http://asec.ahnlab.com/793 [온라인 게임 계정 유출 악성코드]

http://asec.ahnlab.com/772 [온라인 게임 계정 유출 악성코드]

http://asec.ahnlab.com/search/CHEST [스마트폰 SMS 정보 유출로 인한 결제 피해]

 

국내에서는 주말을 이용하여 대량 배포되고 있는 사용자의 정보 탈취용 악성코드가 끊임없이 발견되고 있다.

그 변종 또한 셀 수 없이 많으며, 이번에는 상품권 정보가 어떻게 유출 되는지 3번 항목에 대하여 살펴 보자.

 

해당 악성코드에 감염될 경우, 파일 생성 정보와 네트워크 정보는 아래와 같다.

네트워크 트래픽을 보면 PC의 MAC, OS, 사용하는 AV 정보들을 전송하는 것을 확인할 수 있다.

 

testsample.exe     CREATE C:\WINDOWS\system32\drivers\7f12a432.sys    

testsample.exe     CREATE C:\WINDOWS\system32\kakubi.dll

testsample.exe     CREATE C:\WINDOWS\system32\wshtcpbi.dll    

testsample.exe     DELETE C:\WINDOWS\system32\wshtcpip.dll    

testsample.exe     CREATE C:\WINDOWS\system32\wshtcpip.dll    

testsample.exe     CREATE C:\WINDOWS\system32\drivers\03b991b4.sys    

testsample.exe     DELETE C:\WINDOWS\system32\drivers\03b991b4.sys    

testsample.exe     DELETE C:\WINDOWS\system32\midimap.dll    

testsample.exe     CREATE C:\WINDOWS\system32\midimap.dll    

testsample.exe     CREATE C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Coor.bat    

[File Monitor Information]

 

testsample.exe     TCP CONNECT     127.0.0.1    =>    2xx.16.1xx.xxx:80     

testsample.exe     HTTP CONNECT     127.0.0.1    =>    2xx.16.1xx.xxx:80     2xx.16.1xx.xxx/xx/get.asp?mac=3F72BD929D0****9E0C0E24FDDCC4F09&os=winxp%20Professional&avs=(V3)&ps=NO.&ver=NOON    

testsample.exe     TCP DISCONNECT     127.0.0.1    =>    2xx.16.1xx.xxx:80

[Network Monitor Information]

 

감염된 상태에서 특정 사이트를 접속하여 실제 유출되는 과정을 살펴보자.

 

- 계정 정보 탈취

[그림1] 북**** 닷컴 로그인 화면

 

위의 [그림1]은 북****닷컴 사이트의 로그인 화면이며, 로그인을 하게 되면 아래와 같은 패킷이 확인된다.

 

[그림2] 로그인 시, 패킷 덤프

 

[그림2]는 패킷을 캡쳐한 화면으로 GET 방식으로 2xx.2xx.xxx.xxx IP로 ID와 Password 가 전송되는 것을 확인할 수 있다.

 

- 상품권 정보 탈취

 

[그림3] 북****닷컴 상품권 입력 화면

 

 

[그림4] 상품권 번호 입력 시, 패킷덤프

 

로그인 후에 상품권 번호 입력을 하게 되면 로그인 계정과 마찬가지로 상품권 정보를 탈취하는 패킷을 확인할 수 있으며, 이 역시 같은 IP로 상품권 정보가 전송 된다. 테스트로 살펴본 북****닷컴 외에도 악성코드가 로드 되어 있을 때 메모리에서 아래의 사이트 String 정보들을 확인할 수 있었고 이 사이트들의 계정 정보도 탈취할 수 있다는 것을 보여준다.

 

aran.kr.gameclub.com

login.nexon.com

auth.siren24.com

bns.plaync.com

heroes.nexon.com

www.nexon.com

www.happymoney.co.kr

www.teencash.co.kr

www.cultureland.co.kr

www.booknlife.com

capogames.net

dragonnest.nexon.com

elsword.nexon.com

clubaudition.ndolfin.com

www.netmarble.net

itemmania.com

www.itembay.com

www.pmang.com

aion.plaync.jp

plaync.co.kr

maplestory.nexon.com

fifaonline.pmang.com

df.nexon.com

nxpay.nexon.com

baram.nexon.com

(생략…)

[그 외 해당 사이트들]

 

실제로 유출사례가 발견 되었고 꾸준히 발견되고 있는 악성코드인 만큼 사용자들의 각별한 주의가 요구된다.

이외에도 많은 악성코드들이 윈도우 및 응용프로그램 취약점을 통하여 감염된다.

따라서, 반드시 최신 보안패치를 설치하고, 안전성이 확인되지 않은 파일공유사이트(P2P, Torrent)등에서 받은 불법적인 파일은 실행하지 않는것이 중요하다.

 

Microsoft

http://update.microsoft.com

 

Flash Player 업데이트

http://get.adobe.com/kr/flashplayer/

 

▶ Java (JRE) 업데이트

http://www.java.com/ko/

 

▶ 한글과컴퓨터 업데이트 방법

http://asec.ahnlab.com/888 

 

<V3 제품군의 진단명>

Trojan/Win32.OnlineGameHack

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@