- 제우스, 스파이아이 이은 금융정보 탈취형 악성코드 Citadel 분석 발표 

- 강화된 정보 수집 기능으로 인터넷 뱅킹 정보 및 PC 정보 수집 

- 인터넷에서 유상 판매...악성코드의 기업화 양상 


세계적으로 큰 피해를 일으켰던 금융정보 탈취형 악성코드인 제우스[Zeus]와 스파이아이[Spyeye]의 뒤를 잇는 강력한 악성코드가 발견됐다.

 

글로벌 보안 기업 안랩[구 안철수연구소, 대표 김홍선, www.ahnlab.com]은 강력한 기능의 금융정보 탈취형 악성코드인 시타델[Citadel] 악성코드에 대한 분석 결과를 발표하고 사용자 주의를 당부했다.

 

시타델은 ‘시타델 빌더’라 불리는 악성코드 생성기로 만들어진 악성코드로, 과거 제우스 악성코드와 작동 방식이 유사하다. 현재 ‘제우스 빌더’가 더 이상 업데이트되지 않고 소스코드까지 공개된 시점에서 새롭게 대두되기 시작한 악성코드이다.

 

안랩의 분석에 따르면 시타델 악성코드의 기능은 전체적으로 제우스와 유사한 경향을 보인다. 따라서 악성코드에 감염된 PC의 네트워크인 봇넷[Botnet]을 구성하기 위한 기능을 기본으로, 사용자의 인터넷 뱅킹 정보, 웹 브라우저 내 저장 정보, SNS[소셜네트워크서비스] 개인정보 등 다양한 데이터를 탈취하는 기능을 가지고 있다. 또한 공격자용 서버인 C&C 서버로부터 허위백신[사용자의 PC를 사용하지 못하게 만들거나 허위로 악성코드에 감염되었다는 정보로 공포심을 유발한 후 이를 해결하기 위한 대가로 직접적인 송금을 강요하는 부류의 악성코드] 등을 추가적으로 내려 받아 감염된 PC 사용자에게 직접적으로 금전을 요구하기도 한다.

 

반면, 정보 탈취의 기능은 제우스에 비해 비약적으로 강화되었다. 제우스의 경우 뱅킹 인증 정보를 훔치기에 앞서 운영체제 정보, 웹 브라우저 정보, 사용자가 설정한 컴퓨터 이름 등 감염 PC의 기본 정보만 모아 공격자에게 전송한다. 반면 시타델은 기본적인 정보 외에 감염 PC가 소속된 네트워크 정보가 포함되어 APT[Advanced Persistent Threat]까지 고려한 정보수집을 시도한다. 예를 들어 로컬 네트워크의 도메인 정보, 데이터베이스 서버 리스트, 사용자 네트워크 환경을 수집하고 윈도우 사용자 및 그룹 계정 정보, 더 나아가 웹 브라우저에 홈페이지로 설정된 정보까지 수집한다.

 

시타델 악성코드는 ‘시타델 스토어’라는 곳에서 판매되고 있다. 악성코드를 생성하는 빌더와관리자용 패널을 판매하는 한편, 미리 구축된 봇넷에 대한 월별 사용료, 백신을 회피하기 위한 서비스 및 업데이트 사용료 등 세분화한 판매 정책으로 기업화 및 전문화한 최근 악성코드의 경향을 반영하고 있다.

 

안랩의 온라인 거래 보안 솔루션인 AOS[AhnLab Online Security]는 이러한 시타델, 스파이아이, 제우스와 같은 고도화한 타깃형 악성코드에 대응하기 위해 특화 설계된 보안 플랫폼이다. AOS는 시큐어 브라우저[AOS Secure Browser], 안티키로거[AOS Anti-keylogger], 방화벽[AOS Firewall], 백신[AOS Anti-virus/spyware]로 구성되어 악성코드 공격 및 키보드를 통한 정보 탈취, 허가되지 않은 외부 침입 방지 등 다양한 보안 위협을 막아낸다. 또한, 안랩은 AOS의 스마트폰용 버전인 ‘AOS 모바일’을 출시하고, 인텔의 개인정보보호 기술인 인텔 IPT[Intel® IPT]를 AOS에 적용해 더욱 강력해진 사용자 인증 기능을 제공한다. AOS는 현재 국내 다양한 금융사를 비롯해 남미의 배너멕스와 산탄데르, 북미 지역의 코너스톤뱅크 등 해외 금융권에도 적용되고 있다.

 

안랩 시큐리티대응센터 이호웅 센터장은 “이제 악성코드는 대부분 금전적인 목적으로 제작되고 있다고 해도 과언이 아니다. 특히 금융정보를 노린 타깃형 악성코드는 더욱 증가할 것으로 예상된다. 사용자는 PC 백신 업데이트, 수상한 메일의 첨부 파일 및 링크 클릭 자제 등 주의가 필요하고, 기업의 경우 자사 시스템과 고객을 동시에 보호할 수 있는 광범위한 보안 솔루션 도입이 필수적이다.”라고 말했다. 

 

Posted by 비회원

안랩 ASEC에서 2012년 10월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.34을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 10월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

10월에 발견된 취약한 한글 문서 파일

MS 워드, PDF 문서들의 취약점을 악용하는 악성코드 다수 발견

한글 소프트웨어의 제로데이 취약점 악용 악성코드

미국 대선 뉴스로 위장한 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷

플레임 악성코드 변형 miniFlame 변형 발견

윈도우 도움말 파일을 이용한 악성코드 유포

국방 관련 내용을 담은 취약한 한글 파일

연봉 계약서로 위장한 취약한 한글 파일 발견

한반도 정황 관련 내용의 취약한 한글 파일 발견

대만 기상청을 대상으로 한 타깃 공격 발견

이스라엘 정부 기관 대상의 타깃 공격 발생

국내 PC 사용자를 대상으로 유포된 아두스카 부트킷

usp10.dll 파일을 이용한 온라인 게임 악성코드


2) 모바일 악성코드 이슈

NH모바일 웹 피싱사이트

방통위 사칭 악성 애플리케이션


3) 악성코드 분석 특집

패치드(Patched) 형태의 악성코드 변천사

ZeroAccess로도 알려진 Smiscer 변형

IFEO 를 이용하는 악성코드

Bootkit Story Part 1. 모체를 찾아라!


4) 보안 이슈

Adobe사의 유출된 code signing 악용사례 발생

미국 금융 기업 DDoS 공격

개인 금융 정보 탈취를 노리는 Banki 트로이목마 변형


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.34 발간


Posted by 비회원

ASEC에서는 11월 26일 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용하여 악성코드 감염을 시도한 공격이 발생하였음을 공개하였다.


2012년 11월 26일 - 국방 관련 내용의 0-Day 취약점 악용 한글 파일


해당 제로 데이 취약점과 관련하여 12월 3일 해당 제로 데이 취약점을 제거 할 수 있는 보안 패치를 배포하기 시작하였다.


[공지]한컴오피스 및 한/글 제품의 보안 패치 업데이트 안내


이 번 보안 패치의 설치 대상이 되는 한글 소프트웨어 제품들은 다음과 같다.


한컴 오피스 2010 SE+, 2007, 2005

한글 2010 SE+, 2007, 2005, 2002


해당 보안 패치는 한글과 컴퓨터 웹 사이트를 통해 보안 패치를 업데이트 할 수 있으며, 아래 이미지와 같이 [한컴 자동 업데이트]를 실행해서도 보안 패치 설치가 가능하다.



[한컴 자동 업데이트]가 실행되면 아래 이미지와 같이 현재 설치되어 있는 한글 프로그램에 맞는 보안 패치를 자동으로 설치할 수 있다.



그리고 아래 이미지의 [환경 설정]을 클릭하여 [업데이트 방법][자동 업데이트 설정]이 가능함으로 최신 보안 패치가 배포될 경우에 자동 업데이트가 진행 된다.



한글 소프트웨어의 알려진 취약점이나 알려지지 않은 취약점을 악용한 악성코드 유포가 지속적으로 발견되고 있다. 


그러므로 한글 소프트웨어 사용자는 한글과 컴퓨터에서 배포하는 보안 패치들을 모두 적용하고 사용 중인 보안 소프트웨어를 최신 업데이트 버전으로 유지하는 것이 악성코드 감염으로부터 시스템을 보호 할 수 있는 방안이다.

Posted by 비회원

ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하였던 취약점들을 악용하여 원격 제어 형태의 악성코드 감염을 시도하는 형태의 위협들에 대해서 지속적으로 알려 왔었다.


금일 다시 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이(0-Day, Zero-Day) 취약점을 악용하여 원격 제어 형태의 악성코드 감염을 시도한 사례가 발견되었다.


현재 ASEC에서는 금일 발견된 해당 제로 데이 취약점에 대해 자세한 분석을 진행 중에 있다.


이 번에 발견된 취약한 한글 파일은 한국 시각으로 11월 21일에서 22일 사이에 정부 기관을 대상으로 유포된 것으로 추정된다.


해당 제로 데이 취약점을 가지고 있는 취약한 한글 문서를 열게 되면, 아래 이미지와 동일하게 "한국 공군의 위상에 대한 평가와 진단"이라는 제목의 문서 내용이 보여지게 된다.



해당 취약한 한글 문서를 한글과 컴퓨터에서 제공하는 최신 보안 패치가 모두 적용된 한글2010이 설치된 시스템에서 열게 되면 아래 경로에 "HncCtrl.exe (139,264 바이트)파일이 생성된다.


 C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\HncCtrl.exe


생성된 "HncCtrl.exe (139,264 바이트)"는 다음 경로에 추가적으로 "taskmgr.exe (61,440 바이트)"와 "sens.dll (36,864 바이트)"를 생성하게 된다.


C:\WINDOWS\system32\IE\sens.dll

C:\WINDOWS\system32\IE\taskmgr.exe


그리고 다음 레지스트리(Registry) 키를 생성하여 시스템이 재부팅하더라도 자동 실행되도록 구성하게 된다.


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS\Parameters\

ServiceDll = C:\WINDOWS\system32\IE\sens.dll


생성된 "sens.dll (36,864 바이트)"는 윈도우 시스템에 존재하는 정상 svchost.exe 프로세스에 스레드(Thread)로 인젝션시킨 이후 감염된 시스템에서 사용자가 입력하는 모든 키보드 입력 값들을 "report.tmp"에 기록하게 된다.


그리고 다른 "taskmgr.exe (61,440 바이트)"는 감염된 시스템이 인터넷 접속이 가능한지 확인하기 위해 구글(Google) 웹 사이트로 접속을 시도하게 된다. 


접속이 성공하게 되면 아래 이미지에서와 같이 감염된 시스템에서 연결되어 있는 구글 사용자 세션을 이용하여 특정 지메일 계정으로 키보드 입력 값들이 기록 되어 있는 "report.tmp"을 첨부하여 발송하게 된다.



이 번에 발견된 국방 관련 내용을 가진 제로 데이 취약점을 악용한 한글 파일과 관련 악성코드들은 모두 V3 제품 군에서 다음과 같이 진단한다.


HWP/Exploit

Win-Trojan/Agent.139264.QV

Win-Trojan/Agent.61440.BBS

Win-Trojan/Agent.36864.CCY


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit


앞서 언급한 바와 같이 금일 발견된 취약한 한글 파일은 기존에 알려지지 않은 제로 데이 취약점을 악용하고 있다. 현재 한글과 컴퓨터를 통해 공식적인 보안 패치가 제공되지 않고 있음으로 외부에서 보내온 이메일에 첨부된 한글 파일이 존재 할 경우에는 각별한 주의를 기울여야 한다.

Posted by 비회원

안랩 ASEC에서 2012년 9월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.33을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 9월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

인터넷 익스플로러 버전 7과 8의 제로데이 취약점을 악용하는 악성코드

자바 취약점을 악용하는 악성코드

트래픽을 유발하는 악성코드

P2P 사이트를 통해 유포되는 무협지 위장 악성코드
다양한 전자 문서들의 취약점을 악용한 악성코드
취약점을 이용하지 않는 한글 파일 악성코드
윈도우 8로 위장한 허위 백신 발견
당첨! 자동차를 받아가세요
도움말 파일로 위장한 악성코드가 첨부된 메일
UPS, Amazon 메일로 위장한 악성코드
악성코드 치료 후 인터넷 연결이 되지 않는다면


2) 모바일 악성코드 이슈

2012 미국 대선을 노린 광고성 애플리케이션 주의

일본 여성을 타깃으로 하는 Loozfon 모바일 악성코드

Anime character named Anaru(Android Malware)

유명 게임으로 위장한 개인정보를 유출하는 악성 앱 주의


3) 보안 이슈

인터넷 익스플로러 제로데이 취약점(CVE-2012-4969)


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.33 발간

Posted by 비회원

PC 성능이 향상되고 멀티미디어로서의 PC 활용도가 높아짐으로 인해 사용하는 PC에 다양한 동영상과 사진, 문서 파일들을 보관하는 일반 사용자들이 증가 추세에 있다. 이러한 시대 상황에 맞추어 감염된 PC에 존재하는 이미지 파일들을 탈취하여 외부로 유출하는 악성코드가 발견되었다.


이 번에 발견된 이미지 파일들을 탈취하는 악성코드와 같은 형태의 악성코드는 2012년 2월 문서 파일들을 탈취하는 악성코드와 유사한 목적을 수행하기 위해 제작되었다라고 볼 수 있다.


이 번에 발견된 해당 악성코드는 아래 이미지의 코드와 같이 감염된 시스템의 C 드라이브, D 드라이브 그리고 E 드라이브에 존재하는 JPG, JPEG와 DMP 확장자를 가지는 파일들 모두를 수집하여 C:\ 에 모두 복사하게 된다.



그리고 아래 이미지의 코드에서와 같이 독일에 위치한 특정 시스템으로 접속을 시도하게 된다.



접속이 성공하게 되면 FTP(File Transfer Protocol)를 이용하여 C:\에 복사된 JPG, JPEG와 DMP 확장자를 가지는 파일들 모두 전송하게 된다.


이 번에 발견된 이미지 파일들을 탈취하기 위해 제작된 악성코드는 V3 제품 군에서 다음과 같이 진단한다.


Win-Trojan/Pixsteal.237630


Posted by 비회원

ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 취약점을 악용하여 악성코드 감염을 시도하는 사례들에 대해 여러 차례 언급한 바가 있다. 최근인 10월 25일에는 대통령 선거 관련 내용을 가진 취약한 한글 파일이 유포된 사례가 있어, 한국 사회에서 주요 관심 사항으로 부각되는 주제들을 악성코드 유포에 악용하는 사회 공학(Social Engineering) 기법들이 정교해지고 있다.


이러한 한국 사회의 주요 관심 사항 중 하나인 한반도 정황 관련 내용을 포함하고 있는 취약한 한글 파일이 10월 31일 발견되었다.


이 번에 발견된 취약한 한글 파일은 "한반도 신뢰 프로세스.hwp (309,612 바이트)"라는 파일명으로 유포되었으며, 해당 취약한 한글 파일을 열게 되면 아래 이미지 파일과 같이 "한반도 신뢰 프로세스 (KOREA TRUST PROCESS)"라는 제목이 나타나게 된다.



해당 취약한 한글 파일을 보안 패치가 설치되지 않은 취약한 한글 소프트웨어를 사용하는 시스템에서 열게 되면 사용자 모르게 백그라운드로 "~ZZ.tmp(102,400 바이트)"를 다음 경로에 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\~ZZ.tmp 


해당 "~ZZ.tmp(102,400 바이트)"이 정상적으로 생성되면 자신의 복사본을 "ms[임의의 문자열 5자리].dll(102,400 바이트)"를 다음 경로에 생성하게 된다.


C:\WINDOWS\system32\ms[임의 문자열 5자리].dll 


그리고 실질적인 악의적인 기능을 수행하는 "[6자리 임의의 문자열].tmp(110,592 바이트)" 을 다음 경로에 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\[6자리 임의의 문자열].tmp


생성된 "[6자리 임의의 문자열].tmp(110,592 바이트)" 은 rundll32.exe를 이용해 실행되며 windows_sru.chq 파일을 다음 경로에 생성하게 된다.


C:\WINDOWS\Help\windows_sru.chq


생성된 windows_sru.chq에는 감염된 시스템에서 수집한 다음 정보들을 기록하게 된다.


시스템 하드웨어 정보

윈도우 사용자 계정명


추가적으로 다음 확장자를 가진 파일명들을 수집하여 해당 windows_sru.chq에 기록하게 된다.


EXE, DLL, CHM. AVI, MPG, ASPX, LOG, DAT, PDF, TXT, DOCX, HWP, RAR, ZIP, ALZ, CAB, HTML, GZ, XML, EML, JPG, BMP, ISO, VC4


그리고 백그라운드로 인터넷 익스플로러(iexplore.exe)를 실행시켜 국내 유명 포털 웹사이트의 이메일 서비스를 이용하여 감염된 시스템에서 수집된 정보들이 기록된 windows_sru.chq을 첨부하여 이메일을 발송하게된다.


이 번에 발견된 한반도 정황과 관련된 내용을 가진 취약한 한글 파일과 관련 악성코드들은 모두 V3 제품 군에서 다음과 같이 진단한다.


HWP/Exploit

Win-Trojan/Dllbot.110592

Win-Trojan/Xema.102400.S


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit

Suspicious/MDP.Document


현재 한글과 컴퓨터에서는 해당 취약한 한글 파일들이 악용하는 취약점에 대한 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

Posted by 비회원

ASEC에서는 지속적으로 국내 관공서 등에서 많이 사용되는 한글 소프트웨어의 취약점을 악용하여 악성코드 감염을 시도하는 공격에 대해 알린 바가 있다. 이러한 한글 소프트웨어의 취약점을 악용하는 공격 형태는 10월 24일 대통령 선거 공약 관련 내용으로도 유포 된 바가 있다.


10월 25일에는 일반 기업들의 연봉 계약서 내용으로 위장하여 유포된 취약한 한글 파일이 발견되었다. 


이 번에 발견된 취약한 한글 파일은 "연봉계약서.hwp (1,015,812 바이트)" 라는 파일명을 가지고 있으며, 이를  열게 되면 아래 이미지와 같은 내용을 가지고 있다.



해당 취약한 한글 파일은 HwpApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플 로우로 인한 코드 실행 취약점이다. 해당 취약점은 2012년 6월에 발견되었으며, 당시 제로 데이(Zero-Day,0-Day) 취약점으로 발견되었다.


해당 취약한 한글 파일이 열리게 되면, 사용자 모르게 백그라운드로 "system32.dll (81,920 바이트)"를 다음 경로에 생성하게 된다.


C:\Documents and Settings\Tester\Local Settings\Temp\system32.dll


그리고 생성한 system32.dll 는 다시  "AppleSyncNotifier.exe (81,920 바이트)" 이라는 파일을 다음 경로에 생성하게 된다.


C:\Documents and Settings\Tester\시작 메뉴\프로그램\시작프로그램\AppleSyncNotifier.exe


생성된 AppleSyncNotifier.exe  다음과 같은 악의적인 기능들을 수행하게 된다.


실행 중인 프로세스 리스트 수집

파일 다운로드 및 업로드, 실행

프로세스 강제 종료


감염된 시스템에서 수집한 정보들은 미국에 위치한 특정 시스템으로 HTTP를 이용해 전송하게 된다.


이 번에 발견된 대통령 선거 관련 내용을 담고 있는 취약한 한글 파일들은 모두 V3 제품 군에서 다음과 같이 진단한다.


HWP/Exploit

Win-Trojan/Symmi.81920


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit

Dropper/MDP.Document

Suspicious/MDP.Document


현재 한글과 컴퓨터에서는 해당 취약한 한글 파일들이 악용하는 취약점에 대한 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

Posted by 비회원

ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어 존재하는 취약점들을 악용하여 악성코드 감염을 시도한 공격 사례들에 대해 여러 차례 공유 한 바가 있다. 특히 최근 1달 사이만을 살펴보더라도 아래와 같이 다수의 공격 사례들이 있어, 외부에서 유입되는 이메일에 첨부된 한글 파일을 열게 될 경우에는 각별한 주의가 필요하다.



2012년 10월 24일, 다시 한글 소프트웨어에 존재하는 알려진 취약점을 악용하는 취약한 한글 파일 2건이 발견되었다. 이 번에 발견된 취약한 한글 파일 2건은 국내 유명 포털 웹 사이트에서 제공하는 메일 서비스의 이메일 주소 이용하고 있으며, 취약한 한글 파일들이 이메일의 첨부 파일로 존재 한다.


첫 번째 메일은 아래 이미지와 같이 "핵심공약"이라는 메일 제목에 "핵심공약.hwp" 라는 한글 파일이 첨부 파일로 존재하는 형태이다.



그리고 두 번째 메일은 아래 이미지와 같이 "현안대응"이라는 메일 제목에 "현안대응.hwp"이라는 한글 파일이 첨부 파일로 존재한다.



첨부 되어 있는 "핵심공약.hwp (164,629 바이트)"을 열게 되면 아래 이미지와 같이 대통령 선거의 공약들과 관련된 내용이 나타나게 된다.



그리고 두 번째 "현안대응.hwp (168,725 바이트)"를 열게 되면 아래 이미지와 같이 한국의 정치적인 상황들과 관련된 내용이 나타나게 된다.



이 번에 발견된 해당 파일들은 일반적인 OLE 포맷을 따르지 않고 아래 이미지와 같이 한글  Version 2 포맷이라는 별도의 파일 포맷 형식으로 되어 있다.



그리고 해당 취약한 한글 파일들 내부에는 아래 이미지와 같이 별도의 PE 파일이 임베디드(Embedded) 되어 있는 형태를 가지고 있다.



해당 취약한 한글 파일들을 열게 되면 모두 공통적으로 시스템 사용자 모르게 백그라운드로 "svc.exe (126,976 바이트)" 파일을 생성하게 된다.


C:\Documents and Settings\Tester\Local Settings\Temp\svc.exe


생성된 svc.exe는 다시 DLL 형태의 파일인 "wdmaud.drv (78,336 바이트)" 를 다음 경로에 생성하게 된다.


C:\WINDOWS\wdmaud.drv


생성된 wdmaud.drv 는 윈도우 시스템 프로세스인 explorer.exe와 winlogin.exe의 스레드(Thread)로 인젝션이 성공하게 되면 감염된 시스템에서 다음의 악의적인 기능들을 수행하게 된다.


파일 다운로드 및 업로드

CMD.EXE를 이용한 콘솔 명령 실행

실행 중인 프로세스 리스트 수집

감염된 시스템 컴퓨터명 수집

감염된 시스템 IP와 프록시(Proxy) 서버 주소 수집

윈도우 사용자 계정 명 수집

감염된 시스템의 윈도우 버전과 언어 정보 수집


감염된 시스템에서 수집한 정보들은 한국에 위치한 특정 시스템으로 HTTP를 이용해 전송하게 된다.


이 번에 발견된 대통령 선거 관련 내용을 담고 있는 취약한 한글 파일들은 모두 V3 제품 군에서 다음과 같이 진단한다.


HWP/Exploit

Trojan/Win32.Npkon

Trojan/Win32.Dllbot


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-SEH


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Suspicious/MDP.Document

Dropper/MDP.Exploit

Suspicious/ MDP.Exploit

Suspicious/MDP.Behavior


현재 한글과 컴퓨터에서는 해당 취약한 한글 파일들이 악용하는 취약점에 대한 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

Posted by 비회원

온라인 게임에서 사용되는 개인 정보들을 탈취하기 위한 악성코드는 몇 년에 걸쳐서 한국에서 꾸준히 발견되고 있으며, 이제는 매주 주말마다 새로운 변형들을 다양한 웹 어플리케이션 취약점들과 연동하여 유포하고 있다. 이러한 온라인 게임 관련 악성코드에 대해서 ASEC에서는 그 변형들이 악용하는 유포 기법들을 지속적으로 공유하고 잇다.


2011년 10월 - ws2help.dll을 교체하는 온라인 게임 악성코드 분석


2012년 3월 - CVE-2012-0754 취약점을 이용해 전파되는 온라인 게임핵 악성코드


2012년 7월 - XML 코어 서비스 취약점 악용으로 온라인 게임 악성코드 유포


2012년 7월 - GongDa Pack의 스크립트 악성코드 증가


2012년 8월 - YSZZ 스크립트 악성코드의 지속 발견


2012년 10월 - 패치드(Patched) 형태의 악성코드 변천사


이러한 온라인 게임의 사용자 개인 정보 탈취를 목적으로하는 악성코드가 최근에서는 usp10.DLL 파일을 악용하여 보안 소프트웨어를 무력화 기능까지 포함된 악성코드가 발견되었다.


이 번에 발견된 온라인 게임 관련 악성코드는 크게 3가지 부분으로 구분 할 수 있으며, 각각 다음과 같은 기능들을 가지고 있다.


드로퍼(Dropper) - TeminateProcess를 호출하여 보안 소프트웨어 강제 종료 시도


usp10.DLL : 로드 후 자신의 부모 프로세스가 보안 소프트웨어 프로세스 중 하나라면 UnmapViewOfSection 또는 ExitProcess 호출


에브킬(AVKill) 루트킷 : NtOpenProcess와 NtTerminateProcess 후킹 해제하여 보안 프로그램 강제 종료 시도


해당 온라인 게임 관련 악성코드의 드로퍼는 다음 보안 소프트웨어와 시스템 모니터링 툴의 프로세스가 실행 중이라면 강제 종료를 시도하게 된다.



그리고 윈도우 레지스트리(Registry)를 편집하여 다음과 같은 기능을 활성하게 된다.


"숨김 파일 및 폴더를 표시 안함" 설정

세팅하여 "알려진 파일 형식의 파일 확장명 숨기기" 설정


이와 함께 2개의 스레드(Thread)를 생성하여 다음의 기능들을 수행하게 된다.


1) usp10.DLL 생성

드로퍼는 두 개의 PE 파일을 포함하고 있으며, 첫 번째 스레드는 악의적인 usp10.DLL을 C 드라이브를 제외한 모든 드라이브의 모든 폴더에 EXE 파일이 존재하는지 확인 후 해당 DLL 파일을 생성하게 된다. 


그 후 해당 EXE 파일들이 실행 될 경우, 윈도두 시스템 폴더(System32) 폴더에 존쟇는 정상 DLL 파일 대신에 해당 악의적인 usp10.DLL을 먼저 로드 하게 된다. 


2) 다른 악성코드 다운로드 및 정보 유출

두 번째 스레드는 미국에 위치한 특정 시스템에서 다른 악성코드를 다운로드 및 실행 하게 된다.그리고 미국에 위치한 또 다른 특정 시스템으로 감염된 시스템의 MAC 주소와 운영체제 정보를 전송하게 된다.


드로퍼에 의해 생성된 usp10.DLL은 윈도우 시스템 폴더(System32)에 존재하는 정상 usp10.DLL을 로드 한 뒤, 정상 usp10.DLL의 익스포트(Export) 함수들을 리다이렉트(Redirect) 시키게 된다. 그리고 다른 악성코드를 다운로드 및 실행을 시도하나 분석 당시에는 정상적으로 다운로드 되지 않았다. 이와 함께 UnmapViewOfSection이나 ExitProcess를 호출하여 보안 소프트웨어의 프로세스에 대한 강제 종료를 시도하게 된다.


이 번에 발견된 usp10.DLL 파일을 악용하여 보안 소프트웨어를 무력화 기능까지 포함된 온라인 게임 관련 악성코드는 V3 제품 군에서 다음과 같이 진단한다.


Dropper/Win32.OnlineGameHack

Trojan/Win32.OnlineGameHack

Dropper/Win32.OnlineGameHack


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Suspicious/MDP.DropMalware

Posted by 비회원