ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 워드프로세스에 존재하는 알려진 코드 실행 취약점을 악용하는 취약한 한글 파일들이 유포된 사례들 다수를 공개하였다.


유포되었던 취약한 한글 파일들 대부분은 아래 3가지 형태의 취약점을 가장 많이 악용하여 백도어 형태의 악성코드 감염을 시도하였다.


1. HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow)로 인한 임의의 코드 실행 취약점


2. HncApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플로우로 인한 임의의 코드 실행 취약점


3. EtcDocGroup.DFT에 존재하는 버퍼 오버플로우로 인한 임의의 코드 실행 취약점


그러나 9월 10일과 11일 이틀 동안 그 동안 알려진 한글 워드프로세스에 존재하는 취약점을 악용하지 않는 다른 형태의 한글 파일들 다수가 발견되었다.


이 번에 발견된 한글 파일들은 총 4개로 안전여부.hwp (47,616 바이트), 운영체제 레포트 제목.hwp (31,744 바이트), 120604 전북도당 통합진보당 규약(6월 2주차).hwp (63,488 바이트)와 민주통합전라남도당 입당,정책 입당원서(제1호).hwp (102,912 바이트)이다.






해당 한글 파일들 모두 앞서 언급한 바와 같이 기존에 알려진 한글 워드프로세스의 취약점을 악용하지 않고 있으며, 특이하게 OLE 포맷이 아래 이미지와 같은 형태로 구성되어 있다.



위 이미지와 같이 인코딩 되어 있는 형태의 ahnurl.sys 파일을 내부에 임베디드 된 형태로 가지고 있으며, 다른 하나의 한글 파일에서는 이와는 다르게 레지스트리에 쓸 수 있는 데이터인 ahnurlahnrul.sys 모두 가지고 있는 형태도 존재한다. 



해당 한글 파일들은 파일 자체에는 취약점을 악용할 수 있는 익스플로잇(Exploit) 코드와 쉘코드(Shellcode)가 포함되어 있지 않음으로 해당 한글 파일들을 열어보는 것만으로 악성코드에 감염되지는 않는다.


현재 ASEC에서는 해당 한글 파일 제작자가 어떠한 용도와 목적으로 해당 한글 파일들을 유포한 것인지 지속적으로 확인 중에 있다.


해당 한글 파일들은 V3 제품군에서는 다음과 같이 모두 진단한다.


HWP/Agent


앞서 언급한 바와 같이 한글 워드프로세스의 알려진 취약점을 악용하여 다른 악성코드 감염을 시도하는 취약한 한글 파일들 유포 사례가 자주 발견되고 있다. 그러므로 한글과 컴퓨터에서 배포 중인 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

Posted by 비회원

몇 년전부터 금전적인 목적을 가지고 있는 허위 백신들들은 사회적인 이슈들 또는 소셜 네트워크(Social Network)등을 통해 지속적으로 유포되었다. 


다양한 기법으로 유포되는 허위 백신 형태의 악성코들은 감염된 시스템에 존재하지 않는 악성코드 감염이라는 허위 정보를 시스템 사용자들에게 보여줌으로서 금전적인 결제를 유도하여 직접적인 금전 획득의 목적을 가지고 제작되었다.


특히 다양한 사회적인 이슈들과 IT 트렌드를 반영하여 PC 또는 모바일(Mobile) 형태까지 다양한 형태로 유포 되는 사례가 많았다.


2011년 1월 - AVG 백신으로 위장해 유포된 허위 백신


2011년 10월 - SNS로 전파되는 맥 OS X 대상의 허위 백신


2011년 10월 - 클라우드 백신으로 위장한 허위 백신 발견


2011년 12월 - 2012년 버전으로 위장한 허위 클라우드 백신


2012년 5월 - 안드로이드 모바일 허위 백신 유포


최근 윈도우(Windows) 운영체제를 개발하는 마이크로소프트(Microsoft)에서는 10월 26일 전 세계적으로 차기 윈도우 운영체제인 윈도우 8을 출시 할 계획이라고 밝힌 바가 있다.


이러한 시기를 맞추어 윈도우 8로 신뢰할 수 있는 백신이라는 이미지로 위장한 허위 백신이 발견되었다.


해당 허위 백신 형태의 악성코드에 감염되면 아래 이미지와 같이 "Win 8 Security System"이라는 명칭을 사용하여 최신의 신뢰 할 수 있는 백신으로 위장하고 있다.



해당 허위 백신은 과거에 발견되었던 다른 허위 백신 형태의 악성코드들과 동일하게 사용자의 실행 여부와 상관 없이 자동 실행되고 시스템 전체를 검사하게 된다. 


검사가 종료되면 위 이미지에서와 같이 시스템에 존재하지 않는 다수의 악성코드들에 감염되었음을 시스템 사용자에게 알리고 치료가 필요하다고 허위 정보를 제공하게 된다.


그리고 최종적으로는 아래 이미지와 동일하게 다수의 악성코드들에 감염된 시스템을 정상적으로 사용하기 위해서는 금전 결제를 제공하라는 이미지를 보여주어, 금전 결제를 유도하게 된다.



이 번에 발견된 윈도우 8 관련 백신으로 위장한 허위 백신은 V3 제품군에서 다음과 같이 진단한다.


Spyware/Win32.Zbot


Posted by 비회원

ASEC에서는 8월 29일 "오라클 자바 JRE 7 제로 데이 취약점 악용 악성코드 유포"를 통해 자바(Java) JRE에서 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점이 발견되었으며, 이를 악용한 악성코드가 유포되었다고 공개하였다.


해당 CVE-2012-4681 자바 취약점외에도 다른 CVE-2012-0507 자바 취약점 역시 다수의 악성코드 유포에 사용되고 있다.


일반적으로 자바의 경우 JVM을 이용한 샌드박스(SandBox) 개념의 보안 기능을 운영체제에 제공하고 있다. 악의적인 코드의 경우 JVM에서 시큐리티 매니져(Security Manager)를 기준으로 차단을 하게 된다. 예를 들어 파일을 디스크에 쓰거나 실행하는 경우에 정책(Policy)에 허용 되지 않은 경우에는 해당 명령은 허용 되지 않는다.


그러나 최근에 발견된 자바 취약점을 악용하는 악성코드 제작자들은 샌드박스를 우회 하기 위해 2가지 방법을 사용하고 있다.


1. 샌드박스 자체 무력화 - CVE-2012-0507 취약점



해당 CVE-2012-0507 취약점은 AtomicReferenceArray에서 발생한다. AtomicReferenceArray 클래스의 경우 시큐리티 매니져에서 ArrayObject에 대한 타입(Type)을 체크 하지 않으며, 해당 배열 생성시 역직렬화를 하고, 역직렬화된 악의적인 코드를 doWork에 정의된 클래스가 샌드박스 밖에서 실행하도록 한다.


역직렬화를 하게 되면 메모리에 악의적인 코드가 쓰일 수 있기 때문에 시큐리티 매니져에서 해당 객체에 대해서 접근에 대한 체크가가 필요하지만, 체크 하지 않아 문제가 발생하게 된다.


2. 샌드박스 내부의 정책 우회를 위하여 시큐리티 매니져를 setSecurityManger(Null)로 우회 - CVE-2011-3544와 CVE-2012-4681 취약점


샌드박스에서 시큐리티 매니져는 정책으로서 접근제어를 수행하게 된다. 하지만 시큐리티 매니져가 무력화 될 경우 접근제어를 수행하지 않기 때문에 악의적인 코드 실행이 가능해진다.


자바는 JVM에서 명령을 수행하기 위해서는 시큐리티 매니저가 함수내에서 빈번하게 호출되며, 자바 애플릿 역시 예외가 아니다. JVM이 포함되어 있는 웹 브라우저가 애플릿이 포함된 웹 사이트 접속시 JVM으로 애플릿을 다운 받아 실행하게 된다. 이 과정에서 로컬에서 실행하기 위해서는 디스크에 파일을 쓰고 실행을 하여야 하는데, 시큐리티 매니져를 우회 하여야 악성코드를 감염 시킬 수 있게 된다.



CVE-2011-3544와 CVE-2012-4681의 경우가 시큐리티 매니져를 우회하는 취약점으로 해당 취약점들은 toString Method에서 해당 함수를 실행할 경우 시큐리티 매니져를 우회 하는 취약점이였다. 


시큐리티 매니져를 해제하기 위해서는 setSecurityManager함수를 이용하여 시큐리티 매니져를 해제 해야한다. 하지만 JRM에서 setSecurityManger(NULL)을 호출하게 되면, 에러(Error)와 함께 함수 호출에 대해 실행을 허가 하지 않지만, toString Method를 이용하게 되면 해당 함수를 호출할 수 있는 취약점이다.


이와 비슷한 원리로 작동하는 취약점이 CVE-2012-4681으로 해당 취약점은 sun.awt.SunToolkit을 이용하여 파일시스템에 대한 모든 권한을 부여함으로서 시큐리티 매니져를 비활성화하도록 한다. 


현재 앞서 설명한 자바 취약점들 모두 다수의 악성코드에서 악용되고 있음으로 오라클(Oracle)에서 제공하는 보안 패치를 설치하여야만 다른 보안 위협들로보터 시스템을 보호 할 수 있다.

Posted by 비회원

ASEC에서는 한글과 컴퓨터에서 개발하는 알려진 코드 실행 취약점을 악용하는 취약한 한글 파일을 악용한 악성코드가 발견되었다는 것을 9월 4일 공개하였다.


9월 4일 취약한 한글 파일에 대해 공개한 이 후인 9월 5일과 9월 6일 오전 기존에 알려진 취약점을 악용하는 취약한 한글과 파일들과 악성코드들이 다시 발견되었다.


9월 5일 발견된 취약한 한글 파일은 아래 이미지와 동일하게 최근 언론을 통해 이슈가 되고 있는 독도 관련 내용을 담고 있으며, 문서 역시 독도 일본땅`日,자신만만증거보니…황당.hwp (447,504 바이트)라는 파일명을 가지고 있다.



해당 취약한 한글 파일은 HncApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플로우(Buffer Overflow)로 인한 코드 실행 취약점이다.


해당 취약점으로 인해 suchost.exe (295,424 바이트)을 다음의 경로에 생성한다.


c:\documents and settings\[사용자 계정명]\local settings\temp\suchost.exe


그리고 생성된 suchost.exe (295,424 바이트)는 다시 아래의 경로에 connection.dll (295,424 바이트)를 생성한다.


c:\documents and settings\all users\application data\connection.dll


윈도우 시스템에 존재하는 정상 파일인 svchost.exe를 실행하여 스레드로 인젝션되어 홍콩에 위치한 특정 시스템으로 역접속을 시도하게 된다.


9월 6일 금일 오전에 발견된 취약한 한글 파일은 총 2건이며, 그 중 첫번째는 아래 이미지와 같은 내용을 담고 있으며, 파일명 역시 1. 기술료 신청서 양식.hwp (1,000,964 바이트)를 가지고 있다.



두번째 취약한 한글 파일 역시 아래와 같은 이미지의 내용을 담고 있으며, 확인된 유포 당시 파일명은 2. 기술료 지급대상자 명단(12.09.06 현재).hwp (1,019,908 바이트)를 가지고 있다.



금일 오전에 발견된 2건의 취약한 한글 파일들 모두 기존에 발견되었던 취약한 한글 파일들에서 사용되었던 HncTextArt.hplg 존재하는 취약점을 다시 악용하고 있다.


해당 취약점으로 인해 system32.dll (81,920 바이트)를 다음 경로에 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\system32.dll


그리고 생성된 system32.dll (81,920 바이트)는 다시 아래의 경로에 taskeng.exe (28,672 바이트)를 생성하게 된다.


c:\documents and settings\[사용자 계정명]\시작 메뉴\프로그램\시작프로그램\taskeng.exe


이번에 발견된 총 3개의 취약한 한글 파일들에 의해 생성되는 악성코드들은 공격자의 명령에 따라 다양한 악의적인 기능들을 수행하게 되는 백도어 형태의 악성코드이다.


발견된 취약한 한글 파일과 악성코드들은 V3 제품 군에서 다음과 같이 진단한다.


HWP/Exploit

Backdoor/Win32.Etso

Win-Trojan/Infostealer.81920 

Win-Trojan/Infostealer.28672.J 


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-SEH

Exploit/HWP.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit


현재 한글과 컴퓨터에서는 해당 취약한 한글 파일들이 악용하는 취약점에 대한 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

Posted by 비회원

ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 취약점을 악용하는 악성코드 사례들을 다수 공개한 적이 있다.


2011년 10월 - 취약한 한글 파일을 악용한 악성코드 유포


2012년 6월 - 한글 제로데이 취약점을 악용한 악성코드 유포


2012년 6월 - 알려진 한글 취약점을 악용한 악성코드 유포


2012년 7월 - 지속적으로 발견되는 취약한 한글 파일 유포


2012년 7월 - 한글 취약점을 악용한 취약한 한글 파일 추가 발견


2012년 8월 - 다시 발견된 한글 취약점을 악용한 취약한 한글 파일


2012년 9월 3일 다시 한글 소프트웨어에 존재하는 취약점을 악용하는 취약한 한글 파일과 악성코드가 다시 발견되었다.


이 번에 발견된 취약한 한글 파일을 열게 되면 아래 이미지와 동일하게 "북한전문가와 대북전략가"라는 제목의 내용을 가지고 있다.



이 번에 발견된 취약한 한글 파일은 기존에 발견되었던 취약한 한글 파일들에서 자주 악용되었던  HncTextArt_hplg 관련 버퍼 오버플로우(Buffer Overflow) 취약점은 아니다.


해당 취약한 한글 파일에서 악용한 취약점은 EtcDocGroup.DFT에 존재하는 버퍼 오버플로우로 인해 임의의 코드가 실행되는 취약점이다. 현재 해당 취약점과 관련된 보안 패치는 이미 한글과 컴퓨터에서 보안 패치를 배포 중에 있다.


해당 취약한 한글 파일 내부에 백도어 기능을 수행하는 악성코드가 인코딩된 상태로 임베디드(Embedded) 되어 있다.


해당 취약한 한글 파일을 보안 패치가 설치 되지 않은 한글 소프트웨어가 설치되어 있는 시스템에서 열게 되면 사용자 모르게 백그라운드로 msver.tmp (137,884 바이트) 파일을 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\msver.tmp 


해당 파일이 정상적으로 생성되면 다시 msver.tmp (137,884 바이트) 는 msiexec.exe (94,208 바이트)를 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\msiexec.exe 


그리고 다시 vmm85.tmp (64,472 바이트)를 다음 폴더에 생성하게 된다. 


C:\documents and settings\tester\local settings\temp\vmm85.tmp


생성한 vmm85.tmp (64,472 바이트)의 자신의 복사본을 EventSystem.dl(64,472 바이트)라는 파일명으로 윈도우 시스템 폴더에 생성하게 된다


C:\WINDOWS\system32\EventSystem.dll 


생성된 EventSystem.dll (64,472 바이트)는 윈도우 시스템에 존재하는 rundll32.exe를 이용해 자신을 실행하여 미국에 위치한 특정 시스템으로 역접속을 시도하게 된다. 그러나 분석 당시에는 정상적인 접속이 이루어지지 않았다.


만약 정상적인 접속이 이루어지게 된다면, 공격자의 명령에 따라 다음의 악의적인 기능들을 수행하게 된다.


시스템 하드웨어 정보

운영체제 정보

프록시 설정

네트워크 정보 확인

파일 실행, 업로드 및 다운로드

디렉토리 정보 확인

실행 중인 프로세스 리스트 확인


그리고 감염된 시스템에 다음의 확장자를 가진 파일이 존재 할 경우 수집하여 외부로 전송을 시도하게 된다.


jpg, dat, png, rm, avi, mp3, pdf, bmp, mov, rar, zip, tmp


이 번에 발견된 한글 소프트웨어에 존재하는 취약점을 악용하는 취약한 한글 파일과 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.


HWP/Exploit

Dropper/Malware.137884

Win-Trojan/Protux.94208.D

Trojan/Win32.Dllbot


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-SEH


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Document


앞서 언급한 바와 같이 한글과 컴퓨터에서 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

Posted by 비회원

안랩 ASEC에서 2012년 7월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.31을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 7월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

Banki 트로이목마의 공습

구글 코드를 악용한 악성코드 유포

국외 은행 피싱 메일

아래아한글 취약점을 악용한 파일 추가 발견

링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷

BHO에 등록되는 온라인 게임핵 악성코드

WinSocketA.dll 파일을 이용하는 온라인 게임핵

Cross-Platform 악성코드

위구르족을 타깃으로 한 맥 악성코드


2) 모바일 악성코드 이슈

APT 공격과 관련된 안드로이드 악성코드 발견

스마트폰에도 설치되는 애드웨어


3) 보안 이슈

DNS changer 감염으로 인한 인터넷 접속 장애 주의

BIND 9 취약점 발견 및 업데이트 권고

어느 기업의 데이터 유출 후, 고객에게 보내진 ‘보안 패치’ 메일의 비밀


4) 웹 보안 이슈

GongDa Pack의 스크립트 악성코드 증가

해킹된 동영상 사이트를 통한 악성코드 유포

XML 코어 서비스 취약점 악용으로 온라인 게임 악성코드 유포


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.31 발간


Posted by 비회원

ASEC에서는 8월 29일 "오라클 자바 JRE 7 제로 데이 취약점 악용 악성코드 유포"를 통해 오라클 자바 JRE(Java Runtime Environment) 7에서 임의의 코드를 실행 할 수 있는 코드 실행 취약점(CVE-2012-4681)을 발견하였음을 공개하였다.


한국 시간으로 8월 31일 금일 자바 JRE 7에 존재하는 취약점 CVE-2012-4681을 제거 할 수 있는 보안 패치를 보안 권고문 "Oracle Security Alert for CVE-2012-4681"를 통해 공개하였다.


현재 해당 자바 JRE 7에 존재하는 취약점 CVE-2012-4681을 악용하는 JAR 파일이 공다 팩(GongDa Pack)블랙홀(Blackhole)이라 불리는 웹 익스플로잇 툴킷(Web Exploit Toolkit)을 통해 백도어 기능을 수행하는 윈도우 악성코드와 맥(Mac) 악성코드 등 지속적으로 다양한 형태의  악용 사례가 발견되고 있다.


그러므로, 오라클에서 배포 중인 해당 보안 패치를 즉시 설치하여 해당  CVE-2012-4681 취약점을 악용하는 다양한 보안 위협을 예방하는 것이 중요하다.


오라클에서 배포 중인 보안 패치를 포함한 최신 버전은 웹 사이트 "무료 Java 다운로드" 또는 "Java SE Downloads"를 통해 다운로드 가능하다.


그리고 기존 버전이 설치되어 있다면 아래와 같은 절차를 통해 자동 업데이트 및 설치가 가능하다.


1. 윈도우 제어판에서 [자바 제어판] 실행 후, 상단 [갱신] 탭을 클릭하여 [자동 갱신 확인]에 체크가 되어 있는지 확인하고 없다면 체크 하도록 한다. 그리고 하단의 [지금 갱신]을 클릭한다.



2. [자동 갱신 확인]에 체크 한 후 [지금 갱신]을 클릭하면 아래 이미지와 같이 자동 업데이트가 진행된다.



앞서 언급한 바와 같이 현재 해당 자바 JRE 7에 존재하는 취약점 CVE-2012-4681을 악용하는 사례가 존재함으로 해당 보안 패치를 즉시 설치하는 것이 중요하다.

Posted by 비회원

2012년 7월 21일 일본 국내 언론들을 통해 "Finance Ministry reveals 2010-2011 computer virus; info leak feared" 일본 재무성에서 2010년에서 2011년 2년 사이에 감염된 악성코드가 발견되었으며, 이로 인해 내부 정보가 유출 되었을 것으로 추정된다는 기사가 공개 되었다.


ASEC에서는 해당 침해 사고와 관련한 추가적인 정보와 관련 악성코드를 확인하는 과정에서 해당 침해 사고와 관련된 악성코드를 확보하게 되었으며, 해당 악성코드는 약 1년 전인 2011년 9월 경에 발견된 것으로 파악하고 있다.


이번에 파악된 악성코드가 실행되면 해당 파일이 실행된 동일한 경로에 다음 파일을 생성하고, 정상 시스템 프로세스인 explorer.exe에 스레드로 인젝션하게 된다.


C::\[악성코드 실행 경로]\tabcteng.dll (114,688 바이트)


그리고 다음 레지스트 경로에 키 값을 생성하여 감염된 시스템이 재부팅하더라도 자동 실행 되도록 구성하게 된다.


HKLM\SYSTEM\ControlSet001\Services\Netman\Parameters\ServiceDll

"C:\[악성코드 실행 경로]\tabcteng.dll"


감염된 시스템에 존재하는 인터넷 익스플로러(Internet Explorer)의 실행 파일 iexplorer.exe를 실행 시켜 HTTP로 외부에 존재하는 시스템으로 접속을 시도하나 테스트 당시에는 정상 접속이 되지 않았다.


이 번 일본 재무성 침해 사고와 관련된 악성코드는 전형적인 백도어 형태의 악성코드로 실질적 악의적인 기능들은 생성된 tabcteng.dll (114,688 바이트) 에 의해 이루어지게 된다.


키보드 입력 가로채는 키로깅(Keylogging)

파일 생성 및 삭제

폴더 생성 및 삭제

운영 체제 정보

MAC 어드레스, IP, 게이트웨이(Gateway), WINS 서버 및 DNS 서버 주소

메모리, 하드 디스크 및 CPU 등 하드웨어 정보

생성되어 있는 사용자 계정들 정보


위와 같은 악의적인 기능들을 미루어 볼 때 해당 악성코드는 감염된 시스템을 거점으로 내부 네트워크의 다양한 정보들을 수집하기 위해 제작된 것으로 추정된다.


이 번에 알려진 일본 재무성 침해 사고 관련 악성코드는 V3 제품군에서 다음과 같이 진단한다.


Dropper/Win32.Agent 

Trojan/Win32.Agent 

Posted by 비회원

ASEC에서는 중국에서 제작되는 것으로 추정되는 GongDa Pack으로 명명된 스크립트 형태의 악성코드가 지속적으로 발견되고 있다는 것을 공개한 바가 있다.


7월 30일 - GongDa Pack의 스크립트 악성코드 증가


최근들어 GongDa Pack으로 명명된 스크립트 악성코드 이외에 YSZZ로 명명된 스크립트 악성코드가 버전을 계속 변경하면서 유포되고 있는 것이 발견되었다.


7월 3일 발견된 스크립트 악성코드의 경우는 아래 이미지처럼 상반기부터 발견되기 시작한 다른 YSZZ 스크립트 악성코드 변형들과 동일하게  0.3 버전의 스크립트 였다. 



그러나 8월 3일 발견된  YSZZ 스크립트 악성코드는 아래 이미지와 같이 0.8 VIP 버전으로 업데이트된 버전의 스크립트 였다.



8월 11일 주말에 발견된 YSZZ 스크립트 악성코드는 아래 이미지와 같이 0.9 VIP 버전으로 다시 업데이트된 버전의 스크립트 였다.



해당 업데이트 된 버전의  YSZZ 스크립트 악성코드들은 V3 제품군에서 다음과 같이 진단한다. 하지만 다수의 변형들이 지속적으로 발견되고 있음으로 주의가 필요하다.


HTML/Downloader

JS/Downloader 

JS/Agent 


그리고 네트워크 보안 장비인 트러스가드(TrusGuard) 제품군에서는 다음과 같이 탐지 및 차단이 가능하다.


javascript_malicious_yszz(HTTP)

javascript_malicious_yszz-2(HTTP)


공다 팩과 YSZZ 스크립트 악성코드 모두 어도비 플래쉬(Adobe Flash)와 자바(JAVA)와 같은 일반 어플리케이션들의 취약점을 악용하여 다른 온라인 게임 관련 악성코드나 원격 제어가 가능한 백도어 형태의 악성코드들의 감염을 시도하는 특징이 있다.


그러므로, 운영 체제를 포함한 자주 사용하는 어플리케이션들의 취약점을 제거할 수 있는 보안 패치들을 주기적으로 설치하는 것이 중요하다.

Posted by 비회원

ASEC에서는 그 동안 지속적으로 발견되고 있는 한글 소프트웨어에 존재하는 취약점을 악용한 악성코드 감염 사례들 다수를 언급하였다. 


6월 15일 - 한글 제로데이 취약점을 악용한 악성코드 유포


6월 26일 - 알려진 한글 취약점을 악용한 악성코드 유포


7월 5일 - 지속적으로 발견되는 취약한 한글 파일 유포


7월 25 - 한글 취약점을 악용한 취약한 한글 파일 추가 발견


2012년 8월 13일, 어제 다시 기존에 알려진 한글 취약점을 악용하는 취약한 한글 파일이 발견되었으며, 해당 취약한 한글 파일을 열게 되면 다음과 같은 내용이 나타나게 된다.



해당 취약한 한글 파일은 아래 이미지와 동일한 구조를 가지고 있으며 새로운 제로 데이(Zero Day, 0-Day) 취약점이 아니다.



해당 취약점은 HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow) 취약점이며, 해당 취약점은 2010년부터 지속적으로 악용되어 왔던 한글 소프트웨어 취약점들 중 하나이다. 그리고 해당 취약점은 한글과 컴퓨터에서 이미 보안 패치를 제공 중에 있다. 


해당 취약점이 존재하는 한글 소프트웨어를 사용하는 시스템에서 금일 유포된 취약한 한글 파일을 열게 되면 사용자 계정의 임시 폴더에 SUCHOST.EXE (296,448 바이트) 파일을 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\SUCHOST.EXE


생성된 SUCHOST.EXE (296,448 바이트) 파일은 다시 SxS.DLL (296,448 바이트) DLL 파일 1개를 생성하여 감염된 시스템에서 실행 중인 모든 프로세스에 스레드로 인젝션하게 된다.


C:\Documents and Settings\All Users\Application Data\SxS.DLL

C:\Documents and Settings\All Users\Application Data\SS.LOG


그리고 동일한 위치에 생성된 SS.LOG는 감염된 시스템에서 입력된 키로깅과 웹 사이트 접속 기록들을 보관하는 로그 파일이다.


생성한 SxS.DLL (296,448 바이트)을 시스템 재부팅시에도 자동 실행하기 위해 레지스트리에 다음 키를 생성하여 "Windows SxS Services"라는 명칭의 윈도우 서비스로 등록하여 실행하게 된다.


HKLM\SYSTEM\ControlSet001\Services\SxS\Parameters\ServiceDll

"C:\Documents and Settings\All Users\Application Data\SxS.DLL"


그리고 레지스트리 키 생성이 완료가 되면 최초 취약한 한글 파일에 의해 생성되었던 SUCHOST.EXE (296,448 바이트)을 삭제하게 된다.


SxS.DLL (296,448 바이트)에 의해 스레드 인젝션된 정상 svchost.exe 파일을 통해 홍콩에 위치한 특정 시스템으로 접속을 시도하게 되나 분석 당시에는 정상적인 통신이 이루어지지 않았다.


정상적인 통신이 이루어지게 될 경우에는 감염된 시스템에서 입력되는 키보드 입력들을 가로채고 웹 사이트 접근을 모니터링 등 하는 일반적인 백도어 기능들을 수행하게 된다.


이 번에 발견된 기존에 알려진 한글 소프트웨어 취약점을 악용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


Exploit/Hwp.AccessViolation-SEH

Backdoor/Win32.Etso


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-SEH


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Document(6)


앞서 언급한 바와 같이 한글과 컴퓨터에서 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

Posted by 비회원