안랩 ASEC에서 2012년 4월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.28을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 4월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

악성 DOC 문서를 첨부한 스피어 피싱 메일

북한 광명성 3호 발사 및 핵 실험을 주제로 한 악성코드

4.11 총선 이슈에 발견된 악성코드

런던 올림픽 개최를 이용한 악성코드

핵 안보 정상회담 PDF 문서로 위장한 악성코드

사회공학 기법을 이용하여 유포되는 악성 HWP 파일

국내 주요 금융기관 피싱 사이트 다수 발견

페이스북을 통해 유포되는 보안 제품 무력화 악성코드

보안 제품의 업데이트를 방해하는 Host 파일 변경 악성코드 주의

보안 제품 동작을 방해하는 온라인 게임핵 변종

Mac OS를 대상으로 하는 보안 위협의 증가

윈도우, Mac OS를 동시에 감염시키는 악성코드

자바, MS 오피스 취약점을 이용하여 유포되는 Mac OS X 악성코드

티베트 NGO를 타깃으로 하는 Mac 악성코드

낚시 포털 사이트를 통해 유포되는 온라인게임 계정 탈취 악성코드

스턱스넷 변형으로 알려진 듀큐 악성코드의 변형

스파이아이 공격 대상 기업들의 업종과 국가 분석


2) 모바일 악성코드 이슈

Another fake Angry birds


3) 악성코드 분석 특집

불필요한 옵션 사용으로 발생할 수 있는 스마트폰 보안 위협과 대응


4) 보안 이슈

윈도우 공용 컨트롤 취약점(CVE-2012-0158)을 악용하는 문서


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.28 발간


Posted by 비회원

안드로이드(Android) 스마트폰의 사용율이 전 세계적으로 증감하에 따라 이와 관련된 다양한 보안 위협들이 발생하고 있다.


특히 해당 모바일(Mobile) 운영체제에서 동작하는 악성코드들은 2011년 하반기를 기점으로 기하 급수적으로 증가하고 있으며, 제작 목적 역시 금전 획득을 위한 목적으로 제작되는 사례들도 동반 증가하고 있다.


이러한 안드로이드 악성코드들의 유포는 현재까지 대부분이 구글(Google)에서 운영하는 안드로이드 앱스토어(Android Appstore) 또는 방문자가 많은 유명 서드 파티 앱스토어(3rd Party Appstore)를 통해 유포되는 사례가 많았다.


그러나 현재는 허위 앱 스토어를 통해 직접 유포하거나 유명 앱들을 배포하는 웹 사이트로 위장하여 유포하는 방식 등으로 기존 윈도우(Windows) 운영체제 기반의 PC에 감염되는 악성코드들이 유포되는 방식들을 그대로 답습하는 형태로 발전하고 있다.


이러한 안드로이드 악성코드가 금일 기존 윈도우 운영체제 기반의 PC에 감염되었던 허위 백신들과 유사한 형태로 유포되는 사례가 발견되었다.


이러한 허위 백신 형태의 악성코드는 최근 애플 맥(Mac) 운영체제 사용자들이 증가함에 따라 맥 운영체제에서 동작하도록 제작된 사례들도 존재한다.


이 번에 발견된 안드로이드 운영체제에 감염되는 허위 백신들은 아래 이미지와 같이 정상적인 보안 관련  웹 사이트로 위장하고 있다.



해당 허위 보안 웹 사이트에서는 러시아어로 제작되었으며, "SIM 검사", "저장소 검사"와 "시스템 파일 검사" 등의 항목으로 실제 안드로이드 스마트폰의 보안 검사를 수행하는 것으로 위장하고 있다.


각 항목의 검사가 종료되면 아래 이미지와 같이 현재 사용하는 안드로이드 스마트폰에 어떠한 부분이 취약한지를 붉은 색으로 표기하며, 악성코드에 감염되었음의 허위 사실을 알려 사용자로 하여금 VirusScanner.apk 파일을 다운로드하여 설치하도록 유도한다.



해당 웹 사이트를 통해 다운로드 된 VirusScanner.apk를 안드로이드 스마트 폰에 설치하게 될 경우, 다음 이미지와 같이 러시아 보안 업체 캐스퍼스키(Kaspersky)의 보안 제품과 동일한 아이콘이 생성된다.



그리고 설치 과정에서 해당 허위 백신은 아래 이미지와 같은 권한들이 사용 됨을 안드로이드 스마트 폰 사용자들에게 보여주게 된다.




설치된 해당 안드로이드 허위 백신은 정상적인 사용을 위해서는 사용자에게 요금을 지불하도록 요구하여 금전적인 목적으로 제작된 안드로이드 악성코드이다.


이러한 허위 백신 형태의 악성코드는 PC 기반의 윈도우 운영체제와 맥 운영체제 뿐만이 아니라 안드로이드 스마트폰에서 까지 발견되었다는 점에서 향후 이러한 허위 백신 형태의 안드로이드 악성코드가 지속적으로 등장 할 것으로 예측 된다.


이 번에 발견된 허위 백신 형태의 안드로이드 악성코드들은 모두 V3 모바일 제품군에서 다음과 같이 진단한다.


Android-Trojan/FakeAV

Android-Trojan/FakeAV.B 


안드로이드 스마트폰 사용자들은 안드로이드 앱들을 다운 받아 설치 할 때, 신뢰 할 수 있는 구글 앱 스토어나 통신사에서 운영하는 앱 스토어를 이용하는 주의가 필요하다.


그리고 안드로이드 보안 제품들 역시 신뢰 할 수 있는 전문 보안 업체에서 개발한 안드로이드 보안 앱을 다운로드하여 설치하는 것이 중요하다.


Posted by 비회원

안드로이드(Android) 스마트폰의 사용과 보급이 증가함에 따라 해당 운영체제에서 동작하는 안드로이드 악성코드들 역시 급격하게 증가하고 있다.


2011년의 경우 제작자에 의해 제작된 안드로이드 악성코드는 구글(Google)에서 운영하는 정상적인 안드로이드 앱스토어를 통한 유포 시도 또는 비교적 많은 사람들이 방문하는 서드 파티 앱스토어(3rd Party Appstore)를 통해 유포하는 방식이 대부분을 차지하고 있다.


그러나 금일 안드로이드 운영체제에서 동작하는 유명 게임들을 배포하는 웹 사이트로 위장하여 안드로이드 악성코드를 유포하는 웹 사이트들이 발견되었다.


이 번에 발견된 웹 사이트는 아래 이미지와 같이 Cut the Rope, Fruit Ninja와 Angry Birds 등과 같은 유명 게임들을 배포하는 웹 사이트로 위장하고 있었다.



해당 웹 사이트들은 모두 러시아로 제작되어 있었으며, 안드로이드 운영체제에 설치 가능한 APK 파일들을 다운로드하도록 유도하고 있다.


구글에서는 안드로이드 앱스토어에서 악성코드가 유포되는 것을 막기위해 사전 심사를 강화하고, 많은 사람들이 방문하는 서드 파티 앱스토어에서는 사용자의 평판이 존재한다.


이러한 사항들로 인해 안드로이드 악성코드 제작자는 자신이 제작한 악성코드를 유포하기 위해 이러한 사항들을 회피하기 위한 수단으로 별도의 허위 웹 사이트를 제작하여 이용하고 있는 것으로 볼 수 있다.


이 번에 발견된 안드로이드 유명 앱을 배포하는 것으로 위장한 웹 사이트에서 유포하고 있는 안드로이드 악성코드들 모두는 V3 Mobile에서 다음과 같이 진단한다.


Android-Trojan/Boxer.KX


이와 함께 허위로 제작된 안드로이드 마켓이 2012년 3월에 발견된 사례도 있음으로 안드로이드 사용자들은 구글에서 직접 운영하는 앱스토어나 통신사에서 운영하는 신뢰 할 수 있는 앱스토어에서만 앱을 다운로드하여 설치하는 주의가 필요하다.


Posted by 비회원

안랩에서는 4월 2일 "인터넷뱅킹 정보탈취 악성코드 스파이아이 트렌드 발표"라는 보도자료를 배포하고, 금전적인 목적으로 인터넷 뱅킹 정보를 탈취하는 악성코드인 스파이아이(SpyEye)에 대해 경고하였다.

스파이아이는 2010년 11월 ASEC에서 분석 및 연구한 결과에서 처럼 툴킷(Toolkit)을 통해 악성코드를 제작할 때 악성코드 제작자에 의해 어떠한 웹 사이트들 사용자 정보들을 탈취 할 것인지를 설정 파일을 통해 구성 할 수 있게 되어 있다.

ASEC에서는 2012년 1분기 동안 확보한 스파이아이 악성코드 샘플들을 대상으로 스파이아이가 어떠한 기업들의 사용자 계정 정보와 암호를 탈취를 노리는지 자세한 분석을 진행 하였다.

일반적으로 스파이아이는 악성코드가 첨부된 이메일 또는 취약한 웹 사이트 등을 통해 유포되고 있음으로 백신을 사용하지 않거나 최신 엔진으로 업데이트하지 않는 사용자와 취약점이 존재하는 윈도우 운영체제 사용자들의 감염이 비교적 높은 편이다.

ASEC에서 스파이아이 악성코드가 생성하는 암호화 되어 있는 설정 파일을 분석 한 결과로는 악성코드 제작자의 공격 대상이 되는 웹 사이트를 보유한 기업들의 지리적 위치는 아래 이미지와 같이 독일, 미국 그리고 캐나다 순서로 금융업이 발달한 국가들에 집중 되어 있었다.

그리고 해당 공격 대상이 되는 웹 사이트를 보유한 기업들의 업종별로 분류한 이미지는 아래와 같이 온라인 뱅킹을 지원하는 기업들에 대부분이 집중 되어 있으며 그 외에 전자 결제 서비스, 금융 투자 등의 순서로 구성되어 있다.

한 가지 특이한 사실로는 스파이아이 제작자의 공격 대상이 되는 웹 사이트들 중에는 온라인 항공권 구매 서비스를 지원하는 항공사도 포함되어 있다는 점이다.

ASEC에서 운영하는 패킷 센터(Packet Center)의 구성 시스템인 SpyEYE C&C Tracking 시스템을 통해 분석한 스파이아이가 탈취한 사용자 계정 정보와 암호를 전송하는 C&C(Command and Control) 서버가 위치해 있는 국가는 아래 이미지의 녹색 부분과 같다.



C&C 서버가 위치해 있는 국가는 대부분 미국에 집중 되어 있으며 그 외에 러시아와 우크라이나 순서로 집중 되어 있어, C&C 서버 대부분이 해킹된 시스템 또는 관리가 소흘한 시스템에 의해 설치되는 것으로 분석하고 있다.

다행스럽게도 스파이아이 제작자가 탈취를 노리는 웹사이트들에는 한국 금융 기업들이 포함되어 있지 않다. 이는 과거 몇 년전부터 진행되었던 보안 위협들의 국지화에 따른 현상으로 해석 할 수 있다. 그러나 외국 금융 기관과 온라인 뱅킹을 통해 거래를 하는 사용자들은 스파이아이 악성코드 감염에 따른 피해에 대해 많은 주의를 기울일 필요가 있다.


Posted by 비회원

현지 시각으로 3월 20일 Symantec에서 해당 기업의 블로그 "New Duqu Sample Found in the Wild"를 통해 Stuxnet의 변형으로 알려진 Duqu 악성코드의 또 다른 변형이 발견되었음을 공유 하였다.

Duqu는 기존에 알려진 Stuxnet이 SCADA(Supervisory Control And Data Acquisition) 감염으로 원자력 발전소 운영을 방해하기 위한 목적과 달리 감염 된 시스템과 네트워크에서 정보들을 수집하기 위한 목적으로 제작되었다.

이 번에 발견된 Duqu의 또 다른 변형은 아래 Symantec에서 공개한 이미지와 같이, 붉은 색 박스로 표기된 드라이버(.sys) 파일로 밝히고 있다.

ASEC에서는 이 번에 새롭게 알려진 Duqu 악성코드의 또 다른 변형을 확보하여 확인하는 과정에서 아래 이미지와 동일하게 파일의 Time Date Stamp를 통해 2012년 2월 23일 해당 파일이 생성된 것을 확인하였다.

이러한 사항으로 미루어 Duqu 제작자 또는 제작 그룹은 지속적으로 Duqu 악성코드의 다른 변형들을 제작하여 유포하고 있는 것으로 볼 수 있다.

이러한 SCADA와 같은 산업 기반 시스템을 보호하기 위해서는 백신과 같은 안티 바이러스(Anti-Virus) 소프트웨어를 포함한 트러스라인(TrusLine)과 같은 산업용 시스템 전용 보안 솔루션을 사용하는 것이 효율적이다.


이 번에 발견된 Duqu의 또 다른 변형은 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Duqu.24320 (V3, 2012.03.23.01)


Posted by 비회원
안철수연구소 ASEC에서 2012년 2월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.26을 발간하였다. 

 
이 번에 발간된 ASEC 리포트는 2012년 2월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.

1) 악성코드 이슈
 PC에 존재하는 모든 문서 파일을 탈취하는 악성코드
누군가 나를 지켜보고 있다? 웹캠으로 도촬하는 악성코드
가짜 KB국민은행 피싱 사이트 주의
스마트폰의 문자 메시지로 전달되는 단축 URL
특정 기관을 목표로 발송되는 발신인 불명의 이메일 주의
시리아 반정부군을 감시하기 위한 악성코드 유포
변형된 MS12-004 취약점 악용 스크립트 발견
MS11-073 워드 취약점을 이용하는 타깃 공격 발생
어도비 플래시 취약점 이용한 문서 파일 발견
wshtcpip.dll 파일을 변경하는 온라인게임핵 발견
윈도우 비스타, 윈도우 7을 대상으로 하는 온라인게임핵 악성코드 발견

2) 모바일 악성코드 이슈
안드로이드 애플리케이션에 포함된 윈도우 악성코드

3) 보안 이슈
국내 동영상 플레이어 프로그램의 취약점
아래아한글 스크립트 실행 취약

4) 악성코드 분석 특집
내가 설치한 앱이 악성코드라고?

 
안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 

ASEC 보안 위협 동향 리포트 2011 Vol.26 발간
Posted by 비회원
일반적으로 전자 서명은 특정 기업이나 단체에서 해당 파일은 자신들에 의해 개발 및 제작된 것이며 위, 변조가되지 않았다는 것을 증명하는 용도로 사용되고 있다.

이러한 전자 서명을 최근 몇 년 전부터 악성코드들은 보안 제품을 우회하기 위한 목적으로 전자 서명(Digital Signature)를 파일에 사용하기 시작하였다. 여기서 사용되는 전자 서명들 대부분이 특정 기업이나 단체로부터유출된 정상 전자 서명임으로 해당 정보를 이용해 정상 파일로 오판하도록 하고 있다.

이러한 악성코드의 전자 서명 악용 사례들로는 2011년 제우스(Zeus) 악성코드가 캐스퍼스키(Kaspersky)의 전자 서명을 도용한 사례2010년 7월 특정 포털에서 배포하는 정상 파일로 위장한사례가 존재한다.

이러한 전자 서명을 악용한 악성코드 유포 사례가 최근 캐스퍼스키 블로그 "Mediyes - the dropper with a valid signature"를 통해 공개 되었다.

해당 악성코드는 ASEC에서 확인한 아래 이미지와 같이 Conpavi AG 라는 스위스 업체의 전자 서명을 도용하고 있다. 


그리고 발급된 전자 서명은 아래 이미지와 같이 2011년 11월부터 2012년 11월까지 사용할 수 있도록 기한이 유효한 정상적인 전자 서명이었다.


이렇게 기업이나 단체의 전자 서명을 악성코드의 도용하는 사례들이 증가함에 따라 기업이나 단체에서는 전자 인증서 발급과 관련된 개인키(Private Key) 관리에 주의를 기울이고, 만약 유출된 사실이 확인된다면 전자 인증서를 폐기하고 새로 발급해야 전자 서명의 도용 사례를 막을 수가 잇다.

이번 스위스 기업의 전자 서명을 도용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Mediyes.628544 
Win-Trojan/Mediyes.436224
Posted by 비회원
2011년 하반기를 기점으로 구글(Google)에서 개발한 안드로이드(Android) 운영체제의 악성코드가 폭발적으로 증가하였다.

이러한 배경에는 여러가지 요소가 있겠지만, 안드로이드 운영체제에 설치되는 APK(Application Package File) 파일이 구글의 안드로이드 마켓을 벗어난 여러 인터넷 웹 사이트들을 통해 유통됨으로 인해 발생하는 문제도 적지 않다고 할 수 있다.

그리고 최근에는 안드로이드 악성코드들이 유명 소셜 네트워크 서비스(Social Network Service)인 트위터(Twitter)로 유포된 사례가 있는 만큼, 안드로이드 악성코드의 유포 방식이 다변화되고 있는 것으로 볼 수 있다.

ASEC에서는 금일 미국에 위치한 특정 시스템에서 아래 이미지와 같이 허위 제작된 안드로이드 마켓이 발견되었다.


해당 허위 안드로이드 마켓에서는 일반 안드로이드 스마트폰 사용자들이 많이 사용하는 앱들을 제공하는 것과 같이 꾸며져 있으나, 실제로는 안드로이드 악성코드들을 유포하고 있었다.

그러므로 안드로이드 스마트폰 사용자들은 앱들을 설치할 때 구글에 운영하는 정식 안드로이드 마켓이나 신뢰 할 수 있는 업체에서 운영하는 안드로이드 마켓에서만 앱들을 다운로드하여 설치 하여야 된다. 그리고 사용하는 안드로이드 스마트폰에 모바일 백신을 설치하고 주기적인 엔진 업데이트 및 검사를 실시하는 것이 중요하다.

해당 허위 안드로이드 마켓에서 유포하는 안드로이등 악성코드들 모두 V3 모바일에서 다음과 같이 진단한다.

Android-Trojan/SmsSend.AJB
Posted by 비회원
2월 17일 해외 언론인 CNN의 기사 "Computer spyware is newest weapon in Syrian conflict"를 통해 시리아 정부에서 반정부군의 동향을 수집하고 감시하기 위한 목적으로 악성코드를 유포하였다 내용이 공개되었다.

이 번에 알려진 해당 악성코드는 현재까지 ASEC에서 파악한 바로는 특정인들을 대상으로 이메일의 첨부 파일로 전송된 것으로 파악하고 있다.

이 메일에 첨부된 해당 악성코드는 일반적으로 많이 사용되는 RARSfx로 압축되어 있으며, 파일 내부에는 아래 이미지와 같이 백도어 기능을 수행하는 svhost.exe(69,632 바이트)와 정상 이미지 파일인 20111221090.jpg(114,841 바이트)가 포함되어 있다.


해당 RARSfx로 압축된 파일을 실행하게 되면 아래 경로에 파일들을 생성하고 실행하게 된다.

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\20111221090.jpg
C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\svhost.exe


리고 감염된 시스템의 사용자가 악성코드 감염을 파악하지 못하도록 다음 이미지와 같은 이미지 파일을 보여주게 된다.


임시 폴더(Temp)에 생성된 svhost.exe(69,632 바이트)는 마이크로소프트 비주얼 베이직(Microsoft Visual Basic)으로 제작 된 파일로 자신의 복사본을 다음 폴더에 다시 생성하게 된다.

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\Google Cache.exe


그리고 시리아에 위치한 특정 시스템으로 역접속을 수행하게 된나, 테스트 당시에는 정상적인 접속이 이루어지지 않았다.

백도어 기능을 수행하는 svhost.exe(69,632 바이트)는 추가적으로 다음의 악의적인 기능들을 수행하게 된다.

파일 다운로드 및 실행
실행 중인 프로세스 리스트 수집


그러나 해당 파일들 자체만으로는 언론에서 알려진 바와 같이 시리아 정부에서 제작한 것으로 확인되거나 추정되는 특징들은 발견할 수가 없었다.

시리아 정부와 관련된 것으로 알려진 해당 악성코드에 대한 추가적인 정보들을 수집하는 과정에서 ASEC에서는 해당 악성코드가 원격 제어와 모니터링 기능을 가지고 있는 아래 이미지와 동일한 특정 악성코드 생성기에 의해 생성되었다는 것을 확인하였다.



해당 악성코드 생성기에 의해 생성되는 파일은 볼란드 델파이(Boland Delphi)로 제작된 파일이 생성됨으로 최초 알려진 정보와는 다른 것으로 파악하고 있다. 그러나 다른 악성코드 변형들 또는 공개되지 않은 악성코드 생성기의 다른 버전들에 의해 생성되었을 가능성도 추정하고 있다.

이번에 발견된 해당 악성코드들은 모두 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Meroweq.551227 (V3, 2012.02.21.02) 
Win-Trojan/Meroweq.69632 (V3, 2012.02.21.02) 
Win-Trojan/Meroweq.53248 (V3, 2012.02.21.02)

Posted by 비회원

스마트폰의 사용이 많아지고 이를 이용한 다양한 네트워크 활동들이 보편화가 됨에 따라 이와 관련한 다양한 형태의 보안 위협들을 계속 발견되고 있다.

이와 관련해 가장 큰 보안 위협 이슈로는 안드로이드(Android) 운영체제에 감염되는 악성코드들을 들 수 있으다.

이 외에 최근 ASEC에서는 아래 이미지와 같이 무작위로 휴대전화 번호를 선택하여 문자 메시지(SMS, Short Message Service)를 발송한 것이 확인 되었다.


해당 문자 메시지는 일반적인 스팸성 문자 메시지와는 다르게 메시지 내부에 단축 URL(URL Shortening)을 포함하고 있어, 스마트폰 사용자라면 쉽게 클릭한번 만으로 특정 웹 사이트로 연결되도록 구성한 특징이 있다.

해당 문자 메시지에 포함된 단축 URL은 테스트 당시 해당 단축 URL로 연결되는 웹 사이트로 정상 접속이 되지 않았다. 하지만 스마트폰에 감염되는 악성코드나 스팸성 웹 사이트 등으로 연결되는 다른 보안 위협들로 연결될 가능성이 존재한다.

특히 이러한 단축 URL을 악용한 보안 위협들의 다양한 사례는 트위터(Twitter)와 같은 소셜 네트워크 서비스(Social Network Service)에서도 존재하고 있다. 

그러므로 트위터로 전달되는 메시지와 함께 스마트폰으로 전달 된 문자 메시지에 포함된 단축 URL의 클릭시에는 각별한 주의가 필요하다.

Posted by 비회원