안철수연구소 ASEC에서 2011년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2011 Vol.24을 발간하였다. 

그리고 이번 호에서는 2011년 주요 보안 위협 이슈와 함게 2012년에 예상되는 보안 위협도 같이 포함되어 있다.


이 번에 발간된 ASEC 리포트는 2011년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.

김정일 위원장 사망을 이용한 애드웨어 유포

김정일 위원장 사망을 악용한 악성 전자 문서 파일 유포
국내 연예인 사생활 동영상으로 위장한 악성코드 유포
2012년 버전으로 위장한 허위 클라우드 백신
악성코드를 위한 안티바이러스 체크 웹 사이트
아크로뱃 제로데이 취약점을 악용한 타깃 공격
여러 가지 취약점을 이용한 제우스봇 전파 메일 발견
구글 안드로이드 마켓에 업로드된 악성 애플리케이션


안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다 

ASEC 보안 위협 동향 리포트 2011 Vol.24 발간 
저작자 표시
신고
Posted by 비회원
2011년 12월 20일 ASEC에서는 북한의 김정일 위원장의 사망을 악용한 애드웨어 유포를 알린지 얼마 되지 않아 해외 보안 업체인 트렌드 마이크로(Trend Micro)에서는 블로그 "Kim Jong Il Malicious Spam Found"를 통해 전자 메일의 첨부 파일로 취약점이 존재하는 전자 문서 파일이 유포 된 것을 공개하였다.

트렌드 마이크로에서 블로그를 통해 공개한 취약한 전자 문서 파일이 첨부된 전자 메일은 다음의 이미지와 동일한 형식을 가지고 있는 것으로 공개 하였다.

 

해당 전자 메일에 첨부된 어도비 아크로뱃 리더(Adobe Acrobat Reader) 파일은 CVE-2010-2883 취약점과 함께 아래 이미지처럼 파일 내부에는 2011년 4월에 발견된 CVE-2011-0611 취약점을 악용하는 어도비 플래쉬(Adobe Flash) 파일을 포함하고 있다.


해당 취약한 어도비 아크로뱃 리더 파일이 실행되면 아래 이미지와 같이 김정일 위원장의 사진과 함께 그의 일생과 관련한 내용들을 담고 있는 PDF 파일이 실행 된다. 


그러나 해당 파일은 취약점이 존재하지 않는 정상 파일이며 시스템 사용자 모르게 다음의 파일들을 시스템에 생성하고 실행하게 된다.

C:\Documents and Settings\Tester\Local Settings\Brief introduction of Kim Jong-il.pdf (45,572 바이트) 
C:\Documents and Settings\Tester\Local Settings\abc.scr (156,672 바이트)


생성된 파일 중  Brief introduction of Kim Jong-il.pdf(45,572 바이트)는 위 이미지와 동일한 정상 파일이며, 동반 생성된 abc.scr(156,672 바이트)가 악의적인 기능을 수행하게 된다.

생성된 abc.scr(156,672 바이트)는 다음의 파일을 다시 생성하게 된다.

C:\Documents and Settings\Tester\Local Settings\Application Data\GoogleUpdate.exe(91,136 바이트)


그리고 다음의 레지스트리 키 값을 생성하여 시스템이 재부팅 되어도 자동 실행 되도록 구성하게 된다.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
GoogleUpd = ""C:\Documents and Settings\[사용자 계정명]\Local Settings\Application Data\GoogleUpdate.exe""


abc.scr(156,672 바이트)에의해 생성된 GoogleUpdate.exe(91,136 바이트)는 감염된 시스템의 인터넷 접속 여부를 확인하기 위해 구글 웹 사이트로 접속을 수행하게 된다.

그 후 다음의 시스템들 중 하나로 역접속(Reverse Connection)을 수행하여 공격자가 지정한 명령들을 수행하게 된다.

173.***.206.***

173.***.207.***


GoogleUpdate.exe
(91,136 바이트)는 공격자의 명령에 따라 다음의 악의적인 기능들을 수행하게 된다.


실행 중 프로세스 확인 및 강제 종료
CMD Shall 명령 수행
파일 업로드 및 다운로드, 삭제


이 외에 트렌드 마이크로에서는 아래 이미지와 같이 마이크로소프트 워드(Microsoft Word)의 "Microsoft Security Bulletin MS10-087 - Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점(2423930)" 취약점을 악용해 유포된 악성코드도 존재하는 것으로 밝히고 있다.


이 번 김정일 위원장의 사망을 악용해 유포된 취약점이 존재하는 전자문서와 악성코드들은 모두 2011.12.21.01 이후 엔진 버전의 V3 제품군에서 다음과 같이 진단한다.

PDF/Cve-2010-2883
Dropper/Cve-2010-3333
SWF/Cve-2011-0611

Win-Trojan/Infostealer.156672

Win-Trojan/Infostealer.91136.B  
Win-Trojan/PcClinet.80384 
Win-Trojan/PcClinet.118784

저작자 표시
신고
Posted by 비회원
사회적으로 이슈가 되는 유명 인사들의 사망 등을 악용하는 사회 공학(Social Engineering) 기법으로 악성코드가 유포되는 사례는 과거에도 지속적으로 발견되었다.

이러한 사례들로는 2011년에만 5월 테러 조직인 알카에다의 지도자인 오사마 빈 라덴(Osama Bin Laden) 사망 소식10월 애플(Apple) CEO인 스티브 잡스(Steve Jobs)의 사망을 악용한 악성코드 유포 사례들이 있었다.

2011년 12월 19일 북한의 방송을 통해 김정일 위원장의 사망 소식이 전 세계에 알려진지 만 하루가 지난 금일 김정일 위원장의 사망을 악용한 애드웨어 유포가 사례가 발견되었다.

해당 애드웨어는 아래 이미지와 같은 유명 동영상 관련 웹 사이트 유튜브(You Tube)를 통해 김정일 위원장의 사망과 관련한 동영상을 시청하기 위해서는 본문의 단축 URL(URL Shortening)을 클릭하도록 유도 하고 있다.


해당 단축 URL을 클릭하게 되면 아래 웹 사이트와 같이 동영상을 시청할 수 있는 것으로 위장하고 있는 웹 사이트로 연결하게 된다.


해당 웹 사이트에서는 다시 정상적인 동영상을 시청하기 위해서는 아래 웹 사이트와 같이 특정 툴바(Toolbar)를 설치하도록 권유하고 있다.


실제 사용자가 설치를 동의하지 않아 체크 박스를 해제하는 것과 상관 없이 아래 이미지와 같이 Start 버튼을 클릭하게 되면 Setup.exe(231,608 바이트)를 다운로드 하게 된다.

 
다운로드 한 Setup.exe(231,608 바이트)를 실행하게 되면 아래 이미지와 같이 특정 시스템으로부터 다른 파일들을 사용자의 동의 없이 다운로드 및 실행하게 된다.

 
설치가 완료 되면 아래 이미지와 같이 사용자가 동의하지 않은 인터넷 익스플로러(Internet Explorer) 툴바들이 설치가 된다.

 
그리고 인터넷 익스플로러의 시작 페이지를 특정 웹 사이트로 변경하고 사용자가 입력하는 검색 키워드들을 가로채어 특정 시스템으로 전송을 수행하게 된다.

이 번 김정일 위원장의 사망을 악용하여 유튜브를 통해 유포를 시도한 애드웨어들은 2011.12.20.04 이후의 엔진 버전으로 업데이트 한 모든 V3 제품군에서 다음과 같이 진단한다.

Trojan/Win32.ADH
Adware/Win32.Hotbar 
Trojan/Win32.ADH
저작자 표시
신고
Posted by 비회원
최근 국내 유명 연예인인 A양을 촬영한 것으로 알려진 사생활 동영상이 유포되어 사회적으로 큰 이슈를 일으키고 있다.

이러한 사회적인 큰 이슈를 악용하여 2011년 12월 8일 저녁 국내에서도 많은 사용자가 있는 소셜 네트워크 서비스(Social Network Service)인 트위터(Twitter) 등을 통해 해당 연예인의 사생활 동영상으로 위장한 악성코드가 유포 되었다.


해당 트위터 계정은 비교적 최근에 생성한 것으로 보여지며, 해당 계정의 사용자에 대해 자세한 사항들이 존재하지 않는다. 그리고 다른 일반적인 내용 없이 위 이미지와 같이 유명 연예인의 동영상 파일로 위장한 ZIP 압축 파일을 다운로드하도록만 유도하고 있다.

해당 URL을 복사하여 웹 브라우저에서 다운로드를 시도하게 되면 아래 이미지와 같이 "[삭제] 아나운서 2분50초짜리.zip.zip(6.67MB)" 파일이 다운로드 된다.


다운로드 된 ZIP 압축 파일의 압축을 풀게 되면 아래 이미지와 같이 다수의 JPG 이미지 파일과 SFX로 압축된 EXE 파일이 존재한다.


그리고 텍스트 파일에서는 압축 파일에 같이 포함된 SFX로 압축된 EXE 파일을 실행하여야지만 동영상을 볼 수 있는 것 처럼 실행을 유도하고 있다.


해당 EXE 파일을 실행하게 되면 위 이미지와 같이 압축을 풀 경로를 선택하도록 하고 있으며, 아래 이미지와 같이 실제 성인 동영상 파일과 다수의 이미지 파일들이 해당 폴더에 생성된다.


그러나 해당 파일을 실행한 시스템의 사용자 모르게 netsecurity.exe(143,360 바이트) 파일도 같이 압축이 풀리면서 실행 된다.

netsecurity.exe이 실행되면 윈도우 시스템 폴더(C:\Windows\System32)에 netdrvsrty.exe(114,800 바이트) 파일을 생성하고, 윈도우 레지스트리(Windows Registry)에 다음 키 값을 생성하여 시스템 재부팅 이후에도 자동 실행 되도록 구성한다.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
netsecurityDRV = "C:\WINDOWS\system32\netdrvsrty.exe"



생성된 netdrvsrty.exe는 마이크로소프트 비주얼 C++(Microsoft Visual C++) MFC로 제작 되었으며 해당 파일은 코드 상으로는 감염된 시스템의 IP 주소를 수집하고 감염된 시스템의 인터넷 익스플로러(Internet Explorer) 즐겨찾기 폴더에 웹 페이지 바로가기 파일들을 생성하게 되어 있다. 그러나 테스트 당시에는 코드상으로 존재하는 해당 악의적인 기능들이 정상 동작 하지 않았다.

이러한 일련의 사항들을 살펴 볼 때 이번 유명 연예인의 사생활 동영상으로 위장하여 유포된 악성코드는 제작자의 명령에 따라 즐겨찾기 파일들 조작하는 애드웨어(Adware) 기능을 수행하기 위해 제작된 것으로 볼 수 있다.

해당 유명 연예인의 사생활 동영상으로 위장하여 유포된 악성코드들 모두 V3 제품 군에서 다음과 같이 진단한다.

Downloader/Win32.Korad
Trojan/Win32.Sysckbc
Dropper/Agent.6596635
저작자 표시
신고
Posted by 비회원

BHO는 (Browser Helper Object) Internet Explorer 의 추가적인 기능을 제공하는데 사용됩니다. 스파이웨어는 BHO를 이용하여 DLL 형태로 IE에 의하여 실행되기 때문에 윈도우 작업관리자에서 확인이 되지 않으며 Internet Explorer 7.0 기준으로 [도구]-[추가 기능 관리] 옵션을 통하여 확인할 수 있습니다. 스파이웨어나 애드웨어는 BHO를 이용하여 시작페이지를 사용자가 원하지 않는 페이지로 변경을 하거나 광고 등을 띄우며 또한 시스템 장애나 Internet Explorer 오류의 원인이 되기도 합니다.

아래 그림은 안리포트에서 BHO를 확인할 수 있는 그림입니다.


상기의 그림에서처럼 BHO로 등록된 스파이웨어가 V3에서 진단이 될 경우 "Suspicious BHO"라는 진단명으로 아래 그림처럼 진단되게 됩니다.


"Suspicious BHO" 진단명을 해결하기 위해서는 툴바와 같은  불필요한 프로그램들을 [시작]-[제어판]-[프로그램 추가/제거]에서 삭제를 해 주시면 되겠습니다.
신고
Posted by 비회원