해외 보안 업체인 트렌드 마이크로(Trend Micro)에서는 7월 27일 "Adding Android and Mac OS X Malware to the APT Toolbox" 제목의 문서를 공개하였다.


해당 문서는 2012년 3월 해당 업체에서 공개한 "Luckycat Redux: Inside an APT Campaign" 럭키캣(Luckycat)이라고 명명된 APT 공격 형태를 조사하는 과정에서 발견된 안드로이드(Android) 악성코드에 대해 다루고 있다.


해당 업체에서는 럭키캣 APT 공격과 관련된 특정 C&C 서버를 조사하는 과정에서 해당 C&C 서버에서 AQS.apk (15,675 바이트)와 testService.apk (17,810 바이트) 2개의 안드로이드 스마트폰에 설치 가능한 APK 파일 2개를 발견하게 되었다고 한다.


ASEC에서는 해당 2개의 AQS.apk (15,675 바이트)와 testService.apk (17,810 바이트) 파일들을 확보하여 자세한 분석을 진행하였다.


2개의 APK 파일들은 모두 동일한 기능을 하도록 제작되었으며, 그 중 testService.apk (17,810 바이트)을 안드로이드 스마트폰에 설치하게 되면 아래 이미지와 동일한 아이콘을 생성하게 된다.



그리고 해당 앱을 사용자가 직접 실행시키거나  스마트폰이 사용자에 의해 부팅하게 될 경우 이를 자동으로 감지하여 TService 라는 서비스로 실행하게 된다.



해당 서비스는 감염된 안드로이드 스마트폰에서 IMEI(International Mobile Equipment Identity), 스마트폰 번호와 저장 장치의 파일 정보들을 수집하여 중국에 위치한 gr******ns.3322.org:54321 해당 C&C 서버와 통신을 시도하게 된다.



해당 C&C 서버와 통신이 성공하게 되면 아래 이미지와 같이 공격자가 지정한 다양한 악의적인 명령들을 수행할 수 있게 된다.



공격자는 파일 업로드 및 다운로드, 인터넷 연결 접속 그리고 원격 명령을 수행하는 리모트 쉘(Remote Shell) 명령을 C&C 서버를 통해 내릴 수 있다.


이번 럭키캣 APT 공격과 관련된 특정 C&C 서버에서 발견된 안드로이드 악성코드들 모두 V3 모바일 제품군에서 다음과 같이 진단한다.


Android-Trojan/Infostealer.G

Android-Trojan/Infostealer.H


해당 2개의 안드로이드 악성코드가 실제 럭키캣 APT 공격에 사용되었는지는 명확하지 않다.  그러나 APT 공격과 관련된 C&C 서버에서 발견되었다는 사실로 미루어 볼 때, APT 공격을 수행한 공격자들은 안드로이드 악성코드 제작과 유포를 통해 특정 조직의 중요 정보 탈취에 악용하고자 하였던 것으로 추정된다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
2012년 2월 10일 미국 보안 업체인 시만텍(Symantec)에서는 블로그 "New Targeted Attack Using Office Exploit Found In The Wild"을 통해 마이크로소프트(Microsoft)에서 2011년 9월 공개한 보안 패치 "Microsoft Security Bulletin MS11-073 Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점 (2587634)" 취약점을 악용한 타겟 공격(Targeted Attack)을 발견되었음 공개하였다.

해당 MS11-073 취약점을 악용한 타겟 공격은 이메일을 통해 진행되었으며 ZIP으로 압축된 첨부 파일에는 아래 이미지와 같이 취약한 워드(Word) 파일과 fputlsat.dll(126,976 바이트)이 포함되어 있었다.



취약한 워드 파일을 fputlsat.dll(126,976 바이트)와 동일한 폴더에서 열게 되면 아래 이미지와 같은 워드 파일이 실행된다. 


해당 취약한 파일이 실행되면 아래 이미지와 동일하게 fputlsat.dll(126,976 바이트)은 삭제되고 정상 Thumbs.db 파일이 생성된다.


그러나 실제로는 해당 취약한 워드 파일에 의해 윈도우 임시 폴더(Temp)에 ~MS2A.tmp(76,800 바이트)이 생성된다.

생성된  ~MS2A.tmp(76,800 바이트) 파일은 다시 윈도우 폴더(C:\WINDOWS\)와 윈도우 시스템 폴더(C:\WINDOWS\system32\)에 iede32.ocx(13,824 바이트)을 생성하게 된다.

그리고 윈도우 시스템이 재부팅을 하여도 생성한  iede32.ocx(13,824 바이트)을 자동 실행하기 위해 레지스트리(Registry)에 다음의 키를 생성 한다.

HKLM\SYSTEM\ControlSet001\Services\Irmon\Parameters\ServiceDll                       
"C:\WINDOWS\system32\iede32.ocx"

생성된 iede32.ocx(13,824 바이트)는 정상 svchost.exe 프로세스에 스레드(Thread)로 인젝션(Injection) 되어 미국에 위치한 특정 시스템으로 역접속(Reverse Connection)을 수행하게 된다. 그러나 테스트 당시에는 정상 접속 되지 않았다.

스레드로 인젝션된 iede32.ocx(13,824 바이트)은 공격자의 명령에 따라 다음의 악의적인 기능들을 수행하게 된다.

실행 중인 프로세스 리스트
감염된 시스템 IP 

파일 업로드
프록시(Proxy) 기능 수행


이 번에 발견된 MS11-073 취약점을 악용하는 악성코드들은 V3 제품군에서 다음과 같이 진단 한다.

Dropper/MS11-073
Win-Trojan/Activehijack.126976
Win-Trojan/Activehijack.76800 
Win-Trojan/Activehijack.13824
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원