금융 정보를 탈취를 목적으로하는 악성코드들은 PC와 안드로이드(Android)까지 다양한 운영체제와 디바이스들을 대상으로 그 범위를 확장해가고 있으며, 최근에는 안드로이드 모바일 운영체제를 대상으로 감염 후 개인 금융 정보 탈취를 목적으로하는 안드로이드 악성코드들이 지속적으로 발견되고 있다.


ASEC에서는 6월에도 이러한 형태의 안드로이드 악성코드인 ZitMo(Zeus in the Mobile)라는 안드로이드 악성코드가 발견되었음을 공개한 바가 있다.


2012년 6월 - Zitmo 변형으로 알려진 안드로이드 악성코드


현지 시각으로 2012년 8월 7일 해외 보안 업체인 캐스퍼스키(Kaspersky)에서는 블로그 "New ZitMo for Android and Blackberry"를 통해 새로운 ZitMo 안드로이드 악성코드 변형이 발견되었음을 공개하였다.


ASEC에서는 해당  새로운 ZitMo 안드로이드 악성코드 변형을 확보하여 자세한 분석을 진행하였다.


이 번에 발견된 ZitMo 안드로이드 악성코드 변형을 안드로이드 스마트폰에 설치하게 되면 아래 이미지와 같이 "SMS(Short Message Service) 송수신 권한"을 설치시 요구하게 된다.



그리고 설치가 완료되면 아래 이미지와 같이 "Zertifikat"라는 명칭을 가지는 아이콘을 안드로이드 스마트폰에 생성하게 된다. 해당 "Zertifikat"는 독일어로 증명서 또는 인증서를 의미한다.



해당 ZitMo 안드로이드 악성코드를 실행하게 되면 아래 이미지와 같은 독일어로 되어 있는 메시지가 나타나게 되며, 이는 "설치 성공, 정품 인증 코드는 7725486193 입니다."를 의미 한다.



설치가 완료되면 해당 ZitMo 안드로이드 악성코드는 안드로이드 스마트폰이 부팅하게 되면 자신의 아이콘을 숨기고, 감염된 안드로이드 스마트폰으로 송수신되는 모든 SMS들을 특정 휴대전화 번호로 전송하게 된다.


이러한 동작 기법으로 미루어 해당 ZitMo 안드로이드 악성코드는 유럽 지역에서 스마트폰을 이용한 뱅킹(Banking) 서비스 이용시에 사용자 인증을 위해 스마트폰과 휴대 전화로 뱅킹 인증 번호를 SMS로 전송한다는 점을 악용하여 감염된 안드로이드 폰에서 송수신한 뱅킹 인증 번호를 다른 휴대전화로 유출하는 것으로 분석 된다.


이번에 발견된 ZitMo 안드로이드 악성코드는 V3 모바일 제품군에서 다음과 같이 진단한다.


Android-Trojan/Zitmo.M


안드로이드 모바일 기기 사용자들은 인터넷 웹 사이트 등을 통해 안드로이드 앱들을 다운로드 받아 설치하는 것보다 신뢰 할 수 있는 통신사 또는 제조사가 제공하는 앱스토어를 이용해 다운로드 및 설치하는 것이 중요하다.


그리고 안드로이드 모바일 기기에서도 신뢰 할 수 있는 보안 업체가 개발한 보안 제품을 설치하여 주기적으로 검사하는 것이 필요하다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

검색 엔진을 개발하는 구글(Google)에서는 사용자들의 편의성을 위해 지메일(Gmail), 구글 리더(Google Reader)와 구글 닥스(Google Docs) 등 여러가지 서비스를 제공해주고 있다.


구글에서 제공하는 서비스들은 인터넷만 연결되어 있다면 언제든지 메일과 웹 사이트 그리고 문서 등을 읽거나 작업할 수 있는 공간을 제공 해주고 있으며, 개발자들의 경우에는 구글 코드(Google Code)라고 하여 프로그램 개발과 관련한 소스코드와 파일등을 개발자들 사이에서 공유 할 수 있는 공간을 제공하고 있다.


이러한 서비스들 모두 24시간 중단되지 않는 가용성을 제공하고 있으며, 구글에서 운영을 하고 있음으로 안정성까지 제공 받을 수 있다는 점을 악용하여 구글 코드에 악성코드를 업로드하여 유포에 악용하는 사례가 7월 23일 발견되었다.


구글 코드를 악성코드 유포에 악용하였던 사례는 이번이 처음은 아니며 7월 18일 발견되었던 개인 금융 정보 탈취 목적의 Banki 트로이목마 역시 구글 코드를 악용하였다.


이 번에 발견된 구글 코드를 악용해 유포되고 있는 악성코드들은 아래 이미지와 같이 총 2개의 파일이며 server.exe (58,368 바이트)와 1.exe (37,772 바이트)이다.



해당 악성코드들의 상관 관계에 대해 ASD(AhnLab Smart Defense)의 데이터베이스를 통해 분석 결과 1.exe (37,772 바이트)는 최초 7월 22일 17시경 유포되었다.


해당 1.exe (37,772 바이트) 파일이 실행되면 윈도우 시스템 폴더에 다음과 같이 자신의 복사본으로 생성하게 된다.


C:\WINDOWS\system32\WinHelp32.exe


그리고 "Windows Help Systemg" 라는 서비스명으로 다음의 레지스트리 키를 생성하여 시스템 재부팅시 자동 실행하도록 구성하였다.


HKLM\SYSTEM\ControlSet001\Services\WinHelp32t\ImagePath

"C:\WINDOWS\system32\WinHelp32.exe"


그리고 중국에 위치한 특정 시스템으로 접속을 시도하게 되나 분석 당시에는 정상적인 접속이 이루어지지 않았다. 그러나 ASD의 데이터베이스를 통해 네트워크 접속 로그를 확인한 결과 7월 22일 23시경에는 다음 파일을 다운로드 하는 명령을 수행하고 있었다.


http://*********.googlecode.com/files/server.exe


1.exe (37,772 바이트)는 별도의 드라이버 파일(.SYS) 파일을 통해 보안 소프트웨어에 의해 후킹(Hooking)되어 있는 SSDT(System Service Dispatch Table)를 강제로 복구하는 기능을 수행하여, 자신이 보안 제품에 의해 탐지 되지 않도록 한다.


그 외에 공격자 의도에 따라 다음의 악의적인 기능들을 수행하게 된다.


파일 다운로드 및 실행

운영 체제 및 하드웨어 정보 수집

DoS(Denial of Service) 공격


1.exe (37,772 바이트)에 의해 다운로드 되는 server.exe (58,368 바이트)가 실행면 윈도우 시스템 폴더에 다음 파일을 생성하게 된다.


C:\WINDOWS\system32\(6자리 임의의 문자).exe   


그리고 "Remote Command Service"라는 서비스명으로 레지스트리 키를 생성하여 시스템 재부팅시 자동 실행하도록 구성하였다.


HKLM\SYSTEM\ControlSet001\Services\rcmdsvc\ImagePath

"C:\WINDOWS\system32\(6자리 임의의 문자).exe"


이와 함께 레지스트리 특정 키값을 수정하여 윈도우 시스템에 내장된 방화벽을 우회 할 수 있도록 설정하게 된다.


server.exe (58,368 바이트) 역시 7월 23일 20시 경에는 중국에 위치한 시스템에 접속을 시도하였으나 분석 당시에는 정상적인 접속이 이루어지지 않았다.


해당 파일 역시 공격자 의도에 따라 다음과 같이 일반적인 백도어(Backdoor)와 유사한 다양한 악의적인 기능들을 수행하게 된다.


파일 다운로드 및 실행

운영 체제 및 하드웨어 정보 수집

키보드 입력 후킹

DoS(Denial of Service) 공격

원격 제어


이 번 구글 코드를 통해 유포된 해당 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


Win-Trojan/Agent.70144.KG

Backdoor/Win32.Yoddos


ASD 데이터베이스의 데이터를 통해 1.exe (37,772 바이트)와 server.exe (58,368 바이트)의 정보들을 분석하는 과정에서 1.exe (37,772 바이트)가 다수의 국내 웹 사이트들에 대한 분산 서비스 거부(Distributed Denial-of-Service) 공격을 수행하였던 데이터들을 확인하였다.


해당 분산 서비스 거부 공격의 대상이 되었던 웹 사이트들은 웹 하드 서비스 업체 웹 사이트와 소규모 의류 쇼핑몰이 주를 이루고 있었다.


이러한 정황들을 미루어 공격자는 중국 언더그라운드에서 공유되는 악성코드 생성기를 통해 생성한 악성코드들을 구글 코드에 업로드 한 후 취약한 웹 사이트 또는 포털 웹 사이트의 카페 등을 통해 유포한 것으로 추정된다.

저작자 표시
신고
Posted by 비회원

현지 시각으로 6월 12일 마이크로소프트(Microsoft)에서는 XML 코어 서비스(Core Services)에 알려지지 않은 제로 데이(Zero Day, 0-Day) 취약점이 발견되었음을 보안 권고문 "Microsoft Security Advisory (2719615) Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution"을 통해 공개한 바가 있다.


해당 취약점은 공격자가 지정한 임의 코드를 실행 할 수 있는 코드 실행 취약점이며, 해당 XML 코어 서비스를 사용하는 윈도우(Windows) 운영체제와 오피스(Office) 2003과 2007 버전에서 악용이 가능하다.


해당 취약점은 현재까지도 마이크로소프트에서 보안 패치를 제공하지 않는 제로 데이 취약점이며, 임시 방안으로 해당 취약점을 제거 할 수 있는 픽스 잇(Fix it)을 보안 공지 "Microsoft 보안 공지: Microsoft XML Core Services의 취약성으로 인한 원격 코드 실행 문제"를 통해 배포 중에 있다.


해당 XML 코어 서비스를 악용하는 스크립트 악성코드가 해외에서 발견되는 사례가 서서히 증가하고 있어 주의가 필요하다.


최근 발견된 해당 제로 데이 취약점을 악용하는 스크립트 악성코드는 아래 이미지와 같은 형태의 쉘코드(Shellcode)가 구성되어 있다.



해당 스크립트 악성코드에 포함된 쉘코드가 실행되면 홍콩에 위치한 특정 시스템에서 css.exe (32,936 바이트)를 다운로드 한 후 실행하게 된다.


해당 파일이 실행되면 윈도우 운영체제에서 실행되는 정상 프로세스인 explorer.exe의 스레드로 자신의 코드들을 아래 이미지와 같이 삽입하게 된다



그리고 자신의 코드들이 정상적으로 스레드 인젝션을 하게 되면 구글(Google)의 공개용 DNS 서버로 질의를 송신하여 감염된 시스템이 인터넷에 정상적으로 연결되어 있는지 확인하게 된다.


그 후 싱가포르에 위치한 특정 시스템에 접속을 시도하게 되다, 분석 당시에는 해당 시스템으로 정상적인 접속이 이루어지지 않았다.


해당 악성코드는 감염된 시스템에서 하드웨어 정보, 운영 체제 정보 및 커맨드라인(Command-Line) 명령을 실행하게 된다.


앞 서 언급한 바와 같이 해당 XML 코어 서비스 취약점은 보안 패치가 제공되지 않는 제로 데이 취약점임으로 각별한 주의가 필요하며, 임시 방안으로 마이크로소프트에서 제공하는 픽스 잇을 설치할 수도 있다.


이 번에 발견된 해당 XML 코어 서비스 취약점을 악용하는 악성코드들은 V3 제품 군에서 다음과 같이 진단한다.


JS/Agent 

Win-Trojan/Dekor.32936 


그리고 네트워크 보안장비 트러스가드(TrusGuard) 제품군에서는 다음과 같이 탐지 및 차단이 가능하다.


http_ie_heap_spray_attack-4(HTTP)

ms_xml_core_service_exploit(CVE-2012-1889)


저작자 표시
신고
Posted by 비회원

안드로이드(Android) 스마트폰의 사용율이 전 세계적으로 증감하에 따라 이와 관련된 다양한 보안 위협들이 발생하고 있다.


특히 해당 모바일(Mobile) 운영체제에서 동작하는 악성코드들은 2011년 하반기를 기점으로 기하 급수적으로 증가하고 있으며, 제작 목적 역시 금전 획득을 위한 목적으로 제작되는 사례들도 동반 증가하고 있다.


이러한 안드로이드 악성코드들의 유포는 현재까지 대부분이 구글(Google)에서 운영하는 안드로이드 앱스토어(Android Appstore) 또는 방문자가 많은 유명 서드 파티 앱스토어(3rd Party Appstore)를 통해 유포되는 사례가 많았다.


그러나 현재는 허위 앱 스토어를 통해 직접 유포하거나 유명 앱들을 배포하는 웹 사이트로 위장하여 유포하는 방식 등으로 기존 윈도우(Windows) 운영체제 기반의 PC에 감염되는 악성코드들이 유포되는 방식들을 그대로 답습하는 형태로 발전하고 있다.


이러한 안드로이드 악성코드가 금일 기존 윈도우 운영체제 기반의 PC에 감염되었던 허위 백신들과 유사한 형태로 유포되는 사례가 발견되었다.


이러한 허위 백신 형태의 악성코드는 최근 애플 맥(Mac) 운영체제 사용자들이 증가함에 따라 맥 운영체제에서 동작하도록 제작된 사례들도 존재한다.


이 번에 발견된 안드로이드 운영체제에 감염되는 허위 백신들은 아래 이미지와 같이 정상적인 보안 관련  웹 사이트로 위장하고 있다.



해당 허위 보안 웹 사이트에서는 러시아어로 제작되었으며, "SIM 검사", "저장소 검사"와 "시스템 파일 검사" 등의 항목으로 실제 안드로이드 스마트폰의 보안 검사를 수행하는 것으로 위장하고 있다.


각 항목의 검사가 종료되면 아래 이미지와 같이 현재 사용하는 안드로이드 스마트폰에 어떠한 부분이 취약한지를 붉은 색으로 표기하며, 악성코드에 감염되었음의 허위 사실을 알려 사용자로 하여금 VirusScanner.apk 파일을 다운로드하여 설치하도록 유도한다.



해당 웹 사이트를 통해 다운로드 된 VirusScanner.apk를 안드로이드 스마트 폰에 설치하게 될 경우, 다음 이미지와 같이 러시아 보안 업체 캐스퍼스키(Kaspersky)의 보안 제품과 동일한 아이콘이 생성된다.



그리고 설치 과정에서 해당 허위 백신은 아래 이미지와 같은 권한들이 사용 됨을 안드로이드 스마트 폰 사용자들에게 보여주게 된다.




설치된 해당 안드로이드 허위 백신은 정상적인 사용을 위해서는 사용자에게 요금을 지불하도록 요구하여 금전적인 목적으로 제작된 안드로이드 악성코드이다.


이러한 허위 백신 형태의 악성코드는 PC 기반의 윈도우 운영체제와 맥 운영체제 뿐만이 아니라 안드로이드 스마트폰에서 까지 발견되었다는 점에서 향후 이러한 허위 백신 형태의 안드로이드 악성코드가 지속적으로 등장 할 것으로 예측 된다.


이 번에 발견된 허위 백신 형태의 안드로이드 악성코드들은 모두 V3 모바일 제품군에서 다음과 같이 진단한다.


Android-Trojan/FakeAV

Android-Trojan/FakeAV.B 


안드로이드 스마트폰 사용자들은 안드로이드 앱들을 다운 받아 설치 할 때, 신뢰 할 수 있는 구글 앱 스토어나 통신사에서 운영하는 앱 스토어를 이용하는 주의가 필요하다.


그리고 안드로이드 보안 제품들 역시 신뢰 할 수 있는 전문 보안 업체에서 개발한 안드로이드 보안 앱을 다운로드하여 설치하는 것이 중요하다.


저작자 표시
신고
Posted by 비회원
2011년 하반기를 기점으로 구글(Google)에서 개발한 안드로이드(Android) 운영체제의 악성코드가 폭발적으로 증가하였다.

이러한 배경에는 여러가지 요소가 있겠지만, 안드로이드 운영체제에 설치되는 APK(Application Package File) 파일이 구글의 안드로이드 마켓을 벗어난 여러 인터넷 웹 사이트들을 통해 유통됨으로 인해 발생하는 문제도 적지 않다고 할 수 있다.

그리고 최근에는 안드로이드 악성코드들이 유명 소셜 네트워크 서비스(Social Network Service)인 트위터(Twitter)로 유포된 사례가 있는 만큼, 안드로이드 악성코드의 유포 방식이 다변화되고 있는 것으로 볼 수 있다.

ASEC에서는 금일 미국에 위치한 특정 시스템에서 아래 이미지와 같이 허위 제작된 안드로이드 마켓이 발견되었다.


해당 허위 안드로이드 마켓에서는 일반 안드로이드 스마트폰 사용자들이 많이 사용하는 앱들을 제공하는 것과 같이 꾸며져 있으나, 실제로는 안드로이드 악성코드들을 유포하고 있었다.

그러므로 안드로이드 스마트폰 사용자들은 앱들을 설치할 때 구글에 운영하는 정식 안드로이드 마켓이나 신뢰 할 수 있는 업체에서 운영하는 안드로이드 마켓에서만 앱들을 다운로드하여 설치 하여야 된다. 그리고 사용하는 안드로이드 스마트폰에 모바일 백신을 설치하고 주기적인 엔진 업데이트 및 검사를 실시하는 것이 중요하다.

해당 허위 안드로이드 마켓에서 유포하는 안드로이등 악성코드들 모두 V3 모바일에서 다음과 같이 진단한다.

Android-Trojan/SmsSend.AJB
저작자 표시
신고
Posted by 비회원

스마트폰의 사용이 많아지고 이를 이용한 다양한 네트워크 활동들이 보편화가 됨에 따라 이와 관련한 다양한 형태의 보안 위협들을 계속 발견되고 있다.

이와 관련해 가장 큰 보안 위협 이슈로는 안드로이드(Android) 운영체제에 감염되는 악성코드들을 들 수 있으다.

이 외에 최근 ASEC에서는 아래 이미지와 같이 무작위로 휴대전화 번호를 선택하여 문자 메시지(SMS, Short Message Service)를 발송한 것이 확인 되었다.


해당 문자 메시지는 일반적인 스팸성 문자 메시지와는 다르게 메시지 내부에 단축 URL(URL Shortening)을 포함하고 있어, 스마트폰 사용자라면 쉽게 클릭한번 만으로 특정 웹 사이트로 연결되도록 구성한 특징이 있다.

해당 문자 메시지에 포함된 단축 URL은 테스트 당시 해당 단축 URL로 연결되는 웹 사이트로 정상 접속이 되지 않았다. 하지만 스마트폰에 감염되는 악성코드나 스팸성 웹 사이트 등으로 연결되는 다른 보안 위협들로 연결될 가능성이 존재한다.

특히 이러한 단축 URL을 악용한 보안 위협들의 다양한 사례는 트위터(Twitter)와 같은 소셜 네트워크 서비스(Social Network Service)에서도 존재하고 있다. 

그러므로 트위터로 전달되는 메시지와 함께 스마트폰으로 전달 된 문자 메시지에 포함된 단축 URL의 클릭시에는 각별한 주의가 필요하다.

저작자 표시
신고
Posted by 비회원
일반적으로 서로 다른 윈도우(Windows) 운영체제와 리눅스(Linux) 운영체제에서 모두 감염되어 동작하는 악성코드를 제작하는 것은 기술적으로 많은 사항들을 고려해야 되는 문제임으로 쉽지 않은 사항이다. 특히나 모바일(Mobile) 운영체제와 일반 윈도우 PC 모두에 감염되어 동작하는 악성코드를 제작하기라는 것은 더욱 쉽지 않은 사항이다.

2012년 2월 3일 ASEC에서는  하루동안 전세계에서 수집되어 분석되었던 안드로이드(Android) 어플리케이션들을 확인하는 과정에서 특이하게 특정 어플리케이션 내부에 윈도우 악성코드가 포함되어 있는 것을 발견하였다.

이 번에 발견된 안드로이드 어플리케이션 아래와 같은 구조를 가지고 있으며, 아래 이미지의 붉은색 박스로 표기한 스크립트 파일인 about_habit.htm(123,196 바이트)를 내부에 포함하고 있다. 


해당 안드로이드 어플리케이션 내부에 포함된 about_habit.htm는 일반적인 HTML 파일이 아니며 실제로는 비주얼 베이직 스크립트(Visual Basic Script)로 다음과 같은 형태를 가지고 있다.

 
해당 비주얼 베이직 스크립트 파일은 svchost.exe(61,357 바이트) 파일명으로 윈도우 운영체제에서 감염되는 악성코드를 생성하고 실행하게 되었다.

그러나 해당  비주얼 베이직 스크립트 파일은 안드로이드 운영체제에서는 동작할 수 없는 형태이다. 그리고 해당 파일을 포함하고 있는 안드로이드  어플리케이션의 내부 코드에는 해당  스크립트를 외장 메모리에 쓰도록 제작된 코드는 존재하지 않는다.

이로 미루어 해당 안드로이드 어플리케이션 제작자의 실수 등으로 인해 해당 비주얼 베이직 스크립트 파일이 어플리케이션 제작시 포함되었을 것으로 추정 된다.

이 번 안드로이드 어플리케이션 내부에 포함된 윈도우 악성코드들은 V3 제품군에서는 다음과 같이 진단한다.

VBS/Agent
Win-Trojan/Krap.61357
저작자 표시
신고
Posted by 비회원