안랩 ASEC에서 2013년 9월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2013 Vol.45을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2013년 9월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

ZeroAccess 악성코드의 지속적인 등장

구글 업데이트를 위장한 ZeroAccess 악성코드

IE 실행 시 중국 사이트 접속?!

대형 인터넷 쇼핑몰을 겨냥한 금융 피싱 악성코드 기승

난독화된 스크립트 악성코드 감염 주의

최신 음악 토렌트 파일을 위장한 PUP 유포

홍콩금융관리국 위장 악성 스팸 메일

페이징 파일에 잔존하는 데이터


2) 모바일 악성코드 이슈

한국인터넷진흥원을 사칭한 스미싱 주의!

금융사 피싱 앱 변종 발견

금융 예방 서비스?


3) 보안 이슈

제로데이 IE 취약점, CVE-2013-3893 

어도비사 고객정보 및 소스코드 유출 사건


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2013 Vol.45 발간

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

- 제우스, 스파이아이 이은 금융정보 탈취형 악성코드 Citadel 분석 발표 

- 강화된 정보 수집 기능으로 인터넷 뱅킹 정보 및 PC 정보 수집 

- 인터넷에서 유상 판매...악성코드의 기업화 양상 


세계적으로 큰 피해를 일으켰던 금융정보 탈취형 악성코드인 제우스[Zeus]와 스파이아이[Spyeye]의 뒤를 잇는 강력한 악성코드가 발견됐다.

 

글로벌 보안 기업 안랩[구 안철수연구소, 대표 김홍선, www.ahnlab.com]은 강력한 기능의 금융정보 탈취형 악성코드인 시타델[Citadel] 악성코드에 대한 분석 결과를 발표하고 사용자 주의를 당부했다.

 

시타델은 ‘시타델 빌더’라 불리는 악성코드 생성기로 만들어진 악성코드로, 과거 제우스 악성코드와 작동 방식이 유사하다. 현재 ‘제우스 빌더’가 더 이상 업데이트되지 않고 소스코드까지 공개된 시점에서 새롭게 대두되기 시작한 악성코드이다.

 

안랩의 분석에 따르면 시타델 악성코드의 기능은 전체적으로 제우스와 유사한 경향을 보인다. 따라서 악성코드에 감염된 PC의 네트워크인 봇넷[Botnet]을 구성하기 위한 기능을 기본으로, 사용자의 인터넷 뱅킹 정보, 웹 브라우저 내 저장 정보, SNS[소셜네트워크서비스] 개인정보 등 다양한 데이터를 탈취하는 기능을 가지고 있다. 또한 공격자용 서버인 C&C 서버로부터 허위백신[사용자의 PC를 사용하지 못하게 만들거나 허위로 악성코드에 감염되었다는 정보로 공포심을 유발한 후 이를 해결하기 위한 대가로 직접적인 송금을 강요하는 부류의 악성코드] 등을 추가적으로 내려 받아 감염된 PC 사용자에게 직접적으로 금전을 요구하기도 한다.

 

반면, 정보 탈취의 기능은 제우스에 비해 비약적으로 강화되었다. 제우스의 경우 뱅킹 인증 정보를 훔치기에 앞서 운영체제 정보, 웹 브라우저 정보, 사용자가 설정한 컴퓨터 이름 등 감염 PC의 기본 정보만 모아 공격자에게 전송한다. 반면 시타델은 기본적인 정보 외에 감염 PC가 소속된 네트워크 정보가 포함되어 APT[Advanced Persistent Threat]까지 고려한 정보수집을 시도한다. 예를 들어 로컬 네트워크의 도메인 정보, 데이터베이스 서버 리스트, 사용자 네트워크 환경을 수집하고 윈도우 사용자 및 그룹 계정 정보, 더 나아가 웹 브라우저에 홈페이지로 설정된 정보까지 수집한다.

 

시타델 악성코드는 ‘시타델 스토어’라는 곳에서 판매되고 있다. 악성코드를 생성하는 빌더와관리자용 패널을 판매하는 한편, 미리 구축된 봇넷에 대한 월별 사용료, 백신을 회피하기 위한 서비스 및 업데이트 사용료 등 세분화한 판매 정책으로 기업화 및 전문화한 최근 악성코드의 경향을 반영하고 있다.

 

안랩의 온라인 거래 보안 솔루션인 AOS[AhnLab Online Security]는 이러한 시타델, 스파이아이, 제우스와 같은 고도화한 타깃형 악성코드에 대응하기 위해 특화 설계된 보안 플랫폼이다. AOS는 시큐어 브라우저[AOS Secure Browser], 안티키로거[AOS Anti-keylogger], 방화벽[AOS Firewall], 백신[AOS Anti-virus/spyware]로 구성되어 악성코드 공격 및 키보드를 통한 정보 탈취, 허가되지 않은 외부 침입 방지 등 다양한 보안 위협을 막아낸다. 또한, 안랩은 AOS의 스마트폰용 버전인 ‘AOS 모바일’을 출시하고, 인텔의 개인정보보호 기술인 인텔 IPT[Intel® IPT]를 AOS에 적용해 더욱 강력해진 사용자 인증 기능을 제공한다. AOS는 현재 국내 다양한 금융사를 비롯해 남미의 배너멕스와 산탄데르, 북미 지역의 코너스톤뱅크 등 해외 금융권에도 적용되고 있다.

 

안랩 시큐리티대응센터 이호웅 센터장은 “이제 악성코드는 대부분 금전적인 목적으로 제작되고 있다고 해도 과언이 아니다. 특히 금융정보를 노린 타깃형 악성코드는 더욱 증가할 것으로 예상된다. 사용자는 PC 백신 업데이트, 수상한 메일의 첨부 파일 및 링크 클릭 자제 등 주의가 필요하고, 기업의 경우 자사 시스템과 고객을 동시에 보호할 수 있는 광범위한 보안 솔루션 도입이 필수적이다.”라고 말했다. 

 

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 4월 4일 온라인 뱅킹 정보 탈취를 위해 제작된 스파이아이(SpyEye) 트로이목마가 이제는 온라인 뱅킹외에 다양한 국가에 위치한 다양한 산업군의 웹 사이트들에서 사용자 계정 정보들의 탈취를 노린다는 정보를 전달한 바가 있다.


이러한 스파이아이 트로이목마가 감염 형태가 기존에 발견되었던 스파이아이 변형들과 다른 새로운 형태의 스파이아이 변형이 발견되었다.


이 번에 발견된 스파아이 트로이목마는 전체적인 동작면에서는 기본적으로 동일한 것으로 미루어 현재까지 언더그라운드에 공개된 다양한 온라인 뱅킹 정보 탈취 트로이목마들의 소스코드 중 스파이아이의 소스코드를 사용된 것으로 추정된다.


추가적으로 ASEC에서는 2012년 5월 중순부터 해당 새로운 스파이아이 트로이목마 변형이 유포되기 시작한 것으로 추정되며, 그리고 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 한 종류인 블랙홀 익스플로잇 툴킷(Blackhole Exploit Toolkit)에 의해 유포된 것으로 추정하고 있다.


해당 스파이아이 트로이목마에 감염되면 감염된 시스템에서 실행 중인 정상 윈도우 시스템 파일 explorer.exe의 프라이빗 메모리(Private Memory) 영역에 자신의 코드 16,384 바이트를 삽입하게 된다.



정상적으로 explorer.exe의 메모리 영역에 자신의코드가 삽입되면 자신의 복사본을 다음 경로에 설정 파일과 함께 생성하나, 기존 스파이아이 변형들처럼 유저 모드(User Mode)의 은폐 기능을 수행하지는 않는다.


C:\Documents and Settings\All Users\Application Data\default\bin.exe


다음 레지스트리 키(Registry Key)를 생성하여 윈도우 시스템이 재부팅되어도 자동 실행되도록 구성한다.


HKCU\Software\Microsoft\Windows\CurrentVersion\Run\default

"C:\Documents and Settings\All Users\Application Data\default\bin.exe"


그리고 독일에 위치한 C&C 서버와 암호화된 통신을 통하여 별도의 설정 파일인 web.dat을 아래의 경로에 생성하게 된다.


C:\Documents and Settings\All Users\Application Data\default\web.dat 

C:\Documents and Settings\All Users\Application Data\default\cfg.dat


생성된 설정 파일은 RC4로 인코딩되어 있으며, 이를 디코딩하는 키값은 해당 스파이아이 트로이목마 내부에 가지고 있으며, 생성된 설정 파일을 디코딩하게 되면 아래 이미지와 같은 텍스트 파일이 나타나게 된다.



해당 설정 파일에는 아래 이미지와 같은 독일에 위치한 은행의 온라인 뱅킹 웹 사이트의 로그인을 위한 사용자 계정과 암호를 후킹하기 위한 코드가 설정되어 있다. 



이 외에 이번에 발견된 스파이아이 변형은 웹 폼 인젝션(Web Form Injection)을 위해 마이크로소프트 인터넷 익스플로러(Internet Explorer), 구글 크롬(Google Chrome)과 파이어폭스(Firefox) 웹 브라우저 실행 여부를 확인하고 접속하는 웹 사이트 주소를 확인하게 된다.


그리고 파이어폭스의 사용자 설정 파일인 user.js 을 확인하여 아래 이미지와 같은 코드를 삽입하여, 파이어폭스에 포함되어 있는 보안 경고 기능을 무력화 하게 된다.



이 번에 발견된 스파이아이 변형은 전체적인 감염 동작은 기존에 발견된 스파이아이 변형들과 동일하게 정상 explorer.exe 의 메모리 영역에 자신의 코드를 삽입하고, 웹 브라우저가 접속하는 웹 사이트 주소를 설정 파일과 비교하여 웹폼 인젝션을 통해 사용자 계정과 암호를 후킹하는 것은 동일하다. 


그러나 기존 스파이아이 변형들이 가지고 있는 유저 모드 은폐 기능을 통해 생성한 파일 복사본과 설정 파일들을 은폐하는 기능이 존재하지 않는 차이점만을 가지고 있다.


이 번에 발견된 스파이아이의 새로운 변형은 V3 제품군에서 다음과 같이 진단한다.


Win-Trojan/Spyeyes.19968.B


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원