이스라엘 언론인 The Times of Israle의 "How Israel Police computers were hacked: The inside story"을 통해 이스라엘 정부 기관을 대상으로 한 타겟 공격(Targeted Attack)이 발생하였음이 공개되었다.


이러한 정부 기관을 대상으로 한 타겟 공격은 최근에는 10월 18일 대만 기상청을 대상으로한 타겟 공격이 발견된 사례가 있다. 특히 이 번에 발견된 이스라엘 정부 기관을 대상으로 한 타겟 공격은 대만 기상청을 대상으로 한 타겟 공격과 유사한 형태로 이메일을 통해 시작되었다.


이스라엘 정부 기관을 대상으로한 타겟 공격에 사용된 이메일은 다음과 같은 메일 형식을 가지고 있는 것으로 트렌드 마이크로(Trend Micro)에서 블로그 "Xtreme RAT Targets Israeli Government"를 통해 밝히고 있다.


발신인 - bennygantz59.gmail.com 


이메일 제목 - IDF strikes militants in Gaza Strip following rocket barrage


첨부 파일명 - Report & Photos.rar


첨부된 Report & Photos.rar의 압축을 풀게 되면 "IDF strikes militants in Gaza Strip following rocket barrage.doc[다수의 공백].scr(999,808 바이트)"이 생성된다. 


생성된 해당 파일은 RARSfx로 실행 가능한 형태로 압축된 파일로 파일 내부에는 아래 이미지와 같이 2.ico(318 바이트), barrage.doc(85,504 바이트)와 Word.exe(827,120 바이트)가 포함되어 있다.



해당 "IDF strikes militants in Gaza Strip following rocket barrage.doc[다수의 공백].scr(999,808 바이트)"을 실행하게 되면, 아래 이미지와 같이 파일 내부에 포함된 barrage.doc(85,504 바이트)을 보여주게 된다.



그러나 사용자 모르게 백그라운드로 다음의 경로에 내부에 포함하고 있는 파일들을 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\2.ico

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\\barrage.doc

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\Word.exe


그리고 생성된 파일 중 Word.exe(827,120 바이트)를 실행시켜 ".exe(4 바이트)" 파일을 생성하고, 윈도우 시스템에 존재하는 정상 파일인 sethc.exe을 로드 한 후 해당 프로세스의 메모리 영역에 자신의 코드 전체를 삽입하게 된다.



자신의 코드가 정상적으로 삽입하게 되면 해당 sethc.exe의 프로세스를 이용하여 다음의 시스템으로 역접속을 시도하게 되나, 분석 당시에는 정상적으로 접속 되지 않았다.


loading.myftp.org:1500


정상적으로 접속이 성공하게 될 경우, 공격자의 명령에 따라 다음의 악의적인 기능들을 수행하게 된다.


원격 제어

화면 캡쳐

실행 중인 프로세스 리스트

파일 생성, 실행 및 삭제

레지스트리 키 생성 및 삭제

파일 업로드 및 다운로드

키보드 입력 값을 후킹하는 키로깅


이 번에 발견된 이스라엘 정부 기관을 대상으로 한 타겟 공격으로 유포된 악성코드들은 V3 제품 군에서 다음과 같이 진단한다.


Dropper/Xtrat.999808

Win-Trojan/Xtrat.827120


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Suspicious/MDP.DropMalware

Malware/MDP.Injector


앞서 언급바와 대만 기상청 타겟 공격과 이번 이스라엘 정부 기관을 대상으로 한 타겟 공격 모두 이메일의 첨부 파일을 이용하여, 내부 직원들의 감염을 유도하였다.


그러므로 외부에서 이메일이 전달 될 경우에는 발신인이 잘 아는 사람인지 그리고 메일 주소가 자주쓰거나 정확한 메일 주소인지를 확인하고, 첨부 파일이 존재 할 경우에는 실행을 해야 될 경우에는 백신으로 미리 검사하는 것이 중요하다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

안랩 ASEC에서 2012년 6월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.30을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 6월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

악성코드, 당신의 계좌를 노린다

이메일로 시도되는 APT 공격 주의

문서 파일을 이용한 끊임없는 악성코드 유포

아래아한글 제로데이 취약점을 악용한 악성코드 - 1

아래아한글 제로데이 취약점을 악용한 악성코드 - 2

알려진 한글 취약점을 악용한 악성코드 유포

안랩 사칭한 광고 스팸 메일 주의

정부 기관에서 발송된 메일로 위장한 스팸 메일

FedEx Post Office 메일로 위장한 악성 스팸 메일

변형된 형태의 XML 코어 서비스 취약점 (CVE-2012-1889) 악용


2) 모바일 악성코드 이슈

zsone 안드로이드 악성코드 변종 발견

스마트폰 사진을 변조하는 악성코드

스마트폰 앱 이용할 땐 항상 주의하세요


3) 보안 이슈

IE 동일한 ID 속성 원격 코드 실행 취약점(CVE-2012-1875)

XML 코어 서비스의 취약점으로 인한 원격 코드 실행 문제점 (CVE-2012-1889)

XML 코어 서비스 취약점(CVE-2012-1889) 악용 증가


4) 2012년 상반기 보안 위협 동향

정보 유출 목적의 APT(Advanced Persistent Threat) 공격 증가

개인정보 탈취용 악성코드 지속

애플리케이션 취약점을 이용한 악성코드 기능

모바일 악성코드 유포 경로 다양화

PC와 모바일 동시 겨냥한 피싱 사이트 등장


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.30 발간


저작자 표시
신고
Posted by 비회원