마이크로소프트(Microsoft)에서 2011년 8월 한달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2011년 9월 14일 배포하였다.

이번에 마이크로소프트에서 배포된 보안 패치들은 총 5건으로 다음과 같다.

Microsoft Security Bulletin MS11-070 - 중요

Microsoft Security Bulletin MS11-071 - 중요

Microsoft Security Bulletin MS11-072 - 중요

다양한 악성코드들이 마이크로소프트의 윈도우 보안 취약점을 악용함으로 미리 보안 패치 설치를 통해 악성코드의 감염을 예방 하는 것이 좋다.

마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다.


저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

http://core.ahnlab.com/192
http://core.ahnlab.com/193


위 링크의 글들에서 광고성 html 을 가장하여 유포되고 있는 스팸의 유포형식과 난독화된 스크립트에 대해서 살펴보았습니다.

난독화된 스크립트를 디코딩하여 수집한 game.exe 파일은 실행 시 아래 그림과 같이 'Defense Center'라는 FakeAV 를 설치하게 됩니다.




game.exe 파일에 의해 다수의 악성코드가 설치가 되며 그 중 아래의 경로에 생성되는 폴더 및 파일들이 은폐 및 hooking이 된 상태입니다.

c:\windows\PRAGMA[랜덤한 문자]\

이 경우 아래 링크의 v3alureon_gen_np.exe 전용백신을 다운로드 후 전용백신으로 %systemroot%를 검사하여 은폐 및 hooking을 풀어줍니다.

v3alureon_gen_np.zip

검사가 완료되게 되면 아래 그림처럼 바이러스가 없다고 메세지 창이 뜨게 될 것입니다. 왜냐하면 파일을 진단한 것이 아니라 은폐 및 hooking을 풀어준 것이기 때문입니다.




은폐 및 hooking을 풀어준 후 V3 로 해당 폴더를 진단/치료 시 정상적으로 진단/치료가 가능합니다.

작일 (6월 30일)부터 아래의 메일 제목으로 지속적으로 악성 html 링크가 삽입된 악성 스팸메일이 유포 중이니 주의하시기 바랍니다. 해당 스팸메일로 유포되는 악성코드 및 취약점 Exploit 파일은 곧 V3엔진에 업데이트 될 예정입니다.

[악성 스팸 메일 제목]
[랜덤한 메일 계정] has sent you a birthday ecard.
young limber girl
hello
Welcome to YouTube



<악성 html링크를 삽입한 랜덤한 메일 계정] has sent you a birthday ecard. 제목의 스팸메일>



<악성 html링크를 삽입한 Welcome to YouTube 제목의 스팸메일>





신고
Posted by 비회원

http://core.ahnlab.com/193


상기의 이전 글에서 최근 html 파일을 첨부하거나 html 링크를 삽입한 스팸메일을 통해 악성코드를 다운로드 하는 스팸메일의 형태를 살펴보았습니다. 

이어서 난독화된 악성 스크립트를 살펴 보도록 하겠습니다.


<삽입된 iframe에 의해 연결된 페이지 정보>


상기와 같이 난독화된 악성 스크립트는 악성 스크립트 제작자가 제작한 루틴 및 사용되지 않는 쓰레기 코드로 구성되어 있으며 디코딩 후 실제 악의적인 웹 페이지가 완성이 되게 됩니다. 



<최종 디코딩 된 악성 스크립트>

최종 디코딩된 악성 스크립트는 MDAC[Microsoft Data Access Components], PDF, JAVA 취약점을 이용하여 악성코드를 로컬에 저장하고 실행하게 됩니다. 


<취약점을 이용한 파일 및 다운로드 된 파일>
 
취약점을 이용한 파일 및 game.exe 파일은 아래와 같은 진단명으로 V3에서 진단/치료가 가능합니다.

game.exe
 -> Win-Trojan/Agent.26112.RQ
Notes10.pdf
 -> PDF/Exlpoit
Applet10.html
 ->HTML/Agent



다음 글에서 다운로드 된 game.exe 파일 실행 시 증상에 대해 살펴보도록 하겠습니다.




신고
Posted by 비회원
금일 MS 보안패치가 나오자 마자 바로 0-Day 취약점들이 쏟아져 나왔습니다. 모두 Microsoft Windows와 Office 관련 취약점으로 이미 해당 취약점 중 익스플로러 관련 취약점은 악성코드 유포에 사용된 것으로 보입니다.

Microsoft Movie Maker Buffer Overflow
http://www.iss.net/threats/362.html

Microsoft Excel XLSX code execution
http://www.iss.net/threats/363.html

Microsoft Internet Explorer use-after-free code execution
http://www.iss.net/threats/364.html


위 취약점 들 중 엑셀 관련 취약점은 금일 배포된 보안패치로 해결이 가능한 취약점 입니다.
(관련 링크 : http://core.ahnlab.com/131)


현재 가장 이슈가 되고 있는 것은 이미 Internet Explorer 관련 취약점 입니다. 현재 알려진 바로는 이미 악성코드 유포에 사용되었으며 아래와 같은 파일명으로 유포가 되었다고 합니다.

* 20100307.htm (CVE-2010-0806 exploit)
    * bypasskav.txt (part of exploit obfuscation code)
          o notes.exe (backdoor installer)

                + note.exe (backdoor installer copy)
                + clipsvc.exe (backdoor installer copy)
                      # wshipl.dll (backdoor)
                + rsvm.exe (backdoor installer)
                      # wshipnotes.dll (backdoor)


위 파일들은 현재 V3 제품군에서 아래와 같은 진단명으로 진단되고 있습니다.

JS/CVE-2010-0806
Win-Trojan/Cosmu.32768.E
Win-Trojan/Mdrop.42496
Win-Trojan/Wisp.42496
Win-Trojan/Wisp.32768

현재 해당 취약점에 대한 패치는 나와 있지 않은 상태이며 MS에서는 Intetnet Explorer 8 버전을 사용하거나 아래 안내해 드리는 사이트에서 DEP를 활성화 할 수 있는 Fix it을 제공하고 있으니 임시로 조치하여 사용하시기 바랍니다


Internet Explorer 8 다운로드 : http://www.microsoft.com/korea/windows/internet-explorer/default.aspx
Fix it 다운로드 : http://support.microsoft.com/kb/981374




신고
Posted by 비회원

금일 인터넷 익스플로러에 대한 새로운 0-Day 취약점이 발표되어 알려 드립니다.

해당 취약점은 VBScript를 이용하여 Internet Explorer 6, 7, 8의 Windows Help(.hlp)를 호출할 수 있다고 합니다.  이러한 취약점을 이용하여 공격자는 원격지에서 원하는 코드를 실행할 수 있습니다. 게다가 Windows Help 에 대한 오버플로우 취약점 역시 존재 한다고 합니다.



현재 해당 취약점을 이용하여 실제 공격으로 이루어진 사례는 발견되지 않았지만 아래와 같이 웹사이트 방문시 F1키의 입력을 요구한다면 누르지 않도록 주의하기 바랍니다.


 
그리고 패치가 나오기 전 아래 명령어를 이용하여 winhlp32.exe 파일에 대한 권한을 변경시켜 임시적으로 예방할 수 있습니다.

[권한 변경 방법]
cacls "%windir%\winhlp32.exe" /E /P everyone:N

[패치가 나온 후 복구 방법]

cacls "%windir%\winhlp32.exe" /E /R everyone
신고
Posted by 비회원
1. 들어가기에 앞서
 Internet Explorer 6, 7버젼에서 새로운 신규 취약점이 보고 되었습니다. 현재(09. 11. 25)까지 마이크로소프트에서는 공식적인 패치를 내놓지 않은 상황입니다.


2. 자세한 내용
  해당 취약점은 특정 CSS/Style object를 처리하는 과정에서 Crash가 일어나는 취약점으로 현재 많은 사이트에 공개된 코드는 단순 POC (Proof Of Concept) 코드이며 아직까지 해당 취약점을 이용한 악성코드는 발견되지 않았습니다. 하지만 지금까지 이러한 익스플로러 관련 취약점은 이전에 보고된 MS09-032나 MS09-043 등 웹페이지에 삽입하여 공격하기 쉬운 형태이므로 충분히 악성코드로 나올 가능성이 높습니다.

[그림] 공개된 POC 코드 중 일부


3. 대응 방안
 여러 대응 방안이 있지만 일부 사이트에서 ActiveX 스크립팅 설정을 해제하는 방법으로 가이드를 하고 있습니다. 하지만 이러한 방법도 대응 방안 중 한 방법이지만 웹사이트가 정상적으로 동작하지 않을 수 있으므로 가급적 아래 방법을 권장하는 바입니다.\

1) 인터넷 익스플로러 8으로 업그레이드 하여 사용합니다. (해당 취약점은 인터넷 익스플로러 6,7 버젼에만 영향을 주는 것으로 보고 되었습니다.)

2) 혹은 인터넷 익스플로러가 아닌 파이어폭스구글 크롬 같은 웹브라우져를 사용합니다.

3) V3사이트가드를 설치하여 늘 최신의 엔진을 유지하며 사용 합니다.
신고
Posted by 비회원