2013년 9월 12일 새벽 러시아 보안 업체인 캐스퍼스키(Kaspersky)에서는 해당 업체 블로그 "The “Kimsuky” Operation: A North Korean APT?"를 통해 한국을 대상으로 한 고도의 APT(Advanced Persistent Threat) 공격이 발견되었음을 공개하였다.


해당 블로그에서는 총 31개의 악성코드 MD5 해쉬(Hash) 값을 공개하였으며, 공격자는 불가리아의 무료 이메일 서버스인 mail.bg 를 이용해 감염된 시스템에서 탈취한 데이터를 보관하고 있다고 밝히고 있다.


ASEC에서는 해당 블로그에서 공개한 총 31개의 악성코드에 대해 2013년 6월부터 발견되고 있음을 파악하고 다양한 방안으로 대응을 진행 중에 있다.


아래 그래프는 이번에 캐스퍼스키에서 명명한 The “Kimsuky” Operation에서 공개된 31개의 악성코드들을 ASD(AhnLab Smart Defense)의 데이터 베이스에 다년간 축적된 데이터를 이용해 발견된 시기를 년도와 월별로 정리한 내역이다.



이번 한국을 대상으로한 The “Kimsuky” Operation로 명명된 APT 공격에 사용된 악성코드는 2009년 3월 최초로 발견되었으며, 4년 동안 동일한 형태의 다른 변형들이 발견되지 않았다. 그러나 2013년 6월 초를 시작으로 6월 한 달 동안 총 10개의 변형들이 발견되었으며, 2013년 9월 현재까지 지속적으로 변형들이 발견되었다.


The “Kimsuky” Operation에 사용된 악성코드들 모두 기존 한국에서 지속적으로 발견되던 취약한 한글 파일(.HWP)을 이용해 감염을 유도하는 기법으로 유포 되었다.


취약한 한글 파일들은 한국 내 정부 기관과 관공서를 대상으로 APT 공격에서 특징적으로 발견되는 이메일에 취약한 한글 파일을 첨부하여 공격 대상이 되는 내부 직원들에게 전달하는 스피어 피싱(Spear Phishing) 형태의 공격 기법이 사용되었다.


이러한 취약한 한글 파일들은 2012년 10월에 발견된 아래 이미지와 같이 스피어 피싱(Spear Phishing) 형태의 공격 기법으로 공격 대상이 되는 기관의 내부 직원들에게 전달 되었다.




현재까지 한국에서 발견된 스피어 피싱(Spear Phishing) 이메일에 첨부된 취약한 한글 파일은 크게 다음과 같은 3가지 취약점을 지속적으로 사용하고 있다. 


HWPTAG_PARA_HEADER 레코드에서 취약점 발생

HWPTAG_PARA_TEXT 레코드에서 취약점을 발생

HWPTAG_SHAPE_COMPONENT_TEXTART 레코드에서 취약점 발생


그러나 앞서 언급한 주요 3가지 취약점 이외에도 새로운 제로데이(Zero Day) 취약점들이 지속적으로 발견되고 있음으로 각별한 주의가 필요하다.


생성되는 악성코드 역시 가장 최근인 9월 초에 발견된 취약한 한글 파일의 경우, 보안 패치가 설치 되지 않은 취약한 버전의 아래 한글 소프트웨어를 사용하는 시스템에서 열어보게 될 경우 다음과 같은 악성코드들이 생성된다.


- C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\core.dll 

- C:\WINDOWS\system32\olethk64.dll

- C:\WINDOWS\system32\spondge.dll

- C:\WINDOWS\system32\zipfd.icc


그리고, 감염된 시스템에서 탈취한 데이터를 아래 무료 이메일 서비스를 사용하는 메일 주소로 전송하게 된다.


- zmail.zoho.com

- accounts.zoho.com


ASEC에서는 탈취한 데이터가 전송되는 이메일 주소의 메일 주소를 확인 하게 되면 아래 이미지와 동일한 초기 화면을 볼 수 있다. 그리고 한국에서 많이 사용되는 메일 서비스 계정을 이용해 ID가 등록되어 있는 것을 확인 할 수 있다.



그리고 해당 이메일 주소로 접속 한 시스템 이력을 확인 해보게 되면, 해당 이메일 주소를 사용한 공격자는 2013년 8월 28일 마지막으로 접속을 한 것이 알 수 있다. 9월 11일과 12일 접속한 IP는 ASEC에서 분석을 위한 목적으로 접속을 한 이력이다.



이와 함께 이메일을 수신한 이력을 확인 해보면, 아래 이미지와 같이 악성코드에 감염된 시스템에서 탈취 및 키로깅(Keylogging) 된 데이터가 암호화 되어 이메일의 첨부 파일로 보관 중인 것을 확인 할 수 잇다.


그리고 해당 메일 계정의 휴지통(Trash)에 존재하는 이메일의 첨부 파일에는 향휴 유포를 목적으로 추정되는 새로운 악성코드 변형이 XOR로 인코딩 되어 kkc.txt (77,824 바이트)라는 파일명으로 보관 중에 있다.



이번에 공개된 악성코드들 중 윈도우 레지스트리(Windows Registry)를 조작하여, V3의 개인용 방화벽(Personal Firewall)을 무력화하고자 하는 사례가 존재하였다.


그러나 최신 버전의 엔진과 패치를 모두 적용한 V3 제품 군의 경우에는 아래 이미지와 같이 "자체 보호" 기능으로 인해 개인용 방화벽이 무력화 되지 않는다.


 


이 번 캐스퍼스키에서 공개한 The “Kimsuky” Operation 으로 명명된 APT 공격에 사용된 악성코드들 가진 취약한 한글 파일과 관련 악성코드들은 모두 V3 제품 군에서 다음과 같이 진단한다.

Trojan/Win32.XwDoor

이 외에 지속적으로 발견되는 취약점을 악용하는 취약한 한글 파일들과 관련 악성코드들은 모두 V3 제품 군에서 다음과 같이 진단한다.

HWP/Exploit
Trojan/Win32.Backdoor
Trojan/Win32.Npkon
Trojan/Win32.Dllbot

취약점을 악용하는 취약한 한글 파일들은 APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher, 미국 제품명 MDS(Malware Defense System)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지 가능하다.

Exploit/HWP.AccessViolation-DE
Exploit/HWP.AccessViolation-SEH

V3 인터넷 시큐리티(Internet Security) 9.0 에 포함된 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.

Dropper/MDP.Exploit
Suspicious/MDP.Document
Suspicious/ MDP.Exploit
Suspicious/MDP.Behavior

취약점을 악용하는 취약한 한글 파일이 첨부된 스피어 피싱(Spear Phishing) 형태의 공격 기법이 지속적으로 발생하고 있다. 

그러므로, 사용하고 있는 아래아 한글 소프트웨어의 보안 패치를 모두 설치하고, 조직 외부 인물이 발송한 이메일에 첨부되어 있는 한글 파일을 열때는 각별한 주의가 필요하다.


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

해외 시각으로 10월 15일 러시아 보안 업체인 캐스퍼스키(Kaspersky)에서는 플레임(Flame)의 새로운 변형인 미니플레임(miniFlame)을 발견 하였음을 블로그 "miniFlame aka SPE: "Elvis and his friends""를 통해 공개하였습니다.


이 번에 발견된 플레임의 변형인 미니플레임은 2012년 8월에 공개된 가우스(Gauss)와 유사도가 높으며, 해당 악성코드 역시 사이버 전쟁을 위한 정보 수집의 목적으로 제작되었다.


현재까지 캐스퍼스키에서 밝히 스턱스넷(Stuxnet)에서부터 미니플레임까지의 감염된 시스템의 수치는 다음 표와 같은 것으로 밝히고 있다.



해당 미니플레임 악성코드는 모듈화된 형태로 존재하며 전체적인  전체적인 구조는 아래 이미지와 같이 동작하게 되어 있다.



이번에 발견된 미니플레임은 감염된 시스템에서 자신의 복사본을 유포하기 위해 스턱스넷 등 기존에 발견된 다른 악성코드들과 유사하게 이동형 저장 장치인 USB를 악용하고 있다.


그리고 감염된 시스템에서는 파일 읽기 및 쓰기, 특정 파일 C&C 서버로 전송, 특정 프로세스 실행시 화면 캡쳐 등의 악의적인 기능을 수행하게 된다.


이 번에 발견된 플레임의 새로운 변형인 미니플레임 변형들은 V3 제품 군에서 다음과 같이 진단한다.


Win-Trojan/MiniFlame.75264

Win-Trojan/MiniFlame.89680

Win-Trojan/MiniFlame.76288 

Win-Trojan/MiniFlame.108544 

Win-Trojan/MiniFlame.97280 

Win-Trojan/MiniFlame.113152 

Win-Trojan/MiniFlame.96768

Win-Trojan/MiniFlame.112128 

Win-Trojan/MiniFlame.104448 

Win-Trojan/MiniFlame.13312


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 "2012 예상 스마트폰 보안 위협 트렌드"를 발표하며 윈도우 PC에서 감염 및 동작하는 제우스(Zeus) 악성코드의 모바일 버전인 Zitmo[Zeus In The Mobile]가 발견되었으며 심비안(Symbian), 블랙베리(Blackberry)를 거쳐 최근엔 안드로이드(Android) 플랫폼으로까지 확장되었다고 언급한 바가 있다.


금일 러시아 보안 업체 캐스퍼스키(Kaspersky)에서는 블로그 "Android Security Suite Premium = New ZitMo"를 통해 새로운 Zitmo 변형이 발견되었음을 공개하였다.


ASEC에서는 추가적인 조사를 통해 해당 새로운 Zitmo 변형은 구글(Google)의 공식 안드로이드 앱스토어(Appstore)를 통해 유포 된 것이 아니라, 인터넷에 존재하는 서드 파티 앱스토어(3rd Party Appstore)를 통해 유포된 것을 파악하였다.


이 번에 발견된 새로운 Zitmo 변형은 안드로이드 모바일 운영체제에서 감염 및 동작하도록 되어 있으며, 안드로이드 운영체제에 설치 되면 아래 이미지와 같이 허위 보안 소프트웨어로 위장하고 있다.



안드로이드에 감염되는 허위 보안 소프트웨어는 이 번에 처음 발견된 것이 아니며 2012년 5월 해외 보안 업체 아이콘으로 위장한 형태가 발견된 사례가 있다.


그리고 해당 안드로이드 악성코드는 설치 시에 아랭 이미지와 같이 감염된 안드로이드 모바일 기기에서 송수신하는 SMS 메시지 접근 권한과 SMS 발송 권한 등이 사용됨을 보여주고 있다.



해당 Zitmo 안드로이드 악성코드가 실행되면 아래와 같이 일반적인 허위 보안 소프트웨어에서 사용하였던 기법과 동일하게 인증 등록 번호를 입력하도록 요구한다.



그러나 해당 안드로이드 악성코드는 감염된 안드로이드 모바일 기기에서 다음 정보들을 수집하여 특정 C&C 서버로 전송하게 된다.


휴대폰 번호

SubscriberId

DeviceId

모델명

제작사

OS 버전

SMS 메시지


이 번에 발견된 새로운 Zitmo 변형들은 V3 모바일 제품군에서 다음과 같이 진단한다.


Android-Trojan/Zitmo

Android-Trojan/Zitmo.B

Android-Trojan/Zitmo.C

Android-Trojan/Zitmo.D


안드로이드 모바일 기기 사용자들은 인터넷 웹 사이트 등을 통해 안드로이드 앱들을 다운로드 받아 설치하는 것보다 신뢰 할 수 있는 통신사 또는 제조사가 제공하는 앱스토어를 이용해 다운로드 및 설치하는 것이 중요하다.

그리고 안드로이드 모바일 기기에서도 신뢰 할 수 있는 보안 업체가 개발한 보안 제품을 설치하여 주기적으로 검사하는 것이 필요하다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안드로이드(Android) 스마트폰의 사용율이 전 세계적으로 증감하에 따라 이와 관련된 다양한 보안 위협들이 발생하고 있다.


특히 해당 모바일(Mobile) 운영체제에서 동작하는 악성코드들은 2011년 하반기를 기점으로 기하 급수적으로 증가하고 있으며, 제작 목적 역시 금전 획득을 위한 목적으로 제작되는 사례들도 동반 증가하고 있다.


이러한 안드로이드 악성코드들의 유포는 현재까지 대부분이 구글(Google)에서 운영하는 안드로이드 앱스토어(Android Appstore) 또는 방문자가 많은 유명 서드 파티 앱스토어(3rd Party Appstore)를 통해 유포되는 사례가 많았다.


그러나 현재는 허위 앱 스토어를 통해 직접 유포하거나 유명 앱들을 배포하는 웹 사이트로 위장하여 유포하는 방식 등으로 기존 윈도우(Windows) 운영체제 기반의 PC에 감염되는 악성코드들이 유포되는 방식들을 그대로 답습하는 형태로 발전하고 있다.


이러한 안드로이드 악성코드가 금일 기존 윈도우 운영체제 기반의 PC에 감염되었던 허위 백신들과 유사한 형태로 유포되는 사례가 발견되었다.


이러한 허위 백신 형태의 악성코드는 최근 애플 맥(Mac) 운영체제 사용자들이 증가함에 따라 맥 운영체제에서 동작하도록 제작된 사례들도 존재한다.


이 번에 발견된 안드로이드 운영체제에 감염되는 허위 백신들은 아래 이미지와 같이 정상적인 보안 관련  웹 사이트로 위장하고 있다.



해당 허위 보안 웹 사이트에서는 러시아어로 제작되었으며, "SIM 검사", "저장소 검사"와 "시스템 파일 검사" 등의 항목으로 실제 안드로이드 스마트폰의 보안 검사를 수행하는 것으로 위장하고 있다.


각 항목의 검사가 종료되면 아래 이미지와 같이 현재 사용하는 안드로이드 스마트폰에 어떠한 부분이 취약한지를 붉은 색으로 표기하며, 악성코드에 감염되었음의 허위 사실을 알려 사용자로 하여금 VirusScanner.apk 파일을 다운로드하여 설치하도록 유도한다.



해당 웹 사이트를 통해 다운로드 된 VirusScanner.apk를 안드로이드 스마트 폰에 설치하게 될 경우, 다음 이미지와 같이 러시아 보안 업체 캐스퍼스키(Kaspersky)의 보안 제품과 동일한 아이콘이 생성된다.



그리고 설치 과정에서 해당 허위 백신은 아래 이미지와 같은 권한들이 사용 됨을 안드로이드 스마트 폰 사용자들에게 보여주게 된다.




설치된 해당 안드로이드 허위 백신은 정상적인 사용을 위해서는 사용자에게 요금을 지불하도록 요구하여 금전적인 목적으로 제작된 안드로이드 악성코드이다.


이러한 허위 백신 형태의 악성코드는 PC 기반의 윈도우 운영체제와 맥 운영체제 뿐만이 아니라 안드로이드 스마트폰에서 까지 발견되었다는 점에서 향후 이러한 허위 백신 형태의 안드로이드 악성코드가 지속적으로 등장 할 것으로 예측 된다.


이 번에 발견된 허위 백신 형태의 안드로이드 악성코드들은 모두 V3 모바일 제품군에서 다음과 같이 진단한다.


Android-Trojan/FakeAV

Android-Trojan/FakeAV.B 


안드로이드 스마트폰 사용자들은 안드로이드 앱들을 다운 받아 설치 할 때, 신뢰 할 수 있는 구글 앱 스토어나 통신사에서 운영하는 앱 스토어를 이용하는 주의가 필요하다.


그리고 안드로이드 보안 제품들 역시 신뢰 할 수 있는 전문 보안 업체에서 개발한 안드로이드 보안 앱을 다운로드하여 설치하는 것이 중요하다.


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
일반적으로 전자 서명은 특정 기업이나 단체에서 해당 파일은 자신들에 의해 개발 및 제작된 것이며 위, 변조가되지 않았다는 것을 증명하는 용도로 사용되고 있다.

이러한 전자 서명을 최근 몇 년 전부터 악성코드들은 보안 제품을 우회하기 위한 목적으로 전자 서명(Digital Signature)를 파일에 사용하기 시작하였다. 여기서 사용되는 전자 서명들 대부분이 특정 기업이나 단체로부터유출된 정상 전자 서명임으로 해당 정보를 이용해 정상 파일로 오판하도록 하고 있다.

이러한 악성코드의 전자 서명 악용 사례들로는 2011년 제우스(Zeus) 악성코드가 캐스퍼스키(Kaspersky)의 전자 서명을 도용한 사례2010년 7월 특정 포털에서 배포하는 정상 파일로 위장한사례가 존재한다.

이러한 전자 서명을 악용한 악성코드 유포 사례가 최근 캐스퍼스키 블로그 "Mediyes - the dropper with a valid signature"를 통해 공개 되었다.

해당 악성코드는 ASEC에서 확인한 아래 이미지와 같이 Conpavi AG 라는 스위스 업체의 전자 서명을 도용하고 있다. 


그리고 발급된 전자 서명은 아래 이미지와 같이 2011년 11월부터 2012년 11월까지 사용할 수 있도록 기한이 유효한 정상적인 전자 서명이었다.


이렇게 기업이나 단체의 전자 서명을 악성코드의 도용하는 사례들이 증가함에 따라 기업이나 단체에서는 전자 인증서 발급과 관련된 개인키(Private Key) 관리에 주의를 기울이고, 만약 유출된 사실이 확인된다면 전자 인증서를 폐기하고 새로 발급해야 전자 서명의 도용 사례를 막을 수가 잇다.

이번 스위스 기업의 전자 서명을 도용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Mediyes.628544 
Win-Trojan/Mediyes.436224
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원