ASEC에서는 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 드 실행 제로 데이(Zero Day, 0-Day) 취약점을 악용하는 악성코드가 6월 15일 발견되었음을 공개하였다. 그리고 6월 22일에는 기존에 발견되었던 취약점을 악용한 취약한 한글 파일이 발견되었음을 공개하였다.


7월 4일 어제 다시 한글 소프트웨어에 존재하는 알려진 취약점을 악용한 취약한 한글 파일이 발견되었으며, 해당 취약한 한글 파일 역시 이메일의 첨부 파일 형태로 국내 특정 조직을 대상으로 유포 되었다.


이메일에 첨부되어 유포된 해당 취약한 한글 파일을 열게 되면 아래 이미지와 동일한 내용이 나타나게 된다.



해당 취약한 파일은 아래 이미지와 같은 구조로 되어 있으며, 6월 15일 발견된 코드 실행 취약점을 응용한 형태가 아니라 이미 보안 패치가 제공되어 있는 취약점이다.



이 번에 발견된 해당 취약한 한글 파일은 HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow) 취약점이며, 해당 취약점은 2010년부터 지속적으로 악용되어 왔던 한글 소프트웨어 취약점들 중 하나이다. 그리고 해당 취약점은 한글과 컴퓨터에서 이미 보안 패치를 제공 중에 있다. 


해당 취약점이 존재하는 한글 소프트웨어를 사용하는 시스템에서 금일 유포된 취약한 한글 파일을 열게 되면 사용자 계정의 임시 폴더에 scvhost.exe (138,240 바이트) 파일을 생성하게 된다.


c:\documents and settings\[사용자 계정명]\local settings\temp\scvhost.exe ( 138,240 바이트 


생성된 scvhost.exe (138,240 바이트) 파일이 실행되면 윈도우 폴더(c:\windows) 폴더에 wdmaud.drv (78,336 바이트)를 생성하게 된다.


C:\WINDOWS\wdmaud.drv (78,336 바이트)


그리고 생성된 wdmaud.drv (78,336 바이트)는 감염된 시스템에서 다음의 정보들을 수집하여 외부로 전송을 시도하게 되나 분석 당시에는 정상적으로 접속이 되지 않았다.


하드웨어 정보

윈도우 운영체제 정보

로그인 사용자 정보

파일 업로드 및 다운로드

감염된 시스템의 IP 주소 및 프록시(Proxy) 서버 주소


금일 발견된 기존에 알려진 한글 소프트웨어 취약점을 악용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


HWP/Exploit

Win-Trojan/Agent.138240.FK 

Trojan/Win32.Dllbot


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Document(57)


생성되는 파일명들과 생성된 악성코드들이 가지고 있는 기능들을 미루어 볼 때 해당 악성코드 제작자는 동일한 한글 취약점과 동일한 악성코드 소스코드를 바탕으로 지속적으로 변형들을 생산해내는 것으로 분석된다.


그러므로 앞서 언급한 바와 같이 한글과 컴퓨터에서 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 6월 15일 한글과 컴퓨터에서 개발한 한글 소프트웨어에 존재하는 코드 실행 취약점을 악용한 악성코드 유포 사례가 발견되었음을 공개하였다.


현재 해당 코드 실행 취약점에 대해서는 6월 22일 한글과 컴퓨터에서는 해당 취약점을 제거할 수 있는 보안 패치를 공개하여, 해당 취약점을 악용한 악성코드 감염 시도에 대해서는 원천적인 차단이 가능하다.


금일 다시 국내에서 알려진 한글 소프트웨어의 취약점을 악용하여 악성코드 감염을 시도한 사례가 발견되었다.


이 번에 유포된 취약한 한글 파일들은 국내 특정 조직들을 대상으로 발송된 이메일의 첨부 파일 형태로 유포되었으며, 첨부된 취약한 한글 파일들을 열게되면 아래 이미지와 같은 내용이 보여진다.




해당 취약한 파일은 아래 이미지와 같은 구조로 되어 있으며, 6월 15일 발견된 코드 실행 취약점을 응용한 형태가 아니라 이미 보안 패치가 제공되어 있는 취약점이다.



이 번에 발견된 해당 취약한 한글 파일은 HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow) 취약점이며, 해당 취약점은 2010년부터 지속적으로 악용되어 왔던 한글 소프트웨어 취약점들 중 하나이다.


해당 취약점이 존재하는 한글 소프트웨어를 사용하는 시스템에서 금일 유포된 취약한 한글 파일을 열게 되면 사용자 계정의 임시 폴더에 scvhost.exe (138,752 바이트) 파일을 생성하게 된다.


c:\documents and settings\[사용자 계정명]\local settings\temp\scvhost.exe (138,752 바이트) 


생성된 scvhost.exe (138,752 바이트) 파일이 실행되면 윈도우 폴더(c:\windows) 폴더에 wdmaud.drv (78,848 바이트)와 wdmaud.dat (78,848 바이트)를 생성하게 된다.


C:\WINDOWS\wdmaud.drv (78,848 바이트)

C:\WINDOWS\wdmaud.dat (78,848 바이트) 


wdmaud.dat (78,848 바이트)는 인코딩되어 있는 파일로 해당 파일을 디코딩하게 되면 실행 가능한 PE 파일이 wdmaud.drv (78,848 바이트)이 생성된다.


wdmaud.dat (78,848 바이트)의 디코딩 작업이 완료되어 wdmaud.drv (78,848 바이트)가 생성되면 해당 scvhost.exe (138,752 바이트)에 의해 해당 파일은 삭제된다.


그리고 생성된 wdmaud.drv (78,848 바이트)는 감염된 시스템에서 다음의 정보들을 수집하여 외부로 전송을 시도하게 되나 분석 당시에는 정상적으로 접속이 되지 않았다.


하드웨어 정보

윈도우 운영체제 정보

로그인 사용자 정보

파일 업로드 및 다운로드

감염된 시스템의 IP 주소 및 프록시(Proxy) 서버 주소


금일 발견된 기존에 알려진 한글 소프트웨어 취약점을 악용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


HWP/Agent
Win-Trojan/Npkon.138752
Trojan/Win32.Dllbot

APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.

Exploit/HWP.AccessViolation-DE

향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.

Dropper/MDP.Document(57)

앞서 언급한 바와 같이 금일 유포된 취약한 한글 파일은 이미 한글과 컴퓨터에서 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

현지 시각으로 6월 12일 마이크로소프트(Microsoft)에서는 XML 코어 서비스(Core Services)에 알려지지 않은 제로 데이(Zero Day, 0-Day) 취약점이 발견되었음을 보안 권고문 "Microsoft Security Advisory (2719615) Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution"을 통해 공개한 바가 있다.


해당 취약점은 공격자가 지정한 임의 코드를 실행 할 수 있는 코드 실행 취약점이며, 해당 XML 코어 서비스를 사용하는 윈도우(Windows) 운영체제와 오피스(Office) 2003과 2007 버전에서 악용이 가능하다.


해당 취약점은 현재까지도 마이크로소프트에서 보안 패치를 제공하지 않는 제로 데이 취약점이며, 임시 방안으로 해당 취약점을 제거 할 수 있는 픽스 잇(Fix it)을 보안 공지 "Microsoft 보안 공지: Microsoft XML Core Services의 취약성으로 인한 원격 코드 실행 문제"를 통해 배포 중에 있다.


해당 XML 코어 서비스를 악용하는 스크립트 악성코드가 해외에서 발견되는 사례가 서서히 증가하고 있어 주의가 필요하다.


최근 발견된 해당 제로 데이 취약점을 악용하는 스크립트 악성코드는 아래 이미지와 같은 형태의 쉘코드(Shellcode)가 구성되어 있다.



해당 스크립트 악성코드에 포함된 쉘코드가 실행되면 홍콩에 위치한 특정 시스템에서 css.exe (32,936 바이트)를 다운로드 한 후 실행하게 된다.


해당 파일이 실행되면 윈도우 운영체제에서 실행되는 정상 프로세스인 explorer.exe의 스레드로 자신의 코드들을 아래 이미지와 같이 삽입하게 된다



그리고 자신의 코드들이 정상적으로 스레드 인젝션을 하게 되면 구글(Google)의 공개용 DNS 서버로 질의를 송신하여 감염된 시스템이 인터넷에 정상적으로 연결되어 있는지 확인하게 된다.


그 후 싱가포르에 위치한 특정 시스템에 접속을 시도하게 되다, 분석 당시에는 해당 시스템으로 정상적인 접속이 이루어지지 않았다.


해당 악성코드는 감염된 시스템에서 하드웨어 정보, 운영 체제 정보 및 커맨드라인(Command-Line) 명령을 실행하게 된다.


앞 서 언급한 바와 같이 해당 XML 코어 서비스 취약점은 보안 패치가 제공되지 않는 제로 데이 취약점임으로 각별한 주의가 필요하며, 임시 방안으로 마이크로소프트에서 제공하는 픽스 잇을 설치할 수도 있다.


이 번에 발견된 해당 XML 코어 서비스 취약점을 악용하는 악성코드들은 V3 제품 군에서 다음과 같이 진단한다.


JS/Agent 

Win-Trojan/Dekor.32936 


그리고 네트워크 보안장비 트러스가드(TrusGuard) 제품군에서는 다음과 같이 탐지 및 차단이 가능하다.


http_ie_heap_spray_attack-4(HTTP)

ms_xml_core_service_exploit(CVE-2012-1889)


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

마이크로소프트(Microsoft)에서 2012년 5월 한 달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2012년 6월 13일 배포하였다.


이번에 마이크로소프트에서 배포된 보안 패치들은 총 7건으로 다음과 같다.


Microsoft Security Bulletin MS12-036 - 긴급

원격 데스크톱의 취약점으로 인한 원격 코드 실행 문제점 (2685939)


Microsoft Security Bulletin MS12-037 - 긴급

Internet Explorer 누적 보안 업데이트 (2699988)


Microsoft Security Bulletin MS12-038 - 긴급

.NET Framework의 취약점으로 인한 원격 코드 실행 문제점 (2706726)


Microsoft Security Bulletin MS12-039 - 중요

Lync의 취약점으로 인한 원격 코드 실행 문제점 (2707956)


Microsoft Security Bulletin MS12-040 - Important

Vulnerability in Microsoft Dynamics AX Enterprise Portal Could Allow Elevation of Privilege (2709100)


Microsoft Security Bulletin MS12-041 - 중요

Windows 커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점 (2709162)


Microsoft Security Bulletin MS12-042 - 중요

Windows 커널의 취약점으로 인한 권한 상승 문제점 (2711167)


현재 MS12-037 보안 패치와 관련된 CVE-2012-1875 취약점을 악용한 공격 사례가 공개되었음으로 지금 즉시 해당 보안 패치를 설치하는 것이 중요하다.


마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다. 


마이크로소프트 업데이트  

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

2011년 12월 23일 국내에서 제우스 봇(Zeus Bot) 유포를 위해 여러가지 어플리케이션들의 취약점 악용 웹 페이지 접속을 유도하는 전자 메일이 발견되었다.


이 번에 유포된 해당 전자 메일의 제목은 "Fwd : I'm in trouble" 이며 본문은 아래와 같다.   

I was at a party, got drunk, couldn't drive the car, somebody gave me a lift on my car, and crossed on the red light!
I've just got the pictures, maybe you know him???
Here is the photo

I need to find him urgently!

Thank you
<보낸 사람>


유포된 전자 메일의 형태는 아래 이미지와 같다.


유포되는 메일 형식은 해외 보안 업체인 컴터치(Commtouch) 블로그 "The “I’m in trouble” massive malware outbreak"를 참고 할 경우 다른 유사 변형들도 상당수 존재하는 것으로 파악 된다. 

메일 수신자가 전자 메일 본문의 'Here is the photo'를 클릭하면 악성코드 감염을 시도하는 특정 웹 페이지로 연결된다.

연결된 해당 웹 페이지는 다른 웹 페이지를 로딩하는 것으로 위장한 'Please wait page is loading...'이 뜨고 다양한 어플리케이션들의 취약점을 악용해 악성코드를 감염을 시도 한다.
 


해당 웹 페이지에 존재하는 난독화된 스크립트를 풀어보면 "Microsoft 보안 권고 (2219475) Windows 도움말 및 지원 센터의 취약점으로 인한 원격 코드 실행 문제점"과 함께 자바(Java), 어도비 플래쉬(Adobe Flash)등에 존재하는 다양한 취약점들을 악용해 악성코드 감염을 시도하고 있다.


해당 취약점들을 통해 다운로드되는 파일은 인터넷 뱅킹 정보 유출을 위해 제작된 제우스 봇(Zeus Bot) 악성코드이다.

이번에 발견된 전자메일을 통해 감염을 시도한 제우스 봇 트로이 목마는 2011.12.16.00 이후 엔진 버전의 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Obfuscated.Gen

신고
Creative Commons License
Creative Commons License
Posted by mstoned7