이번 악성코드의 유포방식은 10월에 알려진 변형들은 IE 제로데이 취약점을 사용하였다. 


2013년 10월9일 보안패치가 나온 것을 감안 하면 그 이전부터 유포가 진행되었을 가능성이 높으며, 취약점 패치를 하지 않은 PC에는 여전히 유포 가능성이 존재한다. 아울러, CDN 서비스 업체인 G사를 통해 서비스 운영 중인 웹 사이트가 악성코드 배포지 중 일부로 악용된 것으로 추정된다. 


Microsoft Security Bulletin MS13-080 - 긴급

Internet Explorer 누적 보안 업데이트 (2879017)


아래 그림은 IE 제로데이 취약점을 통해 감염이 이루어지는 과정을 나타낸다. 붉은색 블록으로 표시한 파일이 실제 핵심적인 기능을 수행하며, "악성코드 다운로드" 및 "관리자 페이지 계정정보 유출" 기능을 갖고 있다. 



위 그림에 존재하는 swf.jsguy2.html 파일을 iframe 태그로 로딩하는 기능을 가지고 있으며, guy2.html 은 다음의 2가지 기능을 가지고 있다. 


특정 국산 백신들에 대한 무력화 시도 

특정 사이트로부터 파일을 다운로드하고 실행


swf.js는 난독화가 되어 있으며, 이를 해제한 내용은 다음과 같다. 



guy2.html 에 존재하는 쉘코드는 Explorer.exe 프로세스에 코드를 인젝션 한 후 백신들을 무력화(삭제) 하기 위하여 레지스트리를 확인한다. 


백신 무력화에 성공한 이후,  아래 URL에서 파일을 다운받아 저장하고, 저장된 main001.gif 파일을 읽어서 첫 2바이트를 MZ 로 패치한 후 실행한다.  


http://***.***.***.***/mii/fird.gif

C:\DOCUME~1\(사용자계정명)\LOCALS~1\Temp\main001.gif


 * 쉘코드에 의한 백신 무력화 기능으로 인해, 기진단 샘플임에도 불구하고 백신이 무력화 된 상태에서 악성코드가 다운될 것으로 추정됨 

 * 단, V3Lite 3.0은 IP/URL 차단기능으로 인해 사전 차단이 가능함

Fird.gif 는 드롭퍼와 다운로더 기능을 가지고 있다. 생성되는 파일의 경로는 다음과 같다.

- c:\windows\system32\drivers\fironancosftccorpds.sys ( 또는 firanhncorpds.sys ) 

생성되는 드라이버 파일 fironancosftccorpds.sys 은 다음 백신들의 무력화를 시도 한다.

MpfSrv.exe

mcsysmon.exe

McNASvc.exe

Mcshield.exe

McProxy.exe

mcagent.exe

MsMpEng.exe

MpCmdRun.exe

msseces.exe

vmacthlp.exe

VMUpgradeHelper.exe

RSUpdSrv.rse

RSAgent.rse

RSRTSrv.rse

vcrmon.exe

SpiderNT.exe

vrmonnt.exe

vrmonsvc.exe

HFACSvc.exe

vrptsvc.exe

vrscan.exe

hpcsvc.exe

vrfwsvc.exe

hUpSvc.exe

hVrCommandSvc.exe

hVrMalSvc.exe

hVrTray.exe

AYRTSrv.exe

AYUpdSrv.exe

AYAgent.exe

AYRTSrv.aye

AYServiceNT.aye

AYUpdSrv.aye

ALYac.aye

AYUpdate.aye

AYAgent.aye

sgsvc.exe

Nsavsvc.npc

Nsvmon.npc

NVCAgent.npc

Nsavsvc.exe

Nsvmon.exe

NVCAgent.exe

NVCUpgrader.exe

NaverAgent.exe

NVCUpgrader.npc

avp.exe

AvastSvc.exe

avsx.exe

AvastUI.exe

ashUpd.exe

V3IMPro.exe

V3P3AT.exe

MonSysNT.exe

MonSvcNT.exe

v3impro.exe

v3p3at.exe

monsysnt.exe

monsvcnt.exe

AhnSD.exe

AhnSDsv.exe

ASDCr.exe

ASDCli.exe

ASDUp.exe

V3LNetdn.exe

V3LiteExp.exe

ASDSvc.exe

V3Lite.exe

V3LSvc.exe

V3LTray.exe

V3Light.exe

V3Medic.exe

V3LRun.exe

MUpdate2.exe

 

 


그리고 다음 경로에서 파일을 다운로드 및 실행한다.

- hxxp://***.***.***.***/mii/firw.gif

Firw.gif 는 드롭퍼 기능을 갖는다. 백신들을 무력화 하고 특정 사이트들의 관리자 계정과 온라인 게임들의 사용자 계정을 훔쳐낸다. 

그리고 특정 사이트들로부터 랜덤.jpg 파일을 무한히 요청하는 시도를 한다. 해당 악성코드에 의해 드롭되는 파일은 다음 경로에 생성된다.

- c:\windows\olesau32.dll
c:\windows\svchost.exe
c:\windows\system32\drivers\ahnurla.sys

olesau32.dll은 크게 다음의 3가지 주요 기능을 가지고 있다. 

랜덤명.jpg" 파일을 특정 사이트들에게 무한 요청 시도를 함으로써 DDoS를 유발 (도메인 리스트 A 참고)

관리자 계정 유출 (도메인 리스트 B참고, 최근에 발견된 변형에서 이 기능은 제외됨)

온라인 게임 사용자 계정 유출

현재 국내 무료 백신들을 테스트한 결과 olesau32.dll을 진단하지 못하고 있음

Svchost.exe 는 랜덤명.jpg 파일을 특정 사이트들에게 무한 요청 시도를 함으로써 DDoS를 유발하는 기능만을 (도메인 리스트 A 참고) 가지고 있다.  



상기 도메인 리스트(A)은 실제 파일이 존재하지 않을 경우에 웹 서버에 부하를 발생시키는 DDoS를 유발하며, 변종 마다 전체 도메인에 대한 요청 주기가 차이가 날 것으로 추정된다. 


그러나, 해당 파일이 존재할 경우 추가 악성코드 유포로 악용될 수 있으며, 실제 아래 URL의 경우, 지난 7월에 악성코드 배포 이력을 가지고 있는 것을 확인하였다. 



루트킷 기능을 가지고 있으며, ahnurla.sysolesau32.dll을 은폐한다. 또한, 다음 백신 관련 프로세스들에 대해 무력화를 시도한다. 

RSUpdSrv.rse

RSAgent.rse

RSRTSrv.rse

vcrmon.exe

SpiderNT.exe

vrmonnt.exe

vrmonsvc.exe

HFACSvc.exe

vrptsvc.exe

vrscan.exe

hpcsvc.exe

vrfwsvc.exe

hUpSvc.exe

hVrCommandSvc.exe

hVrMalSvc.exe

hVrTray.exe

AvastSvc.exe

avsx.exe

AvastUI.exe

ashUpd.exe

avp.exe

V3IMPro.exe

V3P3AT.exe

MonSysNT.exe

MonSvcNT.exe

v3impro.exe

v3p3at.exe

monsysnt.exe

monsvcnt.exe

AhnSD.exe

AhnSDsv.exe

ASDCr.exe

ASDCli.exe

ASDUp.exe

V3LNetdn.exe

V3LiteExp.exe

ASDSvc.exe

V3LSvc.exe

V3LTray.exe

V3Light.exe

V3Medic.exe

V3LRun.exe

MUpdate2.exe

AYRTSrv.exe

AYUpdSrv.exe

AYAgent.exe

AYRTSrv.aye

AYServiceNT.aye

AYAgent.aye

AYUpdSrv.aye

ALYac.aye

AYUpdate.aye

Nsavsvc.npc

Nsvmon.npc

NVCAgent.npc

Nsavsvc.exe

Nsvmon.exe

NVCAgent.exe

NVCUpgrader.exe

NaverAgent.exe

NVCUpgrader.npc

 

 

 


"관리자 계정 정보 노린 악성코드 출현!" 이라는 기사에서 다뤄진 다수의 악성코드 분석 결과로 미루어 볼때 국내 온라인 게임 사용자 계정정보 수집 기능과 변형에 따라서 특정 URL 접근시, 계정 ID, PW 를 유출한다. 

도메인 리스트 (A) 에 있는 자사의 웹 페이지들(www.ahnlab.com, m.ahnlab.com, www.v3lite.com)에 대해 10월 28일부터 10월 31일까지 4일 동안 공격을 시도한 IP를 조사한 결과, 중복되지 않는 IP 47만대로부터 공격 시도가 확인 되었다. 

또한,  일자별 공격 IP를 보면 10월 29일 30만대로 급증한 후에 계속 그 수준을 유지하고 있다. 따라서, 해당 악성코드가 감염된 PC들이 상당히 많이 존재하고 있음을 알 수 있다. 


다음은 안랩 대상 공격 IP들에 대한 국가별 분포도이며, 대부분이 국내에 존재하고 있음을 확인할 수 있다. 





IE 취약점을 이용해 배포되고 있는 악성코드는 백신 무력화와 은폐 기능을 가지고 있으며 일부 파일에 대해서는 미진단 상태로 확인되었다. ( 단, V3Lite 3.0은 사전 차단 가능 확인 )


따라서, 안랩 웹 사이트를 대상으로 공격을 시도하고 있는 IP들은 대부분 백신이 무력화 되어 있거나, 미진단 상태의 악성코드에 감염된 것으로 추정된다. ( 구 버전 V3Lite 2.0 사용자, 타사 백신 사용자, 백신 미사용자 )


해당 악성코드는 존재하지 않는 파일에 대한 무한 요청으로 인해 DDoS를 유발하며, 국내 온라인 게임 사용자 계정 정보 수집과 특정 URL 접근 시 계정 정보를 유출하는 기능도 가지고 있다. 특히, 특정 URL의 경우 기업 내 관리자들이 접근하는 주소로 판단된다. 


현재 악성코드의 기능과 확산 상태로 볼 때, 계정 정보 유출, 기업 내부 장악, DDoS 등 다양한 목적으로 악용이 가능하며, 추가 피해를 차단하기 위해서는 대응책 마련이 매우 시급한 상태이다. 


악성코드의 기능과 확산 정보로 볼 때, 단순한 엔진 업데이트를 통한 치료로는 한계가 존재하기 때문에 전용백신을 통한 치료가 필요한 상황이다. 


IE 취약점을 이용해 배포되고 있는 만큼, IE 취약점 패치에 대한 적극적인 권고가 필요하다.


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원
안철수연구소 ASEC에서 2011년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2011 Vol.24을 발간하였다. 

그리고 이번 호에서는 2011년 주요 보안 위협 이슈와 함게 2012년에 예상되는 보안 위협도 같이 포함되어 있다.


이 번에 발간된 ASEC 리포트는 2011년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.

김정일 위원장 사망을 이용한 애드웨어 유포

김정일 위원장 사망을 악용한 악성 전자 문서 파일 유포
국내 연예인 사생활 동영상으로 위장한 악성코드 유포
2012년 버전으로 위장한 허위 클라우드 백신
악성코드를 위한 안티바이러스 체크 웹 사이트
아크로뱃 제로데이 취약점을 악용한 타깃 공격
여러 가지 취약점을 이용한 제우스봇 전파 메일 발견
구글 안드로이드 마켓에 업로드된 악성 애플리케이션


안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다 

ASEC 보안 위협 동향 리포트 2011 Vol.24 발간 
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

- APT 공격 경로 지능화, PC 악성코드 수준의 스마트폰 악성코드 등장 
- 애플리케이션 취약점 공격 국지화, 가상화/클라우드 환경 및 스마트TV도 공격 타깃

글로벌 보안 기업인 안철수연구소[대표 김홍선, www.ahnlab.com, 약칭 ‘안랩’]는 2일 ‘2012년 예상 7대 보안 위협 트렌드’를 발표했다. 이에 따르면 올 한 해 예상되는 주요 이슈는 ▶APT 공격 경로 지능화 ▶PC 악성코드 수준의 스마트폰 악성코드 등장 ▶SNS 통한 보안 위협 증가 ▶애플리케이션 취약점 공격 국지화 ▶특정 국가 산업/기관 시스템 공격 시도 증가 ▶가상화 및 클라우드 환경 공격 본격화 ▶네트워크로 연결되는 시스템에 대한 공격 증가 등이다.

 
1] APT 공격 경로 지능화
 
기업과 기관을 겨냥한 APT 공격이 2012년에도 지속적으로 이어지는 한편, 공격 경로가 지능화할 것으로 예상된다. 이제껏 주된 공격 방식은 타깃 기업/기관의 특정 구성원에게 업무 메일로 위장하는 것이다. 즉, SNS[소셜 네트워크 서비스] 등에서 이메일을 손쉽게 수집해 신뢰할 수 있는 사람으로 위장해 취약점이 포함된 문서를 첨부하거나, 취약점이 존재하는 웹 사이트 주소를 본문에 삽입해 악성코드를 감염시키는 것이다. 널리 사용되는 소프트웨어의 업데이트 관련 파일을 변조한 경우도 있었다. 앞으로는 조직 내부로 반입하기 쉬운 스마트폰이나 보안 관리가 어려운 기술지원 업체의 장비나 소프트웨어 등을 이용한 내부 침입도 발생할 것으로 예측된다.
 
2] PC 악성코드 수준의 스마트폰 악성코드 등장
 
스마트폰, 특히 안드로이드 겨냥 악성코드는 2010년에 악성코드 제작/유포의 가능성을 점쳐 보는 수준이었다면, 2011년에는 금전적 이득을 취할 수 있는 방법을 찾아 대량 제작된 시기였다. 2012년에는 감염의 효율을 높이기 위해 과거 PC용 악성코드에 사용된 기법이 본격적으로 활용될 것으로 예측된다. 즉, 스마트폰 내부에서 자신을 숨기는 은폐 기법과, 모바일 운영체제에 존재하는 취약점을 악용한 루트 권한 탈취 등이 있을 수 있다. 그리고, 사회공학기법을 악용해 웹사이트에서 악성코드 다운로드를 유도하거나, 모바일 웹 브라우저에 존재하는 취약점으로 인해 악성코드가 자동 감염되게 하는 기법도 등장할 것으로 예측된다. 스마트폰에 설치된 인터넷 뱅킹 및 온라인 쇼핑 관련 앱에서 금융/신용카드 정보를 탈취하는 기법도 나올 것으로 예측된다.
 
3] SNS 통한 보안 위협 증가
 
SNS가 정보를 전세계인 빠르게 공유하는 창구인 만큼 악용 사례도 급증하고 있다. 단축 URL이 전체 주소가 다 보이지 않는다는 점을 악용해 악성코드 유포 사이트나 피싱 사이트를 단축 URL로 유포하는 경우가 있었다. 2012년에는 단축 URL 악용 사례가 더 증가하는 한편, SNS가 APT[Advanced Persistent Threat] 공격의 경유지로 이용될 가능성도 있다.
 
4] 애플리케이션 취약점 공격 국지화

2011년에는 운영체제 같은 범용적 애플리케이션의 취약점을 공격하는 경우는 줄어든 반면, 특정 지역에서만 사용되는 애플리케이션의 취약점을 악용한 사례는 증가했다. 아래아한글을 비롯해 동영상 재생 소프트웨어, P2P 및 웹하드 프로그램의 취약점을 악용한 악성코드 유포가 대표적이다. 취약점을 가진 파일을 이메일로 전송하거나 웹 사이트 접속 시 자동으로 악성코드를 감염시키는 방식으로 유포된다. 이런 추세는 2012년에도 이어지는 한편, 애플리케이션 취약점이 APT 공격 등 다양한 보안 위협에 악용되리라 예측된다.
 
5] 특정 국가 산업/기관 시스템 공격 시도 증가

금전적 이익이나 정치적, 종교적 이유로 특정 국가의 산업/기관 시스템을 공격하는 시도가 더욱 증가할 것이다. 이런 공격에 직간접적으로 국가 기관이 개입돼 국가 간 사이버 전쟁으로 확대될 수도 있다. 사용자 부주의로 내부 시스템이 인터넷이나 외부 시스템에 연결되어 있을 때 이를 통해 공격이 들어올 수 있다. 또한 국가 산업/기관 시스템용 특정 소프트웨어의 취약점을 이용해 공격이 이루어질 것으로 예측된다.
 
6] 가상화 및 클라우드 환경 공격 본격화

최근 가상화 기술을 기반으로 클라우드 서비스 등을 사업 모델을 삼는 기업이 증가하고 있다. 그러나 가상화와 클라우드 서비스는 자원 활용의 극대화라는 장점이 있지만, 악용될 경우는 또 하나의 보안 위협이 될 수 있다. 실제로 2011년에 대표적인 가상화 제품의 보안 취약점이 다수 발견됐으며, 실제 금융 정보 탈취를 위한 스파이아이[SpyEye] 악성코드가 아마존 클라우드 서비스를 악용해 배포되기도 했다. 2012년에는 가상화 및 클라우드 서비스의 본격화에 맞추어 다양한 공격이 시도될 것으로 예상된다.
 
7] 스마트 TV 등 네트워크로 연결되는 시스템에 대한 공격 증가  

스마트폰, 스마트 TV를 비롯해 네트워크에 연결되는 임베디드 소프트웨어가 탑재된 기기에 대한 보안 위협이 증가할 것으로 예측된다. 특히 교체 주기가 비교적 길고 실생활과 밀접한 가전 제품은 지속적인 공격에 노출될 가능성이 높다. 실제로 인터넷 접속이 가능한 DVD 리코더를 악용한 공격이 일본에서 있었고, 한 보안 컨퍼런스에서는 닌텐도DS 단말기에 리눅스를 설치해 외부에서 특정 시스템을 제어하는 것을 시연하기도 했다. 단순 반복 작업만을 담당했던 임베디드 시스템이 네트워크에 연결됨에 따라 해킹 또는 디도스 공격의 타깃이 될 가능성이 점차 높아지고 있다.
 
이 밖에 정치적/사회적 목적을 이루고자 시스템을 해킹하거나 디도스 공격을 시도하는 행위인 핵티비즘[Hacktivism] 활동이 2012년에 특히나 많이 발생할 것으로 예측된다. 우리나라의 대선과 총선, 미국과 러시아의 대선 등 전세계적 이슈가 많기 때문이다.

안철수연구소 시큐리티대응센터 이호웅 센터장은 "IT 기기나 인터넷 환경이 발전할수록 보안 위협의 기술이나 확산 경로도 복잡다단해진다. 새로운 기기를 개발하거나 인프라를 구축할 때 보안을 함께 고려하는 것이 중요하다. 또한 개인이나 기업/기관은 정보보안을 일상 생활 및 업무로 인식할 필요가 있다.”라고 강조했다.
 
<참고> 안철수연구소 선정 ‘2011년 예상 7대 보안 위협 트렌드’
▶SNS 활용한 다양한 공격 범용화
▶디도스[DDoS] 공격 지능화
▶사회 기반 시설 겨냥한 타깃형 공격 증가
▶금전 노린 스마트폰 위협 증가
▶무선 인터넷 취약점 노린 위협 등장
▶클라우드, 가상화 기술 이용한 보안 위협 등장
▶제로 데이 공격 기법 고도화 
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
한 해를 마무리하는 2011년 12월에는 연말 연시에는 사회적인 분위기를 악용하는 사회 공학 기법들이 적용된 악성코드나 다른 보안 위협들이 발견될 가능성이 높다.

이러한 사례로 이미 "크리스마스 카드로 위장한 악성코드" 발견 사례도 있으며 다양한 "신년 축하 카드로 위장한 악성코드" 발견사례도 있으니 각별한 주의가 필요하다.

이러한 2011년 연말 연시 분위기에 금전적인 목적으로 지속적으로 유포되었던 허위 백신들에서 2012년도 최신 버전인 것으로 위장한 사례가 2011년 11월 30일 발견되었다.

해당 허위 백신은 2012년도 최신 버전임을 표기한 것 외에도 최근 다양한 보안 위협들에 대응하기 위해 개발 및 사용되는 클라우드 안티 바이러스(Cloud Anti-Virus) 인 것으로도 위장하고 있다.


이 번에 발견된 허위 클라우드 안티 바이러스 2012는 과거에 발견되었던 허위 클라우드 백신과는 외형적인 인터페이스 부분만 변경되었지, 기능이나 동작면에서 동일한 형태를 가지고 있다. 

업데이트 기능동 아래 이미지와 같이 실제 최신 엔진을 다운로드 받는 것처럼 사용자에게 보여지지만 실제로는 다운로드되는 파일이 존재하지 않는다.


그리고 다른 허위 백신들 모두가 금전적인 결제를 유도하는 것과 동일하게 한화 약 57,000원만 신용카드로 결제를 하면 허위로 표기된 악성코드들 모두를 치료가 가능 한것으로 보여주고 있다.


이러한 금전 결제를 유도하는 허위 백신들 모두가 실제 악성코드 감염 사실이 없는데 있는 것으로 위장하고 있음으로, 알려져 있는 신뢰할 수 있는 보안 제품을 사용하는 것이 중요하다.

이 번에 발견된 허위 백신인 클라우드 안티 바이러스 2012는 V3 제품 군에서 다음과 같이 진단하고 있다.

Trojan/Win32.Jorik
Win-Trojan/Fakescanti.1976320

악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 전에 주의를 하는 것이 중요하다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원