어도비(Adobe)에서는 현지 시각으로 2월 7일 어도비 플래쉬 플레이어(Adobe Flash Player)에 존재하는 취약점인 CVE-2013-0633 및 CVE-2013-0634를 제거하기 위한 보안 패치를 배포 중임을 보안 권고문 "APSB13-04 Security updates available for Adobe Flash Player"를 통해 밝혔다.


이 번에 발견된 2개의 어도비 플래쉬 플레이어 취약점은 기존에 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점이었다.


해당 제로 데이 취약점들은 특정 대상으로 상대로한 타깃 공격(Targeted Attack)과 웹 사이트를 통해 해당 취약점을 악용하는 플래쉬 파일(SWF)를 유포하는 것으로 공개되었다.


어도비에서는 해당 취약점들에 영향을 받는 플래쉬 플레이어 버전들은 다음과 같음을 밝히고 있다.


윈도우(Windows)와 맥킨토시(Macintosh) 설치 된 Adobe Flash Player 11.5.502.146 과 이전 버전

리눅스(Linux)에 설치된 Adobe Flash Player 11.2.202.261과 이전 버전 

안드로이드(Android) 4.x 에 설치된 Adobe Flash Player 11.1.115.36와 이전 버전

안드로이드(Android) 3.x와 2.x 에 설치된 Adobe Flash Player 11.1.111.31와 이전 버전


이 번 어도비 플래쉬 플레이어에 존재하였던 제로 데이 취약점은 마이크로소프트의 워드(Word)에 임베디드(Embedded) 된 형태로 타깃 공격이 발생하였다.


ASEC에서는 파악한 바로는 총 3개의 마이크로소프트 워드가 공격에 사용되었으며, 아래 이미지와 같은 내용들을 포함하고 있다.





타깃 공격에 사용된 마이크로소프트 워드 파일 중 2개의 워드 파일들은 다음과 같은 구조를 가지고 있으며, 컨텐츠(Contents) 섹션에 어도비 플래쉬 플레이어에 존재하는 취약점을 악용하는 취약한 플래쉬 파일(SWF) 파일과 백도어가 포함되어 있다.



그리고 나머지 한 개의 워드 파일은 다음과 같은 구조를 가지고 있으며, 해당 파일 역시 컨텐츠(Contents) 섹션에 어도비 플래쉬 플레이어에 존재하는 취약점을 악용하는 취약한 플래쉬 파일(SWF) 파일과 백도어가 포함되어 있다.



이 번에 발견된 어도비 플래쉬 플레이어에 존재하였던 제로 데이 취약점 CVE-2013-0633 및 CVE-2013-0634은 모두 스택 오버플로우(Stack Overflow)로 인한 공격자가 지정한 임의의 코드를 실행 할 수 있는 코드 실행 취약점이다.


해당 취약점을 악용하는 취약한 어도비 플래쉬 플레이어 파일은 다음과 같은 구조를 가지고 있으며,  "DefineBinayData" 섹션을 2개 가지고 있다.



해당 취약한 어도비 플래쉬 파일에 존재하는 2개의 "DefineBinayData섹션에는 각각 아래 이미지와 같이 32비트에서 실행 할 수 있는 PE 파일과 64비트에서 실행 할 수 있는 PE+ 파일이 존재한다.




그리고  아래 이미지와 같이 시스템에 설치되어 있는 플래쉬 플레이어 버전과 운영체제의 버전을 체크하는 코드가 포함되어 있으며, 해당 버전의 플래쉬 플레이어에서만 취약점이 동작하도록 제작되었다.




해당 취약한 플래쉬 플레이어 파일을 제작한 공격자는 취약한 버전의 플래쉬 플레이어가 설치되어 있는 윈도우 운영체제가 32비트 또는 64비트 인가에 따라 서로 다른 악성코드 감염을 목적으로 제작하였다.


타깃 공격에 사용되었던 마이크로소프트 워드 파일들을 취약한 버전의 어도비 플래쉬 플레이어가 설치된 시스템에서 열게 되면 2개의 워드 파일들은 다음 이미지와 같이 동작하게 된다.


그리고 나머지 1개의 워드 파일은 다음 이미지와 같이 동작하게 된다.



취약한 어도비 플래쉬 파일을 포함하고 있는 마이크로소프트 워드 파일을 열게 되면 다음의 경로에는 abc.cfg (247,296 바이트)을 생성하게 된다.


C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\abc.cfg


생성된 abc.cfg (247,296 바이트)는 동일한 경로에 seccenter.xxx (88,016 바이트 또는 33,280 바이트)를 생성하게 된다. 


2개의 마이크로소프트 워드 문서에서는 seccenter.xxx (88,016 바이트)의 복사본을 아래 경로에 Googleupdate.exe (88,016 바이트)로 생성하게 된다. 


C:\Documents and Settings\[사용자 계정]\Application Data\Googleupdate.exe


그리고 나머지 1개의 워드 문서에서는 seccenter.xxx (33,280 바이트)의 복사본을 아래 경로에 svchost.exe (33,280 바이트)를 생성하게 된다. 


C:\Documents and Settings\[사용자 계정]\Application Data\svchost.exe


그러나 생성된 svchost.exe (33,280 바이트)은 암호가 설정되어 있는 압축 파일로 분석 당시에는 정상적인 동작을 하지 않았다.


생성된 Googleupdate.exe (88,016 바이트)는 동일한 경로에 config.sys (568 바이트)를 생성하게 되는데, 해당 파일은 XOR로 인코딩(Encoding) 되어 있는 데이터 파일이다. 


해당 데이터 파일을 디코딩(Decoding)하게 되면 아래 이미지와 같이 접속을 시도하는 C&C(Command and Control) 서버의 주소인 ieee.boeing-job.com(108.62.10.13) 를 포함하고 있다.  그러나 분석 당시에는 해당 C&C 서버에는 정상적인 접속이 이루어지지 않았다.



그리고 Googleupdate.exe (88,016 바이트)는 아래 이미지와 같이 한국 온라인 게임 업체의 유효기간이 만료된 비정상적인 디지털 서명 정보가 남아 있다.



Googleupdate.exe (88,016 바이트)가 정상적으로 동작하게 되면 레지스트리(Registry)에 다음 키를 생성하여 시스템이 재부팅하더라도 자동 실행 가능하도록 설정하게 된다.


HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Update = C:\Documents and Settings\[사용자 계정]\Application Data\Googleupdate.exe


 그리고 감염된 시스템에 다음과 같은 보안 소프트웨어의 프로세스가 실행 중인지 확인하여, 만약 존재하게 된다면 강제종료를 시도하게 된다.


avp.exe

qqpctray.exe

kxetray.exe

360tray.exe


이 번에 발견된 어도비 플래쉬 플레이어에 존재하였던 제로 데이 취약점 CVE-2013-0633 및 CVE-2013-0634를 악용하는 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.


DOC/Cve-2013-0633 

DOC/Cve-2013-0634

SWF/Cve-2013-0634 

Win-Trojan/Infostealer.247296

Win-Trojan/Boda.241570 

Win-Trojan/Boda.3328

Win-Trojan/Boda.247296

Win-Trojan/Boda.246272


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/DOC.InScript_ZWF


향후 출시 예정인 V3 다음 버전에 포함된 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit


현재 어도비에서는 해당 취약점들이 제거되어 있는 플래쉬 플레이어 버전을 배포 중에 있음으로 아래 웹 사이트를 통해 최신 버전의 플래쉬 플레이어를 설치하는 것이 중요하다.


Adobe Flash Player Download Center


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

어도비(Adobe)에서는 8월 15일인 어제 어도비 플래쉬 플레이어(Adobe Flash Player)에 존재하는 취약점인 CVE-2012-1535를 제거하기 위한 보안 패치를 배포 중임을 보안 권고문 "APSB12-18 Security update available for Adobe Flash Player"를 통해 밝혔다.


해당 보안 권고문을 통해 어도비에서는 플래쉬 플레이어에 존재하는 CVE-2012-1535 취약점은 버전 11.3.300.270 이하 버전에 발생하며, 제한적인 타겟 공격(Targeted Attack)에 악용되었음을 같이 공개하였다.


ASEC에서는 추가적인 조사와 분석을 통해 해당 CVE-2012-1535 취약점을 악용한 타겟 공격은 마이크로소프트 워드(Microsoft Word)에 임베디드(Embedded) 된 워드 파일 형태로 유포되었으며, 유포 당시 "Running Mate.doc"와 "iPhone 5 Battery.doc" 라는 파일명이 사용된 것으로 파악된다.


이번 발견된 어도비 플래쉬 플레이어에 존재하는 CVE-2012-1535 취약점을 악용하는 악성코드는 아래와 같은 워드 파일 구조를 가지고 있으며, 파일 내부에는 XOR로 인코딩된 백도어 파일도 같이 포함되어 있다.



취약한 어도비 플래쉬 플레이어 버전을 사용하는 시스템에서 해당 취약한 워드 파일을 열게 되면 내부에 포함된 취약한 SWF 파일도 함께 실행이 되며, 힙 스프레이 오버플로우(Heap spray overflow)가 발생하게 된다. 


그리고 해당 워드 파일 내부에 같이 포함되어 있는 PE 파일을 taskman.dll (61,440 바이트)라는 명칭으로 다음의 경로에 생성 하게 된다.


C:\Documents and Settings\[사용자 계정명]\Application Data\taskman.dll


그리고 시스템에 존재하는 정상 rundll32.exe 파일을 이용하여 생성된 taskman.dll (61,440 바이트) 을 생성하게 된다.


생성된 taskman.dll (61,440 바이트)가 정상적으로 실행되면 미국에 위치한 특정 시스템으로 접속을 시도하나 분석 당시에는 정상적인 접속이 이루어지지 않았다.


정상적인 접속이 이루어지게 될 경우에는 하드웨어 및 운영체제 정보와 실행 중인 프로세스 리스트 등의 정보를 수집히는 백도어 기능을 수행하고 그 정보들을 전송하게 된다.


이번에 알려진 어도비 플래쉬 플레이어의 CVE-2012-1535 취약점을 악용하는 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


Dropper/Cve-2012-1535

Win-Trojan/Briba.61440

SWF/Cve-2012-1535


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/DOC.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit (6)


해당 CVE-2012-1535 취약점은 현재 발견된 취약한 플래쉬 플레이어 파일(.SWF)이 포함된 워드 파일에외에도 향후에는 어도비 리더(Adobe Reader)에 취약한 SWF 파일이 포함되거나 취약한 웹 사이트를 통해 SWF 파일 단독으로 유포될 가능성이 높다.


그러므로 어도비에서 현재  배포 중인 CVE-2012-1535  취약점을 제거 할 수 있는 보안 패치를 Adobe Flash Player Download Center를 통해 지금 즉시 업데이트 하여 다른 보안 위협에서 악용하는 것을 예방 하는 것이 중요 하다.


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

안랩 ASEC에서 2012년 5월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.29을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 5월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

이력서로 위장한 악성코드

LinkedIn 스팸 메일을 위장한 악성코드 유포

DHL운송 메일로 위장한 악성코드

런던 올림픽 개최를 이용한 악성코드

ws2help.dll 파일을 패치하는 온라인게임핵 변종 악성코드

AV Kill 기능을 가진 온라인게임핵 악성코드

플래시 플레이어의 제로데이 취약점(CVE-2012-0779)을 이용하는 악성코드

Python으로 제작된 맥 악성코드

프로그램 설치 화면 놓치지 마세요

어린이날에도 쉬지 않는 악성코드 제작자


2) 모바일 악성코드 이슈

안드로이드 Notcompatible 악성코드 발견

어도비 플래시 플레이어로 위장한 안드로이드 악성 앱

허위 안드로이드 모바일 백신 유포

허위 유명 안드로이드 앱 배포 웹 사이트

Talking Tom Cat 사이트로 위장한 앱 사이트를 통해 유포되는 악성코드


3) 보안 이슈

어도비 플래시 플레이어 CVE-2012-0779 취약점 발견

'LOIC' 툴을 이용한 DDoS 공격 주의!


4) 웹 보안 이슈

꾸준히 발견되는 농협 피싱 사이트


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.29 발간


저작자 표시
신고
Posted by 비회원

ASEC에서는 6월 26일 현재까지도 제로 데이(Zero Day, 0-Day) 취약점인 XML 코어 서비스 취약점(CVE-2012-1889)을 악용한 공격 사례들이 발생하고 있다고 공유한 바가 있다.


금일 해당 XML 코어 서비스 취약점을 악용한 다른 형태의 공격 사례가 발견되었으며, 해당 공격 사례는 XML 코어 서비스 뿐 만이 아니라 자바(JAVA)와 어도비 플래쉬(Adobe Flash) 취약점까지도 같이 악용하고 있는 것으로 파악되었다.


이 번에 발견된 XML 코어 서비스 취약점을 악용한 사례는 블랙홀(Blackhole)과 같은 웹 익스플로잇 툴킷(Web Exploit Toolkit) 형태로 스크립트 악성코드들을 기능별로 분류하여 단계적으로 취약점을 악용하도록 하고 있다.


이러한 단계적으로 취약점을 악용한 공격 형태는 아래 이미지와 같은 전체적인 구조를 가지고 있어, 일부 스크립트들만 분석하여서는 전체적인 공격 및 취약점 형태를 파악하기 어렵도록 하고 있다.



현재 해당 XML 코어 서비스 취약점 등을 악용한 공격 형태는 SQL 인젝션(Injection) 공격 기법 등으로 취약한 웹 페이지의 하단에 Exploit.html 웹 페이지로 연결되는 아이프레임(iFrame) 코드를 삽입하여, 웹 사이트 방문자 모르게 아래의 취약점들 중 하나가 자동으로 악용되도록 구성되어 있다.



해당 취약점들이 정상적으로 동작하게 될 경우에는 중국에 위치한 특정 시스템으로부터 win.exe (30,720 바이트)의 파일이 다운로드 및 실행하게 된다.


해당 win.exe (30,720 바이트) 파일은 XOR로 인코딩(Encoding) 되어 있는 파일로 이를 디코딩하게 되면 비주얼 C++(Visual C++)로 제작된 실행가능한 PE 파일이 생성된다.


다운로드 된 win.exe (30,720 바이트) 파일이 정상적으로 디코딩(Decoding) 된 이후에 실행되면, 다음의 배치(BAT) 파일들과 텍스트(TXT) 파일을 순차적으로 생성하게 된다.


C:\4.bat (66 바이트)

C:\2.txt (100 바이트)

C:\3.bat (15 바이트)


win.exe (30,720 바이트) 파일에 의해 생성된 4.bat (66 바이트)는 시스템 공유 폴더와 윈도우 방화벽을 강제로 종료하게 된다. 


그리고 2.txt는 미국에 위치한 특정 FTP 서버로 접속하는 정보들이 기록되어 있으며, 3.bat (15 바이트)는 해당 FTP 정보들을 바탕으로 커맨드라인(Command-Line) 명령으로 접속을 시도하는 역할을 하게 된다.


FTP 접속 정보들은 아래 이미지와 같이 win.exe (30,720 바이트) 파일 내부에 하드코딩되어 있는 상태로 기록되어 있다.



그러나 분석 당시에는 해당 FTP 서버로 정상적인 접속이 이루어지지 않았으며, 정상적인 접속이 이루어지게 될 경우에는 감염된 시스템에 설치되어 있는 보안 제품 정보들을 전송할 것으로 추정된다.


해당 XML 코어 서비스와 다른 취약점들을 악용한 악성코드들은 2012.06.28.05 엔진 버전 이후의 V3 제품군에서 모두 다음과 같이 진단한다.


JS/CVE-2012-1889 

HTML/Downloader

SWF/CVE-2011-0611

JS/Downloader

JS/Redirect

JS/Redirector 

Win-Trojan/Yolped.73728 


이 번에 발견된 XML 코어 서비스 취약점을 악용하는 공격 사례는 앞선 언급한 바와 같이 SQL 인젝션과 같은 공격 기법으로 취약한 웹 사이트를 대상으로 이루어짐으로 웹 사이트 방문시 각별한 주의가 필요하다.


현재 해당 XML 코어 서비스 취약점에 대한 보안 패치가 아직 제공되지 않지만, 마이크로소프트(Microsoft)에서는 임시 방안으로 픽스잇(Fix It)을 공개 중임으로 이를 설치하는 것이 중요하다.


그리고 다른 일반 어플리케이션들의 취약점들도 동반하고 있음으로 평소 자주 사용하는 어플리케이션들의 보안 패치를 설치하는 것도 중요하다.


저작자 표시
신고
Posted by 비회원

한국 시각으로 5월 4일 저녁 Symantec에서는 블로그 "Targeted Attacks Using Confusion (CVE-2012-0779)"을 통해 Adobe Flash Player에 존재하는 CVE-2012-0779 취약점을 악용한 타겟 공격(Targeted Attack)이 발생하였음을 공개하였다.


이와 관련해 Adobe에서도 보안 권고문 "Security update available for Adobe Flash Player"을 통해  Flash Player에 CVE-2012-0779 취약점이 존재하며, 해당 취약점을 제거하기 위한 보안 패치를 공개하였다.


이 번에 공개된 해당 CVE-2012-0779 취약점은 Adobe Flash Player 11.2.202.233와 그 이전 버전이 모두 영향을 받는 것으로 밝히고 있다.


Symantec에서는 이 번에 발생한 Targeted Attack은 전통적인 기법으로 이메일의 첨부 파일을 이용하여 진행 되었으며, 첨부 파일로는 취약한 Adobe Flash 파일을 호출할 수 있도록 되어 제작된 마이크로소프트 워드(Microsoft Word) 파일이 존재하였다.




ASEC에서는 해당 워드 파일들을 확보하여, 아래 이미지와 같이 워드 파일 내부의 1Table에 취약한 Adobe Flash 파일인 SWF을 호출할 수 있도록 제작 되어 있는 것을 확인 하였다.



이 번에 발견된 어도비 플래쉬의  CVE-2012-0779 취약점을 악용하는 악성코드들은 모두 V3 제품 군에서 다음과 같이 진단한다.


Dropper/Cve-2011-0611

Dropper/CVE-2012-0779

Win-Trojan/Vasport.57344

SWF/CVE-2012-0779

Win-Trojan/Exploit-SWF.Gen


앞서 언급한 바와 같이 Adobe에서는 해당 CVE-2012-0779 취약점을 제거 할 수 있는 보안 패치를 배포 중에 있다. 그러므로 Adobe Flash Player Download Center를 통해 지금 즉시 업데이트 하여 다른 보안 위협에서 악용하는 것을 예방 하는 것이 중요 하다.



저작자 표시
신고
Posted by 비회원
최근 발견되고 있는 타겟 공격(Targeted Attack) 이나 APT(Advanced Persistent Threat) 형태의 공격들에서는 공통적으로 마이크로소프트 오피스(Microsoft Office), 어도비 리더(Adobe Reader) 그리고 한글 프로그램과 같은 전자 문서 파일에 존재하는 취약점들을 악용하는 사례가 자주 발견되고 있다.

그 중에서 특히 어도비 리더와  어도비 플래쉬(Adobe Flash)에 존재하는 취약점들을 악용하여 원격 제어 기능을 가지고 있는 악성코드를 유포하는 사례가 자주 발견되고 있다.

금일 해외에서 어도비 플래쉬에 존재하는 CVE-2012-0754 취약점을 악용하는 마이크로소프트 워드(Microsoft) 파일 또는 엑셀(Excel) 파일을 이용한 타겟 공격이 발견되었으며, 해당 공격은 이메일의 첨부 파일로 존재한 것으로 공개되었다.

어도비 플래쉬에 존재하는 CVE-2012-0754 취약점은 제로 데이(Zero-Day, 0-Day) 취약점은 아니며, 미국 현지 시각으로 2012년 2월 15일 어도비에서 보안 권고문 "APSB12-03 Security update available for Adobe Flash Player" 을 통해 보안 패치를 배포 중에 있다.

이번에 발견된 CVE-2012-0754 취약점을 악용하는 취약한 어도비 플래쉬 파일들은 마이크로소프트 워드와 엑셀(Excel)에 포함된 형태로 발견되었다.


발견된 워드 파일에는 위 이미지와 같은 구조를 가지고 있는 파일 내부에는 2,431 바이트 크기의 플래쉬 파일이 아래 이미지와 같이 포함되어 있다.


그리고 다른 취약한 엑셀 파일은 아래 이미지와 같은 구조를 가지고 있으며 해당 파일 내부에도 플래쉬 파일이 포함되어 있다.


플래쉬 플레이어에 존재하는 CVE-2012-0754 취약점은 아래 이미지와 같이 플래쉬 플레이어에서 MP4 파일을 파싱하는 과정에서 발생한 오류로 인한 코드 실행 취약점이다.


해당 전자 문서 내부에 포함된 취약한 플래쉬 파일들은 쉘코드를 포함한 HeapAlloc 부분과 취약한 MP4 파일 재생을 위한 부분으로 구분되어 있다.

취약한 MP4 파일은 플래쉬 파일에 의해 있는 미국에 위치한 특정 시스템에서 test.mp4(22,384 바이트) 파일을 다운로드하게 되어 있다.


다운로드된 MP4 파일은 아래 이미지와 같은 형태를 가지고 있다.


어도비 플래쉬에 존재하는 CVE-2012-0754 취약점으로 인해 다운로드된 파일이 실행되면 자신의 복사본을 다음과 같이 생성한다.

C:\Program Files\Common Files\[실행시 파일명].exe (23,040 바이트)

윈도우 레지스트리(Windows Registry)에 다음 키를 생성하여 시스템이 재부팅되어도 자동 실행하도록 구성하고 있다.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\common
= "C:\Program Files\Common Files\[실행시 파일명].exe


그리고 아래 이미지와 같이 미국에 위치한 특정 시스템으로 역접속(Reverse Connection)을 수행하게 되나 테스트 당시에는 정상적으로 접속이 이루어지지 않았다.


역접속이 성공하게 되면 공격자의 명령에 따라 다음과 같은 악의적인 기능들을 수행하게 된다.

운영체제 정보 수집
실행 중인 프로세스 리스트
커맨드(Command) 명령 실행


이 번에 발견된 어도비 플래쉬의 CVE-2012-0754 취약점을 악용하는 악성코드들은 모두 V3 제품 군에서 다음과 같이 진단한다.

Dropper/Cve-2012-0754
SWF/Cve-2012-0754
MP4/Cve-2012-0754
Win-Trojan/Yayih.4861440
Win-Trojan/Renos.61440.E

해당 어도비 플래쉬 취약점은 현재 보안 패치가 배포 중에 있음으로 어도비 플래쉬 플레이어 다운로드 센터(Adobe Flash Player Download Center)를 통해 지금 즉시 업데이트 하는 것이 중요하다.


저작자 표시
신고
Posted by 비회원
2011년 12월 20일 ASEC에서는 북한의 김정일 위원장의 사망을 악용한 애드웨어 유포를 알린지 얼마 되지 않아 해외 보안 업체인 트렌드 마이크로(Trend Micro)에서는 블로그 "Kim Jong Il Malicious Spam Found"를 통해 전자 메일의 첨부 파일로 취약점이 존재하는 전자 문서 파일이 유포 된 것을 공개하였다.

트렌드 마이크로에서 블로그를 통해 공개한 취약한 전자 문서 파일이 첨부된 전자 메일은 다음의 이미지와 동일한 형식을 가지고 있는 것으로 공개 하였다.

 

해당 전자 메일에 첨부된 어도비 아크로뱃 리더(Adobe Acrobat Reader) 파일은 CVE-2010-2883 취약점과 함께 아래 이미지처럼 파일 내부에는 2011년 4월에 발견된 CVE-2011-0611 취약점을 악용하는 어도비 플래쉬(Adobe Flash) 파일을 포함하고 있다.


해당 취약한 어도비 아크로뱃 리더 파일이 실행되면 아래 이미지와 같이 김정일 위원장의 사진과 함께 그의 일생과 관련한 내용들을 담고 있는 PDF 파일이 실행 된다. 


그러나 해당 파일은 취약점이 존재하지 않는 정상 파일이며 시스템 사용자 모르게 다음의 파일들을 시스템에 생성하고 실행하게 된다.

C:\Documents and Settings\Tester\Local Settings\Brief introduction of Kim Jong-il.pdf (45,572 바이트) 
C:\Documents and Settings\Tester\Local Settings\abc.scr (156,672 바이트)


생성된 파일 중  Brief introduction of Kim Jong-il.pdf(45,572 바이트)는 위 이미지와 동일한 정상 파일이며, 동반 생성된 abc.scr(156,672 바이트)가 악의적인 기능을 수행하게 된다.

생성된 abc.scr(156,672 바이트)는 다음의 파일을 다시 생성하게 된다.

C:\Documents and Settings\Tester\Local Settings\Application Data\GoogleUpdate.exe(91,136 바이트)


그리고 다음의 레지스트리 키 값을 생성하여 시스템이 재부팅 되어도 자동 실행 되도록 구성하게 된다.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
GoogleUpd = ""C:\Documents and Settings\[사용자 계정명]\Local Settings\Application Data\GoogleUpdate.exe""


abc.scr(156,672 바이트)에의해 생성된 GoogleUpdate.exe(91,136 바이트)는 감염된 시스템의 인터넷 접속 여부를 확인하기 위해 구글 웹 사이트로 접속을 수행하게 된다.

그 후 다음의 시스템들 중 하나로 역접속(Reverse Connection)을 수행하여 공격자가 지정한 명령들을 수행하게 된다.

173.***.206.***

173.***.207.***


GoogleUpdate.exe
(91,136 바이트)는 공격자의 명령에 따라 다음의 악의적인 기능들을 수행하게 된다.


실행 중 프로세스 확인 및 강제 종료
CMD Shall 명령 수행
파일 업로드 및 다운로드, 삭제


이 외에 트렌드 마이크로에서는 아래 이미지와 같이 마이크로소프트 워드(Microsoft Word)의 "Microsoft Security Bulletin MS10-087 - Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점(2423930)" 취약점을 악용해 유포된 악성코드도 존재하는 것으로 밝히고 있다.


이 번 김정일 위원장의 사망을 악용해 유포된 취약점이 존재하는 전자문서와 악성코드들은 모두 2011.12.21.01 이후 엔진 버전의 V3 제품군에서 다음과 같이 진단한다.

PDF/Cve-2010-2883
Dropper/Cve-2010-3333
SWF/Cve-2011-0611

Win-Trojan/Infostealer.156672

Win-Trojan/Infostealer.91136.B  
Win-Trojan/PcClinet.80384 
Win-Trojan/PcClinet.118784

저작자 표시
신고
Posted by 비회원