검색 엔진을 개발하는 구글(Google)에서는 사용자들의 편의성을 위해 지메일(Gmail), 구글 리더(Google Reader)와 구글 닥스(Google Docs) 등 여러가지 서비스를 제공해주고 있다.


구글에서 제공하는 서비스들은 인터넷만 연결되어 있다면 언제든지 메일과 웹 사이트 그리고 문서 등을 읽거나 작업할 수 있는 공간을 제공 해주고 있으며, 개발자들의 경우에는 구글 코드(Google Code)라고 하여 프로그램 개발과 관련한 소스코드와 파일등을 개발자들 사이에서 공유 할 수 있는 공간을 제공하고 있다.


이러한 서비스들 모두 24시간 중단되지 않는 가용성을 제공하고 있으며, 구글에서 운영을 하고 있음으로 안정성까지 제공 받을 수 있다는 점을 악용하여 구글 코드에 악성코드를 업로드하여 유포에 악용하는 사례가 7월 23일 발견되었다.


구글 코드를 악성코드 유포에 악용하였던 사례는 이번이 처음은 아니며 7월 18일 발견되었던 개인 금융 정보 탈취 목적의 Banki 트로이목마 역시 구글 코드를 악용하였다.


이 번에 발견된 구글 코드를 악용해 유포되고 있는 악성코드들은 아래 이미지와 같이 총 2개의 파일이며 server.exe (58,368 바이트)와 1.exe (37,772 바이트)이다.



해당 악성코드들의 상관 관계에 대해 ASD(AhnLab Smart Defense)의 데이터베이스를 통해 분석 결과 1.exe (37,772 바이트)는 최초 7월 22일 17시경 유포되었다.


해당 1.exe (37,772 바이트) 파일이 실행되면 윈도우 시스템 폴더에 다음과 같이 자신의 복사본으로 생성하게 된다.


C:\WINDOWS\system32\WinHelp32.exe


그리고 "Windows Help Systemg" 라는 서비스명으로 다음의 레지스트리 키를 생성하여 시스템 재부팅시 자동 실행하도록 구성하였다.


HKLM\SYSTEM\ControlSet001\Services\WinHelp32t\ImagePath

"C:\WINDOWS\system32\WinHelp32.exe"


그리고 중국에 위치한 특정 시스템으로 접속을 시도하게 되나 분석 당시에는 정상적인 접속이 이루어지지 않았다. 그러나 ASD의 데이터베이스를 통해 네트워크 접속 로그를 확인한 결과 7월 22일 23시경에는 다음 파일을 다운로드 하는 명령을 수행하고 있었다.


http://*********.googlecode.com/files/server.exe


1.exe (37,772 바이트)는 별도의 드라이버 파일(.SYS) 파일을 통해 보안 소프트웨어에 의해 후킹(Hooking)되어 있는 SSDT(System Service Dispatch Table)를 강제로 복구하는 기능을 수행하여, 자신이 보안 제품에 의해 탐지 되지 않도록 한다.


그 외에 공격자 의도에 따라 다음의 악의적인 기능들을 수행하게 된다.


파일 다운로드 및 실행

운영 체제 및 하드웨어 정보 수집

DoS(Denial of Service) 공격


1.exe (37,772 바이트)에 의해 다운로드 되는 server.exe (58,368 바이트)가 실행면 윈도우 시스템 폴더에 다음 파일을 생성하게 된다.


C:\WINDOWS\system32\(6자리 임의의 문자).exe   


그리고 "Remote Command Service"라는 서비스명으로 레지스트리 키를 생성하여 시스템 재부팅시 자동 실행하도록 구성하였다.


HKLM\SYSTEM\ControlSet001\Services\rcmdsvc\ImagePath

"C:\WINDOWS\system32\(6자리 임의의 문자).exe"


이와 함께 레지스트리 특정 키값을 수정하여 윈도우 시스템에 내장된 방화벽을 우회 할 수 있도록 설정하게 된다.


server.exe (58,368 바이트) 역시 7월 23일 20시 경에는 중국에 위치한 시스템에 접속을 시도하였으나 분석 당시에는 정상적인 접속이 이루어지지 않았다.


해당 파일 역시 공격자 의도에 따라 다음과 같이 일반적인 백도어(Backdoor)와 유사한 다양한 악의적인 기능들을 수행하게 된다.


파일 다운로드 및 실행

운영 체제 및 하드웨어 정보 수집

키보드 입력 후킹

DoS(Denial of Service) 공격

원격 제어


이 번 구글 코드를 통해 유포된 해당 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


Win-Trojan/Agent.70144.KG

Backdoor/Win32.Yoddos


ASD 데이터베이스의 데이터를 통해 1.exe (37,772 바이트)와 server.exe (58,368 바이트)의 정보들을 분석하는 과정에서 1.exe (37,772 바이트)가 다수의 국내 웹 사이트들에 대한 분산 서비스 거부(Distributed Denial-of-Service) 공격을 수행하였던 데이터들을 확인하였다.


해당 분산 서비스 거부 공격의 대상이 되었던 웹 사이트들은 웹 하드 서비스 업체 웹 사이트와 소규모 의류 쇼핑몰이 주를 이루고 있었다.


이러한 정황들을 미루어 공격자는 중국 언더그라운드에서 공유되는 악성코드 생성기를 통해 생성한 악성코드들을 구글 코드에 업로드 한 후 취약한 웹 사이트 또는 포털 웹 사이트의 카페 등을 통해 유포한 것으로 추정된다.

저작자 표시
신고
Posted by 비회원

현지 시각으로 6월 12일 마이크로소프트(Microsoft)에서는 XML 코어 서비스(Core Services)에 알려지지 않은 제로 데이(Zero Day, 0-Day) 취약점이 발견되었음을 보안 권고문 "Microsoft Security Advisory (2719615) Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution"을 통해 공개한 바가 있다.


해당 취약점은 공격자가 지정한 임의 코드를 실행 할 수 있는 코드 실행 취약점이며, 해당 XML 코어 서비스를 사용하는 윈도우(Windows) 운영체제와 오피스(Office) 2003과 2007 버전에서 악용이 가능하다.


해당 취약점은 현재까지도 마이크로소프트에서 보안 패치를 제공하지 않는 제로 데이 취약점이며, 임시 방안으로 해당 취약점을 제거 할 수 있는 픽스 잇(Fix it)을 보안 공지 "Microsoft 보안 공지: Microsoft XML Core Services의 취약성으로 인한 원격 코드 실행 문제"를 통해 배포 중에 있다.


해당 XML 코어 서비스를 악용하는 스크립트 악성코드가 해외에서 발견되는 사례가 서서히 증가하고 있어 주의가 필요하다.


최근 발견된 해당 제로 데이 취약점을 악용하는 스크립트 악성코드는 아래 이미지와 같은 형태의 쉘코드(Shellcode)가 구성되어 있다.



해당 스크립트 악성코드에 포함된 쉘코드가 실행되면 홍콩에 위치한 특정 시스템에서 css.exe (32,936 바이트)를 다운로드 한 후 실행하게 된다.


해당 파일이 실행되면 윈도우 운영체제에서 실행되는 정상 프로세스인 explorer.exe의 스레드로 자신의 코드들을 아래 이미지와 같이 삽입하게 된다



그리고 자신의 코드들이 정상적으로 스레드 인젝션을 하게 되면 구글(Google)의 공개용 DNS 서버로 질의를 송신하여 감염된 시스템이 인터넷에 정상적으로 연결되어 있는지 확인하게 된다.


그 후 싱가포르에 위치한 특정 시스템에 접속을 시도하게 되다, 분석 당시에는 해당 시스템으로 정상적인 접속이 이루어지지 않았다.


해당 악성코드는 감염된 시스템에서 하드웨어 정보, 운영 체제 정보 및 커맨드라인(Command-Line) 명령을 실행하게 된다.


앞 서 언급한 바와 같이 해당 XML 코어 서비스 취약점은 보안 패치가 제공되지 않는 제로 데이 취약점임으로 각별한 주의가 필요하며, 임시 방안으로 마이크로소프트에서 제공하는 픽스 잇을 설치할 수도 있다.


이 번에 발견된 해당 XML 코어 서비스 취약점을 악용하는 악성코드들은 V3 제품 군에서 다음과 같이 진단한다.


JS/Agent 

Win-Trojan/Dekor.32936 


그리고 네트워크 보안장비 트러스가드(TrusGuard) 제품군에서는 다음과 같이 탐지 및 차단이 가능하다.


http_ie_heap_spray_attack-4(HTTP)

ms_xml_core_service_exploit(CVE-2012-1889)


저작자 표시
신고
Posted by 비회원