ASEC에서는 9월 18일 마이크로소프트(Microsoft)의 인터넷 익스플로러(Internet Explorer)에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용한 악성코드가 유포되었다는 소식을 전하 바가 있다.


한국 시각으로 9월 22일 마이크로소프트에서는 해당 CVE-2012-4969 취약점을 제거하기 위한 긴급 보안 패치를 보안 권고문 "Microsoft Security Bulletin MS12-063 - 긴급

Internet Explorer 누적 보안 업데이트 (2744842)"를 통해 배포 한다고 공개하였다.


앞서 언급한 바와 같이 현재 MS12-063(CVE-2012-4969) 취약점을 악용하는 악성코드들이 국내에서도 유포 중에 있다.


그러므로 지금 즉시 해당 긴급 보안 패치를 설치하여 해당 취약점을 악용하는 악성코드들의 감염을 예방하는 것이 중요하다.


마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다. 


마이크로소프트 업데이트





저작자 표시 비영리 변경 금지
신고
Posted by 비회원

ASEC에서는 2012년 9월 18일 마이크로소프트(Microsoft)에서 개발한 인터넷 익스플로러(Internet Explorer)에 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점인 CVE-2012-4969이 발견되었으며, 이를 악용한 공격이 실제 발하였음을 알렸다.


미국 현지 시각으로 9월 20일 마이크로소프트에서 해당 CVE-2012-4969 취약점을 제거하기 위한 임시 보안 패치인 픽스 잇(Fix It)을 보안 권고문 "Microsoft Security Advisory: Vulnerability in Internet Explorer could allow remote code execution"을 통해 배포 하였다.


이번 마이크로소프트에서 배포하는 픽스 잇은 해당 보안 취약점을 제거하기 위한 임시 방안이며, 향후 정식 보안 패치가 배포되면 해당 보안 패치를 설치하는 것이 좋다.



향후 정식 보안 패치가 배포 되기 전 인터넷 익스플로러를 사용해야만 되는 경우에는 위 이미지에서와 같이 Microsoft Fix it 50939 버전을 다운로드 받아 설치를 진행하면 된다.


그 외 가능하다면 임시적으로 다른 웹 브라우저들인 파이어폭스(Firefox) 또는 구글 크롬(Google Chrome)을 설치하여 사용하는 것이 좋다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

마이크로소프트(Microsoft)에서는 2012년 9월 17일 블로그 "Microsoft Security Advisory (2757760) Vulnerability in Internet Explorer Could Allow Remote Code Execution"를 통해 인터넷 익스플로러(Internet Explorer) 버전 7과 8에 알려지지 않은 제로 데이(Zero Day, 0-Day) 취약점이 발견되음을 공개하였다.


이 번에 발견된 해당 제로 데이 취약점은 인터넷 익스플로러에서 HTML 파일을 렌더링하는 과정에서 메모리 오염으로 인한 임의의 코드 실행 취약점으로, 현재 해당 제로 데이 취약점을 악용한 공격이 9월 14일을 전후하여 실제 발생하였다.


해당 제로 데이 취약점은 8월 26일 공개된 오라클 자바 JRE 7 제로 데이 취약점 악용 악성코드 유포 관련 서버에서 발견되어, 자바(Java) 취약점 악용과 관련이 있을 것으로 추정된다.


이 번에 유포된 인터넷 익스플로러 제로 데이 취약점을 악용에는 Exploit.html (304 바이트), Moh2010.swf (13,631 바이트), Protect.html (973 바이트)와 111.exe (16,896 바이트) 총 4개의 악성코드가 사용되었다.



최초 Exploit.html (304 바이트)에는 아래 이미지와 같이 Moh2010.swf (13,631 바이트)을 호출하는 코드를 포함하고 있으며, 해당 Moh2010.swf (13,631 바이트)는 DoSWF라는 어도비 플래쉬(Adobe Flash) 파일을 암호화 및 인코딩하는 툴에 의해 암호화되어 있다.



실제 Moh2010.swf (13,631 바이트)는 아래 이미지와 같은 도형만을 보여주게 되어 있으며, 다른 코드는 포함되어 있지 않다.



Exploit.html (304 바이트)에 의해 호출되는 Moh2010.swf (13,631 바이트)의 암호화를 해제하게 되면 아래 이미지와 같이 Protect.html (973 바이트)를 iFrame으로 호출하게 되어 있다.



Protect.html (973 바이트)는 아래 이미지와 같이 실질적인 인터넷 익스플로러의 제로 데이 취약점을 악용하는 코드가 포함되어 있다.



이 번에 발견된 해당 제로 데이 취약점이 정상적으로 악용될 경우에는 111.exe (16,896 바이트)를 다운로드하고 실행하게 된다.


해당 111.exe (16,896 바이트)이 실행되면 mspmsnsv.dll (10,240 바이트)를 다음 경로에 생성하게 된다.


C:\WINDOWS\system32\mspmsnsv.dll


그리고 윈도우 시스템에 존재하는 정상 파일인 svchost.exe를 실행시켜 해당 프로세스의 스레드로 생성한 mspmsnsv.dll (10,240 바이트)를 삽입하게 된다.


스레드로 정상적으로 동작하게 되면 ie.aq1.co.uk 으로 접속을 시도하나 분석 당시에는 정상적으로 접속이 이루어지지 않았다.



접속이 정상적으로 이루어지게 될 경우에는 공격자의 명령에 따라 원격 제어 등의 백도어 기능 들을 수행하게 된다.


이 번 인터넷 익스플로러 버전 7과 8에 존재하는 알려지지 않은 제로 데이 취약점을 악용과 관련된 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.


JS/Dufmoh

SWF/Exploit

Win-Trojan/Poison.16898

Trojan/Win32.Npkon


그리고 네트워크 보안 장비인 트러스가드(TrusGuard) 제품군에서는 해당 취약점을 악용하는 스크립트 악성코드들을 다음과 같이 탐지 및 차단한다.


ms_ie_execcommand_exploit(CVE-2012-4969)

javascript_malicious_heap_spray-4(HTTP)


현재 해당 제로 데이 취약점에 대한 보안 패치가 아직 마이크로소프트에서 배포하지 않고 있음으로, 인터넷 웹 사이트 방문시 각별한 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

ASEC에서는 8월 29일 "오라클 자바 JRE 7 제로 데이 취약점 악용 악성코드 유포"를 통해 자바(Java) JRE에서 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점이 발견되었으며, 이를 악용한 악성코드가 유포되었다고 공개하였다.


해당 CVE-2012-4681 자바 취약점외에도 다른 CVE-2012-0507 자바 취약점 역시 다수의 악성코드 유포에 사용되고 있다.


일반적으로 자바의 경우 JVM을 이용한 샌드박스(SandBox) 개념의 보안 기능을 운영체제에 제공하고 있다. 악의적인 코드의 경우 JVM에서 시큐리티 매니져(Security Manager)를 기준으로 차단을 하게 된다. 예를 들어 파일을 디스크에 쓰거나 실행하는 경우에 정책(Policy)에 허용 되지 않은 경우에는 해당 명령은 허용 되지 않는다.


그러나 최근에 발견된 자바 취약점을 악용하는 악성코드 제작자들은 샌드박스를 우회 하기 위해 2가지 방법을 사용하고 있다.


1. 샌드박스 자체 무력화 - CVE-2012-0507 취약점



해당 CVE-2012-0507 취약점은 AtomicReferenceArray에서 발생한다. AtomicReferenceArray 클래스의 경우 시큐리티 매니져에서 ArrayObject에 대한 타입(Type)을 체크 하지 않으며, 해당 배열 생성시 역직렬화를 하고, 역직렬화된 악의적인 코드를 doWork에 정의된 클래스가 샌드박스 밖에서 실행하도록 한다.


역직렬화를 하게 되면 메모리에 악의적인 코드가 쓰일 수 있기 때문에 시큐리티 매니져에서 해당 객체에 대해서 접근에 대한 체크가가 필요하지만, 체크 하지 않아 문제가 발생하게 된다.


2. 샌드박스 내부의 정책 우회를 위하여 시큐리티 매니져를 setSecurityManger(Null)로 우회 - CVE-2011-3544와 CVE-2012-4681 취약점


샌드박스에서 시큐리티 매니져는 정책으로서 접근제어를 수행하게 된다. 하지만 시큐리티 매니져가 무력화 될 경우 접근제어를 수행하지 않기 때문에 악의적인 코드 실행이 가능해진다.


자바는 JVM에서 명령을 수행하기 위해서는 시큐리티 매니저가 함수내에서 빈번하게 호출되며, 자바 애플릿 역시 예외가 아니다. JVM이 포함되어 있는 웹 브라우저가 애플릿이 포함된 웹 사이트 접속시 JVM으로 애플릿을 다운 받아 실행하게 된다. 이 과정에서 로컬에서 실행하기 위해서는 디스크에 파일을 쓰고 실행을 하여야 하는데, 시큐리티 매니져를 우회 하여야 악성코드를 감염 시킬 수 있게 된다.



CVE-2011-3544와 CVE-2012-4681의 경우가 시큐리티 매니져를 우회하는 취약점으로 해당 취약점들은 toString Method에서 해당 함수를 실행할 경우 시큐리티 매니져를 우회 하는 취약점이였다. 


시큐리티 매니져를 해제하기 위해서는 setSecurityManager함수를 이용하여 시큐리티 매니져를 해제 해야한다. 하지만 JRM에서 setSecurityManger(NULL)을 호출하게 되면, 에러(Error)와 함께 함수 호출에 대해 실행을 허가 하지 않지만, toString Method를 이용하게 되면 해당 함수를 호출할 수 있는 취약점이다.


이와 비슷한 원리로 작동하는 취약점이 CVE-2012-4681으로 해당 취약점은 sun.awt.SunToolkit을 이용하여 파일시스템에 대한 모든 권한을 부여함으로서 시큐리티 매니져를 비활성화하도록 한다. 


현재 앞서 설명한 자바 취약점들 모두 다수의 악성코드에서 악용되고 있음으로 오라클(Oracle)에서 제공하는 보안 패치를 설치하여야만 다른 보안 위협들로보터 시스템을 보호 할 수 있다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

미국 현지 시각으로 8월 26일 보안 업체 FireEye에서 블로그 "ZERO-DAY SEASON IS NOT OVER YET"를 통해 오라클(Orcle) 자바 JRE(Java Runtime Environment) 7에서 임의의 코드를 실행 할 수 있는 코드 실행 취약점(CVE-2012-4681)을 발견하였음을 공개하였다.


현재 해당 자바 JRE 취약점은 개발 업체인 오라클에서 해당 보안 취약점을 제거할 수 있는 보안 패치를 제공하지 않고 있는 제로 데이(Zero-Day, 0-Day) 취약점으로 각별한 주의가 필요하다.


이 번에 발견된 자바 JRE 관련 제로 데이 취약점은 다음 버전의 소프트웨어에서 악용이 가능하다.


Oracle Java 7 (1.7, 1.7.0)

Java Platform Standard Edition 7 (Java SE 7)

Java SE Development Kit (JDK 7)

Java SE Runtime Environment (JRE 7)


해당 자바 JRE 관련 취약점은 최초 아래 이미지와 같이 중국에서 제작된 공다 팩(GongDa Pack)이라 불리는 웹 익스플로잇 툴킷(Web Exploit Toolkit)에서 사용되는 스크립트 악성코드를 통해 유포되었으며, 최초 유포지는 대만에 위치한 특정 시스템이다.



이 번 자바 JRE 취약점 악용을 위해 유포된 공다 팩에서 사용되는 스크립트를 디코딩 하게 되면 스크립트가 유포된 동일한 시스템에 존재하는 Appelt.jar (7,855 바이트)와 hi.exe (16,896 바이트)가 다운로드 되도록 제작되었다.


다운로드 된 Appelt.jar (7,855 바이트) 내부에는 아래 이미지와 같이 해당 CVE-2012-4681 취약점을 직접적으로 악용하도록 제작되어 있는 클래스(Class) 파일인 App.class (7,231 바이트)가 포함되어 있다.



해당 자바 JRE 취약점(CVE-2012-4681)으로 인해 실행되는 hi.exe (16,896 바이트)는 최초 실행이 되면 윈도우 시스템 폴더(C:\WINDOWS\system32\)에 mspmsnsv.dll (10,240 바이트) 파일을 생성하게 된다.


C:\WINDOWS\system32\mspmsnsv.dll 


그리고 윈도우 시스템에 존재하는 정상 프로세스인 svchost.exe를 실행하여 해당 프로세스의 스레드로 생성한 mspmsnsv.dll (10,240 바이트)을 인젝션하게 된다.


인젝션이 성공하게 되면 특정 도메인명을 가진 C&C 서버와 통신을 시도하나 분석 당시에는 정상적인 접속이 이루어지지 않았다. 정상적으로 접속이 성공하게 되면 원격 제어 등의 공격자가 의도하는 백도어 기능을 수행하게 된다.


추가적으로 핀란드 보안 업체 F-Secure에서는 블로그 "Blackhole: Faster than the speed of patch"를 통해 블랙홀 웹 익스플로잇 툴 킷(Blackhole Web Exploit Toolkit)을 통해서도 유포 중에 있는 것으로 공개하였다.


ASEC에서 이와 관련한 추가 정보들을 확인하는 과정에서 사회 공학 기법을 악용한 이메일을 통해 최소 약 300개의 도메인을 이용해  유포 중인 것으로 파악하였다.


현재 블랙홀 웹 익스플로잇 툴 킷을 통해 유포 중인 CVE-2012-4681 취약점을 악용하는 JAR 파일은 Pre.jar (31,044 바이트)Leh.jar (31,044 바이트) 파일명으로 유포 중이나 2개 모두 동일한 파일이다. 그러나 현재 언더그라운드에서는 해당 취약점을 악용 가능한 PoC(Proof of Concept)가 공개되어 있음으로 다양한 변형들이 지속적으로 유포될 것으로 예측된다.


이 번에 발견된 자바 JRE 7에서 임의의 코드를 실행 할 수 있는 코드 실행 취약점(CVE-2012-4681)을 악용하는 악성코드들 모두 V3 제품 군에서 다음과 같이 진단한다.


JS/Downloader

JAVA/CVE-2012-4681

JS/Blacole

Win-Trojan/Poison.16898 

Win-Trojan/Buzus.153447

Trojan/Win32.Npkon


그리고 네트워크 보안 장비인 트러스가드(TrusGuard) 제품군에서는 해당 취약점을 악용한 공다 팩 스크립트 악성코드와 취약한 클래스 파일을 포함한 JAR 파일을 다음과 같이 탐지 및 차단이 가능하다.


javascript_malicious_gongda-2(HTTP)

java_malicious_jar-8(HTTP)

java_malicious_jar-gd(HTTP)


앞서 언급한 바와 같이 현재 자바 JRE에서 발견된 취약점은 제로데이 취약점으로 자바 개발 업체인 오라클에서 보안 패치를 제공하지 않고 있다.


이와 관련하여 US-CERT에서는 보안 권고문 "Oracle Java JRE 1.7 Expression.execute() and SunToolkit.getField() fail to restrict access to privileged code" 을 통해 아래와 같은 사항들을 임시 방안으로 권고하고 있다.


* 자바 플러그인 비활성화


- 파이어폭스 (Firefox)

파이어폭스 실행 후 상단의 [도구]->[부가 기능]을 클릭한다. 그 중에서 "플러그인"을 선택 후 자바 관련 플러그인들을 "사용안함"으로 설정한다.


- 사파리(Safari)

[기본 설정]을 클릭후 [보안]을 선택한다. 그리고 "Java 활성화"에 체크 마크를 해제한다.



- 크롬(Chrome)

크롬을 실행 후 주소 창에 "chrome://plugins/"을 입력한 후, "JAVA Plug-in"을 사용 중지한다.


- 인터넷 익스플로러(Internet Explorer)

윈도우 제어판을 실행 훈 "Java 제어판" -> [고급]을 선택 한 후 [브라우저용 기본 Java]에서 [Microsoft Internet Explorer]에 체크 마크를 해제한다.



앞서 언급한 바와 같이 현재 해당 취약점은 보안 패치가 제공되지 않는 제로 데이 취약점임으로 각별한 주의가 필요하다. 그리고 언더그라운드에는 이미 해당 취약점을 악용 할 수 있는 PoC 코드가 공개 되었음으로 다양한 보안 위협에서 해당 취약점을 악용 할 가능성이 높을 것으로 예측 된다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

ASEC에서는 그 동안 지속적으로 발견되고 있는 한글 소프트웨어에 존재하는 취약점을 악용한 악성코드 감염 사례들 다수를 언급하였다. 


6월 15일 - 한글 제로데이 취약점을 악용한 악성코드 유포


6월 26일 - 알려진 한글 취약점을 악용한 악성코드 유포


7월 5일 - 지속적으로 발견되는 취약한 한글 파일 유포


7월 25 - 한글 취약점을 악용한 취약한 한글 파일 추가 발견


2012년 8월 13일, 어제 다시 기존에 알려진 한글 취약점을 악용하는 취약한 한글 파일이 발견되었으며, 해당 취약한 한글 파일을 열게 되면 다음과 같은 내용이 나타나게 된다.



해당 취약한 한글 파일은 아래 이미지와 동일한 구조를 가지고 있으며 새로운 제로 데이(Zero Day, 0-Day) 취약점이 아니다.



해당 취약점은 HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow) 취약점이며, 해당 취약점은 2010년부터 지속적으로 악용되어 왔던 한글 소프트웨어 취약점들 중 하나이다. 그리고 해당 취약점은 한글과 컴퓨터에서 이미 보안 패치를 제공 중에 있다. 


해당 취약점이 존재하는 한글 소프트웨어를 사용하는 시스템에서 금일 유포된 취약한 한글 파일을 열게 되면 사용자 계정의 임시 폴더에 SUCHOST.EXE (296,448 바이트) 파일을 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\SUCHOST.EXE


생성된 SUCHOST.EXE (296,448 바이트) 파일은 다시 SxS.DLL (296,448 바이트) DLL 파일 1개를 생성하여 감염된 시스템에서 실행 중인 모든 프로세스에 스레드로 인젝션하게 된다.


C:\Documents and Settings\All Users\Application Data\SxS.DLL

C:\Documents and Settings\All Users\Application Data\SS.LOG


그리고 동일한 위치에 생성된 SS.LOG는 감염된 시스템에서 입력된 키로깅과 웹 사이트 접속 기록들을 보관하는 로그 파일이다.


생성한 SxS.DLL (296,448 바이트)을 시스템 재부팅시에도 자동 실행하기 위해 레지스트리에 다음 키를 생성하여 "Windows SxS Services"라는 명칭의 윈도우 서비스로 등록하여 실행하게 된다.


HKLM\SYSTEM\ControlSet001\Services\SxS\Parameters\ServiceDll

"C:\Documents and Settings\All Users\Application Data\SxS.DLL"


그리고 레지스트리 키 생성이 완료가 되면 최초 취약한 한글 파일에 의해 생성되었던 SUCHOST.EXE (296,448 바이트)을 삭제하게 된다.


SxS.DLL (296,448 바이트)에 의해 스레드 인젝션된 정상 svchost.exe 파일을 통해 홍콩에 위치한 특정 시스템으로 접속을 시도하게 되나 분석 당시에는 정상적인 통신이 이루어지지 않았다.


정상적인 통신이 이루어지게 될 경우에는 감염된 시스템에서 입력되는 키보드 입력들을 가로채고 웹 사이트 접근을 모니터링 등 하는 일반적인 백도어 기능들을 수행하게 된다.


이 번에 발견된 기존에 알려진 한글 소프트웨어 취약점을 악용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


Exploit/Hwp.AccessViolation-SEH

Backdoor/Win32.Etso


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-SEH


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Document(6)


앞서 언급한 바와 같이 한글과 컴퓨터에서 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

ASEC에서는 그 동안 지속적으로 발견되고 있는 한글 소프트웨어에 존재하는 취약점을 악용한 악성코드 감염 사례들 다수를 언급하였다. 


6월 15일 - 한글 제로데이 취약점을 악용한 악성코드 유포


6월 26일 - 알려진 한글 취약점을 악용한 악성코드 유포


7월 5일 - 지속적으로 발견되는 취약한 한글 파일 유포


이러한 한글 소프트웨어 존재하는 취약점을 악용한 취약한 한글 파일이 7월 24일 다시 발견되었으며, 이 번에 발견된 취약한 한글 파일은 아래 이미지와 동일한 내용을 가지고 있다.



해당 취약한 한글 파일은 아래 이미지와 동일한 구조를 가지고 있으며 새로운 제로 데이(Zero Day, 0-Day) 취약점이 아니다.



해당 취약점은 HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow) 취약점이며, 해당 취약점은 2010년부터 지속적으로 악용되어 왔던 한글 소프트웨어 취약점들 중 하나이다. 그리고 해당 취약점은 한글과 컴퓨터에서 이미 보안 패치를 제공 중에 있다. 


해당 취약점이 존재하는 한글 소프트웨어를 사용하는 시스템에서 금일 유포된 취약한 한글 파일을 열게 되면 사용자 계정의 임시 폴더에 scvhost.exe (32,768 바이트) 파일을 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\scvhost.exe


그러나 과거에 발견되었던 한글 취약점으로 인해 생성되는 악성코드들과 다르게 다른 파일들을 추가적으로 생성하지는 않고 자신의 복사본을 아래의 경로에 생성하게 된다.


C:\Documents and Settings\Tester\시작 메뉴\프로그램\시작프로그램\AcroRd32Info[다수의 공백]?据的.exe


생성된 scvhost.exe (32,768 바이트)의 복사본인 AcroRd32Info[다수의 공백]?据的.exe (32,768 바이트)를 윈도우 시스템의 [시작 프로그램] 폴더에 생성함으로 시스템이 재부팅 하더라도 자동 실행 하도록 한다. 


그리고 미국에 위치한 특정 시스템으로 SSL 통신을 시도하게 되나 분석 당시에는 정상적인 접속이 이루어지지 않았다. 정상적인 접속이 이루어지게 될 경우에는 공격자가 의도하는 다양한 악의적인 기능들을 수행하게 될 것으로 추정된다.


이 번에 발견된 기존에 알려진 한글 소프트웨어 취약점을 악용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


Exploit/Hwp.AccessViolation-SEH

Win-Trojan/Agent.32768.CEX


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-SEH


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Document(6)


앞서 언급한 바와 같이 한글과 컴퓨터에서 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시
신고
Posted by 비회원

ASEC에서는 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 드 실행 제로 데이(Zero Day, 0-Day) 취약점을 악용하는 악성코드가 6월 15일 발견되었음을 공개하였다. 그리고 6월 22일에는 기존에 발견되었던 취약점을 악용한 취약한 한글 파일이 발견되었음을 공개하였다.


7월 4일 어제 다시 한글 소프트웨어에 존재하는 알려진 취약점을 악용한 취약한 한글 파일이 발견되었으며, 해당 취약한 한글 파일 역시 이메일의 첨부 파일 형태로 국내 특정 조직을 대상으로 유포 되었다.


이메일에 첨부되어 유포된 해당 취약한 한글 파일을 열게 되면 아래 이미지와 동일한 내용이 나타나게 된다.



해당 취약한 파일은 아래 이미지와 같은 구조로 되어 있으며, 6월 15일 발견된 코드 실행 취약점을 응용한 형태가 아니라 이미 보안 패치가 제공되어 있는 취약점이다.



이 번에 발견된 해당 취약한 한글 파일은 HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow) 취약점이며, 해당 취약점은 2010년부터 지속적으로 악용되어 왔던 한글 소프트웨어 취약점들 중 하나이다. 그리고 해당 취약점은 한글과 컴퓨터에서 이미 보안 패치를 제공 중에 있다. 


해당 취약점이 존재하는 한글 소프트웨어를 사용하는 시스템에서 금일 유포된 취약한 한글 파일을 열게 되면 사용자 계정의 임시 폴더에 scvhost.exe (138,240 바이트) 파일을 생성하게 된다.


c:\documents and settings\[사용자 계정명]\local settings\temp\scvhost.exe ( 138,240 바이트 


생성된 scvhost.exe (138,240 바이트) 파일이 실행되면 윈도우 폴더(c:\windows) 폴더에 wdmaud.drv (78,336 바이트)를 생성하게 된다.


C:\WINDOWS\wdmaud.drv (78,336 바이트)


그리고 생성된 wdmaud.drv (78,336 바이트)는 감염된 시스템에서 다음의 정보들을 수집하여 외부로 전송을 시도하게 되나 분석 당시에는 정상적으로 접속이 되지 않았다.


하드웨어 정보

윈도우 운영체제 정보

로그인 사용자 정보

파일 업로드 및 다운로드

감염된 시스템의 IP 주소 및 프록시(Proxy) 서버 주소


금일 발견된 기존에 알려진 한글 소프트웨어 취약점을 악용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


HWP/Exploit

Win-Trojan/Agent.138240.FK 

Trojan/Win32.Dllbot


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Document(57)


생성되는 파일명들과 생성된 악성코드들이 가지고 있는 기능들을 미루어 볼 때 해당 악성코드 제작자는 동일한 한글 취약점과 동일한 악성코드 소스코드를 바탕으로 지속적으로 변형들을 생산해내는 것으로 분석된다.


그러므로 앞서 언급한 바와 같이 한글과 컴퓨터에서 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시
신고
Posted by 비회원

ASEC에서는 6월 26일 마이크로소프트(Microsoft)의 XML 코어 서비스 취약점(CVE-2012-1889)을 악용한 공격 형태가 증가하고 있다는 안내를 한 바가 있다.


그리고  6월 28에는 해당 취약점을 악용하는 코드가 변형된 형태의 XML 코어 서비스 취약점(CVE-2012-1889) 악용하고 있는 것으로 공개한 바가 있으며, 취약한 웹 사이트를 중심으로 유포가 진행 되고 있다고 언급한 바가 있다.


현재까지도 보안 패치가 제공되지 않고 있는 제로 데이(Zero-Day, 0-Day) 취약점인 해당 XML 코어 서비스 취약점 악용형태가 지난 주말인 6월 30일과 7월 1일 이틀 사이 한국 내의 취약한 웹 사이트들을 대상으로 유포되고 있는 것이 발견되었다.


주말 사이 발견된 해당 XML 코어 서비스 취약점을 악용하는 스크립트 악성코드는 아래 이미지와 같은 형태이며, 이제까지 발견된 스크립트 악성코드와는 다르게 난독화 정도가 심하게 제작되어 있다.



해당 취약점을 악용하는 스크립트 악성코드는 최소 36개 이상의 온라인 게임 정보를 탈취하기 위한 악성코드 변형들을 유포하기 위해 제작되어 있다.


그리고 해당 취약점을 악용하는 스크립트 악성코드와 온라인 게임 정보 탈취 악성코드를 제작 및 유포하는 제작자들은 아래 이미지와 같은 툴을 이용하여 현재 자신들이 제작한 악성코드들이 정상적으로 유포 중인지 확인을 하고 있었다.



해당 툴은 악성코드 제작자들이 악성코드 유포를 위해 해킹한 시스템의 도메인 주소들을 입력하고 검색을 하게 되면 위 이미지에서와 같이 3회에 걸쳐 파일이 정상적으로 존재하는지 그리고 유포가 가능한지 확인 하게 된다.


이러한 툴이 제작되어 사용되고 있다는 것으로 미루어 악성코드 제작자들은 실시간으로 유포 중인 악성코드들의 상태를 확인하고, 하나의 유포 경로가 차단되었을 경우 다른 유포지를 가동시키기 위한 전략의 자동화를 위해 제작된 것으로 판단된다.


이 번에 발견된 해당 XML 코어 서비스 취약점을 악용하는 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.


JS/Agent

Win-Trojan/Hupe.Gen

Dropper/Hupe.Gen 
Win-Trojan/Onlinegamehack 변형들
Win-Trojan/Agent 변형들

그리고 네트워크 보안장비 트러스가드(TrusGuard) 제품군에서는 해당 난독화된 XML 코어 서비스 취약점 악용 스크립트 악성코드를 다음과 같이 탐지 및 차단이 가능하다.


http_obfuscated_javascript_fromcharcode  


앞서 언급한 바와 같이 현재 XML 코어 서비스는 마이크로소프트에서 보안 패치를 제공하지 않는 제로 데이(Zero-Day, 0-Day) 취약점이다. 


그러므로 사용하는 보안 제품을 최신 엔진으로 업데이트하고, 마이크로소프트에서 임시 방안으로 제공 중인 픽스 잇(Fix It)을 설치하는 것이 해당 취약점을 악용하는 악성코드 감염을 예방하는 방안이다.



저작자 표시
신고
Posted by 비회원

ASEC에서는 6월 26일 현재까지도 제로 데이(Zero Day, 0-Day) 취약점인 XML 코어 서비스 취약점(CVE-2012-1889)을 악용한 공격 사례들이 발생하고 있다고 공유한 바가 있다.


금일 해당 XML 코어 서비스 취약점을 악용한 다른 형태의 공격 사례가 발견되었으며, 해당 공격 사례는 XML 코어 서비스 뿐 만이 아니라 자바(JAVA)와 어도비 플래쉬(Adobe Flash) 취약점까지도 같이 악용하고 있는 것으로 파악되었다.


이 번에 발견된 XML 코어 서비스 취약점을 악용한 사례는 블랙홀(Blackhole)과 같은 웹 익스플로잇 툴킷(Web Exploit Toolkit) 형태로 스크립트 악성코드들을 기능별로 분류하여 단계적으로 취약점을 악용하도록 하고 있다.


이러한 단계적으로 취약점을 악용한 공격 형태는 아래 이미지와 같은 전체적인 구조를 가지고 있어, 일부 스크립트들만 분석하여서는 전체적인 공격 및 취약점 형태를 파악하기 어렵도록 하고 있다.



현재 해당 XML 코어 서비스 취약점 등을 악용한 공격 형태는 SQL 인젝션(Injection) 공격 기법 등으로 취약한 웹 페이지의 하단에 Exploit.html 웹 페이지로 연결되는 아이프레임(iFrame) 코드를 삽입하여, 웹 사이트 방문자 모르게 아래의 취약점들 중 하나가 자동으로 악용되도록 구성되어 있다.



해당 취약점들이 정상적으로 동작하게 될 경우에는 중국에 위치한 특정 시스템으로부터 win.exe (30,720 바이트)의 파일이 다운로드 및 실행하게 된다.


해당 win.exe (30,720 바이트) 파일은 XOR로 인코딩(Encoding) 되어 있는 파일로 이를 디코딩하게 되면 비주얼 C++(Visual C++)로 제작된 실행가능한 PE 파일이 생성된다.


다운로드 된 win.exe (30,720 바이트) 파일이 정상적으로 디코딩(Decoding) 된 이후에 실행되면, 다음의 배치(BAT) 파일들과 텍스트(TXT) 파일을 순차적으로 생성하게 된다.


C:\4.bat (66 바이트)

C:\2.txt (100 바이트)

C:\3.bat (15 바이트)


win.exe (30,720 바이트) 파일에 의해 생성된 4.bat (66 바이트)는 시스템 공유 폴더와 윈도우 방화벽을 강제로 종료하게 된다. 


그리고 2.txt는 미국에 위치한 특정 FTP 서버로 접속하는 정보들이 기록되어 있으며, 3.bat (15 바이트)는 해당 FTP 정보들을 바탕으로 커맨드라인(Command-Line) 명령으로 접속을 시도하는 역할을 하게 된다.


FTP 접속 정보들은 아래 이미지와 같이 win.exe (30,720 바이트) 파일 내부에 하드코딩되어 있는 상태로 기록되어 있다.



그러나 분석 당시에는 해당 FTP 서버로 정상적인 접속이 이루어지지 않았으며, 정상적인 접속이 이루어지게 될 경우에는 감염된 시스템에 설치되어 있는 보안 제품 정보들을 전송할 것으로 추정된다.


해당 XML 코어 서비스와 다른 취약점들을 악용한 악성코드들은 2012.06.28.05 엔진 버전 이후의 V3 제품군에서 모두 다음과 같이 진단한다.


JS/CVE-2012-1889 

HTML/Downloader

SWF/CVE-2011-0611

JS/Downloader

JS/Redirect

JS/Redirector 

Win-Trojan/Yolped.73728 


이 번에 발견된 XML 코어 서비스 취약점을 악용하는 공격 사례는 앞선 언급한 바와 같이 SQL 인젝션과 같은 공격 기법으로 취약한 웹 사이트를 대상으로 이루어짐으로 웹 사이트 방문시 각별한 주의가 필요하다.


현재 해당 XML 코어 서비스 취약점에 대한 보안 패치가 아직 제공되지 않지만, 마이크로소프트(Microsoft)에서는 임시 방안으로 픽스잇(Fix It)을 공개 중임으로 이를 설치하는 것이 중요하다.


그리고 다른 일반 어플리케이션들의 취약점들도 동반하고 있음으로 평소 자주 사용하는 어플리케이션들의 보안 패치를 설치하는 것도 중요하다.


저작자 표시
신고
Posted by 비회원