2012년도에는 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 취약점을 악용한 타깃 공격(Target Attack)이 예년에 비해 비교적 크게 증가하였다.


이 중에는 기존에 알려지지 않은 제로 데이(Zero Day, 0-Day)을 악용한 공격 형태도 2012년 6월과 11월에 발견될 정도로 한글 소프트웨어 취약점을 악용한 공격의 위험성이 증가하고 있다.


2012년 6월 - 한글 제로데이 취약점을 악용한 악성코드 유포


2012년 11월 - 국방 관련 내용의 0-Day 취약점 악용 한글 파일


이러한 한글 소프트웨어에 존재하는 기존에 알려지지 않은 제로 데이 취약점을 악용한 공격이 1월 25일경 다시 발견되었다.


이 번에 발견된 한글 소프트웨어의 제로 데이 취약점을 악용하는 취약한 한글 파일은 아래 이미지와 같이 다수의 개인 정보를 포함한 형태로 발견되었다.



해당 취약한 한글 파일은 아래 이미지와 동일한 같은 구조를 갖고 있으며, 이 중 "BinData" 항목의 "BIN0001.bmp" 라는 비정상적인 이미지를 파싱하는 과정에서 취약점이 발생하게 된다.



이로 인해 영향을 받게 되는 한글 소프트웨어의 모듈은 "HncTiff10.flt"에서 TIFF 형식의 이미지를 파싱하는 과정에서 발생하는 코드 실행 취약점이다.


해당 제로 데이 취약점으로 인해 영향을 받는 한글 소프트웨어는 ASEC의 내부적인 테스트 결과로는 다음 버전에서 동작하게 된다.


한글 및 한컴 오피스 2007

한글 및 한컴 오피스 2010


최신 보안 패치가 모두 적용된 한글 2007과 2010 버전에서는 해당 취약한 문서를 여는 과정에서 바로 취약점이 동작하게 된다. 


하지만 최신 패치가 적용되지 않은 한글 2010 버전에서는 아래 이미지와 같은 오류 메시지가 발생하며, 해당 오류 메시지를 종료하는 순간 취약점이 동작하게 된다.



해당 제로데이 취약점을 포함하고 있는 한글 파일이 정상적으로 열리게 되면 아래 이미지와 같은 전체적인 구조를 가진 다른 악성코드들이 생성된다. 


우선 취약한 한글 파일이 정상적으로 열게 될 경우에는 아래 경로에 HncUpdate.exe (641,024 바이트)가 생성 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\HncUpdate.exe


생성한 HncUpdate.exe (641,024 바이트)은 GetTempFileName 함수를 이용하여 임의의 문자열을 파일명으로 가지는 tmp 파일 3개를 다음과 같은 경로에 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\[임의의 문자열].tmp (187,904 바이트)

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\[임의의 문자열].tmp (181,760 바이트)

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\[임의의 문자열].tmp (219,136 바이트)


HncUpdate.exe (641,024 바이트)가 생성한 tmp 파일 중 187,904 바이트 크기를 가지는 tmp 파일을 다시 아래 경로에 w32time.exe (187,904 바이트) 파일명으로 다시 복사를 하게 된다.


C:\WINDOWS\system32\w32time.exe


그리고 생성한 w32time.exe (187,904 바이트)을 윈도우 서비스로 실행하기 위해서 윈도우 레지스트리 다음 경로에 "Windows Time"라는 윈도우 서비스 명으로 아래와 같은 키 값을 생성하게 된다.


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32time

ImagePath = C:\WINDOWS\system32\w32time.exe


w32time.exe (187,904 바이트)은 파일 다운로드 기능만 가지고 있는 파일이며, 다른 악의적인 기능은 존재하지 않는다.  


해당 w32time.exe (187,904 바이트)이 실행이 되면 파일 내부에 하드코딩 되어 있는 웹 사이트 주소 3곳에 존재하는 GIF 또는 JPG 확장자를 가진 파일을 다운로드 하게 된다.


분석 당시에는 아래 이미지와 같이 다운로드 되는 해당 파일들은 GIF와 JPG 파일 시그니처만 남아 있는 손상된 파일들이다



해당 악성코드 제작자는 현재까지는 손상된 GIF와 JPG 파일을 사용하고 있으나, 적절한 시기에는 이를 다른 악성코드로 변경하여 동시에 다수의 악성코드를 유포하기 위한 것으로 추정된다.


그리고 생성된 다른 임의의 문자열을 파일명으로 가지는 tmp 파일 2개는 윈도우 비스타(Windows VISITA)와 윈도우 7(Windows 7)에 존재하는 UAC(User Access Control) 기능을 무력화하여 생성한 악성코드를 정상적으로 실행하기 위한 기능을 수행하게 된다.


이 번에 알려진 한글 소프트웨어에 존재하는 제로 데이 취약점을 악용하는 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


 HWP/Exploit 

 Trojan/Win32.Agent 

 Win-Trojan/Agent.219136.DC

 Dropper/Agent.641024.G 

 Win-Trojan/Agent.181760.HT


그리고 APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-DE 


향후 출시 예정인 V3 다음 버전에 포함된 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit

Suspicious/MDP.Exploit

Suspicious/MDP.Behavior

Suspicious/MPD.DropExecutable


현재 해당 악성코드에서 사용한 취약점은 앞서 언급한 바와 같이 한글과 컴퓨터에서 보안 패치가 제공되지 않는 제로데이 취약점이다.


그러므로 이메일이나 웹 사이트 등으로부터 전달 받게된 출처가 불명확한 한글 파일을 실행하는 경우에는 각별한 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하였던 취약점들을 악용하여 원격 제어 형태의 악성코드 감염을 시도하는 형태의 위협들에 대해서 지속적으로 알려 왔었다.


금일 다시 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이(0-Day, Zero-Day) 취약점을 악용하여 원격 제어 형태의 악성코드 감염을 시도한 사례가 발견되었다.


현재 ASEC에서는 금일 발견된 해당 제로 데이 취약점에 대해 자세한 분석을 진행 중에 있다.


이 번에 발견된 취약한 한글 파일은 한국 시각으로 11월 21일에서 22일 사이에 정부 기관을 대상으로 유포된 것으로 추정된다.


해당 제로 데이 취약점을 가지고 있는 취약한 한글 문서를 열게 되면, 아래 이미지와 동일하게 "한국 공군의 위상에 대한 평가와 진단"이라는 제목의 문서 내용이 보여지게 된다.



해당 취약한 한글 문서를 한글과 컴퓨터에서 제공하는 최신 보안 패치가 모두 적용된 한글2010이 설치된 시스템에서 열게 되면 아래 경로에 "HncCtrl.exe (139,264 바이트)파일이 생성된다.


 C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\HncCtrl.exe


생성된 "HncCtrl.exe (139,264 바이트)"는 다음 경로에 추가적으로 "taskmgr.exe (61,440 바이트)"와 "sens.dll (36,864 바이트)"를 생성하게 된다.


C:\WINDOWS\system32\IE\sens.dll

C:\WINDOWS\system32\IE\taskmgr.exe


그리고 다음 레지스트리(Registry) 키를 생성하여 시스템이 재부팅하더라도 자동 실행되도록 구성하게 된다.


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS\Parameters\

ServiceDll = C:\WINDOWS\system32\IE\sens.dll


생성된 "sens.dll (36,864 바이트)"는 윈도우 시스템에 존재하는 정상 svchost.exe 프로세스에 스레드(Thread)로 인젝션시킨 이후 감염된 시스템에서 사용자가 입력하는 모든 키보드 입력 값들을 "report.tmp"에 기록하게 된다.


그리고 다른 "taskmgr.exe (61,440 바이트)"는 감염된 시스템이 인터넷 접속이 가능한지 확인하기 위해 구글(Google) 웹 사이트로 접속을 시도하게 된다. 


접속이 성공하게 되면 아래 이미지에서와 같이 감염된 시스템에서 연결되어 있는 구글 사용자 세션을 이용하여 특정 지메일 계정으로 키보드 입력 값들이 기록 되어 있는 "report.tmp"을 첨부하여 발송하게 된다.



이 번에 발견된 국방 관련 내용을 가진 제로 데이 취약점을 악용한 한글 파일과 관련 악성코드들은 모두 V3 제품 군에서 다음과 같이 진단한다.


HWP/Exploit

Win-Trojan/Agent.139264.QV

Win-Trojan/Agent.61440.BBS

Win-Trojan/Agent.36864.CCY


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit


앞서 언급한 바와 같이 금일 발견된 취약한 한글 파일은 기존에 알려지지 않은 제로 데이 취약점을 악용하고 있다. 현재 한글과 컴퓨터를 통해 공식적인 보안 패치가 제공되지 않고 있음으로 외부에서 보내온 이메일에 첨부된 한글 파일이 존재 할 경우에는 각별한 주의를 기울여야 한다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

2012년 하반기로 접어들면서 국내 관공서에서 사용 빈도가 높은 한글 소프트웨어의 취약점을 악용하여 악성코드 감염을 시도하는 사레가 지속적으로 발견되고 있다.


특히 2012년 6월과 10월에는 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용하는 사례들도 발견되었다.


10월 15일과 16일 다시 국내에서 국방 관련 내용을 가지고 있는 취약한 한글 파일들이 발견되었으며, 이 번에 발견된 취약한 한글 파일은 총 2개로 "군환경교육계획(2012).hwp (1,044,996 바이트)"와 "우리도 항공모함을 갖자.hwp (240,285 바이트)"의 파일명으로 유포되었다.


취약한 한글 소프트웨어를 사용하는 시스템에서 해당 취약한 한글 파일들을 열게 될 경우에는, 아래 이미지와 같이 국방 관련 내용이 나타나게 된다.




해당 취약한 한글 파일들은 기존에 이미 알려진 HncTextArt_hplg 또는 HncApp.dll 관련 버퍼 오버플로우(Buffer Overflow)로 인한 코드 실행 취약점들을 악용하고 있다.


첫 번째 취약한 한글 파일인 군환경교육계획(2012).hwp 을 열게 되면, 백그라운드로 "system32.dll (65,536 바이트)" 가 다음 경로에 생성 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\system32.dll 


그리고 다시 "taskmon.exe (15,048 바이트)"를 아래 경로에 추가적으로 생성하여, 시스템이 재부팅하더라도 자동 실행하게 구성한다.


C:\Documents and Settings\[사용자 계정명]\시작 메뉴\프로그램\시작프로그램\taskmon.exe 


추가적으로 생성된 taskmon.exe는 외부에 있는 시스템으로 역접속을 시도하나 분석 당시에는 정상적인 접속이 이루어지지 않았다. 그리고 추가적으로 다음의 악의적인 기능들을 수행하게 된다.


CMD.EXE 실행 후 콘솔 명령 실행

감염된 시스템의 윈도우 운영체제 정보 수집

원격에서 공격자가 지정한 명령 수행


두 번째 취약한 한글 파일인 우리도 항공모함을 갖자.hwp 을 열게 되면, 백그라운드로 "hncctrl.exe (164,352 바이트)" 가 다음 경로에 생성 된다. 


c:\documents and settings\tester\local settings\temp\hncctrl.exe 


그리고 다시 "svchost.exe (131,584 바이트)"를 아래 경로에 추가적으로 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Application Data\svchost.exe


svchost.exe 는 윈도우 레지스트리에 다음 키 값을 생성하여 시스템이 재부팅하더라도 자동 실행되도록 구성하게 된다.


 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Network = C:\Documents and Settings\[사용자 계정명]\Application Data\svchost.exe


추가적으로 생성된 svchost.exe 는 외부에 있는 시스템으로 역접속을 시도하나 분석 당시에는 정상적인 접속이 이루어지지 않았다. 


그리고 감염 된 시스템에서 다음 보안 프로그램들의 프로세스가 실행 중이라면 강제 종료를 시도하게 된다.


DaumCleaner.exe

hcontain.exe

vrmonnt.exe

ALYac.exe

AYAgent.exe

ALYac.aye

AYAgent.aye


이 외에 감염된 시스템의 운영체제 로그인을 위한 사용자계정명과 암호를 수집하여, 국내 유명 포털 웹 사이트에서 제공하는 이메일 서비스를 이용하여 해당 정보를 유출하게 된다.


이 번에 발견된 국방 관련 내용을 가지고 있는 취약한 한글 파일들은 V3 제품 군에서 다음과 같이 진단한다.


HWP/Exploit

Win-Trojan/Locker.65536

Trojan/Win32.Agent

Win-Trojan/Backdoor.15048


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit

Dropper/MDP.Document

Suspicious/MDP.Document

Suspicious/MDP.DropMalware

Suspicious/MDP.Behavior


현재 한글과 컴퓨터에서는 해당 취약한 한글 파일들이 악용하는 취약점에 대한 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 워드프로세스에 존재하는 알려진 코드 실행 취약점을 악용하는 취약한 한글 파일들이 유포된 사례들 다수를 공개하였다.


유포되었던 취약한 한글 파일들 대부분은 아래 3가지 형태의 취약점을 가장 많이 악용하여 백도어 형태의 악성코드 감염을 시도하였다.


1. HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow)로 인한 임의의 코드 실행 취약점


2. HncApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플로우로 인한 임의의 코드 실행 취약점


3. EtcDocGroup.DFT에 존재하는 버퍼 오버플로우로 인한 임의의 코드 실행 취약점


그러나 9월 10일과 11일 이틀 동안 그 동안 알려진 한글 워드프로세스에 존재하는 취약점을 악용하지 않는 다른 형태의 한글 파일들 다수가 발견되었다.


이 번에 발견된 한글 파일들은 총 4개로 안전여부.hwp (47,616 바이트), 운영체제 레포트 제목.hwp (31,744 바이트), 120604 전북도당 통합진보당 규약(6월 2주차).hwp (63,488 바이트)와 민주통합전라남도당 입당,정책 입당원서(제1호).hwp (102,912 바이트)이다.






해당 한글 파일들 모두 앞서 언급한 바와 같이 기존에 알려진 한글 워드프로세스의 취약점을 악용하지 않고 있으며, 특이하게 OLE 포맷이 아래 이미지와 같은 형태로 구성되어 있다.



위 이미지와 같이 인코딩 되어 있는 형태의 ahnurl.sys 파일을 내부에 임베디드 된 형태로 가지고 있으며, 다른 하나의 한글 파일에서는 이와는 다르게 레지스트리에 쓸 수 있는 데이터인 ahnurlahnrul.sys 모두 가지고 있는 형태도 존재한다. 



해당 한글 파일들은 파일 자체에는 취약점을 악용할 수 있는 익스플로잇(Exploit) 코드와 쉘코드(Shellcode)가 포함되어 있지 않음으로 해당 한글 파일들을 열어보는 것만으로 악성코드에 감염되지는 않는다.


현재 ASEC에서는 해당 한글 파일 제작자가 어떠한 용도와 목적으로 해당 한글 파일들을 유포한 것인지 지속적으로 확인 중에 있다.


해당 한글 파일들은 V3 제품군에서는 다음과 같이 모두 진단한다.


HWP/Agent


앞서 언급한 바와 같이 한글 워드프로세스의 알려진 취약점을 악용하여 다른 악성코드 감염을 시도하는 취약한 한글 파일들 유포 사례가 자주 발견되고 있다. 그러므로 한글과 컴퓨터에서 배포 중인 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

2012년 7월 21일 일본 국내 언론들을 통해 "Finance Ministry reveals 2010-2011 computer virus; info leak feared" 일본 재무성에서 2010년에서 2011년 2년 사이에 감염된 악성코드가 발견되었으며, 이로 인해 내부 정보가 유출 되었을 것으로 추정된다는 기사가 공개 되었다.


ASEC에서는 해당 침해 사고와 관련한 추가적인 정보와 관련 악성코드를 확인하는 과정에서 해당 침해 사고와 관련된 악성코드를 확보하게 되었으며, 해당 악성코드는 약 1년 전인 2011년 9월 경에 발견된 것으로 파악하고 있다.


이번에 파악된 악성코드가 실행되면 해당 파일이 실행된 동일한 경로에 다음 파일을 생성하고, 정상 시스템 프로세스인 explorer.exe에 스레드로 인젝션하게 된다.


C::\[악성코드 실행 경로]\tabcteng.dll (114,688 바이트)


그리고 다음 레지스트 경로에 키 값을 생성하여 감염된 시스템이 재부팅하더라도 자동 실행 되도록 구성하게 된다.


HKLM\SYSTEM\ControlSet001\Services\Netman\Parameters\ServiceDll

"C:\[악성코드 실행 경로]\tabcteng.dll"


감염된 시스템에 존재하는 인터넷 익스플로러(Internet Explorer)의 실행 파일 iexplorer.exe를 실행 시켜 HTTP로 외부에 존재하는 시스템으로 접속을 시도하나 테스트 당시에는 정상 접속이 되지 않았다.


이 번 일본 재무성 침해 사고와 관련된 악성코드는 전형적인 백도어 형태의 악성코드로 실질적 악의적인 기능들은 생성된 tabcteng.dll (114,688 바이트) 에 의해 이루어지게 된다.


키보드 입력 가로채는 키로깅(Keylogging)

파일 생성 및 삭제

폴더 생성 및 삭제

운영 체제 정보

MAC 어드레스, IP, 게이트웨이(Gateway), WINS 서버 및 DNS 서버 주소

메모리, 하드 디스크 및 CPU 등 하드웨어 정보

생성되어 있는 사용자 계정들 정보


위와 같은 악의적인 기능들을 미루어 볼 때 해당 악성코드는 감염된 시스템을 거점으로 내부 네트워크의 다양한 정보들을 수집하기 위해 제작된 것으로 추정된다.


이 번에 알려진 일본 재무성 침해 사고 관련 악성코드는 V3 제품군에서 다음과 같이 진단한다.


Dropper/Win32.Agent 

Trojan/Win32.Agent 

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

최근 들어 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 일종인 블랙홀(Blackhole) 웹 익스플로잇 툴킷이 스팸 메일(Spam Mail)과 결합되어 유포되는 현상들이 자주 발견되고 있다.


최근 발견된 블랙홀 웹 익스플로잇 툴킷과 스팸 메일이 결합되어 유포된 사례들은 다음을 들 수가 있다.


2012년 6월 - 스팸 메일과 결합된 웹 익스플로잇 툴킷


2012년 7월 - 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷


금일 블랙홀 웹 익스플로잇 툴 킷과 결합된 스팸 메일이 다시 발견되었으며, 이 번에 발견된 스팸 메일은 인터넷을 이용한 현금 결제 서비스인 페이팔(PayPal)의 결제 결과 안내 메일로 위장하여 유포되었다.


이 번에 발견된 페이팔 스팸 메일과 결합된 형태로 유포된 블랙홀 웹 익스플로잇 툴킷은 아래 이미지와 같이 다양한 취약점들을 악용하고 있으며 최종적으로 감염된 PC에서 사용자 정보들을 탈취하기 위한 악성코드 감염을 목적으로 하고 있다.



페이팔 결제 안내 메일로 위장해 유포된 스팸 메일은 아래 이미지와 같은 형태를 가지고 있으며, [Accept] 부분은 정상적인 페이팔 웹 페이지로 연결되는 것이 아니라 미국에 위치한 특정 시스템으로 연결되도록 구성되어 있다.



해당 [Accept] 부분을 클릭하게 되면 미국에 위치한 특정 시스템으로 접속하며, PC 사용자에게는 아래와 같은 이미지를 보여주게 된다.



그러나 실제 해당 웹 페이지 하단에는 아래 이미지와 같이 다른 말레이시아에 위치한 시스템으로 연결되는 자바 스크립트 코드가 인코딩 되어 있다.



해당 자바 스크립트 코드를 디코딩하게 되면 기존 블랙홀 익스플로잇 툴킷과 동일한 포맷의 iFrame 으로 처리된 코드가 나타나며, 사용자 모르게 말레이시아에 위치한 블랙홀 웹 익스플로잇 툴킷이 설치되어 있는 시스템으로 연결하게 된다.


그리고 해당 블랙홀 익스플로잇 툴킷에서는 아래의 취약점들 중 하나를 악용하게 된다.



해당 취약점이 성공적으로 악용되면 동일한 시스템에 존재하는 64b3bcf.exe (84,480 바이트)를 다운로드하여 wpbt0.dll (84,480 바이트) 명칭으로 생성하게 된다.


C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\wpbt0.dll


그리고 생성된 wpbt0.dll (84,480 바이트) 는 다시 자신의 복사본을 아래 경로에 KB01458289.exe   (84,480 바이트) 명칭으로 복사하게 된다.


C:\Documents and Settings\[사용자 계정]\Application Data\KB01458289.exe


감염된 PC의 레지스트리에 다음 키 값을 생성하여 PC가 재부팅 할 때마다 자동 실행 되도록 구성하였다.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

KB01458289.exe = C:\Documents and Settings\[사용자 계정]\Application Data\KB01458289.exe


그리고 감염된 PC에서 실행 중인 explorer.exe 정상 프로세스의 스레드로 자신의 코드를 삽입한 후 다음의 정보들을 후킹하게 된다.

웹 사이트 접속 정보
FTP 시스템 접속 사용자 계정과 비밀 번호 정보
POP3 이용 프로그램 사용자 계정과 비밀 번호 정보
웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects)으로 웹 사이트 사용자 계정과 암호 정보

마지막으로 감염된 PC 사용자에게는 구글 메인 웹 페이지로 연결하여 정상적인 접속이 실패한 것으로 위장하게 된다.

이 번에 발견된 페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포한 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.

JS/Iframe
JS/Redirect
PDF/Cve-2010-0188
Win-Trojan/Agent.84480.HA

페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포를 시도한 악성코드는 기존에 발견된 온라인 뱅킹 정보 탈취를 목적으로하는 제우스(Zeus) 또는 스파이아이(SpyEye)와 유사한 웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects) 기능으로 웹 사이트 사용자 계정과 암호 정보를 탈취 할 수 있다.

이는 악성코드 유포자가 의도하는 대부분의 웹 사이트들에서 사용자 계정과 비밀 번호 정보를 탈취 할 수 있음으로, 단순 스팸 메일로 판단되더라도 송신자가 불명확한 메일에 포함된 웹 사이트 연결 링크를 클릭하지 않는 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

검색 엔진을 개발하는 구글(Google)에서는 사용자들의 편의성을 위해 지메일(Gmail), 구글 리더(Google Reader)와 구글 닥스(Google Docs) 등 여러가지 서비스를 제공해주고 있다.


구글에서 제공하는 서비스들은 인터넷만 연결되어 있다면 언제든지 메일과 웹 사이트 그리고 문서 등을 읽거나 작업할 수 있는 공간을 제공 해주고 있으며, 개발자들의 경우에는 구글 코드(Google Code)라고 하여 프로그램 개발과 관련한 소스코드와 파일등을 개발자들 사이에서 공유 할 수 있는 공간을 제공하고 있다.


이러한 서비스들 모두 24시간 중단되지 않는 가용성을 제공하고 있으며, 구글에서 운영을 하고 있음으로 안정성까지 제공 받을 수 있다는 점을 악용하여 구글 코드에 악성코드를 업로드하여 유포에 악용하는 사례가 7월 23일 발견되었다.


구글 코드를 악성코드 유포에 악용하였던 사례는 이번이 처음은 아니며 7월 18일 발견되었던 개인 금융 정보 탈취 목적의 Banki 트로이목마 역시 구글 코드를 악용하였다.


이 번에 발견된 구글 코드를 악용해 유포되고 있는 악성코드들은 아래 이미지와 같이 총 2개의 파일이며 server.exe (58,368 바이트)와 1.exe (37,772 바이트)이다.



해당 악성코드들의 상관 관계에 대해 ASD(AhnLab Smart Defense)의 데이터베이스를 통해 분석 결과 1.exe (37,772 바이트)는 최초 7월 22일 17시경 유포되었다.


해당 1.exe (37,772 바이트) 파일이 실행되면 윈도우 시스템 폴더에 다음과 같이 자신의 복사본으로 생성하게 된다.


C:\WINDOWS\system32\WinHelp32.exe


그리고 "Windows Help Systemg" 라는 서비스명으로 다음의 레지스트리 키를 생성하여 시스템 재부팅시 자동 실행하도록 구성하였다.


HKLM\SYSTEM\ControlSet001\Services\WinHelp32t\ImagePath

"C:\WINDOWS\system32\WinHelp32.exe"


그리고 중국에 위치한 특정 시스템으로 접속을 시도하게 되나 분석 당시에는 정상적인 접속이 이루어지지 않았다. 그러나 ASD의 데이터베이스를 통해 네트워크 접속 로그를 확인한 결과 7월 22일 23시경에는 다음 파일을 다운로드 하는 명령을 수행하고 있었다.


http://*********.googlecode.com/files/server.exe


1.exe (37,772 바이트)는 별도의 드라이버 파일(.SYS) 파일을 통해 보안 소프트웨어에 의해 후킹(Hooking)되어 있는 SSDT(System Service Dispatch Table)를 강제로 복구하는 기능을 수행하여, 자신이 보안 제품에 의해 탐지 되지 않도록 한다.


그 외에 공격자 의도에 따라 다음의 악의적인 기능들을 수행하게 된다.


파일 다운로드 및 실행

운영 체제 및 하드웨어 정보 수집

DoS(Denial of Service) 공격


1.exe (37,772 바이트)에 의해 다운로드 되는 server.exe (58,368 바이트)가 실행면 윈도우 시스템 폴더에 다음 파일을 생성하게 된다.


C:\WINDOWS\system32\(6자리 임의의 문자).exe   


그리고 "Remote Command Service"라는 서비스명으로 레지스트리 키를 생성하여 시스템 재부팅시 자동 실행하도록 구성하였다.


HKLM\SYSTEM\ControlSet001\Services\rcmdsvc\ImagePath

"C:\WINDOWS\system32\(6자리 임의의 문자).exe"


이와 함께 레지스트리 특정 키값을 수정하여 윈도우 시스템에 내장된 방화벽을 우회 할 수 있도록 설정하게 된다.


server.exe (58,368 바이트) 역시 7월 23일 20시 경에는 중국에 위치한 시스템에 접속을 시도하였으나 분석 당시에는 정상적인 접속이 이루어지지 않았다.


해당 파일 역시 공격자 의도에 따라 다음과 같이 일반적인 백도어(Backdoor)와 유사한 다양한 악의적인 기능들을 수행하게 된다.


파일 다운로드 및 실행

운영 체제 및 하드웨어 정보 수집

키보드 입력 후킹

DoS(Denial of Service) 공격

원격 제어


이 번 구글 코드를 통해 유포된 해당 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


Win-Trojan/Agent.70144.KG

Backdoor/Win32.Yoddos


ASD 데이터베이스의 데이터를 통해 1.exe (37,772 바이트)와 server.exe (58,368 바이트)의 정보들을 분석하는 과정에서 1.exe (37,772 바이트)가 다수의 국내 웹 사이트들에 대한 분산 서비스 거부(Distributed Denial-of-Service) 공격을 수행하였던 데이터들을 확인하였다.


해당 분산 서비스 거부 공격의 대상이 되었던 웹 사이트들은 웹 하드 서비스 업체 웹 사이트와 소규모 의류 쇼핑몰이 주를 이루고 있었다.


이러한 정황들을 미루어 공격자는 중국 언더그라운드에서 공유되는 악성코드 생성기를 통해 생성한 악성코드들을 구글 코드에 업로드 한 후 취약한 웹 사이트 또는 포털 웹 사이트의 카페 등을 통해 유포한 것으로 추정된다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 그 동안 지속적으로 발견되고 있는 한글 소프트웨어에 존재하는 취약점을 악용한 악성코드 감염 사례들 다수를 언급하였다. 


6월 15일 - 한글 제로데이 취약점을 악용한 악성코드 유포


6월 26일 - 알려진 한글 취약점을 악용한 악성코드 유포


7월 5일 - 지속적으로 발견되는 취약한 한글 파일 유포


이러한 한글 소프트웨어 존재하는 취약점을 악용한 취약한 한글 파일이 7월 24일 다시 발견되었으며, 이 번에 발견된 취약한 한글 파일은 아래 이미지와 동일한 내용을 가지고 있다.



해당 취약한 한글 파일은 아래 이미지와 동일한 구조를 가지고 있으며 새로운 제로 데이(Zero Day, 0-Day) 취약점이 아니다.



해당 취약점은 HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow) 취약점이며, 해당 취약점은 2010년부터 지속적으로 악용되어 왔던 한글 소프트웨어 취약점들 중 하나이다. 그리고 해당 취약점은 한글과 컴퓨터에서 이미 보안 패치를 제공 중에 있다. 


해당 취약점이 존재하는 한글 소프트웨어를 사용하는 시스템에서 금일 유포된 취약한 한글 파일을 열게 되면 사용자 계정의 임시 폴더에 scvhost.exe (32,768 바이트) 파일을 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\scvhost.exe


그러나 과거에 발견되었던 한글 취약점으로 인해 생성되는 악성코드들과 다르게 다른 파일들을 추가적으로 생성하지는 않고 자신의 복사본을 아래의 경로에 생성하게 된다.


C:\Documents and Settings\Tester\시작 메뉴\프로그램\시작프로그램\AcroRd32Info[다수의 공백]?据的.exe


생성된 scvhost.exe (32,768 바이트)의 복사본인 AcroRd32Info[다수의 공백]?据的.exe (32,768 바이트)를 윈도우 시스템의 [시작 프로그램] 폴더에 생성함으로 시스템이 재부팅 하더라도 자동 실행 하도록 한다. 


그리고 미국에 위치한 특정 시스템으로 SSL 통신을 시도하게 되나 분석 당시에는 정상적인 접속이 이루어지지 않았다. 정상적인 접속이 이루어지게 될 경우에는 공격자가 의도하는 다양한 악의적인 기능들을 수행하게 될 것으로 추정된다.


이 번에 발견된 기존에 알려진 한글 소프트웨어 취약점을 악용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


Exploit/Hwp.AccessViolation-SEH

Win-Trojan/Agent.32768.CEX


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-SEH


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Document(6)


앞서 언급한 바와 같이 한글과 컴퓨터에서 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 드 실행 제로 데이(Zero Day, 0-Day) 취약점을 악용하는 악성코드가 6월 15일 발견되었음을 공개하였다. 그리고 6월 22일에는 기존에 발견되었던 취약점을 악용한 취약한 한글 파일이 발견되었음을 공개하였다.


7월 4일 어제 다시 한글 소프트웨어에 존재하는 알려진 취약점을 악용한 취약한 한글 파일이 발견되었으며, 해당 취약한 한글 파일 역시 이메일의 첨부 파일 형태로 국내 특정 조직을 대상으로 유포 되었다.


이메일에 첨부되어 유포된 해당 취약한 한글 파일을 열게 되면 아래 이미지와 동일한 내용이 나타나게 된다.



해당 취약한 파일은 아래 이미지와 같은 구조로 되어 있으며, 6월 15일 발견된 코드 실행 취약점을 응용한 형태가 아니라 이미 보안 패치가 제공되어 있는 취약점이다.



이 번에 발견된 해당 취약한 한글 파일은 HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow) 취약점이며, 해당 취약점은 2010년부터 지속적으로 악용되어 왔던 한글 소프트웨어 취약점들 중 하나이다. 그리고 해당 취약점은 한글과 컴퓨터에서 이미 보안 패치를 제공 중에 있다. 


해당 취약점이 존재하는 한글 소프트웨어를 사용하는 시스템에서 금일 유포된 취약한 한글 파일을 열게 되면 사용자 계정의 임시 폴더에 scvhost.exe (138,240 바이트) 파일을 생성하게 된다.


c:\documents and settings\[사용자 계정명]\local settings\temp\scvhost.exe ( 138,240 바이트 


생성된 scvhost.exe (138,240 바이트) 파일이 실행되면 윈도우 폴더(c:\windows) 폴더에 wdmaud.drv (78,336 바이트)를 생성하게 된다.


C:\WINDOWS\wdmaud.drv (78,336 바이트)


그리고 생성된 wdmaud.drv (78,336 바이트)는 감염된 시스템에서 다음의 정보들을 수집하여 외부로 전송을 시도하게 되나 분석 당시에는 정상적으로 접속이 되지 않았다.


하드웨어 정보

윈도우 운영체제 정보

로그인 사용자 정보

파일 업로드 및 다운로드

감염된 시스템의 IP 주소 및 프록시(Proxy) 서버 주소


금일 발견된 기존에 알려진 한글 소프트웨어 취약점을 악용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


HWP/Exploit

Win-Trojan/Agent.138240.FK 

Trojan/Win32.Dllbot


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Document(57)


생성되는 파일명들과 생성된 악성코드들이 가지고 있는 기능들을 미루어 볼 때 해당 악성코드 제작자는 동일한 한글 취약점과 동일한 악성코드 소스코드를 바탕으로 지속적으로 변형들을 생산해내는 것으로 분석된다.


그러므로 앞서 언급한 바와 같이 한글과 컴퓨터에서 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 6월 26일 마이크로소프트(Microsoft)의 XML 코어 서비스 취약점(CVE-2012-1889)을 악용한 공격 형태가 증가하고 있다는 안내를 한 바가 있다.


그리고  6월 28에는 해당 취약점을 악용하는 코드가 변형된 형태의 XML 코어 서비스 취약점(CVE-2012-1889) 악용하고 있는 것으로 공개한 바가 있으며, 취약한 웹 사이트를 중심으로 유포가 진행 되고 있다고 언급한 바가 있다.


현재까지도 보안 패치가 제공되지 않고 있는 제로 데이(Zero-Day, 0-Day) 취약점인 해당 XML 코어 서비스 취약점 악용형태가 지난 주말인 6월 30일과 7월 1일 이틀 사이 한국 내의 취약한 웹 사이트들을 대상으로 유포되고 있는 것이 발견되었다.


주말 사이 발견된 해당 XML 코어 서비스 취약점을 악용하는 스크립트 악성코드는 아래 이미지와 같은 형태이며, 이제까지 발견된 스크립트 악성코드와는 다르게 난독화 정도가 심하게 제작되어 있다.



해당 취약점을 악용하는 스크립트 악성코드는 최소 36개 이상의 온라인 게임 정보를 탈취하기 위한 악성코드 변형들을 유포하기 위해 제작되어 있다.


그리고 해당 취약점을 악용하는 스크립트 악성코드와 온라인 게임 정보 탈취 악성코드를 제작 및 유포하는 제작자들은 아래 이미지와 같은 툴을 이용하여 현재 자신들이 제작한 악성코드들이 정상적으로 유포 중인지 확인을 하고 있었다.



해당 툴은 악성코드 제작자들이 악성코드 유포를 위해 해킹한 시스템의 도메인 주소들을 입력하고 검색을 하게 되면 위 이미지에서와 같이 3회에 걸쳐 파일이 정상적으로 존재하는지 그리고 유포가 가능한지 확인 하게 된다.


이러한 툴이 제작되어 사용되고 있다는 것으로 미루어 악성코드 제작자들은 실시간으로 유포 중인 악성코드들의 상태를 확인하고, 하나의 유포 경로가 차단되었을 경우 다른 유포지를 가동시키기 위한 전략의 자동화를 위해 제작된 것으로 판단된다.


이 번에 발견된 해당 XML 코어 서비스 취약점을 악용하는 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.


JS/Agent

Win-Trojan/Hupe.Gen

Dropper/Hupe.Gen 
Win-Trojan/Onlinegamehack 변형들
Win-Trojan/Agent 변형들

그리고 네트워크 보안장비 트러스가드(TrusGuard) 제품군에서는 해당 난독화된 XML 코어 서비스 취약점 악용 스크립트 악성코드를 다음과 같이 탐지 및 차단이 가능하다.


http_obfuscated_javascript_fromcharcode  


앞서 언급한 바와 같이 현재 XML 코어 서비스는 마이크로소프트에서 보안 패치를 제공하지 않는 제로 데이(Zero-Day, 0-Day) 취약점이다. 


그러므로 사용하는 보안 제품을 최신 엔진으로 업데이트하고, 마이크로소프트에서 임시 방안으로 제공 중인 픽스 잇(Fix It)을 설치하는 것이 해당 취약점을 악용하는 악성코드 감염을 예방하는 방안이다.



저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원