안랩 ASEC에서 2012년 8월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.32을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 8월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

보안 프로그램으로 위장한 악성코드

변조된 정상 프로그램을 이용한 게임핵 유포

ActiveX라는 이름의 악성코드

게임부스터 패스트핑으로 위장한 악성코드

국내 업체를 대상으로 유포된 악성 스팸 메일

이메일을 이용한 어도비 CVE-2009-0927 취약점 악성코드 유포

오라클 자바 JRE 7 제로데이 취약점을 악용한 악성코드 유포

MS12-060(CVE-2012-1856) 취약점을 악용한 타깃 공격

어도비 플래시 플레이어의 CVE-2012-1535 취약점 악용 악성코드

페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷

런던 올림픽 악성 스팸메일

Xanga 초대장을 위장한 악성 스팸메일

Flame 변형으로 알려진 Gauss 악성코드

YSZZ 스크립트 악성코드의 지속 발견

사우디아라비아 정유 업체를 공격한 Disttrack 악성코드

악성코드 감염으로 알려진 일본 재무성 침해 사고

usp10.dll 파일을 생성하는 악성코드의 버그 발견

스크랩된 기사 내용을 이용하는 악성 한글 파일

또다시 발견된 한글 취약점을 악용한 취약한 문서 파일


2) 모바일 악성코드 이슈

2012 런던 올림픽 게임으로 위장한 안드로이드 악성코드

SMS를 유출하는 ZitMo 안드로이드 악성코드의 변형


3) 보안 이슈

지속적인 서드파티 취약점 악용에 따른 보안 업데이트의 중요성

어도비 플래시 플레이어 취약점 악용(CVE-2012-1535)

Oracle Java JRE 7 제로데이 취약점 악용(CVE-2012-4681)

윈도우 공용 컨트롤의 취약점으로 인한 원격 코드 실행 문제점 MS12-060(CVE-2012-1856)


4) 웹 보안 이슈

자바 제로데이 취약점의 등장


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.32 발간


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

어도비(Adobe)에서는 8월 15일인 어제 어도비 플래쉬 플레이어(Adobe Flash Player)에 존재하는 취약점인 CVE-2012-1535를 제거하기 위한 보안 패치를 배포 중임을 보안 권고문 "APSB12-18 Security update available for Adobe Flash Player"를 통해 밝혔다.


해당 보안 권고문을 통해 어도비에서는 플래쉬 플레이어에 존재하는 CVE-2012-1535 취약점은 버전 11.3.300.270 이하 버전에 발생하며, 제한적인 타겟 공격(Targeted Attack)에 악용되었음을 같이 공개하였다.


ASEC에서는 추가적인 조사와 분석을 통해 해당 CVE-2012-1535 취약점을 악용한 타겟 공격은 마이크로소프트 워드(Microsoft Word)에 임베디드(Embedded) 된 워드 파일 형태로 유포되었으며, 유포 당시 "Running Mate.doc"와 "iPhone 5 Battery.doc" 라는 파일명이 사용된 것으로 파악된다.


이번 발견된 어도비 플래쉬 플레이어에 존재하는 CVE-2012-1535 취약점을 악용하는 악성코드는 아래와 같은 워드 파일 구조를 가지고 있으며, 파일 내부에는 XOR로 인코딩된 백도어 파일도 같이 포함되어 있다.



취약한 어도비 플래쉬 플레이어 버전을 사용하는 시스템에서 해당 취약한 워드 파일을 열게 되면 내부에 포함된 취약한 SWF 파일도 함께 실행이 되며, 힙 스프레이 오버플로우(Heap spray overflow)가 발생하게 된다. 


그리고 해당 워드 파일 내부에 같이 포함되어 있는 PE 파일을 taskman.dll (61,440 바이트)라는 명칭으로 다음의 경로에 생성 하게 된다.


C:\Documents and Settings\[사용자 계정명]\Application Data\taskman.dll


그리고 시스템에 존재하는 정상 rundll32.exe 파일을 이용하여 생성된 taskman.dll (61,440 바이트) 을 생성하게 된다.


생성된 taskman.dll (61,440 바이트)가 정상적으로 실행되면 미국에 위치한 특정 시스템으로 접속을 시도하나 분석 당시에는 정상적인 접속이 이루어지지 않았다.


정상적인 접속이 이루어지게 될 경우에는 하드웨어 및 운영체제 정보와 실행 중인 프로세스 리스트 등의 정보를 수집히는 백도어 기능을 수행하고 그 정보들을 전송하게 된다.


이번에 알려진 어도비 플래쉬 플레이어의 CVE-2012-1535 취약점을 악용하는 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


Dropper/Cve-2012-1535

Win-Trojan/Briba.61440

SWF/Cve-2012-1535


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/DOC.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit (6)


해당 CVE-2012-1535 취약점은 현재 발견된 취약한 플래쉬 플레이어 파일(.SWF)이 포함된 워드 파일에외에도 향후에는 어도비 리더(Adobe Reader)에 취약한 SWF 파일이 포함되거나 취약한 웹 사이트를 통해 SWF 파일 단독으로 유포될 가능성이 높다.


그러므로 어도비에서 현재  배포 중인 CVE-2012-1535  취약점을 제거 할 수 있는 보안 패치를 Adobe Flash Player Download Center를 통해 지금 즉시 업데이트 하여 다른 보안 위협에서 악용하는 것을 예방 하는 것이 중요 하다.


저작자 표시 비영리 변경 금지
신고
Posted by 비회원