2013년 9월 12일 새벽 러시아 보안 업체인 캐스퍼스키(Kaspersky)에서는 해당 업체 블로그 "The “Kimsuky” Operation: A North Korean APT?"를 통해 한국을 대상으로 한 고도의 APT(Advanced Persistent Threat) 공격이 발견되었음을 공개하였다.


해당 블로그에서는 총 31개의 악성코드 MD5 해쉬(Hash) 값을 공개하였으며, 공격자는 불가리아의 무료 이메일 서버스인 mail.bg 를 이용해 감염된 시스템에서 탈취한 데이터를 보관하고 있다고 밝히고 있다.


ASEC에서는 해당 블로그에서 공개한 총 31개의 악성코드에 대해 2013년 6월부터 발견되고 있음을 파악하고 다양한 방안으로 대응을 진행 중에 있다.


아래 그래프는 이번에 캐스퍼스키에서 명명한 The “Kimsuky” Operation에서 공개된 31개의 악성코드들을 ASD(AhnLab Smart Defense)의 데이터 베이스에 다년간 축적된 데이터를 이용해 발견된 시기를 년도와 월별로 정리한 내역이다.



이번 한국을 대상으로한 The “Kimsuky” Operation로 명명된 APT 공격에 사용된 악성코드는 2009년 3월 최초로 발견되었으며, 4년 동안 동일한 형태의 다른 변형들이 발견되지 않았다. 그러나 2013년 6월 초를 시작으로 6월 한 달 동안 총 10개의 변형들이 발견되었으며, 2013년 9월 현재까지 지속적으로 변형들이 발견되었다.


The “Kimsuky” Operation에 사용된 악성코드들 모두 기존 한국에서 지속적으로 발견되던 취약한 한글 파일(.HWP)을 이용해 감염을 유도하는 기법으로 유포 되었다.


취약한 한글 파일들은 한국 내 정부 기관과 관공서를 대상으로 APT 공격에서 특징적으로 발견되는 이메일에 취약한 한글 파일을 첨부하여 공격 대상이 되는 내부 직원들에게 전달하는 스피어 피싱(Spear Phishing) 형태의 공격 기법이 사용되었다.


이러한 취약한 한글 파일들은 2012년 10월에 발견된 아래 이미지와 같이 스피어 피싱(Spear Phishing) 형태의 공격 기법으로 공격 대상이 되는 기관의 내부 직원들에게 전달 되었다.




현재까지 한국에서 발견된 스피어 피싱(Spear Phishing) 이메일에 첨부된 취약한 한글 파일은 크게 다음과 같은 3가지 취약점을 지속적으로 사용하고 있다. 


HWPTAG_PARA_HEADER 레코드에서 취약점 발생

HWPTAG_PARA_TEXT 레코드에서 취약점을 발생

HWPTAG_SHAPE_COMPONENT_TEXTART 레코드에서 취약점 발생


그러나 앞서 언급한 주요 3가지 취약점 이외에도 새로운 제로데이(Zero Day) 취약점들이 지속적으로 발견되고 있음으로 각별한 주의가 필요하다.


생성되는 악성코드 역시 가장 최근인 9월 초에 발견된 취약한 한글 파일의 경우, 보안 패치가 설치 되지 않은 취약한 버전의 아래 한글 소프트웨어를 사용하는 시스템에서 열어보게 될 경우 다음과 같은 악성코드들이 생성된다.


- C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\core.dll 

- C:\WINDOWS\system32\olethk64.dll

- C:\WINDOWS\system32\spondge.dll

- C:\WINDOWS\system32\zipfd.icc


그리고, 감염된 시스템에서 탈취한 데이터를 아래 무료 이메일 서비스를 사용하는 메일 주소로 전송하게 된다.


- zmail.zoho.com

- accounts.zoho.com


ASEC에서는 탈취한 데이터가 전송되는 이메일 주소의 메일 주소를 확인 하게 되면 아래 이미지와 동일한 초기 화면을 볼 수 있다. 그리고 한국에서 많이 사용되는 메일 서비스 계정을 이용해 ID가 등록되어 있는 것을 확인 할 수 있다.



그리고 해당 이메일 주소로 접속 한 시스템 이력을 확인 해보게 되면, 해당 이메일 주소를 사용한 공격자는 2013년 8월 28일 마지막으로 접속을 한 것이 알 수 있다. 9월 11일과 12일 접속한 IP는 ASEC에서 분석을 위한 목적으로 접속을 한 이력이다.



이와 함께 이메일을 수신한 이력을 확인 해보면, 아래 이미지와 같이 악성코드에 감염된 시스템에서 탈취 및 키로깅(Keylogging) 된 데이터가 암호화 되어 이메일의 첨부 파일로 보관 중인 것을 확인 할 수 잇다.


그리고 해당 메일 계정의 휴지통(Trash)에 존재하는 이메일의 첨부 파일에는 향휴 유포를 목적으로 추정되는 새로운 악성코드 변형이 XOR로 인코딩 되어 kkc.txt (77,824 바이트)라는 파일명으로 보관 중에 있다.



이번에 공개된 악성코드들 중 윈도우 레지스트리(Windows Registry)를 조작하여, V3의 개인용 방화벽(Personal Firewall)을 무력화하고자 하는 사례가 존재하였다.


그러나 최신 버전의 엔진과 패치를 모두 적용한 V3 제품 군의 경우에는 아래 이미지와 같이 "자체 보호" 기능으로 인해 개인용 방화벽이 무력화 되지 않는다.


 


이 번 캐스퍼스키에서 공개한 The “Kimsuky” Operation 으로 명명된 APT 공격에 사용된 악성코드들 가진 취약한 한글 파일과 관련 악성코드들은 모두 V3 제품 군에서 다음과 같이 진단한다.

Trojan/Win32.XwDoor

이 외에 지속적으로 발견되는 취약점을 악용하는 취약한 한글 파일들과 관련 악성코드들은 모두 V3 제품 군에서 다음과 같이 진단한다.

HWP/Exploit
Trojan/Win32.Backdoor
Trojan/Win32.Npkon
Trojan/Win32.Dllbot

취약점을 악용하는 취약한 한글 파일들은 APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher, 미국 제품명 MDS(Malware Defense System)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지 가능하다.

Exploit/HWP.AccessViolation-DE
Exploit/HWP.AccessViolation-SEH

V3 인터넷 시큐리티(Internet Security) 9.0 에 포함된 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.

Dropper/MDP.Exploit
Suspicious/MDP.Document
Suspicious/ MDP.Exploit
Suspicious/MDP.Behavior

취약점을 악용하는 취약한 한글 파일이 첨부된 스피어 피싱(Spear Phishing) 형태의 공격 기법이 지속적으로 발생하고 있다. 

그러므로, 사용하고 있는 아래아 한글 소프트웨어의 보안 패치를 모두 설치하고, 조직 외부 인물이 발송한 이메일에 첨부되어 있는 한글 파일을 열때는 각별한 주의가 필요하다.


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

 최근 취약한 PDF 파일이 국내 방산업체 직원을 사칭하여 내부 직원 대상으로 이메일 통해 유포된 것이 보고되었다. PDF 파일의 내용을 보면 알 수 있듯이 사회공학적 기법을 이용하여, 방산진흥본부에서 방산업체로 업무협조 문서를 발송한 것처럼 위장하고 있다.

 

[그림 1] PDF 파일 내용

 

해당 PDF 파일은 지난 2012년 8월에 ASEC 블로그의 "이메일을 이용한 어도비 CVE-2009-0927 취약점 악성코드 유포"와 유사한 형태로 공격자는 방산업체로 수신되는 문서를 이용하여 꾸준히 APT 공격을 하는 것으로 보인다.

이러한 공격으로 인해 내부 기밀 정보가 외부 공격자에게 유출되는 피해가 발생할 수 있기 때문에 국가 기관 및 방산업체에서는 심각하게 받아들여지고 있다. 따라서, 이와 같은 보안 위협에 대한 대응이 필요하다.

 

방산업체 직원으로 사칭해서 유포된 이메일의 첨부파일은 다음과 같다.

[그림 2] 이메일 첨부파일

 

"업무연락 근무시간 관련 업계 현황 조사 협조요청_20130130.pdf" 파일을 실행하면 아래와 같이 파일과 레지스트리 키를 생성하여 webios.dll 파일이 6to4 Manager 이름으로 서비스에 등록되어 시스템 시작 시 마다 자동 실행되도록 한다.

 

[파일 생성]

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\AdobeARM.dll

C:\WINDOWS\system32\webios.dll

C:\WINDOWS\system32\wdiguest.dll

 

[레지스트리 등록]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Parameters\ServiceDll

"C:\WINDOWS\system32\webios.dll"

 

[그림 3] 6to Manager 서비스 등록 상태

 

webios.dll 파일과 wdiguest.dll 파일은 동일한 파일이며, webios.dll 파일은 svchost.exe 프로세스에 로드 되어 동작하며, 미국에 위치하는 C&C 서버로 주기적으로 접속을 시도하는 것으로 확인된다.

 

hxxp://yy**.**.nu (173.2**.***.202, US)

 

[그림 4] 173.2**.***.202 접속 시도 패킷

 

C&C 서버와 정상적인 통신에 성공하게 된다면 공격자의 명령에 따라 키보드 입력을 가로채는 키로깅과 원격 제어 등의 기능을 수행하게 된다.

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

PDF/Exploit

Trojan/Win32.Dllbot

Win-Trojan/Dllbot.8704.E

신고
Posted by DH, L@@

ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어 존재하는 취약점들을 악용하여 악성코드 감염을 시도한 공격 사례들에 대해 여러 차례 공유 한 바가 있다. 특히 최근 1달 사이만을 살펴보더라도 아래와 같이 다수의 공격 사례들이 있어, 외부에서 유입되는 이메일에 첨부된 한글 파일을 열게 될 경우에는 각별한 주의가 필요하다.



2012년 10월 24일, 다시 한글 소프트웨어에 존재하는 알려진 취약점을 악용하는 취약한 한글 파일 2건이 발견되었다. 이 번에 발견된 취약한 한글 파일 2건은 국내 유명 포털 웹 사이트에서 제공하는 메일 서비스의 이메일 주소 이용하고 있으며, 취약한 한글 파일들이 이메일의 첨부 파일로 존재 한다.


첫 번째 메일은 아래 이미지와 같이 "핵심공약"이라는 메일 제목에 "핵심공약.hwp" 라는 한글 파일이 첨부 파일로 존재하는 형태이다.



그리고 두 번째 메일은 아래 이미지와 같이 "현안대응"이라는 메일 제목에 "현안대응.hwp"이라는 한글 파일이 첨부 파일로 존재한다.



첨부 되어 있는 "핵심공약.hwp (164,629 바이트)"을 열게 되면 아래 이미지와 같이 대통령 선거의 공약들과 관련된 내용이 나타나게 된다.



그리고 두 번째 "현안대응.hwp (168,725 바이트)"를 열게 되면 아래 이미지와 같이 한국의 정치적인 상황들과 관련된 내용이 나타나게 된다.



이 번에 발견된 해당 파일들은 일반적인 OLE 포맷을 따르지 않고 아래 이미지와 같이 한글  Version 2 포맷이라는 별도의 파일 포맷 형식으로 되어 있다.



그리고 해당 취약한 한글 파일들 내부에는 아래 이미지와 같이 별도의 PE 파일이 임베디드(Embedded) 되어 있는 형태를 가지고 있다.



해당 취약한 한글 파일들을 열게 되면 모두 공통적으로 시스템 사용자 모르게 백그라운드로 "svc.exe (126,976 바이트)" 파일을 생성하게 된다.


C:\Documents and Settings\Tester\Local Settings\Temp\svc.exe


생성된 svc.exe는 다시 DLL 형태의 파일인 "wdmaud.drv (78,336 바이트)" 를 다음 경로에 생성하게 된다.


C:\WINDOWS\wdmaud.drv


생성된 wdmaud.drv 는 윈도우 시스템 프로세스인 explorer.exe와 winlogin.exe의 스레드(Thread)로 인젝션이 성공하게 되면 감염된 시스템에서 다음의 악의적인 기능들을 수행하게 된다.


파일 다운로드 및 업로드

CMD.EXE를 이용한 콘솔 명령 실행

실행 중인 프로세스 리스트 수집

감염된 시스템 컴퓨터명 수집

감염된 시스템 IP와 프록시(Proxy) 서버 주소 수집

윈도우 사용자 계정 명 수집

감염된 시스템의 윈도우 버전과 언어 정보 수집


감염된 시스템에서 수집한 정보들은 한국에 위치한 특정 시스템으로 HTTP를 이용해 전송하게 된다.


이 번에 발견된 대통령 선거 관련 내용을 담고 있는 취약한 한글 파일들은 모두 V3 제품 군에서 다음과 같이 진단한다.


HWP/Exploit

Trojan/Win32.Npkon

Trojan/Win32.Dllbot


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-SEH


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Suspicious/MDP.Document

Dropper/MDP.Exploit

Suspicious/ MDP.Exploit

Suspicious/MDP.Behavior


현재 한글과 컴퓨터에서는 해당 취약한 한글 파일들이 악용하는 취약점에 대한 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

ASEC에서는 그 동안 한글 소프트웨어에 존재하는 취약점들을 악용하는 악성코드 유포 사례들을 공개 한 바가 있다.


그리고 2012년 6월 15일에는 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용한 악성코드 유포 사례가 있음을 공개하기도 하였다.


2012년 10월 8일 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용하여 악성코드 유포를 시도한 사레가 다시 발견되었으다.


이 번에 발견된 제로 데이 취약점을 악용하느 취약한 한글 파일은 아래 이미지와 같은 내용을 가지고 있으며, 유포 당시에는 "한반도통일대토론회-120928.hwp (225,792 바이트)"라는 파일명을 사용하였다.



해당 취약한 한글 파일은 앞서 언급한 바와 같이 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용하고 있으며, 현재 한글과 컴퓨터에서 관련 보안 패치를 제공하지 않고 있다.


악용되는 취약점은 한글 소프트웨어에서 사용되는 HwpApp.dll에 존재하는 한글 문서 내용을 파싱 할 때 발생하는 힙 스프레이 오버플로우(Heap-spray Overflow)로 인한 코드 실행 취약점이다.


이 번에 유포된 취약한 한글 파일을 한글 소프트웨어가 설치된 시스템에서 열게 되면 다음 아미지와 같은 순서에 의해 악성코드들에 감염 된다.



먼저 취약한 한글 파일을 열게 되면 kbs.dll (115,200 바이트)가 다음 경로에 생성 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\kbs.dll


생성된 kbs.dll는 다시 동일한 경로에 kbs.exe (90,112 바이트)를 생성하게 되며, kbs.exe 다시 아래의 경로에 자신의 복사본인 svchost.exe (90,112 바이트)와 함께 p_mail.def (10 바이트)와 com.dat (40,960 바이트)를 순차적으로 다음 경로에 생성하게 된다.


C:\WINDOWS\system32\2065\p_mail.def

C:\WINDOWS\system32\2065\svchost.exe

C:\WINDOWS\system32\2065\com.dat


그리고 레지스트리(Registry)에 다음의 키 값을 생성하여 자신의 복사본인 svchost.exe이 "SMS Loader"라는 윈도우 서비스로 시스템 재부팅 시에도 자동 실행되도록 구성하게 된다.


HKLM\SYSTEM\ControlSet001\Services\SMS Loader

ImagePath = "C:\WINDOWS\system32\2065\svchost.exe"


kbs.exe에 의해 생성된 p_mail.def 는 악성코드가 시스템에서 실행된 최초의 시각을 기록한 로그 파일이며, kbs.exe에 의해 생성된 자신의 복사본인 svchost.exe에 의해 다음의 악의적인 기능들을 수행하게 된다.


윈도우 내장 방화벽 무력화

AhnLab V3 Internet Security 8.0 및 2007 방화벽 무력화

윈도우 사용자 정보 수집

감염 시스템 IP, 운영체제 및 하드웨어 정보 수집

키보드 입력 가로채기


그리고 감염된 시스템에서 수집한 키보드 입력 데이터와 시스템 및 하드웨어 정보는 다음과 같은 경로에 key.datlog.dat 파일들을 생성하여 기록하게 된다. 그리고 악성코드에 의해 감염된 시각을 jpg 파일명으로 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\key.dat

C:\WINDOWS\system32\2065\log.dat

C:\WINDOWS\system32\2065\[월일시분초10자리].jpg


감염된 시스템에서 수집한 정보들이 기록된 key.datlog.dat 파일들은 com.dat에 의해 한국에서 운영되는 특정 웹하드 웹 사이트에 접속하여 지정된 공유 폴더에 업로드 하게 된다.


이 번에 발견된 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용하는 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


HWP/Exploit

Trojan/Win32.Npkon

Trojan/Win32.Dllbot


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함된 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit

Suspicious/MDP.DropExecutable

Suspicious/MDP.DropMalware

Suspicious/MDP.Behavior


앞서 언급한 바와 같이 이 번에 발견된 취약한 한글 파일은 한글 소프트웨어 존재하는 알려지지 않은 제로 데이 취약점을 악용하여 악성코드 감염을 시도하였다.


그러므로 잘 알지 못하는 사람이 발송한 이메일에 첨부된 한글 파일의 실행 시에는 각별한 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 취약점을 악용하는 악성코드 사례들을 다수 공개한 적이 있다.


2011년 10월 - 취약한 한글 파일을 악용한 악성코드 유포


2012년 6월 - 한글 제로데이 취약점을 악용한 악성코드 유포


2012년 6월 - 알려진 한글 취약점을 악용한 악성코드 유포


2012년 7월 - 지속적으로 발견되는 취약한 한글 파일 유포


2012년 7월 - 한글 취약점을 악용한 취약한 한글 파일 추가 발견


2012년 8월 - 다시 발견된 한글 취약점을 악용한 취약한 한글 파일


2012년 9월 3일 다시 한글 소프트웨어에 존재하는 취약점을 악용하는 취약한 한글 파일과 악성코드가 다시 발견되었다.


이 번에 발견된 취약한 한글 파일을 열게 되면 아래 이미지와 동일하게 "북한전문가와 대북전략가"라는 제목의 내용을 가지고 있다.



이 번에 발견된 취약한 한글 파일은 기존에 발견되었던 취약한 한글 파일들에서 자주 악용되었던  HncTextArt_hplg 관련 버퍼 오버플로우(Buffer Overflow) 취약점은 아니다.


해당 취약한 한글 파일에서 악용한 취약점은 EtcDocGroup.DFT에 존재하는 버퍼 오버플로우로 인해 임의의 코드가 실행되는 취약점이다. 현재 해당 취약점과 관련된 보안 패치는 이미 한글과 컴퓨터에서 보안 패치를 배포 중에 있다.


해당 취약한 한글 파일 내부에 백도어 기능을 수행하는 악성코드가 인코딩된 상태로 임베디드(Embedded) 되어 있다.


해당 취약한 한글 파일을 보안 패치가 설치 되지 않은 한글 소프트웨어가 설치되어 있는 시스템에서 열게 되면 사용자 모르게 백그라운드로 msver.tmp (137,884 바이트) 파일을 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\msver.tmp 


해당 파일이 정상적으로 생성되면 다시 msver.tmp (137,884 바이트) 는 msiexec.exe (94,208 바이트)를 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\msiexec.exe 


그리고 다시 vmm85.tmp (64,472 바이트)를 다음 폴더에 생성하게 된다. 


C:\documents and settings\tester\local settings\temp\vmm85.tmp


생성한 vmm85.tmp (64,472 바이트)의 자신의 복사본을 EventSystem.dl(64,472 바이트)라는 파일명으로 윈도우 시스템 폴더에 생성하게 된다


C:\WINDOWS\system32\EventSystem.dll 


생성된 EventSystem.dll (64,472 바이트)는 윈도우 시스템에 존재하는 rundll32.exe를 이용해 자신을 실행하여 미국에 위치한 특정 시스템으로 역접속을 시도하게 된다. 그러나 분석 당시에는 정상적인 접속이 이루어지지 않았다.


만약 정상적인 접속이 이루어지게 된다면, 공격자의 명령에 따라 다음의 악의적인 기능들을 수행하게 된다.


시스템 하드웨어 정보

운영체제 정보

프록시 설정

네트워크 정보 확인

파일 실행, 업로드 및 다운로드

디렉토리 정보 확인

실행 중인 프로세스 리스트 확인


그리고 감염된 시스템에 다음의 확장자를 가진 파일이 존재 할 경우 수집하여 외부로 전송을 시도하게 된다.


jpg, dat, png, rm, avi, mp3, pdf, bmp, mov, rar, zip, tmp


이 번에 발견된 한글 소프트웨어에 존재하는 취약점을 악용하는 취약한 한글 파일과 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.


HWP/Exploit

Dropper/Malware.137884

Win-Trojan/Protux.94208.D

Trojan/Win32.Dllbot


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-SEH


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Document


앞서 언급한 바와 같이 한글과 컴퓨터에서 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

ASEC에서는 2012년 8월 21일 어제 CVE-2009-0927 취약점을 악용하는 어도비 리더(Adobe Reader) 파일인 PDF 파일이 이메일에 첨부되어 국내에 유포된 사실을 확인 하였다.


해당 CVE-2009-0927 취약점은 2009년 3월 어도비에서 보안 권고문 "APSB09-04 Security Updates available for Adobe Reader and Acrobat"을 통해 이미 보안 패치가 배포 중인 취약점이다. 그리고 해당 취약점을 악용하여 취약한 PDF 파일을 유포하는 공격 형태는 2009년 10월부터 지속적으로 발견되어 왔다.


2009년 10월 9일 - 어도비 PDF 제로 데이 취약점 공격 악성코드 발견


2009년 10월 16일 - 새로운 어도비 취약점 웹 사이트를 통해 유포


2009년 11월 10일 - 타켓 공격에 악용된 취약한 PDF 악성코드


2010년 11월 25일 - 이메일로 유포된 랜섬웨어를 다운로드하는 제우스


이 번에 발견된  CVE-2009-0927 취약점을 악용하는 취약한 PDF 파일은 이메일에 첨부된 형태로 유포되었으며, 동일한 취약점을 파일명과 문서 내용만을 변경하여 유포되었다.


현재 확인된 취약한 PDF 파일은 총 2개로 열게 되면 아래 이미지와 같은 내용들이 보여진다.


공문국방무기체계사업관리교육9월교육과정입교희망자파악.pdf (408,766 바이트)



공문과학적사업관리기법확대적용및EVMTool소개교육안내.pdf (458,902 바이트)



해당 문서들을 어도비에서 배포한 보안 패치를 설치하지 않은 취약한 버전의 어도비 리더를 사용하는 시스템에서 열어보게 될 경우 AdobeARM.dll (32,768 바이트)와 webios.dll (8,704 바이트) 파일들이 생성된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\AdobeARM.dll

C:\WINDOWS\system32\webios.dll


다음의 레지스트리 키를 생성하여 생성한 webios.dll (8,704 바이트) 를 윈도우 서비스로 등록하여 감염된 시스템이 재부팅 되더라도 자동 실행되도록 구성한다.

HKLM\SYSTEM\ControlSet001\Services\6to4\Parameters\ServiceDll 
= "C:\WINDOWS\system32\webios.dll"     

그리고 감염된 시스템에 존재하는 정상 svchost.exe 파일을 로드하여 webios.dll (8,704 바이트) 을  해당 정상 svchost.exe의 프로세스에 인젝션하게 된다. 스레드 인젝션이 성공하게 되면 미국에 위치한 특정 시스템으로 접속을 시도하게 된다.

미국에 위치한 특정 시스템과 정상적인 통신에 성공하게 된다면 공격자의 명령에 따라 키보드 입력을 가로채는 키로깅(Keylogging)과 원격 제어 등의 기능을 수행하게 된다.

이번 방위산업 관련 문서 내용을 가지고 있는 CVE-2009-0927 취약점을 악용하는 어도비 리더 PDF 파일과 관련 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.

PDF/Exploit
Trojan/Win32.Dllbot 
Win-Trojan/Dllbot.8704

APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 탐지가 가능하다.

향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.

Dropper/MDP.Exploit (6)

앞서 언급한 바와 같이 이번에 발견된 CVE-2009-0927 취약점을 악용하는 어도비 리더 PDF 파일들은 2009년에 발견된 취약점을 악용하고 있으며, 이미 어도비에서 보안 패치를 배포 중에 있다.

그러므로 어도비에서 배포하는 보안 패치 설치를 통해 해당 CVE-2009-0927 취약점을 악용하는 악성코드의 감염외에도 다른 어도비 관련 취약점을 악용하는 악성코드들의 감염도 예방 할 수 있다.


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

ASEC에서는 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 드 실행 제로 데이(Zero Day, 0-Day) 취약점을 악용하는 악성코드가 6월 15일 발견되었음을 공개하였다. 그리고 6월 22일에는 기존에 발견되었던 취약점을 악용한 취약한 한글 파일이 발견되었음을 공개하였다.


7월 4일 어제 다시 한글 소프트웨어에 존재하는 알려진 취약점을 악용한 취약한 한글 파일이 발견되었으며, 해당 취약한 한글 파일 역시 이메일의 첨부 파일 형태로 국내 특정 조직을 대상으로 유포 되었다.


이메일에 첨부되어 유포된 해당 취약한 한글 파일을 열게 되면 아래 이미지와 동일한 내용이 나타나게 된다.



해당 취약한 파일은 아래 이미지와 같은 구조로 되어 있으며, 6월 15일 발견된 코드 실행 취약점을 응용한 형태가 아니라 이미 보안 패치가 제공되어 있는 취약점이다.



이 번에 발견된 해당 취약한 한글 파일은 HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow) 취약점이며, 해당 취약점은 2010년부터 지속적으로 악용되어 왔던 한글 소프트웨어 취약점들 중 하나이다. 그리고 해당 취약점은 한글과 컴퓨터에서 이미 보안 패치를 제공 중에 있다. 


해당 취약점이 존재하는 한글 소프트웨어를 사용하는 시스템에서 금일 유포된 취약한 한글 파일을 열게 되면 사용자 계정의 임시 폴더에 scvhost.exe (138,240 바이트) 파일을 생성하게 된다.


c:\documents and settings\[사용자 계정명]\local settings\temp\scvhost.exe ( 138,240 바이트 


생성된 scvhost.exe (138,240 바이트) 파일이 실행되면 윈도우 폴더(c:\windows) 폴더에 wdmaud.drv (78,336 바이트)를 생성하게 된다.


C:\WINDOWS\wdmaud.drv (78,336 바이트)


그리고 생성된 wdmaud.drv (78,336 바이트)는 감염된 시스템에서 다음의 정보들을 수집하여 외부로 전송을 시도하게 되나 분석 당시에는 정상적으로 접속이 되지 않았다.


하드웨어 정보

윈도우 운영체제 정보

로그인 사용자 정보

파일 업로드 및 다운로드

감염된 시스템의 IP 주소 및 프록시(Proxy) 서버 주소


금일 발견된 기존에 알려진 한글 소프트웨어 취약점을 악용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


HWP/Exploit

Win-Trojan/Agent.138240.FK 

Trojan/Win32.Dllbot


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Document(57)


생성되는 파일명들과 생성된 악성코드들이 가지고 있는 기능들을 미루어 볼 때 해당 악성코드 제작자는 동일한 한글 취약점과 동일한 악성코드 소스코드를 바탕으로 지속적으로 변형들을 생산해내는 것으로 분석된다.


그러므로 앞서 언급한 바와 같이 한글과 컴퓨터에서 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시
신고
Posted by 비회원

ASEC에서는 6월 15일 한글과 컴퓨터에서 개발한 한글 소프트웨어에 존재하는 코드 실행 취약점을 악용한 악성코드 유포 사례가 발견되었음을 공개하였다.


현재 해당 코드 실행 취약점에 대해서는 6월 22일 한글과 컴퓨터에서는 해당 취약점을 제거할 수 있는 보안 패치를 공개하여, 해당 취약점을 악용한 악성코드 감염 시도에 대해서는 원천적인 차단이 가능하다.


금일 다시 국내에서 알려진 한글 소프트웨어의 취약점을 악용하여 악성코드 감염을 시도한 사례가 발견되었다.


이 번에 유포된 취약한 한글 파일들은 국내 특정 조직들을 대상으로 발송된 이메일의 첨부 파일 형태로 유포되었으며, 첨부된 취약한 한글 파일들을 열게되면 아래 이미지와 같은 내용이 보여진다.




해당 취약한 파일은 아래 이미지와 같은 구조로 되어 있으며, 6월 15일 발견된 코드 실행 취약점을 응용한 형태가 아니라 이미 보안 패치가 제공되어 있는 취약점이다.



이 번에 발견된 해당 취약한 한글 파일은 HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow) 취약점이며, 해당 취약점은 2010년부터 지속적으로 악용되어 왔던 한글 소프트웨어 취약점들 중 하나이다.


해당 취약점이 존재하는 한글 소프트웨어를 사용하는 시스템에서 금일 유포된 취약한 한글 파일을 열게 되면 사용자 계정의 임시 폴더에 scvhost.exe (138,752 바이트) 파일을 생성하게 된다.


c:\documents and settings\[사용자 계정명]\local settings\temp\scvhost.exe (138,752 바이트) 


생성된 scvhost.exe (138,752 바이트) 파일이 실행되면 윈도우 폴더(c:\windows) 폴더에 wdmaud.drv (78,848 바이트)와 wdmaud.dat (78,848 바이트)를 생성하게 된다.


C:\WINDOWS\wdmaud.drv (78,848 바이트)

C:\WINDOWS\wdmaud.dat (78,848 바이트) 


wdmaud.dat (78,848 바이트)는 인코딩되어 있는 파일로 해당 파일을 디코딩하게 되면 실행 가능한 PE 파일이 wdmaud.drv (78,848 바이트)이 생성된다.


wdmaud.dat (78,848 바이트)의 디코딩 작업이 완료되어 wdmaud.drv (78,848 바이트)가 생성되면 해당 scvhost.exe (138,752 바이트)에 의해 해당 파일은 삭제된다.


그리고 생성된 wdmaud.drv (78,848 바이트)는 감염된 시스템에서 다음의 정보들을 수집하여 외부로 전송을 시도하게 되나 분석 당시에는 정상적으로 접속이 되지 않았다.


하드웨어 정보

윈도우 운영체제 정보

로그인 사용자 정보

파일 업로드 및 다운로드

감염된 시스템의 IP 주소 및 프록시(Proxy) 서버 주소


금일 발견된 기존에 알려진 한글 소프트웨어 취약점을 악용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


HWP/Agent
Win-Trojan/Npkon.138752
Trojan/Win32.Dllbot

APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.

Exploit/HWP.AccessViolation-DE

향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.

Dropper/MDP.Document(57)

앞서 언급한 바와 같이 금일 유포된 취약한 한글 파일은 이미 한글과 컴퓨터에서 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.


저작자 표시
신고
Posted by 비회원

한국에서 많이 사용되는 한글 소프트웨어에 존재하는 알려지지 않은 제로데이(0-Day, Zero-Day) 취약점 또는 기존에 알려진 취약점을 악용한 악성코드 유포는 2010년 무렵부터 국내에서 발견되기 시작하였다.


이러한 취약점이 발견될 때마다 한글 소프트웨어를 개발하는 한글과 컴퓨터에서는 발견된 해당 취약점을 제거하는 보안 패치도 꾸준히 배포하였다.


금일 다시 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용하여 악성코드 감염을 시도한 사례가 발견되었다.


이 번에 발견된 취약점을 포함하고 있는 취약한 한글 파일(HWP)은 986,624 바이트의 크기를 가지고 있으며, 전자 메일의 첨부 파일 형태로 유포된 것으로 파악하고 있다.



해당 취약한 파일은 아래 이미지와 같은 구조를 가지고 있으며, 한글 파일 내부에 다른 PE 파일이 인코딩 된 상태로 포함되어 있다.



이 번에 발견된 해당 취약한 한글 파일은 아래 이미지와 같은 전체적인 악성코드 감염 구조를 가지고 있으며, 다른 악성코드들과 로그 파일을 생성하게 된다.



해당 취약한 한글 파일을 실행하게 되면 사용 중인 윈도우(Windows) 시스템에 다음의 파일이 생성된다.


C:\WINDOWS\YAHOO.dll (135,168 바이트)


생성된 해당 YAHOO.dll 파일은 다시 윈도우 시스템 폴더(C:\WINDOWS\system32\)에 다음 파일들을 생성하게 된다.


C:\WINDOWS\system32\winview.exe  (49,152 바이트)

C:\WINDOWS\system32\c_38901.nls (45,056 바이트)


그리고 다시 생성된 파일 중 하나인 winview.exe 는 다시 자신의 복사본을 아래와 같이 생성하고 감염된 시스템의 정보들을 기록하는 로그 파일을 생성하게 된다. 


C:\WINDOWS\system32\IBMCodecSrv.exe (49,152 바이트)

C:\WINDOWS\system32\c_43911.nls

C:\WINDOWS\system32\abc.bat (39 바이트)


생성된 abc.bat 는 아래와 같은 커맨드 명령으로 동일한 윈도우 시스템 폴더에 tmp.dat를 생성하고 악성코드가 실행된 년도와 날자를 기록하게 된다.


date /t > "C:\WINDOWS\system32\tmp.dat" 


생성된 로그 파일 c_43911.nls은 아래 이미지와 같이 감염된 시스템의 하드웨어 및 운영체제 정보들 그리고 현재 감염된 시스템에서 실행 중인 프로그램들의 프로세스(Process) 정보 모두를 기록하게 된다



그리고 감염된 시스템이 재부팅을 하더라도 악성코드 자신을 다시 실행시키기 위하여 윈도우 레지스트리에 특정 키를 생성하여 생성된 파일 중 하나인 IBMCodecSrv.exe 을 "Microsoft Audio Codec Services"라는 명칭으로 윈도우 서비스로 등록하게 된다.


HKLM\SYSTEM\ControlSet001\Services\Microsoft Audio Codec Services

ImagePath = "C:\WINDOWS\system32\IBMCodecSrv.exe"


생성된 파일들은 각가 다른 역할을 하도록 설계 되어 제작되었으며, 하나의 악성코드만을 분석하여서는 해당 악성코드들이 어떠한 목적을 가지고 설계 및 제작이 되었는지를 파악하기 어렵도록 구성되었다.


최초 YAHOO.dll에 의해 생성되는 파일인 winview.exe와 해당 파일의 복사본인 IBMCodecSrv.exe는 아래 이미지에서와 같이 감염된 시스템의 하드웨어 및 운영체제 정보 수집한다.



그리고 이와 함께 함께 감염된 시스템에서 다음의 웹 브라우저들이 실행되면 해당 프로세스를 모니터링하여 접속하는 웹 사이트 주소들 역시 모두 수집하게 된다.


FireFox

Internet Explorer

Chrome


winview.exe와 해당 파일의 복사본인 IBMCodecSrv.exe는 감염된 시스템에서 웹 사이트 접속 주소, 하드웨어 및 운영체제 정보들을 수집하여 이를 로그 파일인 c_43911.nls에 기록하는 정보 수집 목적으로 제작된 악성코드 이다. 


그리고 YAHOO.dll 파일에 의해 생성되는 다른 c_38901.nls 파일은 아래 이미지에서와 같이 감염된 시스템에서 임의로 구글(Google) 지메일(Gmail)의 사용자 세션을 연결하게 된다. 



연결한 구글 지메일 세션을 이용하여 c_38901.nls는 특정 메일 주소로  winview.exe와 해당 파일의 복사본인 IBMCodecSrv.exe에 의해 감염된 시스템에서 수집된 정보들이 기록된 로그 파일인 c_43911.nls을 전송하는 정보 탈취 목적으로 제작된 악성코드이다.


이 번에 발견된 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용한 악성코드 감염 시도는 해당 악성코드가 감염된 시스템으로부터 다양한 정보들을 수집하기 위한 목적으로 제작된 것으로 추정되며, 이러한 정보는 향후 다른 공격을 계획하거나 구상할 경우 유용한 데이터로 활용 될 수 있다.


이 번에 발견된 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용한 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.


HWP/Exploit

Trojan/Win32.Dllbot

Trojan/Win32.Npkon


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함된 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Document(57)


현재 해당 악성코드에서 사용한 취약점은 앞서 언급한 바와 같이 한글과 컴퓨터에서 보안 패치가 제공되지 않는 제로데이 취약점이다.


그러므로 메일이나 웹 사이트 등으로부터 전달 받게된 출처가 불명확한 한글 파일을 실행하는 경우에는 각별한 주의가 필요하다.

저작자 표시
신고
Posted by 비회원