해외 시각으로 10월 15일 러시아 보안 업체인 캐스퍼스키(Kaspersky)에서는 플레임(Flame)의 새로운 변형인 미니플레임(miniFlame)을 발견 하였음을 블로그 "miniFlame aka SPE: "Elvis and his friends""를 통해 공개하였습니다.


이 번에 발견된 플레임의 변형인 미니플레임은 2012년 8월에 공개된 가우스(Gauss)와 유사도가 높으며, 해당 악성코드 역시 사이버 전쟁을 위한 정보 수집의 목적으로 제작되었다.


현재까지 캐스퍼스키에서 밝히 스턱스넷(Stuxnet)에서부터 미니플레임까지의 감염된 시스템의 수치는 다음 표와 같은 것으로 밝히고 있다.



해당 미니플레임 악성코드는 모듈화된 형태로 존재하며 전체적인  전체적인 구조는 아래 이미지와 같이 동작하게 되어 있다.



이번에 발견된 미니플레임은 감염된 시스템에서 자신의 복사본을 유포하기 위해 스턱스넷 등 기존에 발견된 다른 악성코드들과 유사하게 이동형 저장 장치인 USB를 악용하고 있다.


그리고 감염된 시스템에서는 파일 읽기 및 쓰기, 특정 파일 C&C 서버로 전송, 특정 프로세스 실행시 화면 캡쳐 등의 악의적인 기능을 수행하게 된다.


이 번에 발견된 플레임의 새로운 변형인 미니플레임 변형들은 V3 제품 군에서 다음과 같이 진단한다.


Win-Trojan/MiniFlame.75264

Win-Trojan/MiniFlame.89680

Win-Trojan/MiniFlame.76288 

Win-Trojan/MiniFlame.108544 

Win-Trojan/MiniFlame.97280 

Win-Trojan/MiniFlame.113152 

Win-Trojan/MiniFlame.96768

Win-Trojan/MiniFlame.112128 

Win-Trojan/MiniFlame.104448 

Win-Trojan/MiniFlame.13312


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

안랩 ASEC에서 2012년 8월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.32을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 8월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

보안 프로그램으로 위장한 악성코드

변조된 정상 프로그램을 이용한 게임핵 유포

ActiveX라는 이름의 악성코드

게임부스터 패스트핑으로 위장한 악성코드

국내 업체를 대상으로 유포된 악성 스팸 메일

이메일을 이용한 어도비 CVE-2009-0927 취약점 악성코드 유포

오라클 자바 JRE 7 제로데이 취약점을 악용한 악성코드 유포

MS12-060(CVE-2012-1856) 취약점을 악용한 타깃 공격

어도비 플래시 플레이어의 CVE-2012-1535 취약점 악용 악성코드

페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷

런던 올림픽 악성 스팸메일

Xanga 초대장을 위장한 악성 스팸메일

Flame 변형으로 알려진 Gauss 악성코드

YSZZ 스크립트 악성코드의 지속 발견

사우디아라비아 정유 업체를 공격한 Disttrack 악성코드

악성코드 감염으로 알려진 일본 재무성 침해 사고

usp10.dll 파일을 생성하는 악성코드의 버그 발견

스크랩된 기사 내용을 이용하는 악성 한글 파일

또다시 발견된 한글 취약점을 악용한 취약한 문서 파일


2) 모바일 악성코드 이슈

2012 런던 올림픽 게임으로 위장한 안드로이드 악성코드

SMS를 유출하는 ZitMo 안드로이드 악성코드의 변형


3) 보안 이슈

지속적인 서드파티 취약점 악용에 따른 보안 업데이트의 중요성

어도비 플래시 플레이어 취약점 악용(CVE-2012-1535)

Oracle Java JRE 7 제로데이 취약점 악용(CVE-2012-4681)

윈도우 공용 컨트롤의 취약점으로 인한 원격 코드 실행 문제점 MS12-060(CVE-2012-1856)


4) 웹 보안 이슈

자바 제로데이 취약점의 등장


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.32 발간


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

현지 시각으로 2012년 8월 9일 해외 보안 업체 캐스퍼스키(Kaspersky)에서 블로그 "Gauss: Nation-state cyber-surveillance meets banking Trojan"와 함께 분석 보고서인 "Gauss:Abnormal Distribution"를 공개하였다.


이 번 캐스퍼스키에서 공개한 분석 보고서에서는 Gauss로 명명된 악성코드가 발견되었으며, 해당 악성코드들이 기존에 발견되었던 Duqu와 Stuxnet 변형으로 알려진 Flame과 유사도가 높은 것으로 밝히고 있다.


해당 Gauss 악성코드의 전체적인 구조는 아래 캐스퍼스키에서 공개한 이미지와 동일한 형태로 Duqu, Stuxnet 그리고 Flame과 유사한 모듈화된 형태를 가지고 있다.



이 번에 발견된 해당 Gauss 악성코드들의 특징은 다음과 같으며, Flame에서 발견되었던 특징들이 유사하게 발견되었다.


1) 2011년 9월에서 10월사이에 제작 및 유포된 것으로 추정, 제작 이후 수 차례 모듈 업데이트 및 C&C 서버 주소가 변경됨


2) 웹 브라우저 인젝션 이후 사용자 세션을 가로채는 기법으로 사용자 암호, 브라우저 쿠키 및 히스토리 수집


3) 감염된 PC에서 네트워크 정보, 프로세스, 폴더, BIOS와 CMOS 정보들 수집


4) USB를 이용 다른 PC로 전파되며 사용된 취약점은 Stuxnet에서 최초 악용되었던 "MS10-046: Windows 셸의 취약성으로 인한 원격 코드 실행 문제" 사용


5) Palida Narrow 폰트 설치


6) C&C 서버와 통신 후 수집한 정보들 모두 전송하고 다른 모듈들을 다운로드


그리고 해당 악성코드들이 수집하는 정보들은 다음과 같으며, Stuxnet과 같이 시스템 파괴 등의 목적보다는 정보 수집을 주된 목적으로 하고 있다.


1) 컴퓨터 명, 윈도우 버전, 실행 중인 프로세스 리스트


2) Program Files 폴더의 디렉토리 리스트


3) 감염된 PC의 인터넷 익스플로러 버전


4) 네트워크 및 DNS 정보


5) 쿠키를 검색해서 쿠키 중 다음 문자열이 있는지 검색 후 웹 페이지 접속시에 사용자 암호 추출

paypal, mastercard, eurocard, visa, americanexpress, bankofbeirut, eblf, blombank, byblosbank, citibank, fransabank, yahoo, creditlibanais, amazon, facebook, gmail, hotmail, ebay, maktoob


이 번에 발견된 Gauss 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

Trojan/Win32.Mediyes
JS/Gauss
Win-Trojan/Gauss.1310208
Win-Trojan/Gauss.270336
Win-Trojan/Gauss.194560
Win-Trojan/Gauss.172032
Win-Trojan/Gauss.397312
Win-Trojan/Gauss.430080
 
캐스퍼스키의 분석 보고서를 참고로 할 때 Gauss 악성코드들은 특정 금융 정보나 개인 정보 탈취 목적이라기 보다는 Flame 악성코드와 유사하게 특정 조직에 대한 포괄적인 금융 정보를 포함한 다양한 정보들을 수집하기 위해 제작된 것으로 분석 된다.


저작자 표시 비영리 변경 금지
신고
Posted by 비회원