어도비 리더(Adobe Reader)와 마이크로소프트 오피스(Microsoft Office)와 같은 전자 문서에 존재하는 취약점을 악용하여 악성코드 감염을 시도하는 사례들은 지속적으로 발견되고 있다.


10월 17일 ASEC에서는 대만의 기상청 내부 직원을 대상으로한 타겟 공격(Targeted Attack)이 발생하였음을 발견하였다.


이번 대만 기상청의 내부직원을 대상으로한 타겟 공격은 아래 이미지와 동일한 이메일을 통해 진행되었다. 




해당 이메일들에는 첨부된 전자 문서는 "個人資料同意申請書.doc (247,200 바이트)",  "中央氣象局颱風資料庫研究用帳號申請表.doc (248,224 바이트)" 그리고 "國立中央大學大氣科學系通訊錄.xls (146,432 바이트)" 파일이 첨부되어 있었다.


첨부된 전자 문서 파일들은 개인정보 동의 신청서와 기상 관련 자료들 인것으로 위장하여 이메일의 수신인이 문서를 열어보기 쉬운 파일명을 사용하고 있다.


그리고 워드 문서의 경우에는 CVE-2012-0158 취약점을 악용하며 보안 권고문 "Microsoft Security Bulletin MS12-027 - 긴급 Windows 공용 컨트롤의 취약점으로 인한 원격 코드 실행 문제점 (2664258)" 을 통해 이미 보안 패치가 배포 중인 알려진 취약점이다.


그리고 취약한 전자 문서 파일들은 공통적으로 원격 제어가 가능한 백도어 형태의 악성코드 감염을 시도하고 있어, 내부 정보 탈취를 목적으로 유포된 것으로 추정된다.


마이크로소프트 오피스에 존재하는 취약점들을 악용하여 악성코드 감염을 시도하는 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.


Dropper/Cve-2012-0158

Dropper/Mdroppr 

Trojan/Win32.Scar 

Win-Trojan/Ghost.98304 

Win-Trojan/Downloader.66048.AU

Win-Trojan/Agentbypass.184320 


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/DOC.AccessViolation-DE


앞서 언급한 바와 같이 해당 취약한 전자 문서들은 기존에 알려진 취약점들을 악용하고 있음으로, 사용하는 운영체제와 오피스 제품들에 대한 보안 패치를 주기적으로 설치하는 것이 중요하다. 


그리고 외부에서 발신인이 잘 모르는 사람이 보낸 전자 문서 파일들이 첨부된 이메일을 수신할 경우에는 각별한 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

온라인 뱅킹에 사용되는 개인 금융 정보를 탈취하는 Banki 트로이목마 변형들이 지속적으로 유포되고 있는 것이 금일 새벽 다시 발견되었다.


ASEC에서는 Banki 트로이목마 변형이 유포 중인 사실을 7월 11일과 16일 공개하였으며, 그 유포 방식에 있어서도 7월 11일 취약한 웹 사이트를 통해 웹 브라우저와 자바(JAVA) 취약점을 악용한 형태로 유포되었으며, 7월 16일 공개시에는 14일과 15일 주말 사이 사용자가 많은 웹 하드 프로그램의 웹 사이트를 통해 유포되었다.


금일 새벽 다시 발견된 Banki 트로이목마 변형은 아래 이미지와 같이 구글(Google)에서 운영하는 구글 코드 웹 페이지를 통해 유포되었다.



ASEC은 구글 시큐리티(Google Security) 팀과 협력으로 현재 Banki 트로이목마 변형이 업로드 되어 있는 해당 구글 코드의 특정 웹 페이지 자체를 삭제한 상태이다.


이번 구글 코드의 특정 웹 페이지를 통해 유포된 Banki 트로이목마 변형은 기존에 발견된 변형들과 유사한 형태로 제작 및 구성 되어 있으며, 아래 이미지와 같은 형태로 동작하게 되어 있다.



금일 새벽 발견된 Banki 트로이 목마 변형은 기존 변형들과 동일하게 RARSfx로 압축되어 있으며, aax.exe (167,310 바이트)이 실행되면 윈도우 시스템 폴더에 다음 파일들을 생성하게 된다.


C:\WINDOWS\system32\WindowsDirectx.exe (180,224 바이트)

C:\WINDOWS\system32\ServiceInstall.exe (61,440 바이트)


그리고 생성된 WindowsDirectx.exe (180,224 바이트)은 일본에 위치한 특정 시스템으로 접속을 시도하게 되며 접속이 성공하게 될 경우에는 RARSfx로 압축된 74.exe (413,304 바이트)를 다운로드 후 실행하게 된다.


다운로드 된 74.exe (413,304 바이트)가 실행되면 윈도우 폴더에 다음 파일들을 생성하게 된다.


C:\WINDOWS\HDSetup.exe (442,368 바이트) 

C:\WINDOWS\CretClient.exe (720,896 바이트)


그리고 CONFIG.INI (29 바이트)에는 홍콩에 위치한 특정 시스템의 IP가 기록되어 있으며, 생성된 HDSetup.exe (442,368 바이트) 는 이를 참조하여 감염된 PC에 존재하는 hosts 파일을 다음과 같이 변경하게 된다.



그러나 금일 새벽에 발견된 변형은 특이하게 안랩의 도메인을 포함하여 탐지 및 발견을 우회하고자 한 점이 특이 사항이라고 볼 수 잇다.


금일 발견된 Banki 트로이 목마 변형들과 관련 악성코드들은 모두 V3 제품군에서 다음과 같이 진단한다.


Dropper/Win32.Banki

Trojan/Win32.Banki

Trojan/Win32.Scar


해당 Banki 트로이목마 변형이 유포 중인 구글 코드 웹 페이지의 다운로드 수가 300건이 넘는 것으로 미루어 해당 악성코드 제작자는 다른 취약한 웹 페이지와 연동하여 다운로드 가능 하도록 설정한 것으로 추정된다.


그러므로 사용하는 운영체제와 일반 어플리케이션들의 취약점을 제거할 수 잇는 보안 패치 설치와 함께 사용하는 보안 제품을 최신 버전으로 유지하는 것이 중요하다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 7월 11일 취약한 웹 사이트를 통해 온라인 뱅킹에 사용되는 개인 금융 정보 탈취를 목적으로하는 Banki 트로이목마 변형이 유포되었음을 공개하였다.


개인 금융 정보 탈취를 목적으로하는 Banki 트로이목마 변형이 7월 14일과 15일 주말 사이 사용자가 많은 웹 하드 프로그램 웹 사이트의 설치 파일을 변경하여 유포된 사례가 발견되었다.


이번에 유포된 Banki 트로이목마 변형은 보안 관리가 상대적으로 취약한 웹 하드 프로그램의 웹 사이트에서 배포 중인 설치 파일을 RARSfx로 악성코드와 정상 설치 파일을 압축한 파일을 배포 중인 정상 설치 파일과 변경하여, 사용자로 하여금 악성코드가 포함된 변경된 설치 파일을 다운로드하도록 하였다.



정상 웹 하드 설치 파일을 변경하여 유포된 Banki 트로이목마 변형이 동작하는 전체적인 구조를 도식화 한 이미지는 아래와 같다.



웹 하드 프로그램의 웹 페이지에서 배포 중인 웹 하드 프로그램의 설치 파일은 RARSfx 파일로 압축된 파일로 변경되어 있으며, 변경된 파일 내부에는 아래와 같이 정상 설치 파일과 함께 RARSfx로 압축된 btuua.exe (174,624 바이트)이 포함되어 있다.



해당 변경된 파일을 실행하게 되면 윈도우 폴더의 임시 폴더(temp)에 다음 파일들을 생성하게 된다.


C:\winodws\temp\btuua.exe (174,624 바이트)

C:\winodws\temp\******_Setup.exe (9,918,872 바이트)


그리고 아래 이미지와 같이 정상 웹 하드 프로그램인 ******_Setup.exe의 설치가 진행된다.



그리고 정상 웹 하드 프로그램 설치와 동시에 생성된 RARSfx로 압축된 btuua.exe (174,624 바이트) 파일 내부에는 아래 이미지와 같이 ServiceInstall.exe (69,632 바이트)와 WindowsDirectx.exe (172,032 바이트)가 포함되어 있다.



btuua.exe (174,624 바이트)는 내부에 포함된 파일들을 다음과 같이 윈도우 시스템 폴더에 생성하고 실행하게 된다.


C:\WINDOWS\system32\ServiceInstall.exe (69,632 바이트)

C:\WINDOWS\system32\WindowsDirectx.exe (172,032 바이트)


생성된 ServiceInstall.exe (69,632 바이트)는 WindowsDirectx.exe (172,032 바이트)를 레지스트리 변경을 통해 윈도우 서비스로 등록시켜, 감염된 시스템이 재부팅 하더라도 자동 실행되도록 구성한다.


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

ImagePath = C:\windows\system32\WindowsDirectx.exe


그리고 WindowsDirectx.exe (172,032 바이트)가 실행이 되면 일본에 위치한 특정 시스템으로 접속을 시도하여 접속이 성공하게 될 경우에는 RARSfx로 압축된 58.exe (517,112 바이트)를 다운로드하게 된다. 


다운로드된 RARSfx로 압축된 58.exe (517,112 바이트) 파일 내부에는 아래 이미지와 같이 CONFIG.INI (29 바이트), CretClient.exe (708,608 바이트)와 HDSetup.exe (458,752 바이트) 파일들이 포함되어 있다.



58.exe (517,112 바이트) 파일이 실행되면 다음 경로에 내부에 포함된 파일들을 생성하게 된다.


C:\WINDOWS\CretClient.exe (708,608 바이트)

C:\WINDOWS\HDSetup.exe (458,752 바이트)


생성된 파일 HDSetup.exe (458,752 바이트)은 기존 변형들과 동일하게 동일하게 아래 이미지와 같이 hosts 파일을 변조하여 온라인 뱅킹을 위해 금융 기관 웹 사이트에 접속하게 될 경우, 홍콩에 위치한 시스템으로 연결하도록 구성하게 된다.



이 번에 발견된 온라인 뱅킹을 위한 개인 금융 정보 탈취를 노리는 Banki 트로이목마 변형들과 관련 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.


Dropper/Win32.Banki

Trojan/Win32.Scar

Trojan/Win32.Banki


현재까지 온라인 뱅킹 관련 개인 금융 정보 탈취를 노리는 Banki 트로이목마가 유포되는 방식은 2가지로 나누어 볼 수 있다.


첫 번째는, 취약한 웹 사이트를 통해 기존 온라인 게임 관련 개인 정보를 탈취하던 악성코드와 동일한 기법으로 취약한 일반 어플리케이션의 취약점을 악용해 유포되는 방식으로 사용되었던 취약점들은 다음과 같다.



두 번째로는 이 번과 같이 상대적으로 보안 관리가 취약한 웹 하드 프로그램 배포 웹 사이트를 해킹한 후 웹 하드 프로그램의 설치 파일을 악성코드가 포함되어 있는 파일로 변경하는 것이다.


이러한 두 가지 유포 사례들로 인해 웹 하드 프로그램을 자주 사용하는 사용자들은 배포그램의 자동 업데이트나 설치 파일의 재설치시 각별한 주의가 필요하다.


그리고 이와 동시에 윈도우 시스템과 자주 사용하는 일반 어플리케이션들의 취약점을 제거할 수 있는 보안 패치 설치에 주의를 기울여야 된다.


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
한국 시각으로 2011년 12월 7일 새벽 Adobe에서는 보안 권고문 "APSA11-04 Security Advisory for Adobe Reader and Acrobat"을 공개하며 Adobe Acrobat에서 알려지지 않은 제로 데이(Zero-Day) 취약점인 CVE-2011-2462가 발견되었음을 알렸다.

Adobe에서는  이번에 발견된 제로 데이 취약점에 영향을 받는  Adobe Acrobat 버전들은 다음과 같다고 밝히고 있다.

Adobe Reader X (10.1.1) and earlier 10.x versions for Windows and Macintosh
Adobe Reader 9.4.6 and earlier 9.x versions for Windows, Macintosh and UNIX
Adobe Acrobat X (10.1.1) and earlier 10.x versions for Windows and Macintosh
Adobe Acrobat 9.4.6 and earlier 9.x versions for Windows and Macintosh

그리고 보안 권고문을 통해 해당 제로 데이 취약점을 악용한 타겟 공격(Targeted Attack)이 발생하였으며, 해당 취약점을 보고 한 업체로는 미국 군수 방위 업체인 록히드 마틴(Lockheed Martin)으로 밝히고 있다.


이 번 타겟 공격과 관련하여 시만텍(Symantec)에서는 "A New Zero Day PDF Exploit used in a Targeted Attack" 블로그를 통해 이메일의 첨부 파일로 제로 데이 취약점인 CVE-2011-2462이 존재하는 PDF 파일을 전송한 것으로 공개 하였다. 그리고 공격 대상이 된 기업들로는 통신, 제조, 유통, 컴퓨터 하드웨어와 하드웨어 업체들인 것으로 밝히고 있다. 

ASEC에서는 이 번 타겟 공격이 11월 말에서 12월 초를 전후하여 발생한 것으로 추정하고 있으며, 발견된 취약한 PDF 파일은 최소 2개 이상 인것 파악하고 있다.

일반적으로 PDF 파일에는 Universal 3D 파일 포맷같은 3차원 이미지를 포함할 수 있다. U3D 이미지 파일은 일반적인 블럭헤더와 블럭 타입의 특별한 블럭데이터를 가질 수 있는 구조이다.

이 블럭들 중 ShadingModifierBlock은 0xFFFFFF45 값을 가지고, ShadingModifierBlock은 힙
(Heap)에 객체를 생성할 때 사용한다.

이런 오브젝트들의 포인트도 힙에 저장되며 포인터를 위해 메모리에 할당되는 양은 포인터사이즈에 U3D 파일의 Shader List Count 필드를 곱한 것이다. 그러나 포인터는 0xe0형태로 힙 메모리에 초기화되지 않은 상태로 설정 될 경우 이를 악용 가능한 힙 변형이 발생 할 수 있다.

이 번에 발견된 취약한 PDF들은 아래 이미지와 같은 악의적인 3D Stream을 포함하고 있다.

 
해당 악의적인 3D Stream의 압축을 해제하게 되면 아래 이미지와 같은 U3D 파일이 생성되며 붉은 색 박스로 표시된 부분에 의해 실질적인 오버플로우(Overflow)가 발생하게 된다.
 


OpenAction을 통해 취약한 PDF 파일이 실행 될 때 아래 이미지와 같은 14번 오브젝트에서 AcroJS를 포함한 15번 오브젝트 부분의 스크립트를 실행하도록 되어 있다.


15번 오브젝트에는 아래 이미지와 같이  힙 스프레이를 통해 쉘코드를 메모리에 적재하는 AcroJS가 포함되어 있다.


쉘코드는 XOR 97로 디코딩(Decoding)하는 과정을 거쳐 백도어 기능을 수행하는 악성코드를 시스템에 생성하게 된다.


메일로 전달 된 CVE-2011-2462 제로 데이 취약점을 가지고 있는 PDF 파일을 실행하게 되면 아래 이미지와 동일한 내용을 가지고 있는 정상 PDF 파일이 보여진다.


그러나 실제로는 사용자 모르게 다음 파일들이 시스템에 생성되고 실행 된다.

C:\Documents and Settings\[사용자 계정명]\Local Settings\ctfmon.exe
C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\ManTech Employee Satisfaction Survey.pdf
C:\Documents and Settings\[사용자 계정명]\Local Settings\pretty.exe
C:\Documents and Settings\[사용자 계정명]\Local Settings\WSE4EF1.TMP 


생성된 파일들 중 
ManTech Employee Satisfaction Survey.pdf는 위 이미지와 동일한 취약한 PDF 파일이 실행 될 때 감염된 시스템의 사용자로 하여금 악성코드로 의심하지 못하도록 보여지는 정상 파일이다. 

생성된 
ctfmon.exe(39,936 바이트)는 자신의 복사본을 다시 동일한 위치에 pretty.exe(39,936 바이트)로 생성하며 DLL 파일인 WSE4EF1.TMP(31,232 바이트)를 드롭(Drop) 한다. 해당 파일들 모두 마이크로소프트 비주얼 C++(Microsoft Visual C++)로 제작 되었으며 실행 압축은 되어 있지 않다.

그리고 ctfmon.exe는 다음의 레지스트리(Registry) 키를 생성하여 시스템이 재부팅하더라도 자동 실행하도록 한다.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
office = 
"C:\Documents and Settings\[사용자 계정명]\Local Settings\pretty.exe"

 
드롭 된  WSE4EF1.TMP는 다음의 프로그램들이 실행되어 프로세스를 생성하게 되면 아래 이미지와 같이 스레드(Thread)로 해당 프로세스에 인젝션(Injection) 하게 된다.

Microsoft Outlook
Microsoft Internet Explorer
Firefox



인젝션에 성공하게 되면 HTTPS로 다음 시스템으로 접속을 시도하게 되나 테스트 당시에는 정상적인 접속이 이루어지지 않았다.

hxxps://www.pr[삭제]her.com/asp/kys[삭제]_get.asp?name=getkys.kys


정상적인 접속이 이루어지게 되면 다음의 악의적인 기능들을 수행하게 되며, 해당 악성코드들은 기존 다른 침해 사고에서 발견되었던 원격 제어 형태의 백도어(Backdoor)이다.

파일 업로드 및 다운로드
CMD Shell 명령 수행
시스템 강제 종료 및 재부팅
프록시(Proxy) 서버 


이번에 발견된 Adobe Acrobat에 존재하는 제로 데이 취약점인 CVE-2011-2462를 악용한 타겟 공격은 취약한 PDF 파일과 감염되는 악성코드 등 전반적인 사항들을 고려하였을때, 공격자는 기업 내부에 존재하는 중요 데이터를 탈취하기 위한 목적으로 제작 및 유포한 것으로 추정된다.

타겟 공격에 실제 악용된
CVE-2011-2462 취약점에 대한 보안 패치는 Adobe에 의해 현지 시각으로 12월 12일 배포 될 예정이나 다른 보안 위협에서 해당 제로 데이 취약점을 악용 할 가능성이 높음으로 각별한 주의가 필요하다.

해당 제로데이 취약점에 대한 임시 대응 방안으로 Adobe에서는 사용하는 Adobe Reader의 버전을 10.0으로 업그레이드 하고 해당 버전에 포함되어 있는 보호 모드(
Protected Mode)와 보호 뷰(Protected View) 기능을 활성화 할 것을 권고하고 있다.

메뉴 → 편집 → 기본 설정 → 일반  → 시작할 때 보호 모드 사용(활성)
 


메뉴 → 편집 → 기본 설정 → 보안(고급)  → 고급 보안 사용(활성)

 

이 번 발견된 Adobe Acrobat에 존재하는 제로 데이 취약점인 CVE-2011-2462을 악용한 악성코드들 모두 V3 제품군에서 다음과 같이 진단하고 있다.

PDF/
CVE-2011-2462
Win-Trojan/Agent.39936.BAT
Backdoor/Win32.CSon
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원