ASEC에서는 2009년부터 익스플로잇 툴킷(Web Exploit Toolkit)이라는 웹을 기반으로 하여 웹 브라우저(Web Browser)나 웹 기반 애플리케이션(Web Application)들에 존재하는 취약점들을 자동으로 악용하도록 제작된 툴킷의 위험성에 대해 언급하였다.


그리고 웹 익스플로잇 투킷의 한 종류인 블랙홀(Blackhole) 웹 익스플로잇 툴킷을 이용하여 실제 사회적 주요 이슈나 소셜 네트워크(Social Network)와 같은 일반 사람들이 관심을 가질 만한 내용들을 포함한 스팸 메일(Spam Mail)의 사회 공학(Social Engineering) 기법으로 악성코드 유포를 시도한 사례들이 다수 존재한다.


2012년 6월 - 스팸 메일과 결합된 웹 익스플로잇 툴킷


2012년 7월 - 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷


2012년 8월 - 페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷


특히 올해 2012년 4분기에는 미국과 한국에는 대통령 선거라는 정치적인 중요한 이슈가 존재하다. 이러한 중요한 이슈를 악용하여 스팸 메일에 존재하는 악의적인 웹 사이트 링크로 유도하는 사례가 발견되었다.


이 번에 발견된 스팸 메일 사례에는 아래 이미지와 같이 미국 대통령 선거의 후보 중 한 명인 미트 롬니(Mitt Romney)가 60% 차이로 앞서고 있다는 허위 사실을 포함하여, 하단에 존재하는 웹 사이트 링크를 클릭하도록 유도하고 있다.



해당 링크를 클릭하게 될 경우에는 블랙홀 웹 익스플로잇 툴킷의 악의적인 웹 사이트로 연결되도록 설정되어 있어, 사용하는 시스템에 웹 브러우저와 웹 애플리케이션에 취약점이 존재 할 경우에는 이를 악용하여 다른 악성코드의 감염을 시도하게 된다.


이 번에 발견된 미국 대통령 선거 뉴스로 위장한 스팸 메일을 통해 유포된 악성코드들은 V3 제품 군에서 다음과 같이 진단한다. 


PDF/Exploit

Java/Cve-2012-1723

Trojan/Win32.Pakes 


현재 웹 익스플로잇 툴킷을 이용하여 다양한 악성코드를 유포 중에 있음으로 각별한 주의가 필요하다. 그리고 향후에도 미국과 한국의 대통령 선거와 관련된 사회적 중요 이슈들을 악용한 보안 위협이 발생할 가능성이 높음으로 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

ASEC에서는 그 동안 한글 소프트웨어에 존재하는 취약점들을 악용하는 악성코드 유포 사례들을 공개 한 바가 있다.


그리고 2012년 6월 15일에는 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용한 악성코드 유포 사례가 있음을 공개하기도 하였다.


2012년 10월 8일 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용하여 악성코드 유포를 시도한 사레가 다시 발견되었으다.


이 번에 발견된 제로 데이 취약점을 악용하느 취약한 한글 파일은 아래 이미지와 같은 내용을 가지고 있으며, 유포 당시에는 "한반도통일대토론회-120928.hwp (225,792 바이트)"라는 파일명을 사용하였다.



해당 취약한 한글 파일은 앞서 언급한 바와 같이 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용하고 있으며, 현재 한글과 컴퓨터에서 관련 보안 패치를 제공하지 않고 있다.


악용되는 취약점은 한글 소프트웨어에서 사용되는 HwpApp.dll에 존재하는 한글 문서 내용을 파싱 할 때 발생하는 힙 스프레이 오버플로우(Heap-spray Overflow)로 인한 코드 실행 취약점이다.


이 번에 유포된 취약한 한글 파일을 한글 소프트웨어가 설치된 시스템에서 열게 되면 다음 아미지와 같은 순서에 의해 악성코드들에 감염 된다.



먼저 취약한 한글 파일을 열게 되면 kbs.dll (115,200 바이트)가 다음 경로에 생성 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\kbs.dll


생성된 kbs.dll는 다시 동일한 경로에 kbs.exe (90,112 바이트)를 생성하게 되며, kbs.exe 다시 아래의 경로에 자신의 복사본인 svchost.exe (90,112 바이트)와 함께 p_mail.def (10 바이트)와 com.dat (40,960 바이트)를 순차적으로 다음 경로에 생성하게 된다.


C:\WINDOWS\system32\2065\p_mail.def

C:\WINDOWS\system32\2065\svchost.exe

C:\WINDOWS\system32\2065\com.dat


그리고 레지스트리(Registry)에 다음의 키 값을 생성하여 자신의 복사본인 svchost.exe이 "SMS Loader"라는 윈도우 서비스로 시스템 재부팅 시에도 자동 실행되도록 구성하게 된다.


HKLM\SYSTEM\ControlSet001\Services\SMS Loader

ImagePath = "C:\WINDOWS\system32\2065\svchost.exe"


kbs.exe에 의해 생성된 p_mail.def 는 악성코드가 시스템에서 실행된 최초의 시각을 기록한 로그 파일이며, kbs.exe에 의해 생성된 자신의 복사본인 svchost.exe에 의해 다음의 악의적인 기능들을 수행하게 된다.


윈도우 내장 방화벽 무력화

AhnLab V3 Internet Security 8.0 및 2007 방화벽 무력화

윈도우 사용자 정보 수집

감염 시스템 IP, 운영체제 및 하드웨어 정보 수집

키보드 입력 가로채기


그리고 감염된 시스템에서 수집한 키보드 입력 데이터와 시스템 및 하드웨어 정보는 다음과 같은 경로에 key.datlog.dat 파일들을 생성하여 기록하게 된다. 그리고 악성코드에 의해 감염된 시각을 jpg 파일명으로 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\key.dat

C:\WINDOWS\system32\2065\log.dat

C:\WINDOWS\system32\2065\[월일시분초10자리].jpg


감염된 시스템에서 수집한 정보들이 기록된 key.datlog.dat 파일들은 com.dat에 의해 한국에서 운영되는 특정 웹하드 웹 사이트에 접속하여 지정된 공유 폴더에 업로드 하게 된다.


이 번에 발견된 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용하는 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


HWP/Exploit

Trojan/Win32.Npkon

Trojan/Win32.Dllbot


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함된 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit

Suspicious/MDP.DropExecutable

Suspicious/MDP.DropMalware

Suspicious/MDP.Behavior


앞서 언급한 바와 같이 이 번에 발견된 취약한 한글 파일은 한글 소프트웨어 존재하는 알려지지 않은 제로 데이 취약점을 악용하여 악성코드 감염을 시도하였다.


그러므로 잘 알지 못하는 사람이 발송한 이메일에 첨부된 한글 파일의 실행 시에는 각별한 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

한글과 컴퓨터에서 개발하는 한글 워드프로세스와 마이크로소프트(Microsoft)에서 개발하는 워드(Word)에 존재하는 알려진 취약점을 악용하는 악성코드들이 동시에 3건이 발견되었다.


첫 번째 취약한 한글 파일은 중공 5세대 핵심들의 불확실한 미래.hwp (241,873 바이트)로 아래 이미지와 동일한 내용을 가지고 있다.



두 번째  취약한 한글 파일은 미래모임.hwp (104,448 바이트)로 아래 이미지와 동일한 내용을 가지고 있다.



마지막으로 발견된 취약한 워드 파일은 부서간 의사소통 조사 설문지.doc (361,026 바이트) 로 아래 이미지와 동일한 내용이 포함되어 있다.


해당 워드 파일은 CVE-2012-0158 취약점으로 "Microsoft Security Bulletin MS12-027 - 긴급

Windows 공용 컨트롤의 취약점으로 인한 원격 코드 실행 문제점 (2664258)" 이미 보안 패치가 배포 중인 알려진 취약점이다.



특히 마지막 취약한 워드 파일의 경우에는 아래와 같이 사내 설문 조사 관련 전자 메일로 위장하여 첨부한 취약한 워드 파일을 실행하도록 유도하는 사회 공학 기법을 사용하고 있다.


From: 김** [mailto:surv***************sme@yahoo.co.kr] 

Sent: Thursday, September 20, 2012 11:57 AM

To: 강**(KANG, **** ***)

Subject: 부서간 의사소통 조사 설문  

동료 여러분:


안녕하십니까? 우선 이렇게 불쑥 이메일을 보내 폐를 끼치는 것에 대해 사과드립니다. 우리 회사의 여러 부서간 의사소통의 형편이 어떤지 더욱더 원활하게 진행되게 하는 방법이 없는지 조사하기 위하여 이번 설문조사를 베푸는 바입니다. 설문 내용을 잘 읽고 귀하께서 생각하시는 가장 적절한 항목을 선택해 주시기 바랍니다. 설문지는 첨부파일에 담겨 있습니다. 확인해 주십시오. 작성하신 후 직접 본 이메일 주소로 보내면 됩니다. 


다시 한번 감사 드립니다.


이 번에 발견된 3개의 취약한 전자 문서들은 모두 기존에 알려진 취약점들을 악용하여 공통적으로 백도어 기능을 수행하는 악성코드들을 생성 및 실행하고 있다.

한글 워드프로세스와 워드에 존재하는 취약점을 악용하여 악성코드 감염을 시도하는 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.

Dropper/Exploit-HWP
HWP/Exploit
DOC/Exploit
Win-Trojan/Infostealer.45056
Dropper/Infostealer.237222
Win-Trojan/Infostealer.61480960
Win-Trojan/Infostealer.52506624 
Win-Trojan/Infostealer.75264
Dropper/Infostealer.191322

APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.

Exploit/HWP.AccessViolation-SEH
Exploit/DOC.AccessViolation-DE

향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.

Dropper/MDP.Document

앞서 언급한 바와 같이 이 번에 발견된 취약한 전자 문서 파일들은 모두 기존에 알려진 취약점들을 악용하고 있으며, 한글과 컴퓨터 그리고 마이크로소프트에서 해당 취약점들을 제거할 수 있는 보안 패치를 배포 중에 있다.

그러므로 향후 유사한 보안 위협들로 인한 피해를 예방하기 위해서는 관련 보안 패치를 설치하는 것이 중요하다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

마이크로소프트(Microsoft)에서는 2012년 9월 17일 블로그 "Microsoft Security Advisory (2757760) Vulnerability in Internet Explorer Could Allow Remote Code Execution"를 통해 인터넷 익스플로러(Internet Explorer) 버전 7과 8에 알려지지 않은 제로 데이(Zero Day, 0-Day) 취약점이 발견되음을 공개하였다.


이 번에 발견된 해당 제로 데이 취약점은 인터넷 익스플로러에서 HTML 파일을 렌더링하는 과정에서 메모리 오염으로 인한 임의의 코드 실행 취약점으로, 현재 해당 제로 데이 취약점을 악용한 공격이 9월 14일을 전후하여 실제 발생하였다.


해당 제로 데이 취약점은 8월 26일 공개된 오라클 자바 JRE 7 제로 데이 취약점 악용 악성코드 유포 관련 서버에서 발견되어, 자바(Java) 취약점 악용과 관련이 있을 것으로 추정된다.


이 번에 유포된 인터넷 익스플로러 제로 데이 취약점을 악용에는 Exploit.html (304 바이트), Moh2010.swf (13,631 바이트), Protect.html (973 바이트)와 111.exe (16,896 바이트) 총 4개의 악성코드가 사용되었다.



최초 Exploit.html (304 바이트)에는 아래 이미지와 같이 Moh2010.swf (13,631 바이트)을 호출하는 코드를 포함하고 있으며, 해당 Moh2010.swf (13,631 바이트)는 DoSWF라는 어도비 플래쉬(Adobe Flash) 파일을 암호화 및 인코딩하는 툴에 의해 암호화되어 있다.



실제 Moh2010.swf (13,631 바이트)는 아래 이미지와 같은 도형만을 보여주게 되어 있으며, 다른 코드는 포함되어 있지 않다.



Exploit.html (304 바이트)에 의해 호출되는 Moh2010.swf (13,631 바이트)의 암호화를 해제하게 되면 아래 이미지와 같이 Protect.html (973 바이트)를 iFrame으로 호출하게 되어 있다.



Protect.html (973 바이트)는 아래 이미지와 같이 실질적인 인터넷 익스플로러의 제로 데이 취약점을 악용하는 코드가 포함되어 있다.



이 번에 발견된 해당 제로 데이 취약점이 정상적으로 악용될 경우에는 111.exe (16,896 바이트)를 다운로드하고 실행하게 된다.


해당 111.exe (16,896 바이트)이 실행되면 mspmsnsv.dll (10,240 바이트)를 다음 경로에 생성하게 된다.


C:\WINDOWS\system32\mspmsnsv.dll


그리고 윈도우 시스템에 존재하는 정상 파일인 svchost.exe를 실행시켜 해당 프로세스의 스레드로 생성한 mspmsnsv.dll (10,240 바이트)를 삽입하게 된다.


스레드로 정상적으로 동작하게 되면 ie.aq1.co.uk 으로 접속을 시도하나 분석 당시에는 정상적으로 접속이 이루어지지 않았다.



접속이 정상적으로 이루어지게 될 경우에는 공격자의 명령에 따라 원격 제어 등의 백도어 기능 들을 수행하게 된다.


이 번 인터넷 익스플로러 버전 7과 8에 존재하는 알려지지 않은 제로 데이 취약점을 악용과 관련된 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.


JS/Dufmoh

SWF/Exploit

Win-Trojan/Poison.16898

Trojan/Win32.Npkon


그리고 네트워크 보안 장비인 트러스가드(TrusGuard) 제품군에서는 해당 취약점을 악용하는 스크립트 악성코드들을 다음과 같이 탐지 및 차단한다.


ms_ie_execcommand_exploit(CVE-2012-4969)

javascript_malicious_heap_spray-4(HTTP)


현재 해당 제로 데이 취약점에 대한 보안 패치가 아직 마이크로소프트에서 배포하지 않고 있음으로, 인터넷 웹 사이트 방문시 각별한 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

ASEC에서는 한글과 컴퓨터에서 개발하는 알려진 코드 실행 취약점을 악용하는 취약한 한글 파일을 악용한 악성코드가 발견되었다는 것을 9월 4일 공개하였다.


9월 4일 취약한 한글 파일에 대해 공개한 이 후인 9월 5일과 9월 6일 오전 기존에 알려진 취약점을 악용하는 취약한 한글과 파일들과 악성코드들이 다시 발견되었다.


9월 5일 발견된 취약한 한글 파일은 아래 이미지와 동일하게 최근 언론을 통해 이슈가 되고 있는 독도 관련 내용을 담고 있으며, 문서 역시 독도 일본땅`日,자신만만증거보니…황당.hwp (447,504 바이트)라는 파일명을 가지고 있다.



해당 취약한 한글 파일은 HncApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플로우(Buffer Overflow)로 인한 코드 실행 취약점이다.


해당 취약점으로 인해 suchost.exe (295,424 바이트)을 다음의 경로에 생성한다.


c:\documents and settings\[사용자 계정명]\local settings\temp\suchost.exe


그리고 생성된 suchost.exe (295,424 바이트)는 다시 아래의 경로에 connection.dll (295,424 바이트)를 생성한다.


c:\documents and settings\all users\application data\connection.dll


윈도우 시스템에 존재하는 정상 파일인 svchost.exe를 실행하여 스레드로 인젝션되어 홍콩에 위치한 특정 시스템으로 역접속을 시도하게 된다.


9월 6일 금일 오전에 발견된 취약한 한글 파일은 총 2건이며, 그 중 첫번째는 아래 이미지와 같은 내용을 담고 있으며, 파일명 역시 1. 기술료 신청서 양식.hwp (1,000,964 바이트)를 가지고 있다.



두번째 취약한 한글 파일 역시 아래와 같은 이미지의 내용을 담고 있으며, 확인된 유포 당시 파일명은 2. 기술료 지급대상자 명단(12.09.06 현재).hwp (1,019,908 바이트)를 가지고 있다.



금일 오전에 발견된 2건의 취약한 한글 파일들 모두 기존에 발견되었던 취약한 한글 파일들에서 사용되었던 HncTextArt.hplg 존재하는 취약점을 다시 악용하고 있다.


해당 취약점으로 인해 system32.dll (81,920 바이트)를 다음 경로에 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\system32.dll


그리고 생성된 system32.dll (81,920 바이트)는 다시 아래의 경로에 taskeng.exe (28,672 바이트)를 생성하게 된다.


c:\documents and settings\[사용자 계정명]\시작 메뉴\프로그램\시작프로그램\taskeng.exe


이번에 발견된 총 3개의 취약한 한글 파일들에 의해 생성되는 악성코드들은 공격자의 명령에 따라 다양한 악의적인 기능들을 수행하게 되는 백도어 형태의 악성코드이다.


발견된 취약한 한글 파일과 악성코드들은 V3 제품 군에서 다음과 같이 진단한다.


HWP/Exploit

Backdoor/Win32.Etso

Win-Trojan/Infostealer.81920 

Win-Trojan/Infostealer.28672.J 


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-SEH

Exploit/HWP.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit


현재 한글과 컴퓨터에서는 해당 취약한 한글 파일들이 악용하는 취약점에 대한 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 취약점을 악용하는 악성코드 사례들을 다수 공개한 적이 있다.


2011년 10월 - 취약한 한글 파일을 악용한 악성코드 유포


2012년 6월 - 한글 제로데이 취약점을 악용한 악성코드 유포


2012년 6월 - 알려진 한글 취약점을 악용한 악성코드 유포


2012년 7월 - 지속적으로 발견되는 취약한 한글 파일 유포


2012년 7월 - 한글 취약점을 악용한 취약한 한글 파일 추가 발견


2012년 8월 - 다시 발견된 한글 취약점을 악용한 취약한 한글 파일


2012년 9월 3일 다시 한글 소프트웨어에 존재하는 취약점을 악용하는 취약한 한글 파일과 악성코드가 다시 발견되었다.


이 번에 발견된 취약한 한글 파일을 열게 되면 아래 이미지와 동일하게 "북한전문가와 대북전략가"라는 제목의 내용을 가지고 있다.



이 번에 발견된 취약한 한글 파일은 기존에 발견되었던 취약한 한글 파일들에서 자주 악용되었던  HncTextArt_hplg 관련 버퍼 오버플로우(Buffer Overflow) 취약점은 아니다.


해당 취약한 한글 파일에서 악용한 취약점은 EtcDocGroup.DFT에 존재하는 버퍼 오버플로우로 인해 임의의 코드가 실행되는 취약점이다. 현재 해당 취약점과 관련된 보안 패치는 이미 한글과 컴퓨터에서 보안 패치를 배포 중에 있다.


해당 취약한 한글 파일 내부에 백도어 기능을 수행하는 악성코드가 인코딩된 상태로 임베디드(Embedded) 되어 있다.


해당 취약한 한글 파일을 보안 패치가 설치 되지 않은 한글 소프트웨어가 설치되어 있는 시스템에서 열게 되면 사용자 모르게 백그라운드로 msver.tmp (137,884 바이트) 파일을 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\msver.tmp 


해당 파일이 정상적으로 생성되면 다시 msver.tmp (137,884 바이트) 는 msiexec.exe (94,208 바이트)를 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\msiexec.exe 


그리고 다시 vmm85.tmp (64,472 바이트)를 다음 폴더에 생성하게 된다. 


C:\documents and settings\tester\local settings\temp\vmm85.tmp


생성한 vmm85.tmp (64,472 바이트)의 자신의 복사본을 EventSystem.dl(64,472 바이트)라는 파일명으로 윈도우 시스템 폴더에 생성하게 된다


C:\WINDOWS\system32\EventSystem.dll 


생성된 EventSystem.dll (64,472 바이트)는 윈도우 시스템에 존재하는 rundll32.exe를 이용해 자신을 실행하여 미국에 위치한 특정 시스템으로 역접속을 시도하게 된다. 그러나 분석 당시에는 정상적인 접속이 이루어지지 않았다.


만약 정상적인 접속이 이루어지게 된다면, 공격자의 명령에 따라 다음의 악의적인 기능들을 수행하게 된다.


시스템 하드웨어 정보

운영체제 정보

프록시 설정

네트워크 정보 확인

파일 실행, 업로드 및 다운로드

디렉토리 정보 확인

실행 중인 프로세스 리스트 확인


그리고 감염된 시스템에 다음의 확장자를 가진 파일이 존재 할 경우 수집하여 외부로 전송을 시도하게 된다.


jpg, dat, png, rm, avi, mp3, pdf, bmp, mov, rar, zip, tmp


이 번에 발견된 한글 소프트웨어에 존재하는 취약점을 악용하는 취약한 한글 파일과 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.


HWP/Exploit

Dropper/Malware.137884

Win-Trojan/Protux.94208.D

Trojan/Win32.Dllbot


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-SEH


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Document


앞서 언급한 바와 같이 한글과 컴퓨터에서 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

미국 현지 시각으로 8월 26일 보안 업체 FireEye에서 블로그 "ZERO-DAY SEASON IS NOT OVER YET"를 통해 오라클(Orcle) 자바 JRE(Java Runtime Environment) 7에서 임의의 코드를 실행 할 수 있는 코드 실행 취약점(CVE-2012-4681)을 발견하였음을 공개하였다.


현재 해당 자바 JRE 취약점은 개발 업체인 오라클에서 해당 보안 취약점을 제거할 수 있는 보안 패치를 제공하지 않고 있는 제로 데이(Zero-Day, 0-Day) 취약점으로 각별한 주의가 필요하다.


이 번에 발견된 자바 JRE 관련 제로 데이 취약점은 다음 버전의 소프트웨어에서 악용이 가능하다.


Oracle Java 7 (1.7, 1.7.0)

Java Platform Standard Edition 7 (Java SE 7)

Java SE Development Kit (JDK 7)

Java SE Runtime Environment (JRE 7)


해당 자바 JRE 관련 취약점은 최초 아래 이미지와 같이 중국에서 제작된 공다 팩(GongDa Pack)이라 불리는 웹 익스플로잇 툴킷(Web Exploit Toolkit)에서 사용되는 스크립트 악성코드를 통해 유포되었으며, 최초 유포지는 대만에 위치한 특정 시스템이다.



이 번 자바 JRE 취약점 악용을 위해 유포된 공다 팩에서 사용되는 스크립트를 디코딩 하게 되면 스크립트가 유포된 동일한 시스템에 존재하는 Appelt.jar (7,855 바이트)와 hi.exe (16,896 바이트)가 다운로드 되도록 제작되었다.


다운로드 된 Appelt.jar (7,855 바이트) 내부에는 아래 이미지와 같이 해당 CVE-2012-4681 취약점을 직접적으로 악용하도록 제작되어 있는 클래스(Class) 파일인 App.class (7,231 바이트)가 포함되어 있다.



해당 자바 JRE 취약점(CVE-2012-4681)으로 인해 실행되는 hi.exe (16,896 바이트)는 최초 실행이 되면 윈도우 시스템 폴더(C:\WINDOWS\system32\)에 mspmsnsv.dll (10,240 바이트) 파일을 생성하게 된다.


C:\WINDOWS\system32\mspmsnsv.dll 


그리고 윈도우 시스템에 존재하는 정상 프로세스인 svchost.exe를 실행하여 해당 프로세스의 스레드로 생성한 mspmsnsv.dll (10,240 바이트)을 인젝션하게 된다.


인젝션이 성공하게 되면 특정 도메인명을 가진 C&C 서버와 통신을 시도하나 분석 당시에는 정상적인 접속이 이루어지지 않았다. 정상적으로 접속이 성공하게 되면 원격 제어 등의 공격자가 의도하는 백도어 기능을 수행하게 된다.


추가적으로 핀란드 보안 업체 F-Secure에서는 블로그 "Blackhole: Faster than the speed of patch"를 통해 블랙홀 웹 익스플로잇 툴 킷(Blackhole Web Exploit Toolkit)을 통해서도 유포 중에 있는 것으로 공개하였다.


ASEC에서 이와 관련한 추가 정보들을 확인하는 과정에서 사회 공학 기법을 악용한 이메일을 통해 최소 약 300개의 도메인을 이용해  유포 중인 것으로 파악하였다.


현재 블랙홀 웹 익스플로잇 툴 킷을 통해 유포 중인 CVE-2012-4681 취약점을 악용하는 JAR 파일은 Pre.jar (31,044 바이트)Leh.jar (31,044 바이트) 파일명으로 유포 중이나 2개 모두 동일한 파일이다. 그러나 현재 언더그라운드에서는 해당 취약점을 악용 가능한 PoC(Proof of Concept)가 공개되어 있음으로 다양한 변형들이 지속적으로 유포될 것으로 예측된다.


이 번에 발견된 자바 JRE 7에서 임의의 코드를 실행 할 수 있는 코드 실행 취약점(CVE-2012-4681)을 악용하는 악성코드들 모두 V3 제품 군에서 다음과 같이 진단한다.


JS/Downloader

JAVA/CVE-2012-4681

JS/Blacole

Win-Trojan/Poison.16898 

Win-Trojan/Buzus.153447

Trojan/Win32.Npkon


그리고 네트워크 보안 장비인 트러스가드(TrusGuard) 제품군에서는 해당 취약점을 악용한 공다 팩 스크립트 악성코드와 취약한 클래스 파일을 포함한 JAR 파일을 다음과 같이 탐지 및 차단이 가능하다.


javascript_malicious_gongda-2(HTTP)

java_malicious_jar-8(HTTP)

java_malicious_jar-gd(HTTP)


앞서 언급한 바와 같이 현재 자바 JRE에서 발견된 취약점은 제로데이 취약점으로 자바 개발 업체인 오라클에서 보안 패치를 제공하지 않고 있다.


이와 관련하여 US-CERT에서는 보안 권고문 "Oracle Java JRE 1.7 Expression.execute() and SunToolkit.getField() fail to restrict access to privileged code" 을 통해 아래와 같은 사항들을 임시 방안으로 권고하고 있다.


* 자바 플러그인 비활성화


- 파이어폭스 (Firefox)

파이어폭스 실행 후 상단의 [도구]->[부가 기능]을 클릭한다. 그 중에서 "플러그인"을 선택 후 자바 관련 플러그인들을 "사용안함"으로 설정한다.


- 사파리(Safari)

[기본 설정]을 클릭후 [보안]을 선택한다. 그리고 "Java 활성화"에 체크 마크를 해제한다.



- 크롬(Chrome)

크롬을 실행 후 주소 창에 "chrome://plugins/"을 입력한 후, "JAVA Plug-in"을 사용 중지한다.


- 인터넷 익스플로러(Internet Explorer)

윈도우 제어판을 실행 훈 "Java 제어판" -> [고급]을 선택 한 후 [브라우저용 기본 Java]에서 [Microsoft Internet Explorer]에 체크 마크를 해제한다.



앞서 언급한 바와 같이 현재 해당 취약점은 보안 패치가 제공되지 않는 제로 데이 취약점임으로 각별한 주의가 필요하다. 그리고 언더그라운드에는 이미 해당 취약점을 악용 할 수 있는 PoC 코드가 공개 되었음으로 다양한 보안 위협에서 해당 취약점을 악용 할 가능성이 높을 것으로 예측 된다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

2012년 7월 21일 일본 국내 언론들을 통해 "Finance Ministry reveals 2010-2011 computer virus; info leak feared" 일본 재무성에서 2010년에서 2011년 2년 사이에 감염된 악성코드가 발견되었으며, 이로 인해 내부 정보가 유출 되었을 것으로 추정된다는 기사가 공개 되었다.


ASEC에서는 해당 침해 사고와 관련한 추가적인 정보와 관련 악성코드를 확인하는 과정에서 해당 침해 사고와 관련된 악성코드를 확보하게 되었으며, 해당 악성코드는 약 1년 전인 2011년 9월 경에 발견된 것으로 파악하고 있다.


이번에 파악된 악성코드가 실행되면 해당 파일이 실행된 동일한 경로에 다음 파일을 생성하고, 정상 시스템 프로세스인 explorer.exe에 스레드로 인젝션하게 된다.


C::\[악성코드 실행 경로]\tabcteng.dll (114,688 바이트)


그리고 다음 레지스트 경로에 키 값을 생성하여 감염된 시스템이 재부팅하더라도 자동 실행 되도록 구성하게 된다.


HKLM\SYSTEM\ControlSet001\Services\Netman\Parameters\ServiceDll

"C:\[악성코드 실행 경로]\tabcteng.dll"


감염된 시스템에 존재하는 인터넷 익스플로러(Internet Explorer)의 실행 파일 iexplorer.exe를 실행 시켜 HTTP로 외부에 존재하는 시스템으로 접속을 시도하나 테스트 당시에는 정상 접속이 되지 않았다.


이 번 일본 재무성 침해 사고와 관련된 악성코드는 전형적인 백도어 형태의 악성코드로 실질적 악의적인 기능들은 생성된 tabcteng.dll (114,688 바이트) 에 의해 이루어지게 된다.


키보드 입력 가로채는 키로깅(Keylogging)

파일 생성 및 삭제

폴더 생성 및 삭제

운영 체제 정보

MAC 어드레스, IP, 게이트웨이(Gateway), WINS 서버 및 DNS 서버 주소

메모리, 하드 디스크 및 CPU 등 하드웨어 정보

생성되어 있는 사용자 계정들 정보


위와 같은 악의적인 기능들을 미루어 볼 때 해당 악성코드는 감염된 시스템을 거점으로 내부 네트워크의 다양한 정보들을 수집하기 위해 제작된 것으로 추정된다.


이 번에 알려진 일본 재무성 침해 사고 관련 악성코드는 V3 제품군에서 다음과 같이 진단한다.


Dropper/Win32.Agent 

Trojan/Win32.Agent 

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

8월 17일 ASEC에서는 8월 15일 공개된 외국 언론 "Saudi Aramco says virus shuts down its computer network"을 통해 사우디 아라비아의 정유 업체인 Saudi Aramco에 특정 악성코드에 의한 피해가 발생하였다는 것을 확인 하였다.


추가적으로 ASEC에서 관련 보안 위협에 대한 정보들을 확인하는 과정에서 시만텍(Symantec)에서 "The Shamoon Attacks"로 명명한 보안 위협과 관련되었음을 파악하였다.


Shamoon 보안 위협과 관련된 악성코드는 Disttrack로 명명되었으며, 크게 3가지 기능을 가진 악성코드들이 모듈 형태로 동작하도록 설계되어 있다.


드로퍼(Dropper) - 다른 기능들을 수행하는 악성코드들을 생성하는 메인 악성코드

와이퍼(Wiper) - 실질적인 MBR(Master Boot Record)를 파괴 기능을 수행하는 악성코드

리포터(Reporter) - 공격자에게 감염된 시스템의 현황을 보고 기능을 수행하는 악성코드


해당 Disttrack는 관리 목적의 공유 폴더인 ADMIN$, C$, D$와 E$ 를 통해 네트워크에 이웃한 시스템으로 자신의 복사본을 전송하여 생성하게 된다.


그리고 감염된 시스템에 존재하는 JPEG 파일을 임이의 데이터로 덮어씀으로 이미지 파일을 정상적으로 사용하지 못하게 한다. 이와 함께 감염된 시스템의 MBR을 파괴하여 시스템의 정상적인 부팅과 사용을 방해하게 된다.


Shamoon 보안 위협과 관련된 악성코드는 Disttrack로 명명된 악성코드는 V3 제품군에서 모두 다음과 같이 진단한다.


Win-Trojan/Disttrack.989184 

Win-Trojan/Disttrack.133120 

Win-Trojan/Disttrack.27280  

Win-Trojan/Disttrack.989184.B

Win-Trojan/Disttrack.194048 

Win-Trojan/Disttrack.31632  

Win-Trojan/Disttrack.532992 

Win-Trojan/Disttrack.227840 

Win-Trojan/Disttrack.155136 


현재 해당  Disttrack 악성코드가 계획적으로 정유 업체들을 대상으로 공격하였는지에 대해서는 명확하지 않은 상황이다. 그러나 일반적인 타겟 공격(Targeted Attack)과 다르게 내부 정보 유출 없이 시스템 파괴 기능만 가지고 있다는 점은 특이 사항으로 볼 수 있다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

어도비(Adobe)에서는 8월 15일인 어제 어도비 플래쉬 플레이어(Adobe Flash Player)에 존재하는 취약점인 CVE-2012-1535를 제거하기 위한 보안 패치를 배포 중임을 보안 권고문 "APSB12-18 Security update available for Adobe Flash Player"를 통해 밝혔다.


해당 보안 권고문을 통해 어도비에서는 플래쉬 플레이어에 존재하는 CVE-2012-1535 취약점은 버전 11.3.300.270 이하 버전에 발생하며, 제한적인 타겟 공격(Targeted Attack)에 악용되었음을 같이 공개하였다.


ASEC에서는 추가적인 조사와 분석을 통해 해당 CVE-2012-1535 취약점을 악용한 타겟 공격은 마이크로소프트 워드(Microsoft Word)에 임베디드(Embedded) 된 워드 파일 형태로 유포되었으며, 유포 당시 "Running Mate.doc"와 "iPhone 5 Battery.doc" 라는 파일명이 사용된 것으로 파악된다.


이번 발견된 어도비 플래쉬 플레이어에 존재하는 CVE-2012-1535 취약점을 악용하는 악성코드는 아래와 같은 워드 파일 구조를 가지고 있으며, 파일 내부에는 XOR로 인코딩된 백도어 파일도 같이 포함되어 있다.



취약한 어도비 플래쉬 플레이어 버전을 사용하는 시스템에서 해당 취약한 워드 파일을 열게 되면 내부에 포함된 취약한 SWF 파일도 함께 실행이 되며, 힙 스프레이 오버플로우(Heap spray overflow)가 발생하게 된다. 


그리고 해당 워드 파일 내부에 같이 포함되어 있는 PE 파일을 taskman.dll (61,440 바이트)라는 명칭으로 다음의 경로에 생성 하게 된다.


C:\Documents and Settings\[사용자 계정명]\Application Data\taskman.dll


그리고 시스템에 존재하는 정상 rundll32.exe 파일을 이용하여 생성된 taskman.dll (61,440 바이트) 을 생성하게 된다.


생성된 taskman.dll (61,440 바이트)가 정상적으로 실행되면 미국에 위치한 특정 시스템으로 접속을 시도하나 분석 당시에는 정상적인 접속이 이루어지지 않았다.


정상적인 접속이 이루어지게 될 경우에는 하드웨어 및 운영체제 정보와 실행 중인 프로세스 리스트 등의 정보를 수집히는 백도어 기능을 수행하고 그 정보들을 전송하게 된다.


이번에 알려진 어도비 플래쉬 플레이어의 CVE-2012-1535 취약점을 악용하는 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


Dropper/Cve-2012-1535

Win-Trojan/Briba.61440

SWF/Cve-2012-1535


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/DOC.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit (6)


해당 CVE-2012-1535 취약점은 현재 발견된 취약한 플래쉬 플레이어 파일(.SWF)이 포함된 워드 파일에외에도 향후에는 어도비 리더(Adobe Reader)에 취약한 SWF 파일이 포함되거나 취약한 웹 사이트를 통해 SWF 파일 단독으로 유포될 가능성이 높다.


그러므로 어도비에서 현재  배포 중인 CVE-2012-1535  취약점을 제거 할 수 있는 보안 패치를 Adobe Flash Player Download Center를 통해 지금 즉시 업데이트 하여 다른 보안 위협에서 악용하는 것을 예방 하는 것이 중요 하다.


저작자 표시 비영리 변경 금지
신고
Posted by 비회원