현지 시각으로 2012년 8월 9일 해외 보안 업체 캐스퍼스키(Kaspersky)에서 블로그 "Gauss: Nation-state cyber-surveillance meets banking Trojan"와 함께 분석 보고서인 "Gauss:Abnormal Distribution"를 공개하였다.


이 번 캐스퍼스키에서 공개한 분석 보고서에서는 Gauss로 명명된 악성코드가 발견되었으며, 해당 악성코드들이 기존에 발견되었던 Duqu와 Stuxnet 변형으로 알려진 Flame과 유사도가 높은 것으로 밝히고 있다.


해당 Gauss 악성코드의 전체적인 구조는 아래 캐스퍼스키에서 공개한 이미지와 동일한 형태로 Duqu, Stuxnet 그리고 Flame과 유사한 모듈화된 형태를 가지고 있다.



이 번에 발견된 해당 Gauss 악성코드들의 특징은 다음과 같으며, Flame에서 발견되었던 특징들이 유사하게 발견되었다.


1) 2011년 9월에서 10월사이에 제작 및 유포된 것으로 추정, 제작 이후 수 차례 모듈 업데이트 및 C&C 서버 주소가 변경됨


2) 웹 브라우저 인젝션 이후 사용자 세션을 가로채는 기법으로 사용자 암호, 브라우저 쿠키 및 히스토리 수집


3) 감염된 PC에서 네트워크 정보, 프로세스, 폴더, BIOS와 CMOS 정보들 수집


4) USB를 이용 다른 PC로 전파되며 사용된 취약점은 Stuxnet에서 최초 악용되었던 "MS10-046: Windows 셸의 취약성으로 인한 원격 코드 실행 문제" 사용


5) Palida Narrow 폰트 설치


6) C&C 서버와 통신 후 수집한 정보들 모두 전송하고 다른 모듈들을 다운로드


그리고 해당 악성코드들이 수집하는 정보들은 다음과 같으며, Stuxnet과 같이 시스템 파괴 등의 목적보다는 정보 수집을 주된 목적으로 하고 있다.


1) 컴퓨터 명, 윈도우 버전, 실행 중인 프로세스 리스트


2) Program Files 폴더의 디렉토리 리스트


3) 감염된 PC의 인터넷 익스플로러 버전


4) 네트워크 및 DNS 정보


5) 쿠키를 검색해서 쿠키 중 다음 문자열이 있는지 검색 후 웹 페이지 접속시에 사용자 암호 추출

paypal, mastercard, eurocard, visa, americanexpress, bankofbeirut, eblf, blombank, byblosbank, citibank, fransabank, yahoo, creditlibanais, amazon, facebook, gmail, hotmail, ebay, maktoob


이 번에 발견된 Gauss 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

Trojan/Win32.Mediyes
JS/Gauss
Win-Trojan/Gauss.1310208
Win-Trojan/Gauss.270336
Win-Trojan/Gauss.194560
Win-Trojan/Gauss.172032
Win-Trojan/Gauss.397312
Win-Trojan/Gauss.430080
 
캐스퍼스키의 분석 보고서를 참고로 할 때 Gauss 악성코드들은 특정 금융 정보나 개인 정보 탈취 목적이라기 보다는 Flame 악성코드와 유사하게 특정 조직에 대한 포괄적인 금융 정보를 포함한 다양한 정보들을 수집하기 위해 제작된 것으로 분석 된다.


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

금융 정보를 탈취를 목적으로하는 악성코드들은 PC와 안드로이드(Android)까지 다양한 운영체제와 디바이스들을 대상으로 그 범위를 확장해가고 있으며, 최근에는 안드로이드 모바일 운영체제를 대상으로 감염 후 개인 금융 정보 탈취를 목적으로하는 안드로이드 악성코드들이 지속적으로 발견되고 있다.


ASEC에서는 6월에도 이러한 형태의 안드로이드 악성코드인 ZitMo(Zeus in the Mobile)라는 안드로이드 악성코드가 발견되었음을 공개한 바가 있다.


2012년 6월 - Zitmo 변형으로 알려진 안드로이드 악성코드


현지 시각으로 2012년 8월 7일 해외 보안 업체인 캐스퍼스키(Kaspersky)에서는 블로그 "New ZitMo for Android and Blackberry"를 통해 새로운 ZitMo 안드로이드 악성코드 변형이 발견되었음을 공개하였다.


ASEC에서는 해당  새로운 ZitMo 안드로이드 악성코드 변형을 확보하여 자세한 분석을 진행하였다.


이 번에 발견된 ZitMo 안드로이드 악성코드 변형을 안드로이드 스마트폰에 설치하게 되면 아래 이미지와 같이 "SMS(Short Message Service) 송수신 권한"을 설치시 요구하게 된다.



그리고 설치가 완료되면 아래 이미지와 같이 "Zertifikat"라는 명칭을 가지는 아이콘을 안드로이드 스마트폰에 생성하게 된다. 해당 "Zertifikat"는 독일어로 증명서 또는 인증서를 의미한다.



해당 ZitMo 안드로이드 악성코드를 실행하게 되면 아래 이미지와 같은 독일어로 되어 있는 메시지가 나타나게 되며, 이는 "설치 성공, 정품 인증 코드는 7725486193 입니다."를 의미 한다.



설치가 완료되면 해당 ZitMo 안드로이드 악성코드는 안드로이드 스마트폰이 부팅하게 되면 자신의 아이콘을 숨기고, 감염된 안드로이드 스마트폰으로 송수신되는 모든 SMS들을 특정 휴대전화 번호로 전송하게 된다.


이러한 동작 기법으로 미루어 해당 ZitMo 안드로이드 악성코드는 유럽 지역에서 스마트폰을 이용한 뱅킹(Banking) 서비스 이용시에 사용자 인증을 위해 스마트폰과 휴대 전화로 뱅킹 인증 번호를 SMS로 전송한다는 점을 악용하여 감염된 안드로이드 폰에서 송수신한 뱅킹 인증 번호를 다른 휴대전화로 유출하는 것으로 분석 된다.


이번에 발견된 ZitMo 안드로이드 악성코드는 V3 모바일 제품군에서 다음과 같이 진단한다.


Android-Trojan/Zitmo.M


안드로이드 모바일 기기 사용자들은 인터넷 웹 사이트 등을 통해 안드로이드 앱들을 다운로드 받아 설치하는 것보다 신뢰 할 수 있는 통신사 또는 제조사가 제공하는 앱스토어를 이용해 다운로드 및 설치하는 것이 중요하다.


그리고 안드로이드 모바일 기기에서도 신뢰 할 수 있는 보안 업체가 개발한 보안 제품을 설치하여 주기적으로 검사하는 것이 필요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

최근 들어 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 일종인 블랙홀(Blackhole) 웹 익스플로잇 툴킷이 스팸 메일(Spam Mail)과 결합되어 유포되는 현상들이 자주 발견되고 있다.


최근 발견된 블랙홀 웹 익스플로잇 툴킷과 스팸 메일이 결합되어 유포된 사례들은 다음을 들 수가 있다.


2012년 6월 - 스팸 메일과 결합된 웹 익스플로잇 툴킷


2012년 7월 - 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷


금일 블랙홀 웹 익스플로잇 툴 킷과 결합된 스팸 메일이 다시 발견되었으며, 이 번에 발견된 스팸 메일은 인터넷을 이용한 현금 결제 서비스인 페이팔(PayPal)의 결제 결과 안내 메일로 위장하여 유포되었다.


이 번에 발견된 페이팔 스팸 메일과 결합된 형태로 유포된 블랙홀 웹 익스플로잇 툴킷은 아래 이미지와 같이 다양한 취약점들을 악용하고 있으며 최종적으로 감염된 PC에서 사용자 정보들을 탈취하기 위한 악성코드 감염을 목적으로 하고 있다.



페이팔 결제 안내 메일로 위장해 유포된 스팸 메일은 아래 이미지와 같은 형태를 가지고 있으며, [Accept] 부분은 정상적인 페이팔 웹 페이지로 연결되는 것이 아니라 미국에 위치한 특정 시스템으로 연결되도록 구성되어 있다.



해당 [Accept] 부분을 클릭하게 되면 미국에 위치한 특정 시스템으로 접속하며, PC 사용자에게는 아래와 같은 이미지를 보여주게 된다.



그러나 실제 해당 웹 페이지 하단에는 아래 이미지와 같이 다른 말레이시아에 위치한 시스템으로 연결되는 자바 스크립트 코드가 인코딩 되어 있다.



해당 자바 스크립트 코드를 디코딩하게 되면 기존 블랙홀 익스플로잇 툴킷과 동일한 포맷의 iFrame 으로 처리된 코드가 나타나며, 사용자 모르게 말레이시아에 위치한 블랙홀 웹 익스플로잇 툴킷이 설치되어 있는 시스템으로 연결하게 된다.


그리고 해당 블랙홀 익스플로잇 툴킷에서는 아래의 취약점들 중 하나를 악용하게 된다.



해당 취약점이 성공적으로 악용되면 동일한 시스템에 존재하는 64b3bcf.exe (84,480 바이트)를 다운로드하여 wpbt0.dll (84,480 바이트) 명칭으로 생성하게 된다.


C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\wpbt0.dll


그리고 생성된 wpbt0.dll (84,480 바이트) 는 다시 자신의 복사본을 아래 경로에 KB01458289.exe   (84,480 바이트) 명칭으로 복사하게 된다.


C:\Documents and Settings\[사용자 계정]\Application Data\KB01458289.exe


감염된 PC의 레지스트리에 다음 키 값을 생성하여 PC가 재부팅 할 때마다 자동 실행 되도록 구성하였다.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

KB01458289.exe = C:\Documents and Settings\[사용자 계정]\Application Data\KB01458289.exe


그리고 감염된 PC에서 실행 중인 explorer.exe 정상 프로세스의 스레드로 자신의 코드를 삽입한 후 다음의 정보들을 후킹하게 된다.

웹 사이트 접속 정보
FTP 시스템 접속 사용자 계정과 비밀 번호 정보
POP3 이용 프로그램 사용자 계정과 비밀 번호 정보
웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects)으로 웹 사이트 사용자 계정과 암호 정보

마지막으로 감염된 PC 사용자에게는 구글 메인 웹 페이지로 연결하여 정상적인 접속이 실패한 것으로 위장하게 된다.

이 번에 발견된 페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포한 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.

JS/Iframe
JS/Redirect
PDF/Cve-2010-0188
Win-Trojan/Agent.84480.HA

페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포를 시도한 악성코드는 기존에 발견된 온라인 뱅킹 정보 탈취를 목적으로하는 제우스(Zeus) 또는 스파이아이(SpyEye)와 유사한 웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects) 기능으로 웹 사이트 사용자 계정과 암호 정보를 탈취 할 수 있다.

이는 악성코드 유포자가 의도하는 대부분의 웹 사이트들에서 사용자 계정과 비밀 번호 정보를 탈취 할 수 있음으로, 단순 스팸 메일로 판단되더라도 송신자가 불명확한 메일에 포함된 웹 사이트 연결 링크를 클릭하지 않는 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

해외 보안 업체인 트렌드 마이크로(Trend Micro)에서는 7월 27일 "Adding Android and Mac OS X Malware to the APT Toolbox" 제목의 문서를 공개하였다.


해당 문서는 2012년 3월 해당 업체에서 공개한 "Luckycat Redux: Inside an APT Campaign" 럭키캣(Luckycat)이라고 명명된 APT 공격 형태를 조사하는 과정에서 발견된 안드로이드(Android) 악성코드에 대해 다루고 있다.


해당 업체에서는 럭키캣 APT 공격과 관련된 특정 C&C 서버를 조사하는 과정에서 해당 C&C 서버에서 AQS.apk (15,675 바이트)와 testService.apk (17,810 바이트) 2개의 안드로이드 스마트폰에 설치 가능한 APK 파일 2개를 발견하게 되었다고 한다.


ASEC에서는 해당 2개의 AQS.apk (15,675 바이트)와 testService.apk (17,810 바이트) 파일들을 확보하여 자세한 분석을 진행하였다.


2개의 APK 파일들은 모두 동일한 기능을 하도록 제작되었으며, 그 중 testService.apk (17,810 바이트)을 안드로이드 스마트폰에 설치하게 되면 아래 이미지와 동일한 아이콘을 생성하게 된다.



그리고 해당 앱을 사용자가 직접 실행시키거나  스마트폰이 사용자에 의해 부팅하게 될 경우 이를 자동으로 감지하여 TService 라는 서비스로 실행하게 된다.



해당 서비스는 감염된 안드로이드 스마트폰에서 IMEI(International Mobile Equipment Identity), 스마트폰 번호와 저장 장치의 파일 정보들을 수집하여 중국에 위치한 gr******ns.3322.org:54321 해당 C&C 서버와 통신을 시도하게 된다.



해당 C&C 서버와 통신이 성공하게 되면 아래 이미지와 같이 공격자가 지정한 다양한 악의적인 명령들을 수행할 수 있게 된다.



공격자는 파일 업로드 및 다운로드, 인터넷 연결 접속 그리고 원격 명령을 수행하는 리모트 쉘(Remote Shell) 명령을 C&C 서버를 통해 내릴 수 있다.


이번 럭키캣 APT 공격과 관련된 특정 C&C 서버에서 발견된 안드로이드 악성코드들 모두 V3 모바일 제품군에서 다음과 같이 진단한다.


Android-Trojan/Infostealer.G

Android-Trojan/Infostealer.H


해당 2개의 안드로이드 악성코드가 실제 럭키캣 APT 공격에 사용되었는지는 명확하지 않다.  그러나 APT 공격과 관련된 C&C 서버에서 발견되었다는 사실로 미루어 볼 때, APT 공격을 수행한 공격자들은 안드로이드 악성코드 제작과 유포를 통해 특정 조직의 중요 정보 탈취에 악용하고자 하였던 것으로 추정된다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

검색 엔진을 개발하는 구글(Google)에서는 사용자들의 편의성을 위해 지메일(Gmail), 구글 리더(Google Reader)와 구글 닥스(Google Docs) 등 여러가지 서비스를 제공해주고 있다.


구글에서 제공하는 서비스들은 인터넷만 연결되어 있다면 언제든지 메일과 웹 사이트 그리고 문서 등을 읽거나 작업할 수 있는 공간을 제공 해주고 있으며, 개발자들의 경우에는 구글 코드(Google Code)라고 하여 프로그램 개발과 관련한 소스코드와 파일등을 개발자들 사이에서 공유 할 수 있는 공간을 제공하고 있다.


이러한 서비스들 모두 24시간 중단되지 않는 가용성을 제공하고 있으며, 구글에서 운영을 하고 있음으로 안정성까지 제공 받을 수 있다는 점을 악용하여 구글 코드에 악성코드를 업로드하여 유포에 악용하는 사례가 7월 23일 발견되었다.


구글 코드를 악성코드 유포에 악용하였던 사례는 이번이 처음은 아니며 7월 18일 발견되었던 개인 금융 정보 탈취 목적의 Banki 트로이목마 역시 구글 코드를 악용하였다.


이 번에 발견된 구글 코드를 악용해 유포되고 있는 악성코드들은 아래 이미지와 같이 총 2개의 파일이며 server.exe (58,368 바이트)와 1.exe (37,772 바이트)이다.



해당 악성코드들의 상관 관계에 대해 ASD(AhnLab Smart Defense)의 데이터베이스를 통해 분석 결과 1.exe (37,772 바이트)는 최초 7월 22일 17시경 유포되었다.


해당 1.exe (37,772 바이트) 파일이 실행되면 윈도우 시스템 폴더에 다음과 같이 자신의 복사본으로 생성하게 된다.


C:\WINDOWS\system32\WinHelp32.exe


그리고 "Windows Help Systemg" 라는 서비스명으로 다음의 레지스트리 키를 생성하여 시스템 재부팅시 자동 실행하도록 구성하였다.


HKLM\SYSTEM\ControlSet001\Services\WinHelp32t\ImagePath

"C:\WINDOWS\system32\WinHelp32.exe"


그리고 중국에 위치한 특정 시스템으로 접속을 시도하게 되나 분석 당시에는 정상적인 접속이 이루어지지 않았다. 그러나 ASD의 데이터베이스를 통해 네트워크 접속 로그를 확인한 결과 7월 22일 23시경에는 다음 파일을 다운로드 하는 명령을 수행하고 있었다.


http://*********.googlecode.com/files/server.exe


1.exe (37,772 바이트)는 별도의 드라이버 파일(.SYS) 파일을 통해 보안 소프트웨어에 의해 후킹(Hooking)되어 있는 SSDT(System Service Dispatch Table)를 강제로 복구하는 기능을 수행하여, 자신이 보안 제품에 의해 탐지 되지 않도록 한다.


그 외에 공격자 의도에 따라 다음의 악의적인 기능들을 수행하게 된다.


파일 다운로드 및 실행

운영 체제 및 하드웨어 정보 수집

DoS(Denial of Service) 공격


1.exe (37,772 바이트)에 의해 다운로드 되는 server.exe (58,368 바이트)가 실행면 윈도우 시스템 폴더에 다음 파일을 생성하게 된다.


C:\WINDOWS\system32\(6자리 임의의 문자).exe   


그리고 "Remote Command Service"라는 서비스명으로 레지스트리 키를 생성하여 시스템 재부팅시 자동 실행하도록 구성하였다.


HKLM\SYSTEM\ControlSet001\Services\rcmdsvc\ImagePath

"C:\WINDOWS\system32\(6자리 임의의 문자).exe"


이와 함께 레지스트리 특정 키값을 수정하여 윈도우 시스템에 내장된 방화벽을 우회 할 수 있도록 설정하게 된다.


server.exe (58,368 바이트) 역시 7월 23일 20시 경에는 중국에 위치한 시스템에 접속을 시도하였으나 분석 당시에는 정상적인 접속이 이루어지지 않았다.


해당 파일 역시 공격자 의도에 따라 다음과 같이 일반적인 백도어(Backdoor)와 유사한 다양한 악의적인 기능들을 수행하게 된다.


파일 다운로드 및 실행

운영 체제 및 하드웨어 정보 수집

키보드 입력 후킹

DoS(Denial of Service) 공격

원격 제어


이 번 구글 코드를 통해 유포된 해당 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


Win-Trojan/Agent.70144.KG

Backdoor/Win32.Yoddos


ASD 데이터베이스의 데이터를 통해 1.exe (37,772 바이트)와 server.exe (58,368 바이트)의 정보들을 분석하는 과정에서 1.exe (37,772 바이트)가 다수의 국내 웹 사이트들에 대한 분산 서비스 거부(Distributed Denial-of-Service) 공격을 수행하였던 데이터들을 확인하였다.


해당 분산 서비스 거부 공격의 대상이 되었던 웹 사이트들은 웹 하드 서비스 업체 웹 사이트와 소규모 의류 쇼핑몰이 주를 이루고 있었다.


이러한 정황들을 미루어 공격자는 중국 언더그라운드에서 공유되는 악성코드 생성기를 통해 생성한 악성코드들을 구글 코드에 업로드 한 후 취약한 웹 사이트 또는 포털 웹 사이트의 카페 등을 통해 유포한 것으로 추정된다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 그 동안 지속적으로 발견되고 있는 한글 소프트웨어에 존재하는 취약점을 악용한 악성코드 감염 사례들 다수를 언급하였다. 


6월 15일 - 한글 제로데이 취약점을 악용한 악성코드 유포


6월 26일 - 알려진 한글 취약점을 악용한 악성코드 유포


7월 5일 - 지속적으로 발견되는 취약한 한글 파일 유포


이러한 한글 소프트웨어 존재하는 취약점을 악용한 취약한 한글 파일이 7월 24일 다시 발견되었으며, 이 번에 발견된 취약한 한글 파일은 아래 이미지와 동일한 내용을 가지고 있다.



해당 취약한 한글 파일은 아래 이미지와 동일한 구조를 가지고 있으며 새로운 제로 데이(Zero Day, 0-Day) 취약점이 아니다.



해당 취약점은 HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow) 취약점이며, 해당 취약점은 2010년부터 지속적으로 악용되어 왔던 한글 소프트웨어 취약점들 중 하나이다. 그리고 해당 취약점은 한글과 컴퓨터에서 이미 보안 패치를 제공 중에 있다. 


해당 취약점이 존재하는 한글 소프트웨어를 사용하는 시스템에서 금일 유포된 취약한 한글 파일을 열게 되면 사용자 계정의 임시 폴더에 scvhost.exe (32,768 바이트) 파일을 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\scvhost.exe


그러나 과거에 발견되었던 한글 취약점으로 인해 생성되는 악성코드들과 다르게 다른 파일들을 추가적으로 생성하지는 않고 자신의 복사본을 아래의 경로에 생성하게 된다.


C:\Documents and Settings\Tester\시작 메뉴\프로그램\시작프로그램\AcroRd32Info[다수의 공백]?据的.exe


생성된 scvhost.exe (32,768 바이트)의 복사본인 AcroRd32Info[다수의 공백]?据的.exe (32,768 바이트)를 윈도우 시스템의 [시작 프로그램] 폴더에 생성함으로 시스템이 재부팅 하더라도 자동 실행 하도록 한다. 


그리고 미국에 위치한 특정 시스템으로 SSL 통신을 시도하게 되나 분석 당시에는 정상적인 접속이 이루어지지 않았다. 정상적인 접속이 이루어지게 될 경우에는 공격자가 의도하는 다양한 악의적인 기능들을 수행하게 될 것으로 추정된다.


이 번에 발견된 기존에 알려진 한글 소프트웨어 취약점을 악용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


Exploit/Hwp.AccessViolation-SEH

Win-Trojan/Agent.32768.CEX


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-SEH


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Document(6)


앞서 언급한 바와 같이 한글과 컴퓨터에서 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

온라인 뱅킹에 사용되는 개인 금융 정보를 탈취하는 Banki 트로이목마 변형들이 지속적으로 유포되고 있는 것이 금일 새벽 다시 발견되었다.


ASEC에서는 Banki 트로이목마 변형이 유포 중인 사실을 7월 11일과 16일 공개하였으며, 그 유포 방식에 있어서도 7월 11일 취약한 웹 사이트를 통해 웹 브라우저와 자바(JAVA) 취약점을 악용한 형태로 유포되었으며, 7월 16일 공개시에는 14일과 15일 주말 사이 사용자가 많은 웹 하드 프로그램의 웹 사이트를 통해 유포되었다.


금일 새벽 다시 발견된 Banki 트로이목마 변형은 아래 이미지와 같이 구글(Google)에서 운영하는 구글 코드 웹 페이지를 통해 유포되었다.



ASEC은 구글 시큐리티(Google Security) 팀과 협력으로 현재 Banki 트로이목마 변형이 업로드 되어 있는 해당 구글 코드의 특정 웹 페이지 자체를 삭제한 상태이다.


이번 구글 코드의 특정 웹 페이지를 통해 유포된 Banki 트로이목마 변형은 기존에 발견된 변형들과 유사한 형태로 제작 및 구성 되어 있으며, 아래 이미지와 같은 형태로 동작하게 되어 있다.



금일 새벽 발견된 Banki 트로이 목마 변형은 기존 변형들과 동일하게 RARSfx로 압축되어 있으며, aax.exe (167,310 바이트)이 실행되면 윈도우 시스템 폴더에 다음 파일들을 생성하게 된다.


C:\WINDOWS\system32\WindowsDirectx.exe (180,224 바이트)

C:\WINDOWS\system32\ServiceInstall.exe (61,440 바이트)


그리고 생성된 WindowsDirectx.exe (180,224 바이트)은 일본에 위치한 특정 시스템으로 접속을 시도하게 되며 접속이 성공하게 될 경우에는 RARSfx로 압축된 74.exe (413,304 바이트)를 다운로드 후 실행하게 된다.


다운로드 된 74.exe (413,304 바이트)가 실행되면 윈도우 폴더에 다음 파일들을 생성하게 된다.


C:\WINDOWS\HDSetup.exe (442,368 바이트) 

C:\WINDOWS\CretClient.exe (720,896 바이트)


그리고 CONFIG.INI (29 바이트)에는 홍콩에 위치한 특정 시스템의 IP가 기록되어 있으며, 생성된 HDSetup.exe (442,368 바이트) 는 이를 참조하여 감염된 PC에 존재하는 hosts 파일을 다음과 같이 변경하게 된다.



그러나 금일 새벽에 발견된 변형은 특이하게 안랩의 도메인을 포함하여 탐지 및 발견을 우회하고자 한 점이 특이 사항이라고 볼 수 잇다.


금일 발견된 Banki 트로이 목마 변형들과 관련 악성코드들은 모두 V3 제품군에서 다음과 같이 진단한다.


Dropper/Win32.Banki

Trojan/Win32.Banki

Trojan/Win32.Scar


해당 Banki 트로이목마 변형이 유포 중인 구글 코드 웹 페이지의 다운로드 수가 300건이 넘는 것으로 미루어 해당 악성코드 제작자는 다른 취약한 웹 페이지와 연동하여 다운로드 가능 하도록 설정한 것으로 추정된다.


그러므로 사용하는 운영체제와 일반 어플리케이션들의 취약점을 제거할 수 잇는 보안 패치 설치와 함께 사용하는 보안 제품을 최신 버전으로 유지하는 것이 중요하다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 7월 11일 취약한 웹 사이트를 통해 온라인 뱅킹에 사용되는 개인 금융 정보 탈취를 목적으로하는 Banki 트로이목마 변형이 유포되었음을 공개하였다.


개인 금융 정보 탈취를 목적으로하는 Banki 트로이목마 변형이 7월 14일과 15일 주말 사이 사용자가 많은 웹 하드 프로그램 웹 사이트의 설치 파일을 변경하여 유포된 사례가 발견되었다.


이번에 유포된 Banki 트로이목마 변형은 보안 관리가 상대적으로 취약한 웹 하드 프로그램의 웹 사이트에서 배포 중인 설치 파일을 RARSfx로 악성코드와 정상 설치 파일을 압축한 파일을 배포 중인 정상 설치 파일과 변경하여, 사용자로 하여금 악성코드가 포함된 변경된 설치 파일을 다운로드하도록 하였다.



정상 웹 하드 설치 파일을 변경하여 유포된 Banki 트로이목마 변형이 동작하는 전체적인 구조를 도식화 한 이미지는 아래와 같다.



웹 하드 프로그램의 웹 페이지에서 배포 중인 웹 하드 프로그램의 설치 파일은 RARSfx 파일로 압축된 파일로 변경되어 있으며, 변경된 파일 내부에는 아래와 같이 정상 설치 파일과 함께 RARSfx로 압축된 btuua.exe (174,624 바이트)이 포함되어 있다.



해당 변경된 파일을 실행하게 되면 윈도우 폴더의 임시 폴더(temp)에 다음 파일들을 생성하게 된다.


C:\winodws\temp\btuua.exe (174,624 바이트)

C:\winodws\temp\******_Setup.exe (9,918,872 바이트)


그리고 아래 이미지와 같이 정상 웹 하드 프로그램인 ******_Setup.exe의 설치가 진행된다.



그리고 정상 웹 하드 프로그램 설치와 동시에 생성된 RARSfx로 압축된 btuua.exe (174,624 바이트) 파일 내부에는 아래 이미지와 같이 ServiceInstall.exe (69,632 바이트)와 WindowsDirectx.exe (172,032 바이트)가 포함되어 있다.



btuua.exe (174,624 바이트)는 내부에 포함된 파일들을 다음과 같이 윈도우 시스템 폴더에 생성하고 실행하게 된다.


C:\WINDOWS\system32\ServiceInstall.exe (69,632 바이트)

C:\WINDOWS\system32\WindowsDirectx.exe (172,032 바이트)


생성된 ServiceInstall.exe (69,632 바이트)는 WindowsDirectx.exe (172,032 바이트)를 레지스트리 변경을 통해 윈도우 서비스로 등록시켜, 감염된 시스템이 재부팅 하더라도 자동 실행되도록 구성한다.


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

ImagePath = C:\windows\system32\WindowsDirectx.exe


그리고 WindowsDirectx.exe (172,032 바이트)가 실행이 되면 일본에 위치한 특정 시스템으로 접속을 시도하여 접속이 성공하게 될 경우에는 RARSfx로 압축된 58.exe (517,112 바이트)를 다운로드하게 된다. 


다운로드된 RARSfx로 압축된 58.exe (517,112 바이트) 파일 내부에는 아래 이미지와 같이 CONFIG.INI (29 바이트), CretClient.exe (708,608 바이트)와 HDSetup.exe (458,752 바이트) 파일들이 포함되어 있다.



58.exe (517,112 바이트) 파일이 실행되면 다음 경로에 내부에 포함된 파일들을 생성하게 된다.


C:\WINDOWS\CretClient.exe (708,608 바이트)

C:\WINDOWS\HDSetup.exe (458,752 바이트)


생성된 파일 HDSetup.exe (458,752 바이트)은 기존 변형들과 동일하게 동일하게 아래 이미지와 같이 hosts 파일을 변조하여 온라인 뱅킹을 위해 금융 기관 웹 사이트에 접속하게 될 경우, 홍콩에 위치한 시스템으로 연결하도록 구성하게 된다.



이 번에 발견된 온라인 뱅킹을 위한 개인 금융 정보 탈취를 노리는 Banki 트로이목마 변형들과 관련 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.


Dropper/Win32.Banki

Trojan/Win32.Scar

Trojan/Win32.Banki


현재까지 온라인 뱅킹 관련 개인 금융 정보 탈취를 노리는 Banki 트로이목마가 유포되는 방식은 2가지로 나누어 볼 수 있다.


첫 번째는, 취약한 웹 사이트를 통해 기존 온라인 게임 관련 개인 정보를 탈취하던 악성코드와 동일한 기법으로 취약한 일반 어플리케이션의 취약점을 악용해 유포되는 방식으로 사용되었던 취약점들은 다음과 같다.



두 번째로는 이 번과 같이 상대적으로 보안 관리가 취약한 웹 하드 프로그램 배포 웹 사이트를 해킹한 후 웹 하드 프로그램의 설치 파일을 악성코드가 포함되어 있는 파일로 변경하는 것이다.


이러한 두 가지 유포 사례들로 인해 웹 하드 프로그램을 자주 사용하는 사용자들은 배포그램의 자동 업데이트나 설치 파일의 재설치시 각별한 주의가 필요하다.


그리고 이와 동시에 윈도우 시스템과 자주 사용하는 일반 어플리케이션들의 취약점을 제거할 수 있는 보안 패치 설치에 주의를 기울여야 된다.


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 금일 7월 11일 오전 국내 금융 업체에서 제공하는 온라인 뱅킹에 사용되는 개인 금융 정보의 탈취를 노리는 Banki 트로이목마의 변형을 발견하였다.


이번에 발견된 개인 금융 정보의 탈취를 목적으로한 Banki 트로이 목마의 변형은 기존 다른 변형들과 동일하게 RARSfx 형태로 압축되어 있다.


그리고 해당 파일 내부에는 아래 이미지와 같이 CONFIG.INI (29 바이트), CretClient.exe (704,512 바이트)와 HDSetup.exe (430,080 바이트) 파일 3개를 포함하고 있다.



해당 Banki 트로이목마에 감염되면 해당 RARSfx 파일 내부에 압축되어 있는 파일들을 다음 경로에 생성하게 된다.


C:\WINDOWS\CretClient.exe (704,512 바이트)

C:\WINDOWS\HDSetup.exe (430,080 바이트)


그리고 생성된 HDSetup.exe (430,080 바이트)는  cmd.exe를 실행 백그라운드로 실행 시킨 후 감염된 시스템에 존재하는 hosts 파일에 CONFIG.INI (29 바이트)에 기록되어 있는 특정 IP 주소를 참조하여 다음의 내용으로 덮어 쓰게 된다.


cmd /c echo  59.***.***.55 www.kbstar.com kbstar.com obank.kbstar.com banking.nonghyup.com banking.shinhan.com www.wooribank.com wooribank.com pib.wooribank.com bank.keb.co.kr www.keb.co.kr > C:\WINDOWS\system32\drivers\etc\hosts


아래 이미지와 같이 덮어쓰여진 hosts 파일에는 국내 금융 업체들의 웹 사이트 접속을 시도하게 될 경우에는 홍콩에 위치한 특정 시스템으로 모두 연결하게 된다.



CONFIG.INI (29 바이트)에 기록되어 있는 특정 IP 주소는 홍콩에 위치한 시스템으로 분석 당시에는 정상적으로 연결되지 않았지만, 정상적인 연결이 될 경우에는 허위로 제작된 금융 업체의 피싱(Phishing) 웹 사이트로 연결 될 것으로 추정된다.


정상적으로 허위로 제작된 금융 업체의 피싱 웹 사이트로 연결되게 될 경우에는 기존 변형들과 동일하게 피싱 웹 사이트에서 온라인 뱅킹에 사용되는 보안 카드의 비밀번호를 입력하도록 유도할 것으로 추정된다.


그리고 아래 이미지와 같이 CretClient.exe (704,512 바이트)를 실행시켜 감염된 PC의 사용자가 사용하는 공인 인증서(PKI)를 탈취하게 된다.



이 번에 발견된 국내 온라인 뱅킹에 사용되는 개인 금융 정보 탈취를 목적으로한 Banki 트로이목마 변형들은 모두 7월 8일에 제작 되었으며, 기존 변형들과 동일한 파일명을 사용하고 있다.


이를 미루어 볼 때 해당 악성코드 제작자는 계획적으로 금융 정보 탈취를 목적으로 지속적으로 유포하는 것으로 분석된다.


금일 발견된 Banki 트로이목마 변형들은 모두 V3 제품군에서 다음과 같이 진단한다.


Trojan/Win32.Banki


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 드 실행 제로 데이(Zero Day, 0-Day) 취약점을 악용하는 악성코드가 6월 15일 발견되었음을 공개하였다. 그리고 6월 22일에는 기존에 발견되었던 취약점을 악용한 취약한 한글 파일이 발견되었음을 공개하였다.


7월 4일 어제 다시 한글 소프트웨어에 존재하는 알려진 취약점을 악용한 취약한 한글 파일이 발견되었으며, 해당 취약한 한글 파일 역시 이메일의 첨부 파일 형태로 국내 특정 조직을 대상으로 유포 되었다.


이메일에 첨부되어 유포된 해당 취약한 한글 파일을 열게 되면 아래 이미지와 동일한 내용이 나타나게 된다.



해당 취약한 파일은 아래 이미지와 같은 구조로 되어 있으며, 6월 15일 발견된 코드 실행 취약점을 응용한 형태가 아니라 이미 보안 패치가 제공되어 있는 취약점이다.



이 번에 발견된 해당 취약한 한글 파일은 HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow) 취약점이며, 해당 취약점은 2010년부터 지속적으로 악용되어 왔던 한글 소프트웨어 취약점들 중 하나이다. 그리고 해당 취약점은 한글과 컴퓨터에서 이미 보안 패치를 제공 중에 있다. 


해당 취약점이 존재하는 한글 소프트웨어를 사용하는 시스템에서 금일 유포된 취약한 한글 파일을 열게 되면 사용자 계정의 임시 폴더에 scvhost.exe (138,240 바이트) 파일을 생성하게 된다.


c:\documents and settings\[사용자 계정명]\local settings\temp\scvhost.exe ( 138,240 바이트 


생성된 scvhost.exe (138,240 바이트) 파일이 실행되면 윈도우 폴더(c:\windows) 폴더에 wdmaud.drv (78,336 바이트)를 생성하게 된다.


C:\WINDOWS\wdmaud.drv (78,336 바이트)


그리고 생성된 wdmaud.drv (78,336 바이트)는 감염된 시스템에서 다음의 정보들을 수집하여 외부로 전송을 시도하게 되나 분석 당시에는 정상적으로 접속이 되지 않았다.


하드웨어 정보

윈도우 운영체제 정보

로그인 사용자 정보

파일 업로드 및 다운로드

감염된 시스템의 IP 주소 및 프록시(Proxy) 서버 주소


금일 발견된 기존에 알려진 한글 소프트웨어 취약점을 악용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


HWP/Exploit

Win-Trojan/Agent.138240.FK 

Trojan/Win32.Dllbot


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Document(57)


생성되는 파일명들과 생성된 악성코드들이 가지고 있는 기능들을 미루어 볼 때 해당 악성코드 제작자는 동일한 한글 취약점과 동일한 악성코드 소스코드를 바탕으로 지속적으로 변형들을 생산해내는 것으로 분석된다.


그러므로 앞서 언급한 바와 같이 한글과 컴퓨터에서 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원