2012년 1월 27일 금일 트렌드 마이크로(Trend Micro) 블로그 "Malware Leveraging MIDI Remote Code Execution Vulnerability Found"를 통해 마이크로소프트(Microsoft)에서 1월 11일 배포하였던 보안 패치인 "MS12-004  Windows Media의 취약점으로 인한 원격 코드 실행 문제점 (2636391)"와 관련된 취약점(CVE-2012-0003)을 악용하여 유포된 악성코드가 발견되었다.

해당 MS12-004 취약점을 악용하여 유포된 악성코드와 관련된 사항들을 ASEC에서 추가적인 조사를 진행하는 과정에서 해당 악성코드는 아래와 같은 전체적이 구조를 가지고 있는 것으로 파악하였다.


악성코드 감염의 근본적인 시작이 되는 mp.html(16,453 바이트) 파일은 최초 1월 21일 설날 연휴가 시작되는 토요일 국내에서 발견되었으며, 해당 스크립트 악성코드가 존재하였던 시스템은 미국에 위치하고 있다.

그리고 해당 악성코드들과 관련된 공격자는 한국과 중국을 포함한 극동 아시아 권을 주된 대상으로 해당 악성코드들을 유포 한 것으로 ASEC에서는 추정하고 있다. 


해당 mp.html 스크립트 악성코드를 텍스트 에디터로 분석을 해보면 아래와 같은 구조를 가지고 있으며, 파일 중간에는 실질적인 MS12-004 취약점을 악용하는 MIDI 파일인 baby.mid(38,068 바이트) 파일과 다른 자바 스크립트(JavaScript)인 i.js와 쉘코드(Shallcode)가 포함되어 있다.


아래 이미지와 동일한 MIDI 파일인 baby.mid는 MS12-004 취약점을 악용하도록 되어 있으며, 해당 취약점을 통해 ASLR/DEP를 모두 우회하여 공격자가 지정한 특정 코드를 실행 할 수 있도록 되어 있다. 

일반적인 MIDI 파일 포맷은 Header Chunk 와 Track Chunks로 구성되어 있다. 그러나 이번에 발견된 악의적으로 조작된 MIDI 파일에서 Note On/OFF (소리내기/끄기) 명령어인 해당 Track Event 중 첫번째 파라미터인 "Note Number" 값은 최대 127까지 표현가능하다.  

그러므로, 아래 이미지와 같이 B2(>128) 값으로 설정된 경우에는 오프셋(Offset) 계산 시 경계 범위를 넘게되어 잘못된 메모리 번지를 참조하게 되는 오류가 발생하게 된다.


mp.html 스크립트 악성코드에 포함되어 있는 쉘코드는 미국에 위치한 특정 시스템에서 인코딩(Encoding) 되어 있는 파일인 tdc.exe(73,728 바이트) 를 다운로드 한 후에 다시 이를 디코딩(Decoding) 과정을 거쳐 정상적인 PE 파일 형태를 가지게 된다.


정상적인 PE 파일 형태를 가지게 된 tdc.exe 파일이 실행되면 다음의 파일들을 생성하게 된다.

C:\WINDOWS\system32\drivers\com32.sys (11,648 바이트)
C:\WINDOWS\system32\com32.dll (57,344 바이트)


레지스트리(Registry)에 다음의 키 값을 생성하여 윈도우(Windows)가 재시작 시에 해당 드라이버 파일이 "Com32"라는 서비스명으로 자동 구동 되도록 설정하게 된다.

HKLM\SYSTEM\ControlSet001\Services\Com32\ImagePath  
"System32\drivers\com32.sys"


생성된 드라이버 파일인 com32.sys tdc.exe가 생성한 com32.syscom32.dll 파일들을 보호하기 위해 다른 프로세스의 접근을 방해한다. 그러나 다음의 프로세스들의 접근에 대해서는 허용하고 있다.

IEXPLORER.EXE
exploere.exe
rundll32.exe 


그리고 com32.sys는 \FileSystem\FastFat 과 \FileSystem\Ntfs의 DriverObject의 IRP_MJ_CREATE 핸들러 주소를 후킹한 코드 주소로 변경하는 방법을 사용하고 있다.

생성된 com32.dll는 감염된 시스템에서 국내에서 제작되어 사용중인 보안 제품들이 실행 중이라면 해당 프로세스들의 강제 종료를 시도하게 된다.


추가적으로 아래 이미지와 같이 특정 시스템으로 접속을 시도하여 성공하게 될 경우에는 아래 이미지와 같이 20120120.exe(89,088 바이트)를 다운로드 하게 된다.


다운로드 된 20120120.exe는 감염된 시스템에 존재하는 정상 윈도우 시스템 파일인 imm32.dll 파일을 랜덤한 파일명으로 백업을하고 국내에서 제작된 온라인 게임들의 사용자 계정과 암호를 외부로 탈취하는 기능들을 수행하게 된다.

현재까지의 상황들을 종합해보면 이번 MS12-004 취약점을 악용하여 악성코드 감염을 시도하는 제작자는 최종적으로 윈도우 보안 패치가 설치되지 않은 시스템에서 온라인 게임 사용자 정보들을 탈취하기 위한 악성코드 감염을 시도한 사례라고 볼 수 있다.

발견된 악성코드의 제작 기법과 국내 보안 프로그램의 강제 종료 기법들을 볼 때 중국에서 제작된 온라인 게임 관련 악성코드와 유사도가 높다고 할 수 있다.

그러므로 해당 MS12-004 취약점은 다른 악성코드 변형들에서도 다른 형태의 유포 기법으로 악용될 소지가 높음으로 사용하는 윈도우 시스템에 최신 보안 패치들을 모두 설치하는 것이 최선의 예방책이다.

이번 MS12-004 취약점과 관련된 악성코드들 모두 V3 제품군에서는 다음과 같이 진단한다.

JS/Cve-2009-0075 
JS/Agent 
Exploit/Ms12-004 
Win-Trojan/Rootkit.7808.H 
Dropper/Win32.OnlineGameHack 
Win-Trojan/Meredrop.73728.C
Win-Trojan/Rootkit.11648.B
Win-Trojan/Waltrodock.57344
Win-Trojan/Meredrop

그리고 TrusGuard 네트워크 보안 장비에서도 해당 취약점에 대해 다음의 명칭으로 탐지 및 차단이 가능하다. 

malicious_url_20120127_1459(HTTP)-1
ms_ie_mid_file_exploit-t(CVE-2012-0003/HTTP)

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

2011년 12월 23일 국내에서 제우스 봇(Zeus Bot) 유포를 위해 여러가지 어플리케이션들의 취약점 악용 웹 페이지 접속을 유도하는 전자 메일이 발견되었다.


이 번에 유포된 해당 전자 메일의 제목은 "Fwd : I'm in trouble" 이며 본문은 아래와 같다.   

I was at a party, got drunk, couldn't drive the car, somebody gave me a lift on my car, and crossed on the red light!
I've just got the pictures, maybe you know him???
Here is the photo

I need to find him urgently!

Thank you
<보낸 사람>


유포된 전자 메일의 형태는 아래 이미지와 같다.


유포되는 메일 형식은 해외 보안 업체인 컴터치(Commtouch) 블로그 "The “I’m in trouble” massive malware outbreak"를 참고 할 경우 다른 유사 변형들도 상당수 존재하는 것으로 파악 된다. 

메일 수신자가 전자 메일 본문의 'Here is the photo'를 클릭하면 악성코드 감염을 시도하는 특정 웹 페이지로 연결된다.

연결된 해당 웹 페이지는 다른 웹 페이지를 로딩하는 것으로 위장한 'Please wait page is loading...'이 뜨고 다양한 어플리케이션들의 취약점을 악용해 악성코드를 감염을 시도 한다.
 


해당 웹 페이지에 존재하는 난독화된 스크립트를 풀어보면 "Microsoft 보안 권고 (2219475) Windows 도움말 및 지원 센터의 취약점으로 인한 원격 코드 실행 문제점"과 함께 자바(Java), 어도비 플래쉬(Adobe Flash)등에 존재하는 다양한 취약점들을 악용해 악성코드 감염을 시도하고 있다.


해당 취약점들을 통해 다운로드되는 파일은 인터넷 뱅킹 정보 유출을 위해 제작된 제우스 봇(Zeus Bot) 악성코드이다.

이번에 발견된 전자메일을 통해 감염을 시도한 제우스 봇 트로이 목마는 2011.12.16.00 이후 엔진 버전의 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Obfuscated.Gen

신고
Creative Commons License
Creative Commons License
Posted by mstoned7
사회적으로 이슈가 되는 유명 인사들의 사망 등을 악용하는 사회 공학(Social Engineering) 기법으로 악성코드가 유포되는 사례는 과거에도 지속적으로 발견되었다.

이러한 사례들로는 2011년에만 5월 테러 조직인 알카에다의 지도자인 오사마 빈 라덴(Osama Bin Laden) 사망 소식10월 애플(Apple) CEO인 스티브 잡스(Steve Jobs)의 사망을 악용한 악성코드 유포 사례들이 있었다.

2011년 12월 19일 북한의 방송을 통해 김정일 위원장의 사망 소식이 전 세계에 알려진지 만 하루가 지난 금일 김정일 위원장의 사망을 악용한 애드웨어 유포가 사례가 발견되었다.

해당 애드웨어는 아래 이미지와 같은 유명 동영상 관련 웹 사이트 유튜브(You Tube)를 통해 김정일 위원장의 사망과 관련한 동영상을 시청하기 위해서는 본문의 단축 URL(URL Shortening)을 클릭하도록 유도 하고 있다.


해당 단축 URL을 클릭하게 되면 아래 웹 사이트와 같이 동영상을 시청할 수 있는 것으로 위장하고 있는 웹 사이트로 연결하게 된다.


해당 웹 사이트에서는 다시 정상적인 동영상을 시청하기 위해서는 아래 웹 사이트와 같이 특정 툴바(Toolbar)를 설치하도록 권유하고 있다.


실제 사용자가 설치를 동의하지 않아 체크 박스를 해제하는 것과 상관 없이 아래 이미지와 같이 Start 버튼을 클릭하게 되면 Setup.exe(231,608 바이트)를 다운로드 하게 된다.

 
다운로드 한 Setup.exe(231,608 바이트)를 실행하게 되면 아래 이미지와 같이 특정 시스템으로부터 다른 파일들을 사용자의 동의 없이 다운로드 및 실행하게 된다.

 
설치가 완료 되면 아래 이미지와 같이 사용자가 동의하지 않은 인터넷 익스플로러(Internet Explorer) 툴바들이 설치가 된다.

 
그리고 인터넷 익스플로러의 시작 페이지를 특정 웹 사이트로 변경하고 사용자가 입력하는 검색 키워드들을 가로채어 특정 시스템으로 전송을 수행하게 된다.

이 번 김정일 위원장의 사망을 악용하여 유튜브를 통해 유포를 시도한 애드웨어들은 2011.12.20.04 이후의 엔진 버전으로 업데이트 한 모든 V3 제품군에서 다음과 같이 진단한다.

Trojan/Win32.ADH
Adware/Win32.Hotbar 
Trojan/Win32.ADH
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
최근 국내 유명 연예인인 A양을 촬영한 것으로 알려진 사생활 동영상이 유포되어 사회적으로 큰 이슈를 일으키고 있다.

이러한 사회적인 큰 이슈를 악용하여 2011년 12월 8일 저녁 국내에서도 많은 사용자가 있는 소셜 네트워크 서비스(Social Network Service)인 트위터(Twitter) 등을 통해 해당 연예인의 사생활 동영상으로 위장한 악성코드가 유포 되었다.


해당 트위터 계정은 비교적 최근에 생성한 것으로 보여지며, 해당 계정의 사용자에 대해 자세한 사항들이 존재하지 않는다. 그리고 다른 일반적인 내용 없이 위 이미지와 같이 유명 연예인의 동영상 파일로 위장한 ZIP 압축 파일을 다운로드하도록만 유도하고 있다.

해당 URL을 복사하여 웹 브라우저에서 다운로드를 시도하게 되면 아래 이미지와 같이 "[삭제] 아나운서 2분50초짜리.zip.zip(6.67MB)" 파일이 다운로드 된다.


다운로드 된 ZIP 압축 파일의 압축을 풀게 되면 아래 이미지와 같이 다수의 JPG 이미지 파일과 SFX로 압축된 EXE 파일이 존재한다.


그리고 텍스트 파일에서는 압축 파일에 같이 포함된 SFX로 압축된 EXE 파일을 실행하여야지만 동영상을 볼 수 있는 것 처럼 실행을 유도하고 있다.


해당 EXE 파일을 실행하게 되면 위 이미지와 같이 압축을 풀 경로를 선택하도록 하고 있으며, 아래 이미지와 같이 실제 성인 동영상 파일과 다수의 이미지 파일들이 해당 폴더에 생성된다.


그러나 해당 파일을 실행한 시스템의 사용자 모르게 netsecurity.exe(143,360 바이트) 파일도 같이 압축이 풀리면서 실행 된다.

netsecurity.exe이 실행되면 윈도우 시스템 폴더(C:\Windows\System32)에 netdrvsrty.exe(114,800 바이트) 파일을 생성하고, 윈도우 레지스트리(Windows Registry)에 다음 키 값을 생성하여 시스템 재부팅 이후에도 자동 실행 되도록 구성한다.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
netsecurityDRV = "C:\WINDOWS\system32\netdrvsrty.exe"



생성된 netdrvsrty.exe는 마이크로소프트 비주얼 C++(Microsoft Visual C++) MFC로 제작 되었으며 해당 파일은 코드 상으로는 감염된 시스템의 IP 주소를 수집하고 감염된 시스템의 인터넷 익스플로러(Internet Explorer) 즐겨찾기 폴더에 웹 페이지 바로가기 파일들을 생성하게 되어 있다. 그러나 테스트 당시에는 코드상으로 존재하는 해당 악의적인 기능들이 정상 동작 하지 않았다.

이러한 일련의 사항들을 살펴 볼 때 이번 유명 연예인의 사생활 동영상으로 위장하여 유포된 악성코드는 제작자의 명령에 따라 즐겨찾기 파일들 조작하는 애드웨어(Adware) 기능을 수행하기 위해 제작된 것으로 볼 수 있다.

해당 유명 연예인의 사생활 동영상으로 위장하여 유포된 악성코드들 모두 V3 제품 군에서 다음과 같이 진단한다.

Downloader/Win32.Korad
Trojan/Win32.Sysckbc
Dropper/Agent.6596635
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
한국 시각으로 2011년 12월 7일 새벽 Adobe에서는 보안 권고문 "APSA11-04 Security Advisory for Adobe Reader and Acrobat"을 공개하며 Adobe Acrobat에서 알려지지 않은 제로 데이(Zero-Day) 취약점인 CVE-2011-2462가 발견되었음을 알렸다.

Adobe에서는  이번에 발견된 제로 데이 취약점에 영향을 받는  Adobe Acrobat 버전들은 다음과 같다고 밝히고 있다.

Adobe Reader X (10.1.1) and earlier 10.x versions for Windows and Macintosh
Adobe Reader 9.4.6 and earlier 9.x versions for Windows, Macintosh and UNIX
Adobe Acrobat X (10.1.1) and earlier 10.x versions for Windows and Macintosh
Adobe Acrobat 9.4.6 and earlier 9.x versions for Windows and Macintosh

그리고 보안 권고문을 통해 해당 제로 데이 취약점을 악용한 타겟 공격(Targeted Attack)이 발생하였으며, 해당 취약점을 보고 한 업체로는 미국 군수 방위 업체인 록히드 마틴(Lockheed Martin)으로 밝히고 있다.


이 번 타겟 공격과 관련하여 시만텍(Symantec)에서는 "A New Zero Day PDF Exploit used in a Targeted Attack" 블로그를 통해 이메일의 첨부 파일로 제로 데이 취약점인 CVE-2011-2462이 존재하는 PDF 파일을 전송한 것으로 공개 하였다. 그리고 공격 대상이 된 기업들로는 통신, 제조, 유통, 컴퓨터 하드웨어와 하드웨어 업체들인 것으로 밝히고 있다. 

ASEC에서는 이 번 타겟 공격이 11월 말에서 12월 초를 전후하여 발생한 것으로 추정하고 있으며, 발견된 취약한 PDF 파일은 최소 2개 이상 인것 파악하고 있다.

일반적으로 PDF 파일에는 Universal 3D 파일 포맷같은 3차원 이미지를 포함할 수 있다. U3D 이미지 파일은 일반적인 블럭헤더와 블럭 타입의 특별한 블럭데이터를 가질 수 있는 구조이다.

이 블럭들 중 ShadingModifierBlock은 0xFFFFFF45 값을 가지고, ShadingModifierBlock은 힙
(Heap)에 객체를 생성할 때 사용한다.

이런 오브젝트들의 포인트도 힙에 저장되며 포인터를 위해 메모리에 할당되는 양은 포인터사이즈에 U3D 파일의 Shader List Count 필드를 곱한 것이다. 그러나 포인터는 0xe0형태로 힙 메모리에 초기화되지 않은 상태로 설정 될 경우 이를 악용 가능한 힙 변형이 발생 할 수 있다.

이 번에 발견된 취약한 PDF들은 아래 이미지와 같은 악의적인 3D Stream을 포함하고 있다.

 
해당 악의적인 3D Stream의 압축을 해제하게 되면 아래 이미지와 같은 U3D 파일이 생성되며 붉은 색 박스로 표시된 부분에 의해 실질적인 오버플로우(Overflow)가 발생하게 된다.
 


OpenAction을 통해 취약한 PDF 파일이 실행 될 때 아래 이미지와 같은 14번 오브젝트에서 AcroJS를 포함한 15번 오브젝트 부분의 스크립트를 실행하도록 되어 있다.


15번 오브젝트에는 아래 이미지와 같이  힙 스프레이를 통해 쉘코드를 메모리에 적재하는 AcroJS가 포함되어 있다.


쉘코드는 XOR 97로 디코딩(Decoding)하는 과정을 거쳐 백도어 기능을 수행하는 악성코드를 시스템에 생성하게 된다.


메일로 전달 된 CVE-2011-2462 제로 데이 취약점을 가지고 있는 PDF 파일을 실행하게 되면 아래 이미지와 동일한 내용을 가지고 있는 정상 PDF 파일이 보여진다.


그러나 실제로는 사용자 모르게 다음 파일들이 시스템에 생성되고 실행 된다.

C:\Documents and Settings\[사용자 계정명]\Local Settings\ctfmon.exe
C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\ManTech Employee Satisfaction Survey.pdf
C:\Documents and Settings\[사용자 계정명]\Local Settings\pretty.exe
C:\Documents and Settings\[사용자 계정명]\Local Settings\WSE4EF1.TMP 


생성된 파일들 중 
ManTech Employee Satisfaction Survey.pdf는 위 이미지와 동일한 취약한 PDF 파일이 실행 될 때 감염된 시스템의 사용자로 하여금 악성코드로 의심하지 못하도록 보여지는 정상 파일이다. 

생성된 
ctfmon.exe(39,936 바이트)는 자신의 복사본을 다시 동일한 위치에 pretty.exe(39,936 바이트)로 생성하며 DLL 파일인 WSE4EF1.TMP(31,232 바이트)를 드롭(Drop) 한다. 해당 파일들 모두 마이크로소프트 비주얼 C++(Microsoft Visual C++)로 제작 되었으며 실행 압축은 되어 있지 않다.

그리고 ctfmon.exe는 다음의 레지스트리(Registry) 키를 생성하여 시스템이 재부팅하더라도 자동 실행하도록 한다.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
office = 
"C:\Documents and Settings\[사용자 계정명]\Local Settings\pretty.exe"

 
드롭 된  WSE4EF1.TMP는 다음의 프로그램들이 실행되어 프로세스를 생성하게 되면 아래 이미지와 같이 스레드(Thread)로 해당 프로세스에 인젝션(Injection) 하게 된다.

Microsoft Outlook
Microsoft Internet Explorer
Firefox



인젝션에 성공하게 되면 HTTPS로 다음 시스템으로 접속을 시도하게 되나 테스트 당시에는 정상적인 접속이 이루어지지 않았다.

hxxps://www.pr[삭제]her.com/asp/kys[삭제]_get.asp?name=getkys.kys


정상적인 접속이 이루어지게 되면 다음의 악의적인 기능들을 수행하게 되며, 해당 악성코드들은 기존 다른 침해 사고에서 발견되었던 원격 제어 형태의 백도어(Backdoor)이다.

파일 업로드 및 다운로드
CMD Shell 명령 수행
시스템 강제 종료 및 재부팅
프록시(Proxy) 서버 


이번에 발견된 Adobe Acrobat에 존재하는 제로 데이 취약점인 CVE-2011-2462를 악용한 타겟 공격은 취약한 PDF 파일과 감염되는 악성코드 등 전반적인 사항들을 고려하였을때, 공격자는 기업 내부에 존재하는 중요 데이터를 탈취하기 위한 목적으로 제작 및 유포한 것으로 추정된다.

타겟 공격에 실제 악용된
CVE-2011-2462 취약점에 대한 보안 패치는 Adobe에 의해 현지 시각으로 12월 12일 배포 될 예정이나 다른 보안 위협에서 해당 제로 데이 취약점을 악용 할 가능성이 높음으로 각별한 주의가 필요하다.

해당 제로데이 취약점에 대한 임시 대응 방안으로 Adobe에서는 사용하는 Adobe Reader의 버전을 10.0으로 업그레이드 하고 해당 버전에 포함되어 있는 보호 모드(
Protected Mode)와 보호 뷰(Protected View) 기능을 활성화 할 것을 권고하고 있다.

메뉴 → 편집 → 기본 설정 → 일반  → 시작할 때 보호 모드 사용(활성)
 


메뉴 → 편집 → 기본 설정 → 보안(고급)  → 고급 보안 사용(활성)

 

이 번 발견된 Adobe Acrobat에 존재하는 제로 데이 취약점인 CVE-2011-2462을 악용한 악성코드들 모두 V3 제품군에서 다음과 같이 진단하고 있다.

PDF/
CVE-2011-2462
Win-Trojan/Agent.39936.BAT
Backdoor/Win32.CSon
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
한 해를 마무리하는 2011년 12월에는 연말 연시에는 사회적인 분위기를 악용하는 사회 공학 기법들이 적용된 악성코드나 다른 보안 위협들이 발견될 가능성이 높다.

이러한 사례로 이미 "크리스마스 카드로 위장한 악성코드" 발견 사례도 있으며 다양한 "신년 축하 카드로 위장한 악성코드" 발견사례도 있으니 각별한 주의가 필요하다.

이러한 2011년 연말 연시 분위기에 금전적인 목적으로 지속적으로 유포되었던 허위 백신들에서 2012년도 최신 버전인 것으로 위장한 사례가 2011년 11월 30일 발견되었다.

해당 허위 백신은 2012년도 최신 버전임을 표기한 것 외에도 최근 다양한 보안 위협들에 대응하기 위해 개발 및 사용되는 클라우드 안티 바이러스(Cloud Anti-Virus) 인 것으로도 위장하고 있다.


이 번에 발견된 허위 클라우드 안티 바이러스 2012는 과거에 발견되었던 허위 클라우드 백신과는 외형적인 인터페이스 부분만 변경되었지, 기능이나 동작면에서 동일한 형태를 가지고 있다. 

업데이트 기능동 아래 이미지와 같이 실제 최신 엔진을 다운로드 받는 것처럼 사용자에게 보여지지만 실제로는 다운로드되는 파일이 존재하지 않는다.


그리고 다른 허위 백신들 모두가 금전적인 결제를 유도하는 것과 동일하게 한화 약 57,000원만 신용카드로 결제를 하면 허위로 표기된 악성코드들 모두를 치료가 가능 한것으로 보여주고 있다.


이러한 금전 결제를 유도하는 허위 백신들 모두가 실제 악성코드 감염 사실이 없는데 있는 것으로 위장하고 있음으로, 알려져 있는 신뢰할 수 있는 보안 제품을 사용하는 것이 중요하다.

이 번에 발견된 허위 백신인 클라우드 안티 바이러스 2012는 V3 제품 군에서 다음과 같이 진단하고 있다.

Trojan/Win32.Jorik
Win-Trojan/Fakescanti.1976320

악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 전에 주의를 하는 것이 중요하다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
현지 시각 2011년 10월 18일 미국 보안 업체인 시만텍(Symantec)에서는 이란 원자력 발전소를 공격 대상으로한 스턱스넷(Stuxnet)의 변형인 Duqu 악성코드가 발견되었음 블로그 "W32.Duqu: The Precursor to the Next Stuxnet"를 통해 공개하였다.

그리고 Duqu에 대해 약 46 페이지의 분석 보고서 "W32.Duqu The precursor to the next Stuxnet" 를 공개하였다. 현재 해당 보고서는 현지 시각 2011년 11월 1일부로 1.3 버전으로 업데이트 되었다.

시만텍에서는 Duqu 악성코드를 분석하는 과정에서 2009년 발견되었던 스턱스넷 악성코드와 유사한 형태를 가지고 있으며, 동일 인물 또는 제작 그룹에 제작된 것으로 추정되고 있음을 밝히고 있다.

이번에 발견된 Duqu는 스턱스넷과 같이 산업 제어 시스템과 관련된 코드와 자체 전파 기능은 존재하지 않았다.  그러나 C&C(Command and Controal) 서버를 통해 원격 제어가 가능하며, 키로깅(Keylogging)을 통해 정보를 수집할 수 있는 기능이 존재한다. 그리고 시스템에 감염된지 36일이 지나면 자동 삭제하는 기능도 포함되어 있다.

최초에 배포된 분석 보고서에서는 Duqu의 감염 경로가 자세히 밝혀지지 않았으나 블로그 "Duqu: Status Updates Including Installer with Zero-Day Exploit Found"를 통해 아래 이미지와 같이 마이크로소프트 윈도우(Microsoft Windows)에 존재하는 알려지지 않은 제로 데이(Zero Day, 0-Day) 취약점을 악용한 것으로 밝혔다.


해당 제로 데이 취약점은 마이크로소프트 워드(Microsoft Word) 파일을 이용한 윈도우 커널(Windows Kernel) 관련 취약점으로 윈도우의 Win32k 트루타입 폰트 파싱 엔진(TrueType font parsing engine)에 존재하며 이로 인해 임의의 코드 실행이 가능하다.

현재 해당 취약점은 CVE-2011-3402로 마이크로소프트에서는 "Microsoft Security Advisory (2639658) Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege" 보안 권고문을 통해 자세하게 공개하였다.

그리고 추가적으로 마이크로소프트에서는 "Microsoft Security Advisory: Vulnerability in TrueType font parsing could allow elevation of privileges"를 통해 임시적으로 해당 취약점을 제거할 수 있는 Fix It 툴을 공개하였다.


현재 V3 제품군에서는 해당 Duqu 악성코드들을 다음의 진단명으로 진단하고 있다.

Win-Trojan/Duqu.6656
Win-Trojan/Duqu.68096
Win-Trojan/Duqu.24960.B 
Win-Trojan/Duqu.29568
Win-Trojan/Duqu.24960
Win-Trojan/Duqu
Win-Trojan/Agent.85504.HN 
Worm/Win32.Stuxnet 
 
해당 취약점은 보안 패치가 제공되지 않는 제로 데이 상태이며, 다른 악성코드나 보안 위협에서 해당 취약점을 악용할 가능성도 있음로 해당 Fix It을 통해 취약점을 제거하는 것이 중요하다.

그러나 해당 Fix It은 임시적인 방편임으로 향후 정식 보안 패치가 배포 될 경우에는 해당 보안 패치를 설치하는 것이 필요하다. 
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
해외 시각으로 2011년 10월 31일 미국 보안 업체인 시만텍(Symantec)에서는 니트로(Nitro)로 명명된 보안 위협을 공개하였으며, 공개된 니트로 보안 위협에 대해서는 해외 언론들을 통해서도 알려져 있다.

시만텍에서 이번에 공개한 니트로 보안 위협은 화학 제품을 생산하는 기업들을 대상으로한 공격이었으나, 최초인 4월 말경에는 인권 관련단체인 NGO를 대상으로 시작 된 것으로 밝히고 있다. 

화학 업체들을 대상으로한 니트로 보안 위협은 최초 2011년 7월에서 시작되어 해당 보안 위협이 탐지된 9월까지 진행 되었으며, 원격 제어를 위한 C&C(Command and Control) 서버의 경우에는 4월경에 구축 된 것으로 알려져 있다.

그리고 공격 대상이 된 기업은 화학 관련 업체 29개와 군수 업체를 포함한 다른 업종의 기업 19개로 총 48개 기업이 이번 니트로 보안 위협의 공격 대상이 되었다.

시만텍에서는 아래 이미지와 같이 해당 니트로 보안 위협에 의해 감염된 시스템들은 지리적으로 미국과 방글라데시(Bangladesh)가 가장 많은 것으로 밝히고 있다.



이번에 알려진 니트로 보안 위협은 전형적인 APT(Advance Persistent Threat) 형태의 공격으로 사회 공학(Social Engineering) 기법을 포함하고 있는 전자 메일에 원격 제어 형태의 백도어인 포이즌아이비(PoisonIvy)가 첨부 파일로 존재하였다.

니트로 보안 위협에 사용된 포이즌아이비는 언더그라운드에서 해당 백도어를 생성할 수 있는 악성코드 생성기가 이미 공유되고 있어, 니트로 보안 위협의 공격자는 아래 이미지와 유사한 포이즌아이비 툴 킷들을 이용하여 악성코드를 제작한 것으로 추정된다. 


실제 공격에 사용된 악성코드들은 대부분이 RARSfx로 압축된 파일들이며, 해당 파일들이 실행되면 사용자 계정의 Temp 폴더에 자신을 복사본을 생성한다. 

그리고 생성한 복사본은 인터넷 익스플로러(Internet Explorer)의 스레드(Thread)에 자신의 코드를 삽입하여 C&C 서버와 통신을 시도하여, 공격자의 명령에 따라 악의적인 기능을 수행하게 된다.

수행하게 되는 악의적인 기능은 아래 이미지와 같이 감염된 시스템의 실행 중인 프로세스(Process) 리스트에서부터 레지스트리(Registry) 및 키로깅(Keylogging)까지 다양한 악의적인 기능들을 수행 할 수가 있다.


이 번 니트로 보안 위협에 대해 ASEC에서는 추가적인 조사를 진행하여 해당 보안 위협에 악용된 악성코드들이 약 50여개인 것으로 파악하였다.

니트로 보안 위협에 악용된 악성코드들은 모두 V3 제품군에서 다음과 같이 진단하고 있다.

Win-Trojan/Poison.150937
Win-Trojan/Adsagent.141530
Win-Trojan/Poisonivy.135794
Win-Trojan/Poisonivy.150357
Win-Trojan/Poisonivy.133511
Win-Trojan/Poisonivy.154827
Win-Trojan/Poison.155705
Win-Trojan/Adsagent.132031
Win-Trojan/Adsagent.153026
Dropper/Agent.136569
Win-Trojan/Adsagent.7680.E
Win-Trojan/Hupigon.133007
Win-Trojan/Injecter.62464.D
Win-Trojan/Injector.26624.AN
Win-Trojan/Poison.27136.R
Win-Trojan/Poison.154539
Win-Trojan/Injector.3073
Win-Trojan/Agent.159762
Win-Trojan/Bumat.111104
Win-Trojan/Poison.147456 
Win-Trojan/Poison.133951
Win-Trojan/Gendal.62464
Win-Trojan/Injector.89088.AL
Win-Trojan/Poison.43520.P
Win-Trojan/Poisonivy.173068 
Win-Trojan/Poison.111104.M 
Win-Trojan/Injector.89600.BP
Win-Trojan/Magania.3399704
Win-Trojan/Magania.240239 
Win-Trojan/Poisonivy.128204
Win-Trojan/Poison.62464.AA 
Win-Trojan/Poisonivy.177722
Win-Trojan/Poisonivy.150357
PDF/Exploit
Win-Trojan/Downbot.153938
Win-Trojan/Adsagent.141530
Win-Trojan/Poisonivy.154827
Win-Trojan/Adsagent.153026
Dropper/Agent.136569
Win-Trojan/Poisonivy.536397
Win-Trojan/Poisonivy.133511
Win-Trojan/Poisonivy.128405
Win-Trojan/Poisonivy.128204
Win-Trojan/Poisonivy.173068
Win-Trojan/Poison.150937
Win-Trojan/Agent.159762
Win-Trojan/Adsagent.136314
Win-Trojan/Poisonivy.532499
Win-Trojan/Poison.155705
Win-Trojan/Adsagent.132031
Win-Trojan/Poisonivy.128421
Win-Trojan/Poisonivy.135794
 
이러한 APT 형태의 보안 위협에 대응하기 위해서는 단일 보안 제품만으로는 대응이 불가능하며, 사내에 존재하는 보안 정책과 직원들을 대상으로한 보안 인식 교육 그리고 유기적으로 동작하는 각 단계에 맞는 보안 제품들이 다단계적인 대응(Defense in Depth)가 이루어져야 한다.
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원