마이크로소프트(Microsoft)에서 2012년 6월 한 달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2012년 7월 11일 배포하였다.


이번에 마이크로소프트에서 배포된 보안 패치들은 총 9건으로 다음과 같다.


Microsoft Security Bulletin MS12-043 - 긴급

Microsoft XML Core Services의 취약점으로 인한 원격 코드 실행 문제점 (2722479)


Microsoft Security Bulletin MS12-044 - 긴급

Internet Explorer 누적 보안 업데이트 (2719177)


Microsoft Security Bulletin MS12-045 - 긴급

Microsoft Data Access Components의 취약점으로 인한 원격 코드 실행 문제점 (2698365)


Microsoft Security Bulletin MS12-046 - 중요

Visual Basic for Applications의 취약점으로 인한 원격 코드 실행 문제점 (2707960)


Microsoft Security Bulletin MS12-047 - 중요

Windows 커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점 (2718523)


Microsoft Security Bulletin MS12-048 - 중요

Windows 셸의 취약점으로 인한 원격 코드 실행 문제점 (2691442)


Microsoft Security Bulletin MS12-049 - 중요

TLS의 취약점으로 인한 정보 유출 문제점 (2655992)


Microsoft Security Bulletin MS12-050 - 중요

SharePoint의 취약점으로 인한 권한 상승 문제점 (2695502)


Microsoft Security Bulletin MS12-051 - 중요

Microsoft Office for Mac의 취약점으로 인한 권한 상승 문제점 (2721015)


현재 MS12-043 보안 패치와 관련된 CVE-2012-1889 취약점을 악용한 공격 사례가 지속적으로 발견되고 있음으로 지금 즉시 해당 보안 패치를 설치하는 것이 중요하다.


마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다. 


마이크로소프트 업데이트  

저작자 표시
신고
Posted by 비회원
2월 17일 해외 언론인 CNN의 기사 "Computer spyware is newest weapon in Syrian conflict"를 통해 시리아 정부에서 반정부군의 동향을 수집하고 감시하기 위한 목적으로 악성코드를 유포하였다 내용이 공개되었다.

이 번에 알려진 해당 악성코드는 현재까지 ASEC에서 파악한 바로는 특정인들을 대상으로 이메일의 첨부 파일로 전송된 것으로 파악하고 있다.

이 메일에 첨부된 해당 악성코드는 일반적으로 많이 사용되는 RARSfx로 압축되어 있으며, 파일 내부에는 아래 이미지와 같이 백도어 기능을 수행하는 svhost.exe(69,632 바이트)와 정상 이미지 파일인 20111221090.jpg(114,841 바이트)가 포함되어 있다.


해당 RARSfx로 압축된 파일을 실행하게 되면 아래 경로에 파일들을 생성하고 실행하게 된다.

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\20111221090.jpg
C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\svhost.exe


리고 감염된 시스템의 사용자가 악성코드 감염을 파악하지 못하도록 다음 이미지와 같은 이미지 파일을 보여주게 된다.


임시 폴더(Temp)에 생성된 svhost.exe(69,632 바이트)는 마이크로소프트 비주얼 베이직(Microsoft Visual Basic)으로 제작 된 파일로 자신의 복사본을 다음 폴더에 다시 생성하게 된다.

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\Google Cache.exe


그리고 시리아에 위치한 특정 시스템으로 역접속을 수행하게 된나, 테스트 당시에는 정상적인 접속이 이루어지지 않았다.

백도어 기능을 수행하는 svhost.exe(69,632 바이트)는 추가적으로 다음의 악의적인 기능들을 수행하게 된다.

파일 다운로드 및 실행
실행 중인 프로세스 리스트 수집


그러나 해당 파일들 자체만으로는 언론에서 알려진 바와 같이 시리아 정부에서 제작한 것으로 확인되거나 추정되는 특징들은 발견할 수가 없었다.

시리아 정부와 관련된 것으로 알려진 해당 악성코드에 대한 추가적인 정보들을 수집하는 과정에서 ASEC에서는 해당 악성코드가 원격 제어와 모니터링 기능을 가지고 있는 아래 이미지와 동일한 특정 악성코드 생성기에 의해 생성되었다는 것을 확인하였다.



해당 악성코드 생성기에 의해 생성되는 파일은 볼란드 델파이(Boland Delphi)로 제작된 파일이 생성됨으로 최초 알려진 정보와는 다른 것으로 파악하고 있다. 그러나 다른 악성코드 변형들 또는 공개되지 않은 악성코드 생성기의 다른 버전들에 의해 생성되었을 가능성도 추정하고 있다.

이번에 발견된 해당 악성코드들은 모두 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Meroweq.551227 (V3, 2012.02.21.02) 
Win-Trojan/Meroweq.69632 (V3, 2012.02.21.02) 
Win-Trojan/Meroweq.53248 (V3, 2012.02.21.02)

저작자 표시
신고
Posted by 비회원
ASEC에서는 1월 27일 MS12-004 윈도우 미디어 취약점(CVE-2012-0003)을 악용한 악성코드 유포가 발견되었으며, 마이크로소프트(Microsoft)에서 1월 11일 배포한 보안 패치로 해당 취약점을 제거 할 수 있음을 공개하였다. 

그리고 해당 취약점을 악용한 악성코드는 한국과 중국을 포함한 극동 아시아 권을 주된 대상으로 유포된 것으로 분석하였으며, 최종적으로는 온라인 게임 관련 정보들을 탈취하기 위한 것음을 밝힌 바가 있다.

2월 2일 국내 웹 사이트에서 Heap Feng Shui라는 기법을 이용해 제작된 새로운 형태의 MS12-004 취약점 악용 스크립트 악성코드 변형이 발견되었다. 

이 번에 새롭게 발견된 해당 스크립트 악성코드는 ASEC에서 추가적인 조사 과정에서 1월 30일 경에 제작되어 유포가 진행 된 것으로 추정하고 있다.

Heap Feng Shui라는 기법을 이용해 제작된 새로운 형태의 스크립트 악성코드는 아래와 같은 전체적인 구조를 가지고 있다.


Heap Feng Shui는 2007년 Black Hat Europe에서 최초로 발표된 기법으로 순차적인 자바 스크립트(Java Script) 할당을 통해 브라우저(Browser)에서 힙(Heap) 영역을 다루게 된다.

 
해당 MS12-004 취약점을 악용하는 스크립트는 yty.mid 파일을 호출하도록 되어 있으나, 아래 이미지와 같이 손상된 MIDI 파일이 존재하여 실질적인 공격이 성공하지는 않을 것으로 분석하고 있다.


이 번에 발견된 해당 스크립트 악성코드의 쉘코드(Shellcode)에서는 국내에 위치한 특정 시스템에서 i.exe(20,480 바이트)를 다운로드 한 후 실행 하도록 되어 있다.

다운로드 후 실행 되는 i.exe는 비주얼 베이직(Visual Basic)으로 제작되었으며 국내에서 제작된 특정 온라인 게임의 사용자 정보 탈취와 함께 특정 ASP 파일을 읽어오도록 되어 있다.

현재까지 새로운 MS12-004 취약점 악용 스크립트 변형은 주말 사이에 총 72건이 V3에서 진단 된 것으로 미루어 해당 스크립트 악성코드는 향후 온라인 게임 관련 악성코드와 함께 지속적으로 유포될 것으로 예측 된다.

그러므로 사용하는 윈도우(Windows) 운영체제에 대한 최신 보안 패치를 설치하는 것이 악성코드 감염을 예방하는 원천적인 방법이다.

Heap Feng Shui 기법을 이용해 제작된 MS12-004 취약점을 악용하는 스크립트 악성코드와 관련된 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.

Downloader/Win32.Small
HTML/Ms12-004
Exploit/Ms12-004
JS/Redirector
SWF/Cve-2011-2140
JS/Cve-2010-0806
저작자 표시
신고
Posted by 비회원
일반적으로 서로 다른 윈도우(Windows) 운영체제와 리눅스(Linux) 운영체제에서 모두 감염되어 동작하는 악성코드를 제작하는 것은 기술적으로 많은 사항들을 고려해야 되는 문제임으로 쉽지 않은 사항이다. 특히나 모바일(Mobile) 운영체제와 일반 윈도우 PC 모두에 감염되어 동작하는 악성코드를 제작하기라는 것은 더욱 쉽지 않은 사항이다.

2012년 2월 3일 ASEC에서는  하루동안 전세계에서 수집되어 분석되었던 안드로이드(Android) 어플리케이션들을 확인하는 과정에서 특이하게 특정 어플리케이션 내부에 윈도우 악성코드가 포함되어 있는 것을 발견하였다.

이 번에 발견된 안드로이드 어플리케이션 아래와 같은 구조를 가지고 있으며, 아래 이미지의 붉은색 박스로 표기한 스크립트 파일인 about_habit.htm(123,196 바이트)를 내부에 포함하고 있다. 


해당 안드로이드 어플리케이션 내부에 포함된 about_habit.htm는 일반적인 HTML 파일이 아니며 실제로는 비주얼 베이직 스크립트(Visual Basic Script)로 다음과 같은 형태를 가지고 있다.

 
해당 비주얼 베이직 스크립트 파일은 svchost.exe(61,357 바이트) 파일명으로 윈도우 운영체제에서 감염되는 악성코드를 생성하고 실행하게 되었다.

그러나 해당  비주얼 베이직 스크립트 파일은 안드로이드 운영체제에서는 동작할 수 없는 형태이다. 그리고 해당 파일을 포함하고 있는 안드로이드  어플리케이션의 내부 코드에는 해당  스크립트를 외장 메모리에 쓰도록 제작된 코드는 존재하지 않는다.

이로 미루어 해당 안드로이드 어플리케이션 제작자의 실수 등으로 인해 해당 비주얼 베이직 스크립트 파일이 어플리케이션 제작시 포함되었을 것으로 추정 된다.

이 번 안드로이드 어플리케이션 내부에 포함된 윈도우 악성코드들은 V3 제품군에서는 다음과 같이 진단한다.

VBS/Agent
Win-Trojan/Krap.61357
저작자 표시
신고
Posted by 비회원