안랩 ASEC에서 2012년 8월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.32을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 8월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

보안 프로그램으로 위장한 악성코드

변조된 정상 프로그램을 이용한 게임핵 유포

ActiveX라는 이름의 악성코드

게임부스터 패스트핑으로 위장한 악성코드

국내 업체를 대상으로 유포된 악성 스팸 메일

이메일을 이용한 어도비 CVE-2009-0927 취약점 악성코드 유포

오라클 자바 JRE 7 제로데이 취약점을 악용한 악성코드 유포

MS12-060(CVE-2012-1856) 취약점을 악용한 타깃 공격

어도비 플래시 플레이어의 CVE-2012-1535 취약점 악용 악성코드

페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷

런던 올림픽 악성 스팸메일

Xanga 초대장을 위장한 악성 스팸메일

Flame 변형으로 알려진 Gauss 악성코드

YSZZ 스크립트 악성코드의 지속 발견

사우디아라비아 정유 업체를 공격한 Disttrack 악성코드

악성코드 감염으로 알려진 일본 재무성 침해 사고

usp10.dll 파일을 생성하는 악성코드의 버그 발견

스크랩된 기사 내용을 이용하는 악성 한글 파일

또다시 발견된 한글 취약점을 악용한 취약한 문서 파일


2) 모바일 악성코드 이슈

2012 런던 올림픽 게임으로 위장한 안드로이드 악성코드

SMS를 유출하는 ZitMo 안드로이드 악성코드의 변형


3) 보안 이슈

지속적인 서드파티 취약점 악용에 따른 보안 업데이트의 중요성

어도비 플래시 플레이어 취약점 악용(CVE-2012-1535)

Oracle Java JRE 7 제로데이 취약점 악용(CVE-2012-4681)

윈도우 공용 컨트롤의 취약점으로 인한 원격 코드 실행 문제점 MS12-060(CVE-2012-1856)


4) 웹 보안 이슈

자바 제로데이 취약점의 등장


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.32 발간


저작자 표시 비영리 변경 금지
신고
Posted by 비회원
마이크로소프트(Microsoft)에서 2011년 11월 한달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2011년 12월 14일 배포하였다.

이번에 마이크로소프트에서 배포된 보안 패치들은 총 13건으로 다음과 같다.


Microsoft Security Bulletin MS11-088 - Important
Vulnerability in Microsoft Office IME (Chinese) Could Allow Elevation of Privilege (2652016)

Microsoft Security Bulletin MS11-089 - Important
Vulnerability in Microsoft Office Could Allow Remote Code Execution (2590602)

Microsoft Security Bulletin MS11-090 - Critical
Cumulative Security Update of ActiveX Kill Bits (2618451)

Microsoft Security Bulletin MS11-091 - Important
Vulnerabilities in Microsoft Publisher Could Allow Remote Code Execution (2607702)

Microsoft Security Bulletin MS11-092 - Critical

Microsoft Security Bulletin MS11-093 - Important
Vulnerability in OLE Could Allow Remote Code Execution (2624667)

Microsoft Security Bulletin MS11-094 - Important
Vulnerabilities in Microsoft PowerPoint Could Allow Remote Code Execution (2639142)

Microsoft Security Bulletin MS11-095 - Important
Vulnerability in Active Directory Could Allow Remote Code Execution (2640045)

Microsoft Security Bulletin MS11-096 - Important
Vulnerability in Microsoft Excel Could Allow Remote Code Execution (2640241)

Microsoft Security Bulletin MS11-097 - Important
Vulnerability in Windows Client/Server Run-time Subsystem Could Allow Elevation of Privilege (2620712)

Microsoft Security Bulletin MS11-098 - Important
Vulnerability in Windows Kernel Could Allow Elevation of Privilege (2633171)

Microsoft Security Bulletin MS11-099 - Important
Cumulative Security Update for Internet Explorer (2618444)

특히 이번 12월 보안 패치에는 지난 10월에 발견된 스턱스넷(Stuxnet)의 변형으로 알려진 두큐(Duqu)에서 사용하는 취약점(CVE-2011-3402)을 제거하기 위한 보안 패치인 MS11-087이 포함되어 있다. 

그 외 다양한 악성코드들이 마이크로소프트의 윈도우 보안 취약점을 악용함으로 미리 보안 패치 설치를 통해 악성코드의 감염을 예방 하는 것이 좋다.

마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다. 

마이크로소프트 업데이트  
저작자 표시
신고
Posted by 비회원
1. 개요
 올해 6월경 요금명세서 및 쇼핑몰 관련 메일로 위장해서 유포하는 악성코드가 발견되어 그에 대한 내용을 공유하고자 문서를 작성합니다.


2. 위장 메일 유형
 메일을 통해 유포되는 악성코드는 평소 전달되는 정상적인 요금명세서 및 쇼핑몰 관련 메일로 위장하고 있으며 ActiveX 형태로 악성코드를 설치하게 끔 하는 형태 입니다. 따라서 주의하지 않는다면 누구나 쉽게 감염될 수 있으며 현재까지 발견된 메일은 아래와 같은 메일이 있습니다.

유형 1) “OO은행 OO카드 2010년06월20일 이용 대금명세서입니다?” 라는 제목의 메일
 
[그림] OO카드 이용대금 명세서로 위장한 악성코드 유포 메일

 
[그림] 위 메일에서 [이용대금 명세서 보기] 메뉴를 선택 시 나타나는 화면


유형 2) “7월 이용대금 명세서” 라는 제목의 메일
 
[그림] 요금 명세서를 위장한 악성코드 유포 메일


유형 3) 쇼핑몰을 위장한 악성코드 유포 메일


[그림] 쇼핑몰을 위장한 악성코드 유포 메일 화면



유형 4) “[OOO] 주문하신 상품이 발송되었습니다” 라는 제목의 OOO 쇼핑몰 메일로 위장한 메일

[그림] OOO 쇼핑몰 메일로 위장한 악성코드 유포 메일 화면



3. 메일 상세 분석
 요금명세서 및 쇼핑몰 메일로 위장한 악성코드 유포 메일의 특징은 악성코드를 ActiveX를 이용하여 설치한다는 점입니다. 그리고 기존에 많은 요금 명세서 및 쇼핑몰 메일이 이러한 형태로 발송되고 있으며 보안모듈 역시 ActiveX로 설치되므로 일반 사용자는 악성 여부를 확인하기가 어려워 쉽게 악성코드가 악성코드에 감염이 될 가능성이 높은 형태의 유포방법 입니다.

그럼 악성코드가 어떤식으로 유포되어 어떤기능을 수행하는지에 대해 상세하게 분석해 보도록 하겠습니다. 먼저 전체적인 구조도 입니다.

[그림] 메일을 통해 유포되는 악성코드 구조도


1. 먼저 첫번째로 불특정 다수에서 요금명세서 및 쇼핑몰 메일로 위장하여 메일을 유포하게 됩니다.


2. 메일을 받은 사용자는 메일에 포함된 링크를 클릭하게 됩니다.

3. 메일 본문을 클릭 하거나 특정 링크 클릭 시 아래와 같은 ActiveX 설치메시지가 나타납니다.
 
[그림] 악성코드 설치를 위한 ActiveX 경고 창


ActiveX 설치를 위한 코드는 아래와 같이 구성되어 있습니다.
 
[그림] 악성코드 설치를 위한 ActiveX 코드 일부


4. ActiveX가 정상적으로 실행이 되게 되면 특정 사이트로 접속을 합니다.

5. 특정 사이트에 악성 EXE 및 DLL 파일을 다운로드 하여 사용자의 시스템에 설치가 됩니다.
여기서 다운로드 하는 EXE 및 DLL 파일명은 최초 확인된 파일명은 AD20.EXE, AD20.DLL 이나 이후 비슷한 형태로 [영문자 2자리 + 숫자 2자리] 또는 [영문자 2자리 + 숫자 4자리] 또는 [영문자 4자리] 등 다수의 변종파일이 계속해서 발견되고 있는 상황입니다.

6. 설치된 EXE 및 DLL 파일은 악성 행위를 수행하게 됩니다.

7. 악성행위 중 대표적인 행위는 특정 서버(C&C)에서 명령을 전달 받습니다.

8. 그리고 전달 받은 내용을 토대로 DDOS 기능을 수행하게 됩니다.
특정 서버(C&C)에 접속 형태는 아래와 같은 형태의 인자를 전달하여 XML 포맷의 형태로 명령을 전달받게 됩니다.

1) C&C 서버에 접속하여 명령을 받아오기 위해 요청하는 주소 형태
http://www.pa***.com /v2.0/cmd.php?mac_addr=MAC주소&ver=영문자+숫자

2) 명령 전달 형태 (XML 포맷)

</mailContent>
    <mailFileName></mailFileName>
    <mailSendTerm>43200000</mailSendTerm>
    <mailSendMax>200</mailSendMax>
    <mailRepeat>1</mailRepeat>
    <CmdServer>http://www.pa****.com/v2.0/cmd.php</CmdServer>   // C&C 서버 주소
    <CmdServer1>http://www.k***.com/v2.0/cmd.php</CmdServer1>   // C&C 서버 주소
    <CmdServer2>http://www.k***.com/v2.0/cmd.php</CmdServer2>   // C&C 서버 주소
    <CmdUpdateTime>30000</CmdUpdateTime>
    <delayWindow>10000</delayWindow>
    <CntWindow>1</CntWindow>
    <ifRandom>1</ifRandom>
  </CONFIG>
  <AddrInfo>
    <URL><![CDATA[http://mail.****.com]]></URL>   // DDOS 공격 대상 주소
    <HeaderData></HeaderData>
    <Content></Content>
    <PostData></PostData>
    <JSExec></JSExec>
    <ifJSRUN>1</ifJSRUN>
    <WaitTime>30000</WaitTime>
    <CacheDelete>0</CacheDelete>
    <fileDown>0</fileDown>
  </AddrInfo>
  <AddrInfo>
    <URL><![CDATA[http://comic.****.com]]></URL>      // DDOS 공격 대상 주소
    <HeaderData></HeaderData>
    <Content></Content>
    <PostData></PostData>
    <JSExec></JSExec>
    <ifJSRUN>1</ifJSRUN>
    <WaitTime>30000</WaitTime>
    <CacheDelete>0</CacheDelete>
    <fileDown>0</fileDown>
  </AddrInfo>
.
.
.
[중간 생략]
.
.
.
<ifJSRUN>1</ifJSRUN>
    <WaitTime>30000</WaitTime>
    <CacheDelete>0</CacheDelete>
    <fileDown>0</fileDown>
  </AddrInfo>
</root>

9. 마지막으로 불특정 다수에게 메일을 발송하여 다시 악성코드를 유포하게 됩니다.


4. 대응 상황
 현재 V3 제품군에서는 이와 유사한 형태의 악성코드를 계속해서 모니터링 및 수집중에 있으며 변종이 발견되는대로 엔진에 대응하고 있습니다.

먼저 아래 그래프는 요금명세서 및 쇼핑몰을 위장한 메일로부터 유포되는 악성코드에 대해 안철수연구소 내부적으로 확인된 감염 현황 입니다.

 
[그래프] 현재까지 확인된 요금명세서 및 쇼핑몰 메일로 위장한 악성코드 감염 추이


최초 발견은 2010년 6월 3일경에 되었으며 꾸준히 증가하고 있는 추세 입니다. 그리고 해당 악성코드는 현재 V3 제품군에서 아래와 같은 진단명으로 진단하고 있습니다.


Win-Spyware/Agent.375808.B
Win-Trojan/Mailfinder.366080
Win-Trojan/Mailfinder.367104.B
Win-Trojan/Mailfinder.367104.C
Win-Trojan/Mailfinder.190976.B
Win-Trojan/Mailfinder.188031
Win-Trojan/Agent.366080.BI
Win-Trojan/Agent.366080.BH
Win-Trojan/Ddos.366080
Trojan/Win32.DDoS
[표] 현재 V3 제품군에서 진단하는 진단명


5. 예방 방법
 이러한 일종의 사회공학적 기법을 이용하여 악성코드를 유포하는 경우 악성 여부를 확인하기가 상당히 어렵습니다. 따라서 이러한 종류의 악성코드로부터 예방을 하기 위해서는 아래와 같은 수칙을 지킨다면 조금이나마 예방을 할 수 있으리라 생각합니다.

1) 자신에게 해당하지 않는 요금명세서 관련 메일은 열람하지 않도록 합니다.
2) 주문하지 않은 상품에 대한 상품 발송 관련 쇼핑몰 메일은 열람하지 않도록 합니다.
3) 발신자의 이메일 주소가 해당 메일을 보낸 회사가 맞는지 확인을 합니다.
4) 백신을 항상 최신 버전의 엔진으로 유지하도록 합니다.
[표] 요금명세서 및 쇼핑몰 관련 메일을 통해 유포되는 악성코드 예방 수칙

신고
Posted by 비회원