ASEC에서는 6월 26일 현재까지도 제로 데이(Zero Day, 0-Day) 취약점인 XML 코어 서비스 취약점(CVE-2012-1889)을 악용한 공격 사례들이 발생하고 있다고 공유한 바가 있다.


금일 해당 XML 코어 서비스 취약점을 악용한 다른 형태의 공격 사례가 발견되었으며, 해당 공격 사례는 XML 코어 서비스 뿐 만이 아니라 자바(JAVA)와 어도비 플래쉬(Adobe Flash) 취약점까지도 같이 악용하고 있는 것으로 파악되었다.


이 번에 발견된 XML 코어 서비스 취약점을 악용한 사례는 블랙홀(Blackhole)과 같은 웹 익스플로잇 툴킷(Web Exploit Toolkit) 형태로 스크립트 악성코드들을 기능별로 분류하여 단계적으로 취약점을 악용하도록 하고 있다.


이러한 단계적으로 취약점을 악용한 공격 형태는 아래 이미지와 같은 전체적인 구조를 가지고 있어, 일부 스크립트들만 분석하여서는 전체적인 공격 및 취약점 형태를 파악하기 어렵도록 하고 있다.



현재 해당 XML 코어 서비스 취약점 등을 악용한 공격 형태는 SQL 인젝션(Injection) 공격 기법 등으로 취약한 웹 페이지의 하단에 Exploit.html 웹 페이지로 연결되는 아이프레임(iFrame) 코드를 삽입하여, 웹 사이트 방문자 모르게 아래의 취약점들 중 하나가 자동으로 악용되도록 구성되어 있다.



해당 취약점들이 정상적으로 동작하게 될 경우에는 중국에 위치한 특정 시스템으로부터 win.exe (30,720 바이트)의 파일이 다운로드 및 실행하게 된다.


해당 win.exe (30,720 바이트) 파일은 XOR로 인코딩(Encoding) 되어 있는 파일로 이를 디코딩하게 되면 비주얼 C++(Visual C++)로 제작된 실행가능한 PE 파일이 생성된다.


다운로드 된 win.exe (30,720 바이트) 파일이 정상적으로 디코딩(Decoding) 된 이후에 실행되면, 다음의 배치(BAT) 파일들과 텍스트(TXT) 파일을 순차적으로 생성하게 된다.


C:\4.bat (66 바이트)

C:\2.txt (100 바이트)

C:\3.bat (15 바이트)


win.exe (30,720 바이트) 파일에 의해 생성된 4.bat (66 바이트)는 시스템 공유 폴더와 윈도우 방화벽을 강제로 종료하게 된다. 


그리고 2.txt는 미국에 위치한 특정 FTP 서버로 접속하는 정보들이 기록되어 있으며, 3.bat (15 바이트)는 해당 FTP 정보들을 바탕으로 커맨드라인(Command-Line) 명령으로 접속을 시도하는 역할을 하게 된다.


FTP 접속 정보들은 아래 이미지와 같이 win.exe (30,720 바이트) 파일 내부에 하드코딩되어 있는 상태로 기록되어 있다.



그러나 분석 당시에는 해당 FTP 서버로 정상적인 접속이 이루어지지 않았으며, 정상적인 접속이 이루어지게 될 경우에는 감염된 시스템에 설치되어 있는 보안 제품 정보들을 전송할 것으로 추정된다.


해당 XML 코어 서비스와 다른 취약점들을 악용한 악성코드들은 2012.06.28.05 엔진 버전 이후의 V3 제품군에서 모두 다음과 같이 진단한다.


JS/CVE-2012-1889 

HTML/Downloader

SWF/CVE-2011-0611

JS/Downloader

JS/Redirect

JS/Redirector 

Win-Trojan/Yolped.73728 


이 번에 발견된 XML 코어 서비스 취약점을 악용하는 공격 사례는 앞선 언급한 바와 같이 SQL 인젝션과 같은 공격 기법으로 취약한 웹 사이트를 대상으로 이루어짐으로 웹 사이트 방문시 각별한 주의가 필요하다.


현재 해당 XML 코어 서비스 취약점에 대한 보안 패치가 아직 제공되지 않지만, 마이크로소프트(Microsoft)에서는 임시 방안으로 픽스잇(Fix It)을 공개 중임으로 이를 설치하는 것이 중요하다.


그리고 다른 일반 어플리케이션들의 취약점들도 동반하고 있음으로 평소 자주 사용하는 어플리케이션들의 보안 패치를 설치하는 것도 중요하다.


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

이메일에 첨부되어 스팸 메일(Spam Mail)처럼 유포되는 악성코드들은 대부분이 ZIP으로 압축된 EXE 파일이 첨부되거나 EXE 또는 SCR 등의 파일 확장자를 가진 첨부 파일 형태로 유포되는 것이 일반적이다.


그러나 최근에 와서는 이메일 본문에 단축 URL(URL Shortening) 또는 하이퍼 링크를 제공하여, 특정 악성코드를 유포하는 웹 사이트 또는 피싱(Phishing) 웹 사이트로 연결을 유도하는 형태들도 발견되고 있다.


금일 새벽 국내에 유명 IT 업체인 HP를 사칭하여 악성코드 감염을 유도하는 악의적인 스팸 메일들이 대량으로 유포되었다.


이번에 유포된 악성코드 감염을 목적으로하는 악의적인 스팸 메일은 다음과 같은 형태를 가지고 있다.


* 메일 제목 - 다음 중 하나

Scan from a HP ScanJet #[임의의 숫자열] 

Scan from a Hewlett-Packard ScanJet #[임의의 숫자열]

Scan from a Hewlett-Packard ScanJet [임의의 숫자열]


* 메일 본문

Attached document was scanned and sent


to you using a Hewlett-Packard HP Officejet 1178P.

Sent by: SHAVON

Images : 1

Attachment Type: .HTM [INTERNET EXPLORER]


Hewlett-Packard Officejet Location: machine location not set

Device: [임의의 숫자열]


* 첨부 파일

HP_Doc_06.04-[임의의 숫자열].htm


이 번에 발견된 스팸 메일은 과거의 악성코드를 유포를 목적으로하는 다른 형태의 악의적인 스팸 메일들과는 다른 특징을 보이고 있다. 


해당 스팸 메일은 웹을 기반으로하여 일반 응용프로그램들의 취약점을 악용하는 웹 익스플로잇 툴킷(Web Exploit Toolkit)과 결합하여 다양한 취약점들을 동시에 악용하는 특징을 보이고 있다.


이러한 웹 익스플로잇 툴킷과 결합된 스팸 메일의 전체적인 구조를 도식화하게 되면 아래 이미지와 동일하다.



첨부되어 있는 htm 파일을 실행하게 될 경우에는 웹 브라우저에서는 아래 이미지와 같이 웹 사이트 접속에 잠시 장애가 있는 것으로 위장하고 있다.



그러나 실제 해당 스크립트 파일을 편집기 등으로 확인을 하게 되면, 아래 이미지와 같은 스크립트 코드가 하단에 존재하는 것을 볼 수 있다.



하단에 포함된 스크립트 코드를 디코딩하게 되면 아래 이미지와 같이 러시아에 위치한 시스템으로 접속을 하는 코드가 포함되어 있다.


해당 스크립트 코드가 실제 웹 브라우저에 의해 실행되면 아래 이미지와 같이 러시아에 위치한 특정 시스템으로 연결되도록 구성되어 있으며, 해당 시스템은 웹 익스플로잇 툴킷의 한 형태인 블랙홀 익스플로잇 툴킷(Blackhole Exploit Toolkit)이 설치 되어 있다.



해당 시스템에서는 최초 아래 이미지와 같이 마이크로소프트 인터넷 익스플로러(Microsoft Internet Explorer)에 존재하는 MS06-014 MDAC(Microsoft Data Access Components) 기능의 취약점으로 인한 원격 코드 실행 문제점 (911562) 취약점을 악용하는 스크립트 코드를 전송하게 된다.



그 다음으로는 어도비 아크로뱃 리더(Adobe Acrobat Reader)에 존재하는 Security updates available for Adobe Reader and Acrobat CVE-2010-0188 취약점을 악용하는 PDF 파일을 전송하게 된다.



마지막으로는 자바 애플렛(Java Applet)에 존재하는 Oracle Java SE Critical Patch Update Advisory CVE-2012-0507 취약점을 악용하는 JAR 파일을 전송하게 된다.


위에서 언급한 3가지의 취약점 모두가 정상적으로 악용되지 않을 경우에는 정상 구글(Google) 메인 페이지로 연결하게 된다.



그러나 위 3가지 취약점 중 하나라도 정상적으로 악용될 경우에는 아래 이미지와 같이 동일한 시스템에 존재하는 info.exe (86,016 바이트) 파일을 다운로드하고 실행하게 된다.



해당 익스플로잇 3가지로 인해 다운로드 된 info.exe 파일이 실행되게 되면 윈도우 시스템에 존재하는 정상 explorer.exe 프로세스의 메모리 영역에 자신의 코드를 삽입하게 된다.



자신의 코드가 정상적으로 삽입되면,다음과 같은 경로에 자신의 복사본을 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Application Data\KB01458289.exe


그리고 윈도우 시스템이 재실행이 되더라도 자동 실행 되도록 레지스트리(Registry)에 다음의 키를 생성하게 된다.


HKCU\Software\Microsoft\Windows\CurrentVersion\Run 

KB01458289.exe = ""C:\Documents and Settings\[사용자 계정명]\Application Data\KB01458289.exe""


해당 악성코드는 아래 이미지와 같이 내부에 하드코딩 되어 있는 C&C 서버와 암호화된 SSL(Secure Socket Layer) 통신을 시도하게 된다.



정상적으로 접속이 성공하게 될 경우에는 아래 이미지와 같이 암호화 된 데이터를 통신하게 된다.



그리고 공격자의 명령에 따라 인터넷 익스플로러와 파이어폭스(Firefox) 웹 브라우저가 접속을 시도하는 웹 사이트를 모니터링하고, 관련 정보들을 외부로 유출하게 된다.


이 번에 발견된 HP를 사칭하여 악성코드 감염을 목적으로한 악의적인 스팸 메일은 일반 응용프로그램의 취약점을 악용하는 웹 익스플로잇 툴킷과 결합된 형태이다.


이메일 수신인과 관련이 없는 의심스럽거나 수상한 스팸 메일들을 받게되면 메일 자체를 삭제하고, 첨부된 파일은 어떠한 형태라도 실행하지 않는 주의가 필요하다.


그리고 평소 자주 사용하는 응용 프로그램들은 윈도우 보안 패치와 함께 주기적으로 설치하여, 이러한 일반 응용 프로그램들의 취약점을 악용하는 악성코드 감염을 주의하도록한다.


해당 HP를 사칭한 스팸 메일을 통해 감염을 시도하는 악성코드들은 모두 V3 제품군에서 다음과 같이 진단한다.


JS/Iframe

JS/CVE-2006-0003

PDF/CVE-2010-0188

Win-Trojan/Infostealer.86016.F 

Win-Trojan/Downloader.86016.JU

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
최근 발견되고 있는 타겟 공격(Targeted Attack) 이나 APT(Advanced Persistent Threat) 형태의 공격들에서는 공통적으로 마이크로소프트 오피스(Microsoft Office), 어도비 리더(Adobe Reader) 그리고 한글 프로그램과 같은 전자 문서 파일에 존재하는 취약점들을 악용하는 사례가 자주 발견되고 있다.

그 중에서 특히 어도비 리더와  어도비 플래쉬(Adobe Flash)에 존재하는 취약점들을 악용하여 원격 제어 기능을 가지고 있는 악성코드를 유포하는 사례가 자주 발견되고 있다.

금일 해외에서 어도비 플래쉬에 존재하는 CVE-2012-0754 취약점을 악용하는 마이크로소프트 워드(Microsoft) 파일 또는 엑셀(Excel) 파일을 이용한 타겟 공격이 발견되었으며, 해당 공격은 이메일의 첨부 파일로 존재한 것으로 공개되었다.

어도비 플래쉬에 존재하는 CVE-2012-0754 취약점은 제로 데이(Zero-Day, 0-Day) 취약점은 아니며, 미국 현지 시각으로 2012년 2월 15일 어도비에서 보안 권고문 "APSB12-03 Security update available for Adobe Flash Player" 을 통해 보안 패치를 배포 중에 있다.

이번에 발견된 CVE-2012-0754 취약점을 악용하는 취약한 어도비 플래쉬 파일들은 마이크로소프트 워드와 엑셀(Excel)에 포함된 형태로 발견되었다.


발견된 워드 파일에는 위 이미지와 같은 구조를 가지고 있는 파일 내부에는 2,431 바이트 크기의 플래쉬 파일이 아래 이미지와 같이 포함되어 있다.


그리고 다른 취약한 엑셀 파일은 아래 이미지와 같은 구조를 가지고 있으며 해당 파일 내부에도 플래쉬 파일이 포함되어 있다.


플래쉬 플레이어에 존재하는 CVE-2012-0754 취약점은 아래 이미지와 같이 플래쉬 플레이어에서 MP4 파일을 파싱하는 과정에서 발생한 오류로 인한 코드 실행 취약점이다.


해당 전자 문서 내부에 포함된 취약한 플래쉬 파일들은 쉘코드를 포함한 HeapAlloc 부분과 취약한 MP4 파일 재생을 위한 부분으로 구분되어 있다.

취약한 MP4 파일은 플래쉬 파일에 의해 있는 미국에 위치한 특정 시스템에서 test.mp4(22,384 바이트) 파일을 다운로드하게 되어 있다.


다운로드된 MP4 파일은 아래 이미지와 같은 형태를 가지고 있다.


어도비 플래쉬에 존재하는 CVE-2012-0754 취약점으로 인해 다운로드된 파일이 실행되면 자신의 복사본을 다음과 같이 생성한다.

C:\Program Files\Common Files\[실행시 파일명].exe (23,040 바이트)

윈도우 레지스트리(Windows Registry)에 다음 키를 생성하여 시스템이 재부팅되어도 자동 실행하도록 구성하고 있다.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\common
= "C:\Program Files\Common Files\[실행시 파일명].exe


그리고 아래 이미지와 같이 미국에 위치한 특정 시스템으로 역접속(Reverse Connection)을 수행하게 되나 테스트 당시에는 정상적으로 접속이 이루어지지 않았다.


역접속이 성공하게 되면 공격자의 명령에 따라 다음과 같은 악의적인 기능들을 수행하게 된다.

운영체제 정보 수집
실행 중인 프로세스 리스트
커맨드(Command) 명령 실행


이 번에 발견된 어도비 플래쉬의 CVE-2012-0754 취약점을 악용하는 악성코드들은 모두 V3 제품 군에서 다음과 같이 진단한다.

Dropper/Cve-2012-0754
SWF/Cve-2012-0754
MP4/Cve-2012-0754
Win-Trojan/Yayih.4861440
Win-Trojan/Renos.61440.E

해당 어도비 플래쉬 취약점은 현재 보안 패치가 배포 중에 있음으로 어도비 플래쉬 플레이어 다운로드 센터(Adobe Flash Player Download Center)를 통해 지금 즉시 업데이트 하는 것이 중요하다.


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
어도비(Adobe)에서 한국 시각으로 1월 11일 어도비 리더(Adobe Reader)와 아크로뱃(Acrobat)에 존재하는 취약점을 제거하기 위한 보안 패치를 배포하였다.

이번 1월에 배포하는 보안 패치와 관련된 사항들에 대해 어도비에서는 보안 권고문 "Security updates available for Adobe Reader and Acrobat"을 통해 관련 사항들을 밝히고 있다.

이번 보안 패치에 대상이 되는 어도비 제품군들은 다음과 같다.

Adobe Reader X (10.1.1) and earlier 10.x versions for Windows and Macintosh
Adobe Reader 9.4.7 and earlier 9.x versions for Windows
Adobe Reader 9.4.6 and earlier 9.x versions for Macintosh
Adobe Acrobat X (10.1.1) and earlier 10.x versions for Windows and Macintosh
Adobe Acrobat 9.4.7 and earlier 9.x versions for Windows
Adobe Acrobat 9.4.6 and earlier 9.x versions for Macintosh

특히 이 번 보안 패치 중에는 2011년 12월 7일 발생하였던 어도비 리더에 존재하는 제로 데이(0-Day, Zero Day) 취약점을 악용한 타겟 공격(Targeted Attack)에서 사용되었던 CVE-2011-2462 취약점을 제거하기 위한 보안 패치도 포함되어 있다.

그 외 다음 취약점들을 제거하기 위한 보안 패치들도 포함되어 있다.

CVE-2011-4370 : Memory corruption vulnerability that could lead to code execution. 
CVE-2011-4371 : Heap corruption vulnerability that could lead to code execution.
CVE-2011-4372 : Memory corruption vulnerability that could lead to code execution.
CVE-2011-4373 : Memory corruption vulnerability that could lead to code execution.

어도비 리더(Adobe Reader)와 아크로뱃(Acrobat)에 보안 패치를 설치하기 위해서는 다음과 같은 절차로 가능하다.


[도움말] -> [업데이트 확인]


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
ASEC에서는 12월 8일 Adobe Reader에서 알려지지 않은 제로 데이(Zero Day, 0-Day) 취약점인 CVE-2011-2462 발견되었으며, 이를 악용한 타깃 공격(Targeted Attack)이 발생하였음을 공개한 바가 있다.

해당 제로 데이 취약점을 제거하기 위한 보안 패치를 Adobe에서 미국 현지 시각 12월 16일 배포하기 시작하였음을 보안 권고문 "APSB11-30 Security updates available for Adobe Reader and Acrobat 9.x for Windows"을 공개하였다.
 
이 번 보안 패치의 설치 대상이 되는 제품들은 다음과 같다.

Adobe Reader 9.x for Windows
Adobe Acrobat 9.x for Windows


해당 버전의 Adobe Reader와 Adobe Acrobat 사용자들은 다음의 순서로 Adobe에서 배포하는 보안 패치를 설치 할 수 있다.

[도움말] -> [업데이트 확인]


Adobe Reader X 제품은 보호 모드(Protected Mode)와 보호 뷰(Protected View) 기능을 통해 해당 취약점으로부터 보호가 가능하며, 해당 버전의 제품은 2012년 1월 12일경에 보안 패치를 배포 할 예정으로 밝히고 있다.

보호 모드와 보호 뷰 적용은 다음의 순서로 활성화가 가능하다.

메뉴 → 편집 → 기본 설정 → 일반  → 시작할 때 보호 모드 사용(활성)


메뉴 → 편집 → 기본 설정 → 보안(고급)  → 고급 보안 사용(활성)


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
한국 시각으로 2011년 12월 7일 새벽 Adobe에서는 보안 권고문 "APSA11-04 Security Advisory for Adobe Reader and Acrobat"을 공개하며 Adobe Acrobat에서 알려지지 않은 제로 데이(Zero-Day) 취약점인 CVE-2011-2462가 발견되었음을 알렸다.

Adobe에서는  이번에 발견된 제로 데이 취약점에 영향을 받는  Adobe Acrobat 버전들은 다음과 같다고 밝히고 있다.

Adobe Reader X (10.1.1) and earlier 10.x versions for Windows and Macintosh
Adobe Reader 9.4.6 and earlier 9.x versions for Windows, Macintosh and UNIX
Adobe Acrobat X (10.1.1) and earlier 10.x versions for Windows and Macintosh
Adobe Acrobat 9.4.6 and earlier 9.x versions for Windows and Macintosh

그리고 보안 권고문을 통해 해당 제로 데이 취약점을 악용한 타겟 공격(Targeted Attack)이 발생하였으며, 해당 취약점을 보고 한 업체로는 미국 군수 방위 업체인 록히드 마틴(Lockheed Martin)으로 밝히고 있다.


이 번 타겟 공격과 관련하여 시만텍(Symantec)에서는 "A New Zero Day PDF Exploit used in a Targeted Attack" 블로그를 통해 이메일의 첨부 파일로 제로 데이 취약점인 CVE-2011-2462이 존재하는 PDF 파일을 전송한 것으로 공개 하였다. 그리고 공격 대상이 된 기업들로는 통신, 제조, 유통, 컴퓨터 하드웨어와 하드웨어 업체들인 것으로 밝히고 있다. 

ASEC에서는 이 번 타겟 공격이 11월 말에서 12월 초를 전후하여 발생한 것으로 추정하고 있으며, 발견된 취약한 PDF 파일은 최소 2개 이상 인것 파악하고 있다.

일반적으로 PDF 파일에는 Universal 3D 파일 포맷같은 3차원 이미지를 포함할 수 있다. U3D 이미지 파일은 일반적인 블럭헤더와 블럭 타입의 특별한 블럭데이터를 가질 수 있는 구조이다.

이 블럭들 중 ShadingModifierBlock은 0xFFFFFF45 값을 가지고, ShadingModifierBlock은 힙
(Heap)에 객체를 생성할 때 사용한다.

이런 오브젝트들의 포인트도 힙에 저장되며 포인터를 위해 메모리에 할당되는 양은 포인터사이즈에 U3D 파일의 Shader List Count 필드를 곱한 것이다. 그러나 포인터는 0xe0형태로 힙 메모리에 초기화되지 않은 상태로 설정 될 경우 이를 악용 가능한 힙 변형이 발생 할 수 있다.

이 번에 발견된 취약한 PDF들은 아래 이미지와 같은 악의적인 3D Stream을 포함하고 있다.

 
해당 악의적인 3D Stream의 압축을 해제하게 되면 아래 이미지와 같은 U3D 파일이 생성되며 붉은 색 박스로 표시된 부분에 의해 실질적인 오버플로우(Overflow)가 발생하게 된다.
 


OpenAction을 통해 취약한 PDF 파일이 실행 될 때 아래 이미지와 같은 14번 오브젝트에서 AcroJS를 포함한 15번 오브젝트 부분의 스크립트를 실행하도록 되어 있다.


15번 오브젝트에는 아래 이미지와 같이  힙 스프레이를 통해 쉘코드를 메모리에 적재하는 AcroJS가 포함되어 있다.


쉘코드는 XOR 97로 디코딩(Decoding)하는 과정을 거쳐 백도어 기능을 수행하는 악성코드를 시스템에 생성하게 된다.


메일로 전달 된 CVE-2011-2462 제로 데이 취약점을 가지고 있는 PDF 파일을 실행하게 되면 아래 이미지와 동일한 내용을 가지고 있는 정상 PDF 파일이 보여진다.


그러나 실제로는 사용자 모르게 다음 파일들이 시스템에 생성되고 실행 된다.

C:\Documents and Settings\[사용자 계정명]\Local Settings\ctfmon.exe
C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\ManTech Employee Satisfaction Survey.pdf
C:\Documents and Settings\[사용자 계정명]\Local Settings\pretty.exe
C:\Documents and Settings\[사용자 계정명]\Local Settings\WSE4EF1.TMP 


생성된 파일들 중 
ManTech Employee Satisfaction Survey.pdf는 위 이미지와 동일한 취약한 PDF 파일이 실행 될 때 감염된 시스템의 사용자로 하여금 악성코드로 의심하지 못하도록 보여지는 정상 파일이다. 

생성된 
ctfmon.exe(39,936 바이트)는 자신의 복사본을 다시 동일한 위치에 pretty.exe(39,936 바이트)로 생성하며 DLL 파일인 WSE4EF1.TMP(31,232 바이트)를 드롭(Drop) 한다. 해당 파일들 모두 마이크로소프트 비주얼 C++(Microsoft Visual C++)로 제작 되었으며 실행 압축은 되어 있지 않다.

그리고 ctfmon.exe는 다음의 레지스트리(Registry) 키를 생성하여 시스템이 재부팅하더라도 자동 실행하도록 한다.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
office = 
"C:\Documents and Settings\[사용자 계정명]\Local Settings\pretty.exe"

 
드롭 된  WSE4EF1.TMP는 다음의 프로그램들이 실행되어 프로세스를 생성하게 되면 아래 이미지와 같이 스레드(Thread)로 해당 프로세스에 인젝션(Injection) 하게 된다.

Microsoft Outlook
Microsoft Internet Explorer
Firefox



인젝션에 성공하게 되면 HTTPS로 다음 시스템으로 접속을 시도하게 되나 테스트 당시에는 정상적인 접속이 이루어지지 않았다.

hxxps://www.pr[삭제]her.com/asp/kys[삭제]_get.asp?name=getkys.kys


정상적인 접속이 이루어지게 되면 다음의 악의적인 기능들을 수행하게 되며, 해당 악성코드들은 기존 다른 침해 사고에서 발견되었던 원격 제어 형태의 백도어(Backdoor)이다.

파일 업로드 및 다운로드
CMD Shell 명령 수행
시스템 강제 종료 및 재부팅
프록시(Proxy) 서버 


이번에 발견된 Adobe Acrobat에 존재하는 제로 데이 취약점인 CVE-2011-2462를 악용한 타겟 공격은 취약한 PDF 파일과 감염되는 악성코드 등 전반적인 사항들을 고려하였을때, 공격자는 기업 내부에 존재하는 중요 데이터를 탈취하기 위한 목적으로 제작 및 유포한 것으로 추정된다.

타겟 공격에 실제 악용된
CVE-2011-2462 취약점에 대한 보안 패치는 Adobe에 의해 현지 시각으로 12월 12일 배포 될 예정이나 다른 보안 위협에서 해당 제로 데이 취약점을 악용 할 가능성이 높음으로 각별한 주의가 필요하다.

해당 제로데이 취약점에 대한 임시 대응 방안으로 Adobe에서는 사용하는 Adobe Reader의 버전을 10.0으로 업그레이드 하고 해당 버전에 포함되어 있는 보호 모드(
Protected Mode)와 보호 뷰(Protected View) 기능을 활성화 할 것을 권고하고 있다.

메뉴 → 편집 → 기본 설정 → 일반  → 시작할 때 보호 모드 사용(활성)
 


메뉴 → 편집 → 기본 설정 → 보안(고급)  → 고급 보안 사용(활성)

 

이 번 발견된 Adobe Acrobat에 존재하는 제로 데이 취약점인 CVE-2011-2462을 악용한 악성코드들 모두 V3 제품군에서 다음과 같이 진단하고 있다.

PDF/
CVE-2011-2462
Win-Trojan/Agent.39936.BAT
Backdoor/Win32.CSon
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
안철수연구소는 ASEC 블로그를 통해서 배너광고를 통한 악성코드 유포사례에 대해서 여러차례 다룬 바 있고
이번에 발견된 사례도 기존과 크게 다르지 않다.


1. 악성코드 유포는 어떻게?

이번에 발견된 사례는 아래 그림과 같은 형식으로 유포가 되었다.

 

                                               [그림 1] 배너광고를 통한 악성코드 유표과정

2. 악성코드 감염은 어떻게?
[그림 1]처럼 악성 스크립트가 삽입된 배너광고에 노출된 PC가 만약 보안 취약점이 존재했다면 악성코드에 감염되었을 확률이 높다.

[그림 2] 배너에 삽입된 악성 스크립트

악성 스크립트가 정상적으로 동작하면 브라우저 버전, 취약점등 조건에 따라 최종적으로 아래 주소에서 악성코드를 다운로드 및 실행한다.


배너광고에 노출된 PC에 악성코드를 다운로드 및 실행하기 위해서 사용된 취약점은 아래와 같다.

※ CSS 메모리 손상 취약점(MS11-003, CVE-2010-3971)
http://technet.microsoft.com/ko-kr/security/bulletin/ms11-003

※ Adobe Flash Player 취약점: CVE-2011-2140
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2140
http://www.adobe.com/support/security/bulletins/apsb11-21.html

위 취약점들을 사용한 악성 스크립트에 포함된 쉘코드는 아래 그림처럼 암호화된 URL가지고 있으며 복호화한 후 다운로드 및 실행하도록 되어 있다.


[그림 3] Shellcode의 복호화 루틴

[그림 4] urlmon.URLDownloadToFileA 함수 호출
 

edi= 다운로드할 악성코드 URL, http://***.78.***.175/Ags/AGS.gif

ebx= 악성코드를 저장할 경로, %USERPROFILE%\Application Data\Y.exe

Y.exe가 실행되면 아래 그림과 같이 파일을 생성 및 백업한다.

                                           [그림 5] Y.exe의 실행과정

[그림 5]
에서처럼 악성 ws2help.dll은 HttpSendRequestA()를 메모리상에서 Inline Patch하여 특정 온라인 게임 사용자의 계정정보를 탈취하는 게임핵 악성코드이다.

             [그림 6] 악성 ws2help.dll에 의해서 HttpSendRequestA()함수 패치 전과 후

[그림 6]
을 보면 악성 ws2help.dll에 의해서 HttpSendRequestA()함수가 패치될 경우 0x100030f0란 주소로 분기하도록 되어 있음을 알 수 있다.

위와 같이 하는 이유는 사용자가 입력한 ID/PW를 사이트로 전송하기 전에 악성 ws2help.dll에 의해서 입력된 계정정보를 탈취하기 위한 목적이고 사용자의 계정정보는 아래 그림에서 보는 것처럼 특정 사이트로 전송된다.

                                   [그림 7] 특정 사이트로 전송되는 ID/PW

3. 안철수연구소의 대응상태

* V3 엔진버전 : 2011.11.21.00
JS/Shellcode
JS/Downloader
Dropper/Win32.OnlineGameHack


만약 악성코드에 감염되어 백신이 실행되지 않을 경우 아래 전용백신을 다운로드하여 검사 및 치료한다.

                          GameHackKill 전용백신 다운로드

 


4. 맺음말
주말이면 어김없이 취약한 웹 사이트를 통해서 악성코드 유포가 되풀이 되고 있고 아직도 상당수의 사용자들이 보안 업데이트를 하지 않아 악성코드 감염피해를 입고 있지만 백신(전용백신)으로 치료하면 그만이라는 생각을 가지고 있는 것 같다.

옛 속담에 "소잃고 외양간 고친다."란 말이 있다. 이 속담의 의미처럼 가장 기본이면서도 중요한 보안 업데이트를 꾸준히 함으로써 큰 피해를 미연에 방지했으면 한다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC
최근 주말에 국내 다수의 사이트에서 윈도우 시스템 파일을 악성으로 변조시키는 악성코드가 유포되었습니다. 유포에 이용된 취약점은 Adobe Flash Player 취약점이며, Adobe 사에서 금일 긴급 보안 업데이트가 이루어 졌습니다.


따라서 아래 사이트를 방문하셔서 업데이트를 꼭! 진행하시기 바랍니다.

Adobe Flash Player 업데이트 : http://www.adobe.com/go/getflash
상세정보 : http://www.adobe.com/support/security/bulletins/apsb11-18.html


추가로 현재 시스템에 설치된 Adobe Flash Player 버전을 확인하고자 하신다면 아래 메뉴에서 확인해 보시기 바랍니다.

Windows 7 : [제어판] - [시스템 및 보안] - [Flash Player]
Windows XP : [제어판] - 왼쪽의 [기타 제어판 옵션] - [Flash Player]

위 메뉴를 찾아 실행 후 아래와 같이 [고급] 탭에서 확인하실 수 있습니다. 현재 최신버전은 10.3.181.26 입니다.
만약 위에 안내해드린 메뉴에서 [Flash Player] 메뉴가 존재하지 않는다면 최신버전이 아니오니 업데이트를 하시기 바랍니다.



추가로 이미 악성코드에 감염된 사용자는 인터넷 익스플로러 실행 시 브라우져가 정상적으로 실행이 안된다거나 웹서핑 도중 갑자기 꺼져버리는 증상이 발생하오니 아래 전용백신을 이용하여 검사 및 치료를 진행해 보시기 바랍니다.



전용백신 다운로드
http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3_gamehackkill.exe


신고
Creative Commons License
Creative Commons License
Posted by 비회원
이번주에 악성코드와 관련된 다수의 보안 패치가 발표가 되었습니다. 아래 내용을 살펴보신 후 보안패치가 되어 있지 않으시다면 보안패치를 권장 드립니다.


1. 윈도우 보안 업데이트
마이크로소프트는 4월 14일에 새로운 보안 공지 11개를 발표했습니다. 아직까지 보안 업데이트를 하지 않으신 분들은 아래 내용을 참고하시어 업데이트를 하시기 바랍니다.

4월 공지 요약 : http://www.microsoft.com/korea/technet/security/bulletin/MS10-apr.mspx

[윈도우 보안 업데이트 방법]
1. 인터넷 익스플로러를 실행합니다.
2. 메뉴에서 [도구] - [Windows Update] 를 선택하여 윈도우 업데이트 사이트로 이동 합니다.
3. 윈도우 XP 이하의 버전에서는 [빠른 설치] 버튼을 눌러 설치를 계속 진행하며, Vista 이상의 버전에서는 윈도우 업데이트 프로그램이 실행되므로 업데이트를 진행하시기 바랍니다.

추가로 윈도우가 정품이 아닌 경우 마이크로소프트에서는 업데이트를 제공하지 않습니다. 하지만 한국 인터넷 진흥원에서 운영하는 보호나라 사이트에서 "PC 보안 자동 업데이트" 프로그램을 제공하고 있습니다. 해당 프로그램을 이용하여 정품이 아닌 사용자도 업데이트를 꼭 하시기 바랍니다.

PC 보안 자동 업데이트 다운로드 : http://www.boho.or.kr/pccheck/pcch_05_01.jsp?page_id=5





2. Adobe Reader 보안 업데이트
PDF 문서를 볼 때 사용되는 Adobe Reader 프로그램에 대한 보안 업데이트가 올라왔습니다. 현재 사용하시는 Adobe Reader 의 버전이 9.3.2 버전이 아니라면 업데이트를 진행하시기 바랍니다.


업데이트 방법은 Adobe Reader 프로그램 실행 후 메뉴에서 [도움말] - [업데이트 확인] 메뉴를 통해 업데이트를 할 수 있습니다.




3. Java SE Runtime Environment(JRE) 6 Update 20 업데이트
몇일전에 발표된 보안 취약점으로 인해 Java가 업데이트 되었습니다. [제어판] - [JAVA] 를 실행 후 [일반] 탭에서 [정보] 버튼을 눌렀을 시 버전 6 업데이트 20 보다 낮은 버전이라면 업데이트가 필요합니다.



업데이트는 일반적인 사용자라면 http://java.com 사이트로 접속 후 해당 프로그램을 다운로드 후 설치를 하면 될 것입니다.

신고
Creative Commons License
Creative Commons License
Posted by 비회원
최근 Adobe 사의 Adobe Reader 와 Acrobat 관련 취약점이 많이 나오고 있습니다.


위 표는 Adobe 사의 이번 12월에 발표된 보안 취약점 입니다. 이번달에는 유난히 Adobe사의 여러 주요 프로그램에 대한 취약점이 많이 발표되었으며 이 중 Adobe Reader 와 Acrobat은 악성코드에 이용된 취약점 입니다.

해당 취약점을 이용하는 악성코드는 대부분 PDF 파일 내부에 Javascript를 추가하여 동작하도록 구성되어 있습니다. 따라서 예방을 위해서는 우선 보안 취약점에 대한 업데이트를 확인하는 것이 가장 중요합니다.

Adobe Reader 혹은 Acrobat을 실행 후 메뉴에서 [Help] - [Check for Updates] 를 눌러 최신버젼 및 업데이트 여부를 확인하시기 바랍니다.


또는 현재까지 보안패치가 나오지 않은 경우엔 아래와 같이 Javascript 사용을 해제하도록 설정하여 예방을 할 수도 있으니 설정을 하시기 바랍니다. 설정 방법은 옵션에서 아래의 항목을 체크를 해제 하면 됩니다.


해당 취약점을 이용하는 악성코드에 대한 상세한 분석자료는 아래 ASEC 블로그에서 확인하시기 바랍니다.

제로 데이 취약점의 PDF 파일 상세 분석 : http://blog.ahnlab.com/asec/212



[추가]
현재 (2010. 1. 13) 보안 업데이트가 제공되고 있으니 업데이트 하시기 바랍니다!
신고
Creative Commons License
Creative Commons License
Posted by 비회원
TAG Acrobat, adobe, PDF