ASEC에서는 1월 27일 MS12-004 윈도우 미디어 취약점(CVE-2012-0003)을 악용한 악성코드 유포가 발견되었으며, 마이크로소프트(Microsoft)에서 1월 11일 배포한 보안 패치로 해당 취약점을 제거 할 수 있음을 공개하였다. 

그리고 해당 취약점을 악용한 악성코드는 한국과 중국을 포함한 극동 아시아 권을 주된 대상으로 유포된 것으로 분석하였으며, 최종적으로는 온라인 게임 관련 정보들을 탈취하기 위한 것음을 밝힌 바가 있다.

2월 2일 국내 웹 사이트에서 Heap Feng Shui라는 기법을 이용해 제작된 새로운 형태의 MS12-004 취약점 악용 스크립트 악성코드 변형이 발견되었다. 

이 번에 새롭게 발견된 해당 스크립트 악성코드는 ASEC에서 추가적인 조사 과정에서 1월 30일 경에 제작되어 유포가 진행 된 것으로 추정하고 있다.

Heap Feng Shui라는 기법을 이용해 제작된 새로운 형태의 스크립트 악성코드는 아래와 같은 전체적인 구조를 가지고 있다.


Heap Feng Shui는 2007년 Black Hat Europe에서 최초로 발표된 기법으로 순차적인 자바 스크립트(Java Script) 할당을 통해 브라우저(Browser)에서 힙(Heap) 영역을 다루게 된다.

 
해당 MS12-004 취약점을 악용하는 스크립트는 yty.mid 파일을 호출하도록 되어 있으나, 아래 이미지와 같이 손상된 MIDI 파일이 존재하여 실질적인 공격이 성공하지는 않을 것으로 분석하고 있다.


이 번에 발견된 해당 스크립트 악성코드의 쉘코드(Shellcode)에서는 국내에 위치한 특정 시스템에서 i.exe(20,480 바이트)를 다운로드 한 후 실행 하도록 되어 있다.

다운로드 후 실행 되는 i.exe는 비주얼 베이직(Visual Basic)으로 제작되었으며 국내에서 제작된 특정 온라인 게임의 사용자 정보 탈취와 함께 특정 ASP 파일을 읽어오도록 되어 있다.

현재까지 새로운 MS12-004 취약점 악용 스크립트 변형은 주말 사이에 총 72건이 V3에서 진단 된 것으로 미루어 해당 스크립트 악성코드는 향후 온라인 게임 관련 악성코드와 함께 지속적으로 유포될 것으로 예측 된다.

그러므로 사용하는 윈도우(Windows) 운영체제에 대한 최신 보안 패치를 설치하는 것이 악성코드 감염을 예방하는 원천적인 방법이다.

Heap Feng Shui 기법을 이용해 제작된 MS12-004 취약점을 악용하는 스크립트 악성코드와 관련된 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.

Downloader/Win32.Small
HTML/Ms12-004
Exploit/Ms12-004
JS/Redirector
SWF/Cve-2011-2140
JS/Cve-2010-0806
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
안철수연구소 ASEC에서 2011년 11월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2011 Vol.23을 발간하였다.


이 번에 발간된 ASEC 리포트는 2011년 11월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.

DNS 서버 이상? BIND 제로데이
화학 업체를 대상으로 한 니트로 보안 위협
윈도우 커널 제로데이 취약점을 이용한 '듀큐' 악성코드
네트워크 분석기, 와이어샤크를 겨냥한 exploit
안드로이드 악성코드 FakeInst 변종 1600개로 급증
유럽을 타깃으로 제작된 안드로이드 악성 애플리케이션

안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다


ASEC 보안 위협 동향 리포트 2011 Vol.23 발간
 
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
현지 시각 2011년 10월 18일 미국 보안 업체인 시만텍(Symantec)에서는 이란 원자력 발전소를 공격 대상으로한 스턱스넷(Stuxnet)의 변형인 Duqu 악성코드가 발견되었음 블로그 "W32.Duqu: The Precursor to the Next Stuxnet"를 통해 공개하였다.

그리고 Duqu에 대해 약 46 페이지의 분석 보고서 "W32.Duqu The precursor to the next Stuxnet" 를 공개하였다. 현재 해당 보고서는 현지 시각 2011년 11월 1일부로 1.3 버전으로 업데이트 되었다.

시만텍에서는 Duqu 악성코드를 분석하는 과정에서 2009년 발견되었던 스턱스넷 악성코드와 유사한 형태를 가지고 있으며, 동일 인물 또는 제작 그룹에 제작된 것으로 추정되고 있음을 밝히고 있다.

이번에 발견된 Duqu는 스턱스넷과 같이 산업 제어 시스템과 관련된 코드와 자체 전파 기능은 존재하지 않았다.  그러나 C&C(Command and Controal) 서버를 통해 원격 제어가 가능하며, 키로깅(Keylogging)을 통해 정보를 수집할 수 있는 기능이 존재한다. 그리고 시스템에 감염된지 36일이 지나면 자동 삭제하는 기능도 포함되어 있다.

최초에 배포된 분석 보고서에서는 Duqu의 감염 경로가 자세히 밝혀지지 않았으나 블로그 "Duqu: Status Updates Including Installer with Zero-Day Exploit Found"를 통해 아래 이미지와 같이 마이크로소프트 윈도우(Microsoft Windows)에 존재하는 알려지지 않은 제로 데이(Zero Day, 0-Day) 취약점을 악용한 것으로 밝혔다.


해당 제로 데이 취약점은 마이크로소프트 워드(Microsoft Word) 파일을 이용한 윈도우 커널(Windows Kernel) 관련 취약점으로 윈도우의 Win32k 트루타입 폰트 파싱 엔진(TrueType font parsing engine)에 존재하며 이로 인해 임의의 코드 실행이 가능하다.

현재 해당 취약점은 CVE-2011-3402로 마이크로소프트에서는 "Microsoft Security Advisory (2639658) Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege" 보안 권고문을 통해 자세하게 공개하였다.

그리고 추가적으로 마이크로소프트에서는 "Microsoft Security Advisory: Vulnerability in TrueType font parsing could allow elevation of privileges"를 통해 임시적으로 해당 취약점을 제거할 수 있는 Fix It 툴을 공개하였다.


현재 V3 제품군에서는 해당 Duqu 악성코드들을 다음의 진단명으로 진단하고 있다.

Win-Trojan/Duqu.6656
Win-Trojan/Duqu.68096
Win-Trojan/Duqu.24960.B 
Win-Trojan/Duqu.29568
Win-Trojan/Duqu.24960
Win-Trojan/Duqu
Win-Trojan/Agent.85504.HN 
Worm/Win32.Stuxnet 
 
해당 취약점은 보안 패치가 제공되지 않는 제로 데이 상태이며, 다른 악성코드나 보안 위협에서 해당 취약점을 악용할 가능성도 있음로 해당 Fix It을 통해 취약점을 제거하는 것이 중요하다.

그러나 해당 Fix It은 임시적인 방편임으로 향후 정식 보안 패치가 배포 될 경우에는 해당 보안 패치를 설치하는 것이 필요하다. 
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
해외 시각으로 2011년 10월 31일 미국 보안 업체인 시만텍(Symantec)에서는 니트로(Nitro)로 명명된 보안 위협을 공개하였으며, 공개된 니트로 보안 위협에 대해서는 해외 언론들을 통해서도 알려져 있다.

시만텍에서 이번에 공개한 니트로 보안 위협은 화학 제품을 생산하는 기업들을 대상으로한 공격이었으나, 최초인 4월 말경에는 인권 관련단체인 NGO를 대상으로 시작 된 것으로 밝히고 있다. 

화학 업체들을 대상으로한 니트로 보안 위협은 최초 2011년 7월에서 시작되어 해당 보안 위협이 탐지된 9월까지 진행 되었으며, 원격 제어를 위한 C&C(Command and Control) 서버의 경우에는 4월경에 구축 된 것으로 알려져 있다.

그리고 공격 대상이 된 기업은 화학 관련 업체 29개와 군수 업체를 포함한 다른 업종의 기업 19개로 총 48개 기업이 이번 니트로 보안 위협의 공격 대상이 되었다.

시만텍에서는 아래 이미지와 같이 해당 니트로 보안 위협에 의해 감염된 시스템들은 지리적으로 미국과 방글라데시(Bangladesh)가 가장 많은 것으로 밝히고 있다.



이번에 알려진 니트로 보안 위협은 전형적인 APT(Advance Persistent Threat) 형태의 공격으로 사회 공학(Social Engineering) 기법을 포함하고 있는 전자 메일에 원격 제어 형태의 백도어인 포이즌아이비(PoisonIvy)가 첨부 파일로 존재하였다.

니트로 보안 위협에 사용된 포이즌아이비는 언더그라운드에서 해당 백도어를 생성할 수 있는 악성코드 생성기가 이미 공유되고 있어, 니트로 보안 위협의 공격자는 아래 이미지와 유사한 포이즌아이비 툴 킷들을 이용하여 악성코드를 제작한 것으로 추정된다. 


실제 공격에 사용된 악성코드들은 대부분이 RARSfx로 압축된 파일들이며, 해당 파일들이 실행되면 사용자 계정의 Temp 폴더에 자신을 복사본을 생성한다. 

그리고 생성한 복사본은 인터넷 익스플로러(Internet Explorer)의 스레드(Thread)에 자신의 코드를 삽입하여 C&C 서버와 통신을 시도하여, 공격자의 명령에 따라 악의적인 기능을 수행하게 된다.

수행하게 되는 악의적인 기능은 아래 이미지와 같이 감염된 시스템의 실행 중인 프로세스(Process) 리스트에서부터 레지스트리(Registry) 및 키로깅(Keylogging)까지 다양한 악의적인 기능들을 수행 할 수가 있다.


이 번 니트로 보안 위협에 대해 ASEC에서는 추가적인 조사를 진행하여 해당 보안 위협에 악용된 악성코드들이 약 50여개인 것으로 파악하였다.

니트로 보안 위협에 악용된 악성코드들은 모두 V3 제품군에서 다음과 같이 진단하고 있다.

Win-Trojan/Poison.150937
Win-Trojan/Adsagent.141530
Win-Trojan/Poisonivy.135794
Win-Trojan/Poisonivy.150357
Win-Trojan/Poisonivy.133511
Win-Trojan/Poisonivy.154827
Win-Trojan/Poison.155705
Win-Trojan/Adsagent.132031
Win-Trojan/Adsagent.153026
Dropper/Agent.136569
Win-Trojan/Adsagent.7680.E
Win-Trojan/Hupigon.133007
Win-Trojan/Injecter.62464.D
Win-Trojan/Injector.26624.AN
Win-Trojan/Poison.27136.R
Win-Trojan/Poison.154539
Win-Trojan/Injector.3073
Win-Trojan/Agent.159762
Win-Trojan/Bumat.111104
Win-Trojan/Poison.147456 
Win-Trojan/Poison.133951
Win-Trojan/Gendal.62464
Win-Trojan/Injector.89088.AL
Win-Trojan/Poison.43520.P
Win-Trojan/Poisonivy.173068 
Win-Trojan/Poison.111104.M 
Win-Trojan/Injector.89600.BP
Win-Trojan/Magania.3399704
Win-Trojan/Magania.240239 
Win-Trojan/Poisonivy.128204
Win-Trojan/Poison.62464.AA 
Win-Trojan/Poisonivy.177722
Win-Trojan/Poisonivy.150357
PDF/Exploit
Win-Trojan/Downbot.153938
Win-Trojan/Adsagent.141530
Win-Trojan/Poisonivy.154827
Win-Trojan/Adsagent.153026
Dropper/Agent.136569
Win-Trojan/Poisonivy.536397
Win-Trojan/Poisonivy.133511
Win-Trojan/Poisonivy.128405
Win-Trojan/Poisonivy.128204
Win-Trojan/Poisonivy.173068
Win-Trojan/Poison.150937
Win-Trojan/Agent.159762
Win-Trojan/Adsagent.136314
Win-Trojan/Poisonivy.532499
Win-Trojan/Poison.155705
Win-Trojan/Adsagent.132031
Win-Trojan/Poisonivy.128421
Win-Trojan/Poisonivy.135794
 
이러한 APT 형태의 보안 위협에 대응하기 위해서는 단일 보안 제품만으로는 대응이 불가능하며, 사내에 존재하는 보안 정책과 직원들을 대상으로한 보안 인식 교육 그리고 유기적으로 동작하는 각 단계에 맞는 보안 제품들이 다단계적인 대응(Defense in Depth)가 이루어져야 한다.
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

http://core.ahnlab.com/192
http://core.ahnlab.com/193


위 링크의 글들에서 광고성 html 을 가장하여 유포되고 있는 스팸의 유포형식과 난독화된 스크립트에 대해서 살펴보았습니다.

난독화된 스크립트를 디코딩하여 수집한 game.exe 파일은 실행 시 아래 그림과 같이 'Defense Center'라는 FakeAV 를 설치하게 됩니다.




game.exe 파일에 의해 다수의 악성코드가 설치가 되며 그 중 아래의 경로에 생성되는 폴더 및 파일들이 은폐 및 hooking이 된 상태입니다.

c:\windows\PRAGMA[랜덤한 문자]\

이 경우 아래 링크의 v3alureon_gen_np.exe 전용백신을 다운로드 후 전용백신으로 %systemroot%를 검사하여 은폐 및 hooking을 풀어줍니다.

v3alureon_gen_np.zip

검사가 완료되게 되면 아래 그림처럼 바이러스가 없다고 메세지 창이 뜨게 될 것입니다. 왜냐하면 파일을 진단한 것이 아니라 은폐 및 hooking을 풀어준 것이기 때문입니다.




은폐 및 hooking을 풀어준 후 V3 로 해당 폴더를 진단/치료 시 정상적으로 진단/치료가 가능합니다.

작일 (6월 30일)부터 아래의 메일 제목으로 지속적으로 악성 html 링크가 삽입된 악성 스팸메일이 유포 중이니 주의하시기 바랍니다. 해당 스팸메일로 유포되는 악성코드 및 취약점 Exploit 파일은 곧 V3엔진에 업데이트 될 예정입니다.

[악성 스팸 메일 제목]
[랜덤한 메일 계정] has sent you a birthday ecard.
young limber girl
hello
Welcome to YouTube



<악성 html링크를 삽입한 랜덤한 메일 계정] has sent you a birthday ecard. 제목의 스팸메일>



<악성 html링크를 삽입한 Welcome to YouTube 제목의 스팸메일>





신고
Creative Commons License
Creative Commons License
Posted by 비회원

http://core.ahnlab.com/193


상기의 이전 글에서 최근 html 파일을 첨부하거나 html 링크를 삽입한 스팸메일을 통해 악성코드를 다운로드 하는 스팸메일의 형태를 살펴보았습니다. 

이어서 난독화된 악성 스크립트를 살펴 보도록 하겠습니다.


<삽입된 iframe에 의해 연결된 페이지 정보>


상기와 같이 난독화된 악성 스크립트는 악성 스크립트 제작자가 제작한 루틴 및 사용되지 않는 쓰레기 코드로 구성되어 있으며 디코딩 후 실제 악의적인 웹 페이지가 완성이 되게 됩니다. 



<최종 디코딩 된 악성 스크립트>

최종 디코딩된 악성 스크립트는 MDAC[Microsoft Data Access Components], PDF, JAVA 취약점을 이용하여 악성코드를 로컬에 저장하고 실행하게 됩니다. 


<취약점을 이용한 파일 및 다운로드 된 파일>
 
취약점을 이용한 파일 및 game.exe 파일은 아래와 같은 진단명으로 V3에서 진단/치료가 가능합니다.

game.exe
 -> Win-Trojan/Agent.26112.RQ
Notes10.pdf
 -> PDF/Exlpoit
Applet10.html
 ->HTML/Agent



다음 글에서 다운로드 된 game.exe 파일 실행 시 증상에 대해 살펴보도록 하겠습니다.




신고
Creative Commons License
Creative Commons License
Posted by 비회원