이스라엘 언론인 The Times of Israle의 "How Israel Police computers were hacked: The inside story"을 통해 이스라엘 정부 기관을 대상으로 한 타겟 공격(Targeted Attack)이 발생하였음이 공개되었다.


이러한 정부 기관을 대상으로 한 타겟 공격은 최근에는 10월 18일 대만 기상청을 대상으로한 타겟 공격이 발견된 사례가 있다. 특히 이 번에 발견된 이스라엘 정부 기관을 대상으로 한 타겟 공격은 대만 기상청을 대상으로 한 타겟 공격과 유사한 형태로 이메일을 통해 시작되었다.


이스라엘 정부 기관을 대상으로한 타겟 공격에 사용된 이메일은 다음과 같은 메일 형식을 가지고 있는 것으로 트렌드 마이크로(Trend Micro)에서 블로그 "Xtreme RAT Targets Israeli Government"를 통해 밝히고 있다.


발신인 - bennygantz59.gmail.com 


이메일 제목 - IDF strikes militants in Gaza Strip following rocket barrage


첨부 파일명 - Report & Photos.rar


첨부된 Report & Photos.rar의 압축을 풀게 되면 "IDF strikes militants in Gaza Strip following rocket barrage.doc[다수의 공백].scr(999,808 바이트)"이 생성된다. 


생성된 해당 파일은 RARSfx로 실행 가능한 형태로 압축된 파일로 파일 내부에는 아래 이미지와 같이 2.ico(318 바이트), barrage.doc(85,504 바이트)와 Word.exe(827,120 바이트)가 포함되어 있다.



해당 "IDF strikes militants in Gaza Strip following rocket barrage.doc[다수의 공백].scr(999,808 바이트)"을 실행하게 되면, 아래 이미지와 같이 파일 내부에 포함된 barrage.doc(85,504 바이트)을 보여주게 된다.



그러나 사용자 모르게 백그라운드로 다음의 경로에 내부에 포함하고 있는 파일들을 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\2.ico

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\\barrage.doc

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\Word.exe


그리고 생성된 파일 중 Word.exe(827,120 바이트)를 실행시켜 ".exe(4 바이트)" 파일을 생성하고, 윈도우 시스템에 존재하는 정상 파일인 sethc.exe을 로드 한 후 해당 프로세스의 메모리 영역에 자신의 코드 전체를 삽입하게 된다.



자신의 코드가 정상적으로 삽입하게 되면 해당 sethc.exe의 프로세스를 이용하여 다음의 시스템으로 역접속을 시도하게 되나, 분석 당시에는 정상적으로 접속 되지 않았다.


loading.myftp.org:1500


정상적으로 접속이 성공하게 될 경우, 공격자의 명령에 따라 다음의 악의적인 기능들을 수행하게 된다.


원격 제어

화면 캡쳐

실행 중인 프로세스 리스트

파일 생성, 실행 및 삭제

레지스트리 키 생성 및 삭제

파일 업로드 및 다운로드

키보드 입력 값을 후킹하는 키로깅


이 번에 발견된 이스라엘 정부 기관을 대상으로 한 타겟 공격으로 유포된 악성코드들은 V3 제품 군에서 다음과 같이 진단한다.


Dropper/Xtrat.999808

Win-Trojan/Xtrat.827120


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Suspicious/MDP.DropMalware

Malware/MDP.Injector


앞서 언급바와 대만 기상청 타겟 공격과 이번 이스라엘 정부 기관을 대상으로 한 타겟 공격 모두 이메일의 첨부 파일을 이용하여, 내부 직원들의 감염을 유도하였다.


그러므로 외부에서 이메일이 전달 될 경우에는 발신인이 잘 아는 사람인지 그리고 메일 주소가 자주쓰거나 정확한 메일 주소인지를 확인하고, 첨부 파일이 존재 할 경우에는 실행을 해야 될 경우에는 백신으로 미리 검사하는 것이 중요하다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

마이크로소프트에서는 한국 시각으로 6월 13일 해당 업체에서 개발한 소프트웨어에 존재하는 보안 취약점들을 제거하기 위한 보안 패치를 배포하였다. 


이와 동시에 보안 업체인 맥아피(McAfee)에서는 마이크로소프트가 배포한 보안 패치 "Microsoft Security Bulletin MS12-037 - Internet Explorer 누적 보안 업데이트 (2699988)"에 포함된 CVE-2012-1875 취약점을 악용하는 공격이 실제 발생하고 있음을 블로그 "Active Zero-Day Exploit Targets Internet Explorer Flaw"를 통해 공개하였다.


ASEC에서는 추가적인 조사를 통해 해당 CVE-2012-1875 취약점을 악용하는 악성코드는 아래 이미지와 동일한 스크립트 형태의 악성코드 임을 확인하였으며, 최초 유포는 홍콩에 위치한 특정 시스템을 통해 진행 되었다.


홍콩에 위치한 해당 시스템에서는 서로 다른 쉘코드(Shellcode)를 가진 스크립트 악성코드가 동시에 유포되었다.



해당 CVE-2012-1875 취약점은 인터넷 익스플로러가 삭제된 개체에 액세스하는 방식의 오류로 인해 메모리가 손상되어 임의 코드를 실행할 수 있는 코드 실행 취약점이다.


그리고 해당 스크립트 악성코드는  ROP(Return-Oriented Programming) 기법을 이용하여 윈도우 시스템에 포함되어 있는 메모리 보호 기능인 DEP(Data Execution Prevention) ASLR(Address Space Layout Randomization)를 우회 할 수 있도록 제작되었다.


해당 스크립트 악성코드가 정상적으로 실행 될 경우에는 스크립트에 포함되어 있는 쉘코드에 따라 이탈리아에 위치한 특정 시스템 또는 홍콩에 위치한 스크립트 악성코드를 유포한 동일한 시스템에서 다른 백도어 악성코드들을 다운로드하게 된다.


이탈리아에 위치한 시스템과 홍콩에 위치한 시스템에서 다운로드 되는 악성코드들은 감염된 시스템에서 프록시(Proxy) 기능과 함께 하드웨어 정보 등 시스템 사용과 관련된 정보들을 수집하여 홍콩에 위치한 다른 시스템으로 전송하게 된다.


이 번 CVE-2012-1875 취약점을 악용한 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.


HTML/CVE-2012-1875

Win-Trojan/Injector.47104.BR 

Dropper/Agent.81920.DX 

Win-Trojan/Infostealer.35328.C  


현재 마이크로소프트에서는 이번 악성코드 유포에 악용된 CVE-2012-1875 취약점을 제거하기 위한 보안 패치 MS12-037를 배포 중에 있음으로, 해당 취약점으로 인한 악성코드 감염을 근본적으로 차단하기 위해서는 해당 보안 패치를 설치하여야만 한다.

저작자 표시
신고
Posted by 비회원