해외 보안 업체인 트렌드 마이크로(Trend Micro)에서는 7월 27일 "Adding Android and Mac OS X Malware to the APT Toolbox" 제목의 문서를 공개하였다.


해당 문서는 2012년 3월 해당 업체에서 공개한 "Luckycat Redux: Inside an APT Campaign" 럭키캣(Luckycat)이라고 명명된 APT 공격 형태를 조사하는 과정에서 발견된 안드로이드(Android) 악성코드에 대해 다루고 있다.


해당 업체에서는 럭키캣 APT 공격과 관련된 특정 C&C 서버를 조사하는 과정에서 해당 C&C 서버에서 AQS.apk (15,675 바이트)와 testService.apk (17,810 바이트) 2개의 안드로이드 스마트폰에 설치 가능한 APK 파일 2개를 발견하게 되었다고 한다.


ASEC에서는 해당 2개의 AQS.apk (15,675 바이트)와 testService.apk (17,810 바이트) 파일들을 확보하여 자세한 분석을 진행하였다.


2개의 APK 파일들은 모두 동일한 기능을 하도록 제작되었으며, 그 중 testService.apk (17,810 바이트)을 안드로이드 스마트폰에 설치하게 되면 아래 이미지와 동일한 아이콘을 생성하게 된다.



그리고 해당 앱을 사용자가 직접 실행시키거나  스마트폰이 사용자에 의해 부팅하게 될 경우 이를 자동으로 감지하여 TService 라는 서비스로 실행하게 된다.



해당 서비스는 감염된 안드로이드 스마트폰에서 IMEI(International Mobile Equipment Identity), 스마트폰 번호와 저장 장치의 파일 정보들을 수집하여 중국에 위치한 gr******ns.3322.org:54321 해당 C&C 서버와 통신을 시도하게 된다.



해당 C&C 서버와 통신이 성공하게 되면 아래 이미지와 같이 공격자가 지정한 다양한 악의적인 명령들을 수행할 수 있게 된다.



공격자는 파일 업로드 및 다운로드, 인터넷 연결 접속 그리고 원격 명령을 수행하는 리모트 쉘(Remote Shell) 명령을 C&C 서버를 통해 내릴 수 있다.


이번 럭키캣 APT 공격과 관련된 특정 C&C 서버에서 발견된 안드로이드 악성코드들 모두 V3 모바일 제품군에서 다음과 같이 진단한다.


Android-Trojan/Infostealer.G

Android-Trojan/Infostealer.H


해당 2개의 안드로이드 악성코드가 실제 럭키캣 APT 공격에 사용되었는지는 명확하지 않다.  그러나 APT 공격과 관련된 C&C 서버에서 발견되었다는 사실로 미루어 볼 때, APT 공격을 수행한 공격자들은 안드로이드 악성코드 제작과 유포를 통해 특정 조직의 중요 정보 탈취에 악용하고자 하였던 것으로 추정된다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
2012년 1월 27일 금일 트렌드 마이크로(Trend Micro) 블로그 "Malware Leveraging MIDI Remote Code Execution Vulnerability Found"를 통해 마이크로소프트(Microsoft)에서 1월 11일 배포하였던 보안 패치인 "MS12-004  Windows Media의 취약점으로 인한 원격 코드 실행 문제점 (2636391)"와 관련된 취약점(CVE-2012-0003)을 악용하여 유포된 악성코드가 발견되었다.

해당 MS12-004 취약점을 악용하여 유포된 악성코드와 관련된 사항들을 ASEC에서 추가적인 조사를 진행하는 과정에서 해당 악성코드는 아래와 같은 전체적이 구조를 가지고 있는 것으로 파악하였다.


악성코드 감염의 근본적인 시작이 되는 mp.html(16,453 바이트) 파일은 최초 1월 21일 설날 연휴가 시작되는 토요일 국내에서 발견되었으며, 해당 스크립트 악성코드가 존재하였던 시스템은 미국에 위치하고 있다.

그리고 해당 악성코드들과 관련된 공격자는 한국과 중국을 포함한 극동 아시아 권을 주된 대상으로 해당 악성코드들을 유포 한 것으로 ASEC에서는 추정하고 있다. 


해당 mp.html 스크립트 악성코드를 텍스트 에디터로 분석을 해보면 아래와 같은 구조를 가지고 있으며, 파일 중간에는 실질적인 MS12-004 취약점을 악용하는 MIDI 파일인 baby.mid(38,068 바이트) 파일과 다른 자바 스크립트(JavaScript)인 i.js와 쉘코드(Shallcode)가 포함되어 있다.


아래 이미지와 동일한 MIDI 파일인 baby.mid는 MS12-004 취약점을 악용하도록 되어 있으며, 해당 취약점을 통해 ASLR/DEP를 모두 우회하여 공격자가 지정한 특정 코드를 실행 할 수 있도록 되어 있다. 

일반적인 MIDI 파일 포맷은 Header Chunk 와 Track Chunks로 구성되어 있다. 그러나 이번에 발견된 악의적으로 조작된 MIDI 파일에서 Note On/OFF (소리내기/끄기) 명령어인 해당 Track Event 중 첫번째 파라미터인 "Note Number" 값은 최대 127까지 표현가능하다.  

그러므로, 아래 이미지와 같이 B2(>128) 값으로 설정된 경우에는 오프셋(Offset) 계산 시 경계 범위를 넘게되어 잘못된 메모리 번지를 참조하게 되는 오류가 발생하게 된다.


mp.html 스크립트 악성코드에 포함되어 있는 쉘코드는 미국에 위치한 특정 시스템에서 인코딩(Encoding) 되어 있는 파일인 tdc.exe(73,728 바이트) 를 다운로드 한 후에 다시 이를 디코딩(Decoding) 과정을 거쳐 정상적인 PE 파일 형태를 가지게 된다.


정상적인 PE 파일 형태를 가지게 된 tdc.exe 파일이 실행되면 다음의 파일들을 생성하게 된다.

C:\WINDOWS\system32\drivers\com32.sys (11,648 바이트)
C:\WINDOWS\system32\com32.dll (57,344 바이트)


레지스트리(Registry)에 다음의 키 값을 생성하여 윈도우(Windows)가 재시작 시에 해당 드라이버 파일이 "Com32"라는 서비스명으로 자동 구동 되도록 설정하게 된다.

HKLM\SYSTEM\ControlSet001\Services\Com32\ImagePath  
"System32\drivers\com32.sys"


생성된 드라이버 파일인 com32.sys tdc.exe가 생성한 com32.syscom32.dll 파일들을 보호하기 위해 다른 프로세스의 접근을 방해한다. 그러나 다음의 프로세스들의 접근에 대해서는 허용하고 있다.

IEXPLORER.EXE
exploere.exe
rundll32.exe 


그리고 com32.sys는 \FileSystem\FastFat 과 \FileSystem\Ntfs의 DriverObject의 IRP_MJ_CREATE 핸들러 주소를 후킹한 코드 주소로 변경하는 방법을 사용하고 있다.

생성된 com32.dll는 감염된 시스템에서 국내에서 제작되어 사용중인 보안 제품들이 실행 중이라면 해당 프로세스들의 강제 종료를 시도하게 된다.


추가적으로 아래 이미지와 같이 특정 시스템으로 접속을 시도하여 성공하게 될 경우에는 아래 이미지와 같이 20120120.exe(89,088 바이트)를 다운로드 하게 된다.


다운로드 된 20120120.exe는 감염된 시스템에 존재하는 정상 윈도우 시스템 파일인 imm32.dll 파일을 랜덤한 파일명으로 백업을하고 국내에서 제작된 온라인 게임들의 사용자 계정과 암호를 외부로 탈취하는 기능들을 수행하게 된다.

현재까지의 상황들을 종합해보면 이번 MS12-004 취약점을 악용하여 악성코드 감염을 시도하는 제작자는 최종적으로 윈도우 보안 패치가 설치되지 않은 시스템에서 온라인 게임 사용자 정보들을 탈취하기 위한 악성코드 감염을 시도한 사례라고 볼 수 있다.

발견된 악성코드의 제작 기법과 국내 보안 프로그램의 강제 종료 기법들을 볼 때 중국에서 제작된 온라인 게임 관련 악성코드와 유사도가 높다고 할 수 있다.

그러므로 해당 MS12-004 취약점은 다른 악성코드 변형들에서도 다른 형태의 유포 기법으로 악용될 소지가 높음으로 사용하는 윈도우 시스템에 최신 보안 패치들을 모두 설치하는 것이 최선의 예방책이다.

이번 MS12-004 취약점과 관련된 악성코드들 모두 V3 제품군에서는 다음과 같이 진단한다.

JS/Cve-2009-0075 
JS/Agent 
Exploit/Ms12-004 
Win-Trojan/Rootkit.7808.H 
Dropper/Win32.OnlineGameHack 
Win-Trojan/Meredrop.73728.C
Win-Trojan/Rootkit.11648.B
Win-Trojan/Waltrodock.57344
Win-Trojan/Meredrop

그리고 TrusGuard 네트워크 보안 장비에서도 해당 취약점에 대해 다음의 명칭으로 탐지 및 차단이 가능하다. 

malicious_url_20120127_1459(HTTP)-1
ms_ie_mid_file_exploit-t(CVE-2012-0003/HTTP)

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
2011년 12월 20일 ASEC에서는 북한의 김정일 위원장의 사망을 악용한 애드웨어 유포를 알린지 얼마 되지 않아 해외 보안 업체인 트렌드 마이크로(Trend Micro)에서는 블로그 "Kim Jong Il Malicious Spam Found"를 통해 전자 메일의 첨부 파일로 취약점이 존재하는 전자 문서 파일이 유포 된 것을 공개하였다.

트렌드 마이크로에서 블로그를 통해 공개한 취약한 전자 문서 파일이 첨부된 전자 메일은 다음의 이미지와 동일한 형식을 가지고 있는 것으로 공개 하였다.

 

해당 전자 메일에 첨부된 어도비 아크로뱃 리더(Adobe Acrobat Reader) 파일은 CVE-2010-2883 취약점과 함께 아래 이미지처럼 파일 내부에는 2011년 4월에 발견된 CVE-2011-0611 취약점을 악용하는 어도비 플래쉬(Adobe Flash) 파일을 포함하고 있다.


해당 취약한 어도비 아크로뱃 리더 파일이 실행되면 아래 이미지와 같이 김정일 위원장의 사진과 함께 그의 일생과 관련한 내용들을 담고 있는 PDF 파일이 실행 된다. 


그러나 해당 파일은 취약점이 존재하지 않는 정상 파일이며 시스템 사용자 모르게 다음의 파일들을 시스템에 생성하고 실행하게 된다.

C:\Documents and Settings\Tester\Local Settings\Brief introduction of Kim Jong-il.pdf (45,572 바이트) 
C:\Documents and Settings\Tester\Local Settings\abc.scr (156,672 바이트)


생성된 파일 중  Brief introduction of Kim Jong-il.pdf(45,572 바이트)는 위 이미지와 동일한 정상 파일이며, 동반 생성된 abc.scr(156,672 바이트)가 악의적인 기능을 수행하게 된다.

생성된 abc.scr(156,672 바이트)는 다음의 파일을 다시 생성하게 된다.

C:\Documents and Settings\Tester\Local Settings\Application Data\GoogleUpdate.exe(91,136 바이트)


그리고 다음의 레지스트리 키 값을 생성하여 시스템이 재부팅 되어도 자동 실행 되도록 구성하게 된다.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
GoogleUpd = ""C:\Documents and Settings\[사용자 계정명]\Local Settings\Application Data\GoogleUpdate.exe""


abc.scr(156,672 바이트)에의해 생성된 GoogleUpdate.exe(91,136 바이트)는 감염된 시스템의 인터넷 접속 여부를 확인하기 위해 구글 웹 사이트로 접속을 수행하게 된다.

그 후 다음의 시스템들 중 하나로 역접속(Reverse Connection)을 수행하여 공격자가 지정한 명령들을 수행하게 된다.

173.***.206.***

173.***.207.***


GoogleUpdate.exe
(91,136 바이트)는 공격자의 명령에 따라 다음의 악의적인 기능들을 수행하게 된다.


실행 중 프로세스 확인 및 강제 종료
CMD Shall 명령 수행
파일 업로드 및 다운로드, 삭제


이 외에 트렌드 마이크로에서는 아래 이미지와 같이 마이크로소프트 워드(Microsoft Word)의 "Microsoft Security Bulletin MS10-087 - Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점(2423930)" 취약점을 악용해 유포된 악성코드도 존재하는 것으로 밝히고 있다.


이 번 김정일 위원장의 사망을 악용해 유포된 취약점이 존재하는 전자문서와 악성코드들은 모두 2011.12.21.01 이후 엔진 버전의 V3 제품군에서 다음과 같이 진단한다.

PDF/Cve-2010-2883
Dropper/Cve-2010-3333
SWF/Cve-2011-0611

Win-Trojan/Infostealer.156672

Win-Trojan/Infostealer.91136.B  
Win-Trojan/PcClinet.80384 
Win-Trojan/PcClinet.118784

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원