이번에 발견된 악성코드는 아래 [그림1]에서 보이는 것처럼, 국방표준종합정보시스템 VPN 사용자를 대상으로 유포된 것으로 추정된다. 이 악성코드는 Help 파일로 위장했으며, 위장한 CHM 파일에는 [표 1]과 같은 파일들이 포함되어있다.

 

 

 

/index.htm - 악성 파일을 로드

/제목 없음.jpg - 사용자를 속이기 위한 그림 파일

/msupdate.exe - 악성 파일

[표 1] CHM에 포함되어 있는 파일들

 

악성코드에 포함되어 있는 '제목 없음.jpg'의 내용은 아래와 같다.

[그림 1] CHM 실행 화면 (제목 없음. JPG)

처음 CHM 파일을 실행하면 [그림 2]와 같은 형식의 index.htm을 실행하게 되는데 이때 msupdate.exe가 실행된다.

 

[그림 2] object 태그를 이용하여 악성 파일(msupdate.exe) 실행

 

msupdate.exe는 리소스 영역에 [표 2]와 같이 DLL을 포함하고 있으며, 실행 시 해당 DLL을 'Application Management'라는 이름의 서비스로 등록시킨다. (서비스 메인 이름 'iamcoming')

 

[표 2] 리소스 영역에 포함하고 있는 DLL(위) & 해당 DLL을 서비스로 등록(아래)

 

등록된 DLL은 C&C인 express.xxxxxx.com: 80 (1x5.4x.2xx.1xx)와 통신하는데 사용자 컴퓨터 명과 IP 등의 시스템 정보를 수집하여 서버로 보내고 두 개의 스레드를 생성해 명령을 주고받는다. 이때의 패킷은 암호화되어 있는데 보낼 때에는 0x67 받을 때는 0x11 로 각각 XOR연산하여 보낸다.

 

[그림 3] 난독화된 패킷 (좌), 복호화 된 패킷(우)

 

해당 악성코드는 서버에서 받아온 명령(ipconfig /all, cd, dir 등)을 통해 PC에 있는 디렉터리 리스트나 IP 정보를 계속 유출하고 있었고, 서버에서 받아온 명령을 그대로 실행해서 더 많은 악성 행위가 이루어질 가능성이 있다. 따라서 메일로 오는 의심스러운 CHM 파일은 열어 보지 않는 등, 사용자의 각별한 주의가 필요하다.

 

 

V3 제품에서는 아래와 같이 진단 가능하다.

 

<V3 제품군의 진단명>

 

Dropper/Agent (2014.10.31.05)

Trojan/Win32.Backdoor (2014.10.30.03)

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

- 국제 CC인증 획득으로 국내외 네트워크 보안 시장 공략 박차


글로벌 통합보안기업 안랩[대표 김홍선, www.ahnlab.com]은 자사의 네트워크 통합보안 솔루션인 ‘안랩 트러스가드[AhnLab TrusGuard, 이하 트러스가드]’가 최근 IT보안인증사무국으로부터 국제 CC인증을 획득했다고 발표했다.

 

국제공통평가기준인 CC[Common Criteria] 인증은 IT 솔루션의 보안성을 평가하기 위한 공신력있는 국제기준[ISO 표준]으로, 트러스가드는 이번에 EAL 2[Evaluation Assurance Level 2] 등급으로 인증을 획득했다.

 

안랩은 이번 국제 CC인증 획득으로 증명된 네트워크 보안 기술력과 신뢰성을 바탕으로, 최근 국내뿐만 아니라 해외에서도 관심이 높아지고 있는 네트워크 보안 시장 공략에 박차를 가한다는 계획이다.

 

트러스가드는 대규모 트래픽과 대용량 세션[PC와 PC 간 통신을 위한 연결 정보]을 고속으로 처리하는 고성능 네트워크 보안 솔루션이다. 높은 수준의 방화벽 성능을 제공하며, 외부에서 효율적이고 안전하게 내부 시스템에 접속할 수 있는 VPN[가상사설망, Virtual Private Network] 기능을 제공한다. 또한, 안랩의 안티바이러스 엔진과 디도스[DDoS, 분산 서비스 거부 공격] 방어 기술을 적용해, 악성코드 침입과 네트워크 이상 트래픽 탐지 및 차단 기능 등 차세대 방화벽 기능도 제공한다.

 

현재 트러스가드는 국내 다수의 기업, 공공기관, 학교, 병원 및 금융권을 중심으로 대형 고객사를 보유하고 있다. 해외의 경우, 태국, 말레이시아 등 동남아 국가의 정부기관 및 기업에 공급되어 있다.

 

안랩 김홍선 대표는 “이번 국제 CC인증은 안랩의 네트워크보안 기술력에 대한 신뢰성을 국제적으로 인정받은 것이다. 이번 인증으로 검증된 신뢰성과 안정성을 바탕으로, 해외 시장 진출을 더욱 활성화할 것으로 기대한다”고 말했다.

 

한편, 안랩은 이번 트러스가드의 CC 인증으로 미국 플로리다에서 열리는 제14회 ICCC[International Common Criteria Conference, 9/10~12]에서 공식적으로 CC인증서를 수여받는다. ICCC는 전세계 인증기관, 평가기관, 보안업체들이 참여하여 CC평가/인증에 대한 기술과 정책을 공유하는 자리이다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원
최근에 발생하는 APT(Advanced Persistent Threat) 같은 보안 사고들에서는 기업 내부 네트워크로 메일이나 메신저(Messenger), SNS(Social Network Service) 등을 이용해 백도어(Backdoor) 기능을 수행하는 악성코드를 전달하여 감염을 시도한다.
 

이렇게 전달 되는 악성코드들 대부분은 공격자에 의해 사전에 안티 바이러스(Anti-Virus) 소프트웨어에 의해 진단이 되는지 테스트 과정을 거쳐 공격 성공율을 높이고 있다.

이러한 테스트의 과정은 최근 러시아에서 발견된 아래와 같은 프라이빗 AV 체커(Private AV Checker) 웹 사이트를 통해 진행되며 모두 금전적인 댓가를 지불하게 된다.

이 번에 발견된 해당 웹 사이트에서 35개의 안티 바이러스 제품들의 검사가 가능하며 1회 검사에 1 센트이며 20 달러(한화 약 22,000원)를 지불할 경우에는 500회까지 검사가 가능하다고 광고 중 이다.
 

 
해당 웹 사이트를 조사하는 과정에서 해당 웹 사이트는 다시 아래 러시아 웹 사이트에서 제공하는 API(Application Program Interface)를 이용하여 제작하는 것으로 확인 되었다.

러시아어로 제작된 아래 웹 사이트 역시 35개의 안티 바이러스 소프트웨어를 검사가 가능하며 그 중에는 안랩의 V3 Internet Security 8.0도 포함이 되어 있었다. 그리고 1회 사용에는 15 센트, 한 달 사용에는 25 달러(한화 약 27,500원)라고 공개하고 있다.

 
이 외에도 악성코드를 유포하기 위한 웹 사이트가 보안 업체들의 블랙 리스트(BlackList)에 포함되어 있는가를 확인하는 기능과 별도의 사설 VPN(Virtual Private Network) 서비스를 제공하고 있다.

이러한 웹 사이트들에서는 공통적으로 검사되는 파일들에 대해서 보안 업체들로 전달 되지 않는다 점을 강조하고 있다.

이러한 점은 악성코드 제작자 등이 악성코드를 유포하기 전에 사전에 테스트 할 수 있어 특정 보안 소프트웨어에서 진단이 될 경우, 악성코드를 다시 제작하여 감염의 가능성을 더 높일 수 있는 환경을 만들어 주고 있다.

결국 블랙 마켓(Black Macket)에서 제공되는 이러한 서비스들로 인해 악성코드 제작자는 감염 성공율이 높은 악성코드를 제작할 수 있으며, 이로 인해 보안 사고 역시 증가 할 가능성이 높아지는 악순환이 발생하게 되다.
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원