본문 바로가기

전체 글보기1188

마이크로소프트의 다이렉트쇼 취약점 악용 사례 ASEC에서는 2009년 6월 3일 마이크로소프트(Microsoft)의 다이렉트쇼(DirectShow)에 존재하는 퀵타임 무비(QuickTime Movie) 파일 파싱 과정에서 코드 실행 취약점이 존재하며 해당 취약점이 악용 될 가능성이 있음으로 주의가 필요하다는 보안 권고문을 작성한 바가 있다. ASEC Advisory SA-2009-008 마이크로소프트 DirectShow QuickTime Movie 파싱 코드 실행 취약점 해당 취약점에 영향을 받는 운영체제는 다음과 같다. Windows 2000 Windows XP Windows Server 2003 해당 취약점에 대한 자세한 사항들은 ASEC 보안 권고문과 아래 웹 사이트들을 참고 하기 바란다. CVE-2009-1537 Microsoft 보안 권고.. 2011. 10. 21.
phpMyAdmin의 임의의 PHP 코드 실행 취약점 phpMyAdmin의 임의의 PHP 코드 실행 취약점이 2009년 3월 24일 공개되었으며 해당 취약점과 관련한 내용은 아래 링크들을 참고하기 바란다. PMASA-2009-3 Vulnerability Summary for CVE-2009-1151 해당 취약점은 phpMyAdmin 3.1.3.1 이전 버전과 2.11.9.5 이전 버전에 취약점이 존재하는 것으로 알려졌다. 2009년 6월 24일 SANS 블로그에는 phpMyAdmin의 해당 취약점을 공격하는 자동화된 툴이 발견되었다고 한다. 자동화된 공격 툴이 발견된 만큼 이를 악용한 악의적인 공격도 증가 할 것으로 예측 된다. Exploit tools are publicly available for phpMyAdmin 현재까지 ASEC에서 해당 자동화된 .. 2011. 10. 21.
중국에서 발견된 윈도우 커널 취약점 2009년 6월 11일을 즈음하여 중국 웹 사이트에서 윈도우 커널 취약점이 발견되었다며 PoC로 제작된 파일이 발견되었다. 현재까지 ASEC에서 분석한 PoC로 제작된 파일은 대략적으로 다음과 같이 동작한다. 1. Csrss.exe의 메모리영역 접근을 위해 Debug 권한으로 OpenProcess를 진행한다. 2. Csrss.exe의 새로운 메모리를 영역을 이용하여 Win32k.sys에 서비스 호출을 한다. 3. 해당 서비스호출에 의해서 Win32k.sys의 win32k!NtUserConsoleControl 에서 0x804D800C 메모리 4바이트를 NULL로 채운다. 현재 해당 윈도우 커널 취약점에 대해 마이크로소프트에서는 자세한 조사가 진행 중에 있다고 한다. Latest Baidu public po.. 2011. 10. 21.
ASEC (AhnLab Security Emergency response Center) 이란? 2011. 10. 21.
Smiscer Rootkit (Smiscer is also known as the ZeroAccess or Max++ rootkit.) 1. 서론 과거 악성코드는 자신의 목적에만 충실했기에, 대체적으로 큰 어려움 없이 Anti-Virus 제품으로 쉽게 치료할 수 있었다. 안철수연구소의 DNA 진단방식 처럼 악성코드를 빠르게 탐지 할 수 있는 여러가지 기술들이 발전하면서, 사전 진단률이 높아졌다. 이에 따라 악성코드 제작자도 악성코드 제작 후 V3등의 백신으로 진단여부를 테스트 하는 등의 일련의 악성코드 Semi-QA (Test)과정을 거처 배포하며, 이를 우회하고 자신을 보호, 은닉하기 위한 악성코드로 발전 시키고 있다. 최근에는 Bootkit 처럼 감염된 PC의 MBR 영역을 조작하여 백신에서 악성코드를 치료하더라도 부팅 시마다 계속 악성코드를 생성하는 경우도 있었다. (자세한 내용은 : http://core.ahnlab.com/328.. 2011. 10. 17.
ASEC 보안 위협 동향 리포트 2011 Vol.21 발간 안철수연구소 ASEC에서 2011년 9월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2011 Vol.21을 발간하였다. 이 번에 발간된 ASEC 리포트는 2011년 9월 주요 보안 위협 이슈들과 함께 2011년 3분기에 발생한 보안 위협들을 다음과 같이 분석하고 있다. * 9월 주요 보안 위협 이슈들 온라인 게임 사이트의 사용자 계정정보를 탈취하기 위한 Bootkit의 등장 윈도우 XP의 폴더 접근 버그를 이용한 악성코드 유포 난독화된 Iframe 링크를 이용한 악성코드 배포 클라우드 백신으로 위장한 허위 백신 발견 윈도우 사용 인증으로 위장한 랜섬웨어 Adobe Flash and Reader 취약점 개인정보 수집 및 브라우저 즐겨찾기를 변경하는 Android 악성 앱 .. 2011. 10. 16.
MBR을 변조하는 Halcbot 부트킷 상세 분석 추석 연휴가 끝나는 마지막 휴일인 9월 13일 국내 보안 제품을 무력화 시키고 감염된 시스템의 MBR(Master Boot Record)를 변조하는 Halcbot 부트킷(Bootkit)이 국내에서 발견되었다. 이 번에 발견된 Halcbot 부트킷은 9월 13일 새벽 0시 50분 경에 취약한 웹 사이트를 통해 최초 유포 되었던 것으로 추정하고 있으며, 드라이버(*.SYS) 파일을 이용하여 악성코드 자신을 보호하는 기능도 포함되어 있다. Halcbot 부트킷에 감염되면 MBR을 변조하며, 아래 그림과 같이 스타트섹터(StartSector)부터 감염 코드 및 악의적인 루트킷(Rootkit)과 DLL 파일을 저장한다. MBR이 감염되면 Ntldr을 패치한 뒤 Ntoskrnl이 로드 되면 다시 Call 패치를 수.. 2011. 10. 14.
마이크로소프트 2011년 10월 보안 패치 배포 마이크로소프트(Microsoft)에서 2011년 9월 한달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2011년 10월 12일 배포하였다. 이번에 마이크로소프트에서 배포된 보안 패치들은 총 8건으로 다음과 같다. Microsoft Security Bulletin MS11-075 Active Accessibility 에서 발생하는 취약점으로 인한 원격코드 실행 문제 Microsoft Security Bulletin MS11-076 윈도우 미디어센터 에서 발생하는 취약점으로 인한 원격코드 실행 문제 Microsoft Security Bulletin MS11-077 윈도우 커널모드 드라이버에서 발생하는 취약점으로 인한 원격 코드 실행 문제 Microsoft Se.. 2011. 10. 14.