본문 바로가기

전체 글보기1188

QR 코드를 통해 감염되는 안드로이드 악성코드 발견 스마트폰에 대한 사용이 급증함에 따라 기존의 Barcode 기술의 Data 저장용량의 한계로 인해 새롭게 각광받는 것이 QR 코드라는 기술이다. QR 코드는 스마트폰의 카메라(스캔) 기능을 활용하여 그림과 같은 물리적 자료에서 디지털정보, 즉 인터넷 주소 등을 변환해 주는 역할을 함으로서 특히 이벤트나 광고에서 많이 사용되었다. [ 그림. 광고에 사용되는 QR 코드 ] 위키피디아 참고 http://ko.wikipedia.org/wiki/QR_코드 러시아의 특정 웹사이트에서 이와 같이 효과적으로 정보전달을 할 수 있는 매개체인 QR코드가 SMS를 통해 과금을 시키는 스마트폰 악성코드를 유포하는데 활용된 것이 밝혀져 관련 내용을 전한다. 1. 유포 유형 러시아의 특정 웹페이지에서 어플리케이션 홍보형식으로 Q.. 2011. 10. 7.
MySQL 사이트에 삽입된 악성 스크립트 1. 서론 금일 새벽에 MySQL 사이트에 악성 스크립트가 삽입되었다는 내용이 확인되어 관련 내용을 작성 합니다. 2. 삽입된 악성 스크립트 상세 분석 http://www.mysql.com 사이트 접속 시 연결되는 파일 중 한군데에 아래와 같은 내용의 악성 스크립트가 삽입되었습니다. [그림 1] 삽입된 악성 스크립트 삽입된 스크립트는 난독화 되어 있으며 난독화를 해제하면 아래와 같은 코드가 확인이 됩니다. [그림 2] 난독화 스크립트를 풀었을 때 나오는 코드 위 페이지에 접속하게 되면 Adobe Flash, Adobe Reader, Java 등 취약점을 이용하여 악성코드에 감염되게 됩니다. 3. 악성코드 감염 시 나타나는 증상 해당 악성코드에 감염되면 아래와 같은 파일이 생성되게 됩니다. C:\WINDO.. 2011. 9. 27.
온라인 게임 사용자의 계정정보를 탈취하는 Bootkit Bootkit이란? Bootkit은 감염된 PC의 MBR(Master Boot Record, PC가 부팅하는데 필요한 정보들이 저장된 물리적인 하드 디스크 영역, 512 바이트)을 조작하여 감염된 PC가 부팅 시 다른 악성코드를 생성하도록 해둔 악성코드를 의미한다. Bootkit 분석정보 이번에 국내 침해 사이트를 통해서 유포되었던 Bootkit의 구조는 아래와 같다. [그림 1] Bootkit 악성코드 구조 Bootkit은 감염된 PC의 MBR영역을 조작하여 백신에서 악성코드를 치료하더라도 부팅 시마다 계속 악성코드를 생성하도록 해두었다. 아래 [그림 2]참조 [그림 2] Bootkit 악성코드 실행구조 감염된 PC의 원본 MBR 영역을 암호화하는 과정을 살펴보면 아래와 같다. > 원본 MBR 암호화.. 2011. 9. 27.
정보 수집 및 즐겨찾기를 변경하는 Android 악성 앱 站点之家 1. 站点之家 정보 수집 및 즐겨찾기를 변경하는 안드로이드 악성 어플리케이션이 중국에서 발견 되었다. 2. Android-Trojan/ROMZhanDian 알아보기 - 앱 아이콘 / 필요 권한 정보 [그림] 패키지명 / 권한 정보 - 설치 후 변경 사항 [그림] 설치시 생성된 아이콘 / 바로가기 [그림] 앱 실행 화면 / 추가된 즐겨찾기 - 앱 설치시 필요한 권한 및 설치가능 버전 정보 Android 1.5 이상에서 설치되며, 부팅시 시작되도록 설정되어 있다. [그림] Manifest 정보 - 운영 체제, IMEI/IMSI 번호, shop_id, 모델, APP 이름 등, 수집을 시도한다. [그림] 정보 수집 관련 일부 코드 3. 스마트폰 사용시 주의 사항 ! - 최신의 OS 버전과 V3 모바일을 사용 한.. 2011. 9. 20.
MBR (Master Boot Record) 을 감염시키는 온라인 게임핵 악성코드 발견 1. 서론 최근 국내에 MBR (Master Boot Record) 을 감염시키는 악성코드가 발견되어 해당 글을 작성합니다. 2. 악성코드 분석 해당 악성코드에 감염되게 되면 아래와 같이 MBR (Master Boot Record) 이 변조되게 됩니다. 이로 인해 변조된 MBR 복구해주지 않으면 시스템이 재부팅 될때마다 악성코드가 계속해서 재감염 됩니다. [그림 1] 변경되기 전 MBR (Master Boot Record) [그림 2] 변경 된 후 MBR (Master Boot Record) 추가로 악성코드가 MBR을 변조할 때 원본을 다른 섹터 영역에 암호화 하여 백업을 해둡니다. 따라서 수동으로 복원할 경우 암호화 된 백업본을 복호화 하여 복원을 하면 되나 이는 일반 사용자가 하기에는 무리가 있습니다.. 2011. 9. 16.
악성코드가 존재하는 폴더명에 '.' 이 들어있는 형태 발견 1. 서론 최근 국내에서 퍼지는 온라인 게임핵 악성코드 중 폴더명에 '.' 을 넣어 AV 진단을 우회하는 형태가 확인되어 해당 글을 작성합니다. 2. 악성코드 동작 방법 악성코드에 감염이 되게 되면 아래와 같은 Batch 파일을 생성 및 실행하여 '.' 이 들어간 폴더를 생성 후 실행하게 됩니다. [그림 1] '.' 폴더를 생성하기 위한 Batch 스크립트 파일 내용 중 일부 이러한 '.' 이 들어간 폴더에 접근을 하려 하면 아래와 같이 오류가 발생하게 됩니다. 따라서 악성코드가 이런 폴더를 생성하는 이유는 악성코드가 존재하는 폴더로 접근을 하지 못하도록 하여 삭제를 방해하기 위한 목적으로 생각됩니다. 추가로 실제 일부 AV에서는 진단을 못하는 케이스도 확인되었습니다. [그림 2] '.' 이 포함된 폴더.. 2011. 9. 16.
SNS 구글플러스(Google+)를 위장한 안드로이드 악성 APP Google++ 1. Google++ 에 대하여.. 최근 구글플러스 SNS 의 사용자가 증가함에 따라, 이를 악용한 악성 어플리케이션이 등장 했다. 인기 SNS의 증가와 사용자의 관심을 이용하여 이른바, 사회공학기법의 악성코드 감염 방식과 유사하다고 볼 수 있다. 얼마전 구글 서치(Google Search)를 위장한 앱에 이어 구글을 위장한 악성 앱이 다시 등장한 것이다. Google SSearch 악성 앱 정보 : http://core.ahnlab.com/299 2. Nicky 로 불리는 악성 앱 Google++ - 악성 앱이 요구하는 권한 정보 [그림] Google++ 어플리케이션 권한 정보 - 앱이 설치되어도 아이콘은 생성되지 않는다. [응용프로그램 관리]를 통하여 확인 가능 하다. [그림] [응용프로그램 관리] .. 2011. 8. 18.
스마트폰 정보를 유출시키는 안드로이드 악성코드 주의 스마트폰 개인정보를 유출시키는 정보유출형 안드로이드 악성코드가 발견되어 관련 내용을 전한다. ▶ 개인정보 유출 해당 악성코드는 설치와 동시에 아래와 같은 스마트폰 개인정보를 중국의 베이징에 위치한 서버 (http://on***an.com/net***d/nm*****n.jsp) 로 유출시킨다. 1. IMEI 2. 제조사 (manufacturer) 3. Model 번호 4. IMSI [pic. data stealing code] [pic. sending data with http post ] 다른 악성앱과 다른 점은, 위의 개인정보들을 유출하는 것 뿐아니라 특정 어플리케이션이 설치되어 있는지 조사하는 기능도 포함하고 있다는 것이데, 어플리케이션을 찾을 때 단순히 패키지네임만을 비교하는 것뿐 아니라 패키지파일.. 2011. 8. 11.