[주의] 통화 및 SMS송수신 내역을 감시하는 안드로이드 악성코드 GoldDream 등장 Posted By ASEC , 2011년 7월 7일 1. 개 요 안드로이드 게임. “FastRacing” 으로 위장하여, 설치시 사용자폰의 SMS 발신/수신 내역, 전화통화기록 등을 사용자 모르게 감시하고, 특정 서버로 민감한 정보를 전송하는 악성코드가 발견되었다. 해당 악성코드는 “GoldDream” 이라 불리우며, '정상적인 게임'에 악의적인 코드를 추가하고 리패키징하여 중국의 써드파티마켓에서 유포된 것이 해외 유명대학의 연구팀에 의해 밝혀져 관련 소식이 전해지게 되었다. “GoldDream” 은 또한 사용자폰을 감시하는 기능 이외에 C&C서버를 통해 스마트폰에 특정 명령을 내릴 수있는 bot 기능도 포함되어 있는데, 이는 “GoldDream“에서 최초로 발견된 기능은 아니며 “DroidKungFu” 나 이전의 다른 안드로이드 악성코드에서도 보여지는 최근 악성코드의 트렌드이다. 안드로이드 악성코드도 이젠 실험적인 레벨을 넘어 점점 정립된 프로세스를 갖추며 짜임새있게 배포되고 있다는 것을 나타내고 있다. [그림] Application 정보 2. 분 석 A. SMS/통화기록/핸드폰 정보 감시 및 탈취 악성 앱을 설치하게 되면 동시에 receiver 가 등록되며, 등록 이후에 발생되는 system event 들을 가로챈다….
정상 윈도우 시스템 파일 교체 악성코드, MS11-050 취약점을 사용하다. Posted By ASEC , 2011년 7월 3일 악성코드 제작자들에게 악성코드를 제작하고 유포하는 것은 금전적인 이득을 취하기 위한 하나의 생계수단이 되었다. 이를 위해서 제작한 악성코드를 여러가지 경로(주로 해킹된 웹 사이트를 통해서…)로 유포시킨 후 가능하면 악성코드에 감염된 PC를 많이 양산해야 한다는 의미이고 이때 해킹된 웹 사이트에 접속한 PC에 있을지 모르는 여러가지 취약점들을 고려하여 최적화된 악성 스크립트가 사용되고 있다. 요즘 해킹된 웹 사이트를 통해서 1차적으로 삽입된 악성 스크립트를 분석해 보면 2개 이상의 취약점을 이용하는 것은 기본이다. 얼마전부터 정상 윈도우 시스템 파일을 교체하는 악성코드가 MS11-050(CVE-2011-1255)취약점을 이용한 유포사례가 발견되었다. 그리고 해당 취약점에 대한 분석정보가 ASEC블로그에 포스팅되었다. • ASEC블로그: CVE-2011-1255 취약점 악용 악성코드 유포
소셜커머스(Social Commerce) 사이트를 통한 악성코드 유포사례(2) Posted By ASEC , 2011년 6월 29일 소셜커머스(Social Commerce) 사이트를 통한 악성코드 유포사례(1) 소셜커머스(Social Commerce) 사이트를 통한 악성코드 유포사례(2) main.html의 Flash Player 버전체크 루틴은 아래와 같다. switch (VSwf) { case “WIN 10,3,181,23”: document.writeln(““); break case “WIN 10,3,181,22”: document.writeln(““); break case “WIN 10,3,181,14”: document.writeln(““); break default: document.writeln(““); } Flash Player버전이 10,3,181,23 / 10,3,181,22 / 10,3,181,14일 경우 fnew.html을 다운로드, 그외 버전은 fold.html을 다운로드 하도록 되어 있다. main.html – fnew.html & head.swf 분석 fnew.html의 내용을 살펴보면 아래처럼 head.swf 파일에 info=라는 인자를 사용하여 특정 데이터를 다운로드하는 것으로 보인다. [그림 1]fnew.html & head.swf의 동작구조 head.swf의 내부를 살펴보면 Flash Player의 버전을 체크하여 취약점 및 Shellcode가 동작하는데 필요한 주소를 설정하는 것으로 보인다. 참고로 head.swf는 CVE-2011-2110취약점을 사용하여 악성코드를 실행한다. //—- Flash Player의 버전체크 —-//…
소셜커머스(Social Commerce) 사이트를 통한 악성코드 유포사례(1) Posted By ASEC , 2011년 6월 29일 주말만 되면 국내 사이트들은 해킹되어 최신 취약점들과 함께 악성코드 유포와 사용자들의 PC는 악성코드 감염으로 몸살을 알고 있다. 소셜커머스 사이트에서 악성코드 유포 사례가 발생했었는데 이에 대해서 정리했다. 소셜커머스(Social Commerce) 사이트를 통한 악성코드 유포사례(1) 소셜커머스(Social Commerce) 사이트를 통한 악성코드 유포사례(2) * 참고: 해당 사이트 및 악성코드 유포 주소는 공개할 수 없다. 해당 사이트를 통해서 유포된 악성코드는 V3:2011.06.26.01이상의 엔진 버전에서 아래와 같이 대응하고 있다. Win-Trojan/Agent.90588(V3) Win-Trojan/Agent.33592272(V3) Win-Trojan/Agent.33606100(V3) JS/Agent(V3) HTML/Agent(V3) SWF/Cve-2010-2884(V3) HTML/Agent(V3) 악성 스크립트가 삽입된 해당 사이트의 페이지는 아래와 같다. http://***************/common/script.php?l=b4b7caa5611fae1fb130505ccdb53a15&t=.js [그림 1] 악성 스크립트 주소가 삽입된 페이지 ee.js는 아래처럼 main.html을 다운로드 한 후 실행하는 스크립트로 아래 코드를 저장하고 있다. document.write(““); main.html은 해킹된 해당 사이트에 접속한 PC로부터 쿠키, Internet Explorer 및 Flash Player의 버전을 체크하여 악성코드를 다운로드하는 스크립트로 main.html의 구조를 요약해 보면 아래와 같다. [그림 2] main.html의…
Malicious Software, Friday Night Fever~!! Posted By ASEC , 2011년 6월 24일 1. 서론 ⊙ 금요일 퇴근 후 또는 학업을 마치고, PC를 사용하는 인터넷 사용자를 타겟으로 하는 악성코드가 여전히 기승을 부리고 있다. 이러한 악성코드의 감염 원인과, 예방방법을 알아보자. 2. 악성코드 유포 사이트 ⊙ 국내에서 주말마다 반복되는 악성코드 유포 경유지 이번주는 어디일까? 본격적인 어둠이 오기전 먼저 유포를 시작하는 곳 중, 한두 곳만 살펴 보았다. – 악성코드 유포 경유지 : 현재는 조치되어 유포하고 있지 않다. [그림] 악성 스크립트 유포 사이트 – 해당 사이트에 접속하면, 아래와 같은 사이트로 연결되어 악의적인 스크립트가 실행된다. [그림] 악성코드를 감염시키기 위해 다운로드 되는 파일 정보 – 이중 마지막 단계인 main.swf 파일을 살펴보자. 최근, Adobe Flash Player (CVE-2011-2110) 취약점을 이용한 악성코드 감염이 일반적이다. [그림] Adobe Flash Player 취약점을 이용한 main.swf 내부 코드 – 다운로드 받는 파일을 확인해 보자. main.swf 파일에 파라미터 “info=”를 통해 URL을…
