웹 공격(SQL Injection)을 통한 악성코드 유포 Posted By ASEC , 2011년 6월 23일 최근 Armorize라는 보안업체가 블로그에 공개한 내용에 따르면 다수의 사이트들을 대상으로 웹 공격이 발생하여 해킹된 후 악성코드가 유포되는 사례가 발생했다고 한다. 해당 업체의 블로그에는 이번 사례의 기술적인 내용과 해킹되어 악성코드를 유포했던 일부 사이트들이 공개되었다. • Mass Meshing Injection: sidename.js ongoing: http://blog.armorize.com/2011/06/mass-meshing-injection-sidenamejs.html 위 주소에 언급된 760개의 사이트들에 대해서 국가, 악성코드 유포, 취약점 등 여러 가지를 분석해 보았다. 참고로 위 주소에 공개된 760개의 사이트들을 참고하여 기반으로 분석 및 작성한 것이므로 실제 내용과는 차이가 있을 수 있다.• 국가별 피해 사이트 현황 [그림 1] 국가별 피해 사이트 현황 760개의 사이트들에 대해서 국가별로 분류해본 결과 [그림 1]과 같고 US(미국)에 위치한 사이트들에서 피해가 가장 많이 발생했으며 ETC에 포함된 국가들도 마찬가지로 분류해 보면 아래 [그림 2]와 같다. [그림 2] ETC에 포함된 국가별 피해 사이트 현황 [그림 2]를 보면…
“내 문서”, “바탕화면” 등에 있던 파일들이 모두 사라졌다? Posted By ASEC , 2011년 6월 22일 1. 서론 임의의 시스템 계정을 등록 및 활성화 시켜 마치 사용자로 하여금 “내 문서”, “바탕 화면” 등에 있던 파일이 사라진 듯한 증상을 보이는 악성 배치 파일이 발견되어 정보 공유 차원에서 작성한다. 2. 감염 시 나타나는 증상 아래 [그림 1]과 같이 악성 배치 파일 (batch file) “Edugate fucker.bat” 파일과 마이크로소프트 (Microsoft)에서 배포하는 “subinacl.exe” 파일이 함께 유포되고 있다. [그림 1] 악성 배치 파일과 정상 subinacl.exe 파일 사용자가 악성 배치 파일을 Edugate fucker.bat 을 실행하게 되면 “edugatefuck” 이라는 계정이 등록되게 되며 “edugatefuck” 계정이 활성화 되게 된다. 또한 “edugatefuck” 계정은 관리자 그룹으로 등록이 된다. 그리고 마이크로소프트에서 배포하는 subinacl이라는 파일을 악용하여 시작 프로그램의 권한을 제한하여 실행되지 않도록 수정된다. 마이크로소프트 (Microsoft)에서 배포하는 subinacl이라는 유틸은 권한 및 소유권을 변경하는 기능을 가지고 있다. 이제 사용자는 아래 [그림 2]와 같이 “edugatefuck” 계정으로 윈도우에 로그인하게 된다. [그림 2]…
시스템 파일을 변조하는 온라인 게임핵 악성코드 변경 Posted By ASEC , 2011년 6월 19일 1. 서론최근 윈도우 시스템 파일을 악성으로 변조하는 온라인 게임핵 악성코드가 다수 발견되고 있다. 이러한 악성코드는 대부분 웹사이트를 통해 유포되는데 계속해서 새로운 변종을 만들고 있어 많은 사용자가 감염이 되어 정보공유 차원에서 작성을 한다.2. 악성코그 감염 경로해당 악성코드는 웹사이트를 통해 유포되며 유포방법은 총 3가지 취약점을 이용한다.1) Adobe Flash Player, CVE-2011-0611위 취약점은 SWF 파일을 이용한 취약점으로 주소 banner숫자.swf, nb.swf 등의 파일명으로 유포가 이루어 진다. 분석을 해보면 아래와 같이 SWF 파일 내부에 쉘코드가 포함된 것을 확인할 수 있다. [그림 1] SWF 파일 분석 화면 해당 쉘코드를 분석하면 아래와 같이 jpg을 받아 실행함을 알 수 있다. 확장자는 jpg나 실제로는 이미지 파일이 아닌 악성코드 파일이다. [그림 2] 쉘코드 분석 후 최종 다운로드 받는 URL을 확인한 화면 2) Adobe Flash Player, CVE-2011-2110해당 취약점은 지난 6월 15일에 보안…
악성코드 유포에 이용된 Adobe Flash Player 취약점 업데이트! Posted By ASEC , 2011년 6월 15일 최근 주말에 국내 다수의 사이트에서 윈도우 시스템 파일을 악성으로 변조시키는 악성코드가 유포되었습니다. 유포에 이용된 취약점은 Adobe Flash Player 취약점이며, Adobe 사에서 금일 긴급 보안 업데이트가 이루어 졌습니다. 따라서 아래 사이트를 방문하셔서 업데이트를 꼭! 진행하시기 바랍니다.Adobe Flash Player 업데이트 : http://www.adobe.com/go/getflash상세정보 : http://www.adobe.com/support/security/bulletins/apsb11-18.html추가로 현재 시스템에 설치된 Adobe Flash Player 버전을 확인하고자 하신다면 아래 메뉴에서 확인해 보시기 바랍니다. Windows 7 : [제어판] – [시스템 및 보안] – [Flash Player] Windows XP : [제어판] – 왼쪽의 [기타 제어판 옵션] – [Flash Player] 위 메뉴를 찾아 실행 후 아래와 같이 [고급] 탭에서 확인하실 수 있습니다. 현재 최신버전은 10.3.181.26 입니다. 만약 위에 안내해드린 메뉴에서 [Flash Player] 메뉴가 존재하지 않는다면 최신버전이 아니오니 업데이트를 하시기 바랍니다. 추가로 이미 악성코드에 감염된 사용자는 인터넷 익스플로러 실행 시 브라우져가 정상적으로…
사이트 하나 접속했을 뿐인데, Browser update?! Posted By ASEC , 2011년 6월 9일 1. 서론 최근 DHCP 환경에서 DNS Server 의 주소가 확인되지 않은 IP로 변경되어, 인터넷 이용이 불가하다는 일부 문의가 접수되고 있어 주의가 필요하다. 2. 전파 방법 및 감염 경로 – 공유 네트워크로 전파 – 이동식 저장매체를 통한 전파 – 감염된 시스템으로 부터, DNS Server 변조에 의한 전파 3. 악성코드 감염 증상 악성코드 감염시, 아래와 같이 파일이 생성된다. %Temp%srv(랜덤3자리).tmp %Temp%srv(랜덤3자리).ini 공유 네트워크내 쓰기 가능한 폴더나 이동식 디스크에는 다음과 같은 형태의 파일이 생성된다. setup(랜덤한 숫자).fon myporno.avi.lnk // MS10-046 취약점 이용 pornmovs.lnk // MS10-046 취약점 이용 autorun.inf 동작중인 시스템을 파악하기 위해(공격 대상 시스템 확인) 동일한 네트워크 대역에 대해서 지속적으로 스캔 작업을 수행한다. [그림 1] 동일 네트워크 대역 스캔 다른 시스템에 악성코드에 감염 시키기 위해, 감염된 시스템을 DHCP Server 로 위장하여 DNS 정보를 변경하기 위한 동작을 한다. 아래의…
