신년인사로 위장한 악성 스팸메일 주의! Posted By ASEC , 2011년 1월 5일 1. 서 론 신년 인사 eCard 관련 메일로 위장하여, 사회 공학(Social Engineering) 기법을 이용한 악성 스팸메일이 유포되고 있어 주의가 요구됩니다. 2. 악성코드 유포 방법 및 증상 최초 “New Year 2011, Greeting you with heartiest New Year wishes, New Year Ecard Notification” 등 과 같은 2011년을 맞이하는 관련 제목으로 메일이 수신됩니다. 해당 메일을 열어보면 아래와 같은 새해 인사 및 관련 eCard 확인을 위해 링크된 URL의 클릭을 유도합니다. [그림 1] 메일 원문 메일 본문의 URL을 클릭할 경우, 일정 간격으로 다른 URL로 Redirect 됩니다. 처음에는 [그림 2]와 같은 eCard를 볼 수 없다는 메시지와 함께 Flash Player 설치를 위한 링크 클릭을 유도하나, 링크를 통해 다운로드되는 install_flash_player.exe 파일은 해당 악성 스팸메일을 발송하게되는 악성코드 파일입니다. [그림 2] Flash Player로 위장한 악성코드 다운로드 링크 아래 그림은 [그림…
Facebook의 담벼락을 이용한 사이트 전파 사례 Posted By ASEC , 2011년 1월 3일 1. 서론 지난 9월 트위터(Twitter) DM(Direct Message)를 이용하여 사이트를 전파하는 사례를 포스팅 한 적이 있습니다. 최근 유명 소셜 네트워크서비스(SNS)인 페이스북(Facebook)의 어플리케이션 기능을 통해 플래시게임 페이지로 유도하는 스팸성 글이 발견되었습니다. 트위터와 달리 페이스북은 사용자의 담벼락에 글을 남기는 것을 통해 플래시게임 페이지로 유도하고 있습니다. 이전사례와 마찬가지로 URL을 통한 악성코드 유포와 같은 방법으로 악용될 가능성이 있기 때문에 사용자의 주의가 요구됩니다. 2. 사이트 유도 방법 및 사례 1) 사이트 유도 자신의 담벼락 페이지에 아래와 같은 글이 남겨지게 됩니다. [사례 1] 담벼락에 작성된 글 [사례 2] 담벼락에 작성된 글 해당 글을 클릭하게 되면 아래와 같이 어플리케이션을 허가할 것인지에 대한 페이지가 나타납니다. [허가하기]를 누르게 되면 아래와 사례 1, 2 그림과 같이 특정 페이지가 나타납니다. [사례 1] 사용자 클릭 유도 페이지 [사례 2] 사용자…
게임어플리케이션 으로 위장하여 사용자정보를 가로채는 악성 안드로이드앱 주의! Posted By ASEC , 2010년 12월 31일 1. 서론 중국에서 정상 App 으로 위장한 안드로이드 악성코드가 발견되어 관련내용을 공유합니다. [그림1] 악성코드가 포함된, 변조 상태의 'monkey jump' 2. 악성코드 유포 방법 및 영향 1) 악성코드 유포방법 중국의 써드파티 안드로이드 마켓에서 최초로 발견되었으며, 이 악성 app 은 'monkey jump' 등 원본 게임의 소스에 악성코드를 추가하여 수정한 후, 다시 패키징하여 마켓에 배포하는 방식을 사용합니다. 이와 같이 변조된 app 은 아래 그림과 같이 app 을 다운받아설치시 요구되는 권한갯수가 매우 증가하나, 사용자들이 눈치채지 못하고 설치할 확률이 높습니다. – 원본 app 의 요구 권한 android.permission.INTERNET android.permission.ACCESS_COARSE_LOCATION android.permission.READ_PHONE_STATE android.permission.VIBRATE – 변조된 app 의 요구 권한 android.permission.INTERNET android.permission.ACCESS_COARSE_LOCATION android.permission.READ_PHONE_STATE android.permission.VIBRATE com.android.launcher.permission.INSTALL_SHORTCUT android.permission.ACCESS_FINE_LOCATION android.permission.CALL_PHONE android.permission.MOUNT_UNMOUNT_FILESYSTEMS android.permission.READ_CONTACTS android.permission.READ_SMS android.permission.SEND_SMS android.permission.SET_WALLPAPER android.permission.WRITE_CONTACTS android.permission.WRITE_EXTERNAL_STORAGE com.android.browser.permission.READ_HISTORY_BOOKMARKS com.android.browser.permission.WRITE_HISTORY_BOOKMARKS android.permission.ACCESS_GPS android.permission.ACCESS_LOCATION android.permission.RESTART_PACKAGES android.permission.RECEIVE_SMS android.permission.WRITE_SMS [그림 2] 변조된 app 의 요구 권한 2)…
잡지회사 기사로 위장한 악성코드 유포 Posted By ASEC , 2010년 12월 23일 1. 서론 탈취당한 메신저 계정을 통해 자극적인 메시지 및 URL을 유포, 특정 잡지회사의 기사로 위장한 페이지로 유도하는 형태의 사회 공학(Social Engineering) 기법을 이용한 악성코드 유포 사례가 발견되어 사용자들의 주의가 요구됩니다. 2. 악성코드 유포 방법 및 증상 1) 악성코드 유포방법 최초 메신저를 통해 자극적인 메시지와 함께 특정 URL(http://www.po*****ok.com:98/)이 전달되며, URL을 클릭시 아래 그림과 같이 특정 잡지회사의 기사로 위장한 페이지로 이동합니다. [그림 1] 잡지회사 기사로 위장한 페이지 해당 기사의 하단 부분의 “다운로드 더보기… “를 클릭할 경우, 악성코드가 압축된 rar 파일을 다운로드하게 되며 압축 해제 후 파일을 실행하게 되면 악성코드에 감염됩니다. [그림 2] 잡지회사 기사로 위장한 페이지 하단의 링크 [그림 3] 링크 클릭시 파일 다운로드 2) 악성코드 증상 압축 해제 후 생성된 파일이 실행되면 원본과 동일한 파일을 생성합니다. C:WINDOWSsystem32[랜덤파일명].exe 아래와 같이 레지스트리값을 등록하며, 시스템 시작시…
위키리크스 (WikiLeaks) 관련 악성코드 !! Posted By ASEC , 2010년 12월 8일 1. 서론 최근 폭로 전문 웹사이트로 알려진 위키리크스(WikiLeaks)의 사회적 이슈사항을 이용한 악성코드가 유포되고 있어 사용자들의 주의가 요구됩니다. ※ 위키리크스(WikiLeaks) : 각국 정부와, 단체의 비밀 문서들을 누설하는 웹사이트 2. 악성코드 유포 방법 및 증상 1) E-mail 에 첨부파일을 이용한 악성코드 유포 최근 WikiLeaks 와 관련된 사회적 이슈를 이용하여, 첨부된 pdf 파일의 열람을 유도하고 있습니다. [그림1] 수신된 e-mail 내용 [그림2] WikiLeaks.pdf 파일 정보 WikiLeaks.pdf 파일이 실행되면, 아래의 경로에 추가로 악성코드가 생성됩니다. – C:Documents and Settings[사용자계정]Local Settingstempspoolsv.exe [그림3] spoolsv.exe 파일 정보 2) 링크를 통한 악성코드 유포 접근을 유도하고 있는 URL 로 접근시 JAR 파일을 실행하여 악성코드를 다운로드 받게 됩니다. [그림 4] 악성코드를 유포하는 허위 위키리크스 사이트 [그림 5] 위 사이트 접근 시 JAR 파일이 실행되며 나타나는 경고창 [그림 6] JAR 파일 내부에…
