악성코드 정보

여러분의 웹하드 사이트는 안전한가요?

2011.3.4 DDoS는 일부 웹하드 사이트들에서 배포하는 정상 프로그램이 외부의 공격으로 인해서 악성코드로 교체되어 해당 웹하드를 이용하는 사용자에게 배포되면서 발생한 것이다. 이는 2년전 2009.7.7 DDoS와 비교해 보면 거의 유사하다. 악성코드에 의해서 발생한 두 DDoS의 공통점은 예고되었고 인재(관리소홀)가 아니었을까?란 생각을 해 본다. 그 이유는 주말이면 기대를 저버리지 않고 일부 웹하드 사이트들에서 개인정보 유출형 악성코드를 유포하고 있는 것으로 확인되었기 때문이다. 2011.02 ~ 2011.03.07기간동안 일부 웹하드 사이트들에서 악성코드 유포 목적으로 발생한 침해사고 건수를 산출내 보았다.  법적으로 문제가 발생할 수 있기 때문에 정확한 업체명은 밝히지 않으며 알파벳 순으로 표기하였다. [그림 1] 웹하드 사이트의 침해건수 악성코드, 어떻게 유포될까? 악성코드가 유포되는 과정은 말로 설명하는 것보다는 아래 그림으로 요약해 볼 수 있겠다. [그림 2] 악성코드 유포과정 일부 웹하드 사이트에 삽입되었던 페이지를 살펴보면 아래와 같다. [그림 3] 웹하드 사이트에 삽입된 악성 URL 악성코드, 어떻게…

안드로이드마켓에서 유포된, 사용자폰을 강제루팅시키는 악성 어플리케이션 주의

1. 서 론 금일 안드로이드폰을 강제로 rooting(기기의 루트권한을 획득하여, 기본적으로 접근불가한 부분을 수정가능하게 함) 하며 추가로 사용자정보를 가로채는 악성 어플리케이션 4종이 발견되어 관련 내용 공유드립니다. 2. 악성코드 분석 정보 – 악성코드 유포지  이번에 발견된 악성 어플리케이션은 종전의 다른 악성앱들이 블랙마켓과 같은 “Third-party market” 에서 발견된 것과는 다르게 구글에서 제공하는 안드로이드 공식 마켓을 통해 유포된 것으로 전해지고 있습니다. 관련 내용은 아래 링크를 통해 확인가능합니다. http://www.androidpolice.com/2011/03/01/the-mother-of-all-android-malware-has-arrived-stolen-apps-released-to-the-market-that-root-your-phone-steal-your-data-and-open-backdoor/ 해당 악성앱들은 현재는 안드로이드마켓에서 삭제되어서 더이상 다운받을 수 없는 상태입니다. – 악성코드 정보 악성앱은 설치시 아래와 같이 권한이 추가되지만 기존 Geinimi 나 ADRD 악성앱과는 달리 많지않은 권한이 추가되므로 권한만을 바탕으로는 사용자가 악성앱인 점을 눈치채지 못할 가능성이 높습니다. 단, 특이한 점은 root 권한 획득을 위해 사용되는 exploit 코드가 wifi 를 이용하므로 아래와 같이 wifi 상태제어에 관련된 권한이 추가되어 있는 것을 확인하실 수 있습니다….

음성통화내용도 유출가능한 안드로이드 악성코드 변종 발견

1. 서 론 정상 어플리케이션인 “Steamy Windows” 에 악성코드를 삽입하여 중국어버젼으로 리패키징한 악성 안드로이드 애플리케이션 변종이 금일 발견되었습니다. 2. 악성코드 분석 정보 위와 같은 악성어플리케이션은 구글에서 공식적으로 운영하는 마켓이 아닌, “Third-party market” (제 3자에 의해 제공되는 안드로이드마켓) 에서 발견되었습니다. 구글에서 제공하는 어플리케이션 Market 의 경우는 자체 검수시스템에 의해 업로드되는 앱들에 대해 검증하는 절차가 있지만, “Third-pary market” 은 대부분 위와 같은 검수시스템이 아예 없거나, 불법앱을 업로드하는 사람에 대해 인증할 수 있는 부분이 없기 때문에 악성어플리케이션이 존재할 가능성이 매우 높으므로,  앱을 다운받을때는 가급적 공식마켓을 이용하는 습관이 필요합니다. 정상 애플리케이션에 특정 코드가 삽입되어 리패키징된 경우에는, 사용자들이 정상앱과 차이점을 구별하기 쉽지 않으나, 추가된 코드에 의해 아래 화면과 같이 앱 설치시 요구되는 권한이 매우 증가되는 점으로 파악가능합니다. [변경된 요구 권한] 또한 정상 애플리케이션에는 존재하지 않는 service 코드들이 아래와…

여러분의 배너광고는 안전한가요?

1. 서론 최근 개인 블로그로 추정되는 블로그에 링크된 배너광고에 악성 URL이 삽입되어 악성코드가 유포되는 사례가 발견되어 이에 대한 분석정보를 공유합니다.   2. 여러분의 배너광고는 안전한가요? 악성코드 유포 사이트들을 분석해 보면 해당 사이트들 자체에 취약성이 존재하여 악성 URL삽입되는 경우도 있지만 외부에서 갖다 쓴 컨텐츠(주로 배너광고)에  악성 URL이 삽입되는 경우도 상당 수 존재합니다. 배너광고는 가장 큰 목적은 수익에 있기 때문에 기업 또는 개인 구분 없이 운영하는 사이트나 블로그에 배너광고를 달고 있지만 이로 인해서 자신의 사이트 또는 블로그가 한 순간에 악성코드 유포지로 전락할 수도 있다는 것을 반드시 알아둘 필요가 있고 이와 관련하여 ASEC대응팀 블로그에서 언급한 바 있습니다.    ㆍ참고 사이트: http://core.ahnlab.com/218 최근 악성코드 유포 사이트들을 분석하던 중에 개인 블로그로 추정되는 두 곳에서 사용하는 배너광고에 악성 URL이 삽입되어 악성코드를 유포했음을 발견했고 해당 블로그들의 웹 페이지를 분석한 결과…

메신져를 통해 전파되는 악성코드 주의

1. 서론 최근 특정 메신져를 통해 악성코드가 유포되는 사례가 발견되어 해당 내용에 대해서 공유 합니다.2. 악성코드 전파 방법 해당 악성코드는 메신져를 통해 전파되며 아래와 같은 메세지를 통해 악성코드를 다운로드 하는 URL을 전송하게 됩니다. [그림 1] 메신저를 통해 전파되는 메세지 해당 URL에서 파일을 다운로드 하면 DSC002502011.JPG.scr 파일을 다운로드 하며 아래 그림처럼 사진파일로 위장하고 있어 사용자들의 실행을 유도하게 됩니다. [그림 2] JPG 파일로 위장한 악성코드 3. 악성코드 분석 정보 해당 악성코드가 실행되면 아래와 같은 증상이 발생하게 됩니다. 1) 파일 다운로드아래 URL에서 특정 파일을 다운로드 하게 됩니다. http://bis******icat.com/kbn.exe 다운로드 된 파일은 %사용자 계정&Microsoft-Driver-랜덤숫자winrsvn.exe로 저장됩니다.2) 레지스트리 등록아래와 같이 레지스트리 값을 등록하여 자동실행이 되도록 설정하게 됩니다. HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun Microsoft(R) Service Update=”%사용자 계정&Microsoft-Driver-랜덤숫자winrsvn.exe” 3) 원격 명령 수행winrsvn.exe 파일은 는 Bot기능을 가지고 있어 IRC (216.157.22.141:5500)으로 접속하여 방장(OP)로부터 명령을 받아 명령을 수행하게…