미분류

2009년 6월 11일을 즈음하여 중국 웹 사이트에서 윈도우 커널 취약점이 발견되었다며 PoC로 제작된 파일이 발견되었다. 현재까지 ASEC에서 분석한 PoC로 제작된 파일은 대략적으로 다음과 같이 동작한다.   1. Csrss.exe의 메모리영역 접근을 위해 Debug 권한으로 OpenProcess를 진행한다. 2. Csrss.exe의 새로운 메모리를 영역을 이용하여 Win32k.sys에 서비스 호출을 한다. 3. 해당 서비스호출에 의해서 Win32k.sys의

1. 서론    과거 악성코드는 자신의 목적에만 충실했기에, 대체적으로 큰 어려움 없이 Anti-Virus 제품으로 쉽게 치료할 수 있었다. 안철수연구소의 DNA 진단방식 처럼 악성코드를 빠르게 탐지 할 수 있는 여러가지 기술들이 발전하면서, 사전 진단률이 높아졌다. 이에 따라 악성코드 제작자도 악성코드 제작 후 V3등의 백신으로 진단여부를 테스트 하는 등의 일련의 악성코드 Semi-QA (Test)과정을 거처 배포하며, 이를 우회하고

안철수연구소 ASEC에서 2011년 9월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2011 Vol.21을 발간하였다.   이 번에 발간된 ASEC 리포트는 2011년 9월 주요 보안 위협 이슈들과 함께 2011년 3분기에 발생한 보안 위협들을 다음과 같이 분석하고 있다. * 9월 주요 보안 위협 이슈들 온라인 게임 사이트의 사용자 계정정보를

추석 연휴가 끝나는 마지막 휴일인 9월 13일 국내 보안 제품을 무력화 시키고 감염된 시스템의 MBR(Master Boot Record)를 변조하는 Halcbot 부트킷(Bootkit)이 국내에서 발견되었다. 이 번에 발견된 Halcbot 부트킷은 9월 13일 새벽 0시 50분 경에 취약한 웹 사이트를 통해 최초 유포 되었던 것으로 추정하고 있으며, 드라이버(*.SYS) 파일을 이용하여 악성코드 자신을 보호하는 기능도

스마트폰에 대한 사용이 급증함에 따라 기존의 Barcode 기술의 Data 저장용량의 한계로 인해 새롭게 각광받는 것이 QR 코드라는 기술이다. QR 코드는 스마트폰의 카메라(스캔) 기능을 활용하여 그림과 같은 물리적 자료에서 디지털정보, 즉 인터넷 주소 등을 변환해 주는 역할을 함으로서 특히 이벤트나 광고에서 많이 사용되었다. [ 그림. 광고에 사용되는 QR 코드 ] 위키피디아

Bootkit이란? Bootkit은 감염된 PC의 MBR(Master Boot Record, PC가 부팅하는데 필요한 정보들이 저장된 물리적인 하드 디스크 영역, 512 바이트)을 조작하여 감염된 PC가 부팅 시 다른 악성코드를 생성하도록 해둔 악성코드를 의미한다. Bootkit 분석정보 이번에 국내 침해 사이트를 통해서 유포되었던 Bootkit의 구조는 아래와 같다. [그림 1] Bootkit 악성코드 구조  Bootkit은 감염된 PC의 MBR영역을 조작하여

1. 站点之家 정보 수집 및 즐겨찾기를 변경하는 안드로이드 악성 어플리케이션이 중국에서 발견 되었다. 2. Android-Trojan/ROMZhanDian 알아보기 – 앱 아이콘 / 필요 권한 정보 [그림] 패키지명 / 권한 정보 – 설치 후 변경 사항 [그림] 설치시 생성된 아이콘 / 바로가기 [그림] 앱 실행 화면 / 추가된 즐겨찾기 – 앱 설치시 필요한 권한

1. 서론 최근 국내에서 퍼지는 온라인 게임핵 악성코드 중 폴더명에 '.' 을 넣어 AV 진단을 우회하는 형태가 확인되어 해당 글을 작성합니다. 2. 악성코드 동작 방법 악성코드에 감염이 되게 되면 아래와 같은 Batch 파일을 생성 및 실행하여 '.' 이 들어간 폴더를 생성 후 실행하게 됩니다. [그림 1] '.' 폴더를 생성하기 위한 Batch 스크립트