Flame 변형으로 알려진 Gauss 악성코드 발견 Posted By ASEC , 2012년 8월 10일 현지 시각으로 2012년 8월 9일 해외 보안 업체 캐스퍼스키(Kaspersky)에서 블로그 “Gauss: Nation-state cyber-surveillance meets banking Trojan“와 함께 분석 보고서인 “Gauss:Abnormal Distribution“를 공개하였다. 이 번 캐스퍼스키에서 공개한 분석 보고서에서는 Gauss로 명명된 악성코드가 발견되었으며, 해당 악성코드들이 기존에 발견되었던 Duqu와 Stuxnet 변형으로 알려진 Flame과 유사도가 높은 것으로 밝히고 있다. 해당 Gauss 악성코드의 전체적인 구조는 아래 캐스퍼스키에서 공개한 이미지와 동일한 형태로 Duqu, Stuxnet 그리고 Flame과 유사한 모듈화된 형태를 가지고 있다. 이 번에 발견된 해당 Gauss 악성코드들의 특징은 다음과 같으며, Flame에서 발견되었던 특징들이 유사하게 발견되었다. 1) 2011년 9월에서 10월사이에 제작 및 유포된 것으로 추정, 제작 이후 수 차례 모듈 업데이트 및 C&C 서버 주소가 변경됨 2) 웹 브라우저 인젝션 이후 사용자 세션을 가로채는 기법으로 사용자 암호, 브라우저 쿠키 및 히스토리 수집 3) 감염된 PC에서 네트워크 정보, 프로세스, 폴더, BIOS와 CMOS…
SMS를 유출하는 ZitMo 안드로이드 악성코드 변형 발견 Posted By ASEC , 2012년 8월 10일 금융 정보를 탈취를 목적으로하는 악성코드들은 PC와 안드로이드(Android)까지 다양한 운영체제와 디바이스들을 대상으로 그 범위를 확장해가고 있으며, 최근에는 안드로이드 모바일 운영체제를 대상으로 감염 후 개인 금융 정보 탈취를 목적으로하는 안드로이드 악성코드들이 지속적으로 발견되고 있다. ASEC에서는 6월에도 이러한 형태의 안드로이드 악성코드인 ZitMo(Zeus in the Mobile)라는 안드로이드 악성코드가 발견되었음을 공개한 바가 있다. 2012년 6월 – Zitmo 변형으로 알려진 안드로이드 악성코드 현지 시각으로 2012년 8월 7일 해외 보안 업체인 캐스퍼스키(Kaspersky)에서는 블로그 “New ZitMo for Android and Blackberry“를 통해 새로운 ZitMo 안드로이드 악성코드 변형이 발견되었음을 공개하였다. ASEC에서는 해당 새로운 ZitMo 안드로이드 악성코드 변형을 확보하여 자세한 분석을 진행하였다. 이 번에 발견된 ZitMo 안드로이드 악성코드 변형을 안드로이드 스마트폰에 설치하게 되면 아래 이미지와 같이 “SMS(Short Message Service) 송수신 권한”을 설치시 요구하게 된다. 그리고 설치가 완료되면 아래 이미지와 같이 “Zertifikat“라는 명칭을 가지는 아이콘을 안드로이드 스마트폰에 생성하게…
페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷 Posted By ASEC , 2012년 8월 7일 최근 들어 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 일종인 블랙홀(Blackhole) 웹 익스플로잇 툴킷이 스팸 메일(Spam Mail)과 결합되어 유포되는 현상들이 자주 발견되고 있다. 최근 발견된 블랙홀 웹 익스플로잇 툴킷과 스팸 메일이 결합되어 유포된 사례들은 다음을 들 수가 있다. 2012년 6월 – 스팸 메일과 결합된 웹 익스플로잇 툴킷 2012년 7월 – 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷 금일 블랙홀 웹 익스플로잇 툴 킷과 결합된 스팸 메일이 다시 발견되었으며, 이 번에 발견된 스팸 메일은 인터넷을 이용한 현금 결제 서비스인 페이팔(PayPal)의 결제 결과 안내 메일로 위장하여 유포되었다. 이 번에 발견된 페이팔 스팸 메일과 결합된 형태로 유포된 블랙홀 웹 익스플로잇 툴킷은 아래 이미지와 같이 다양한 취약점들을 악용하고 있으며 최종적으로 감염된 PC에서 사용자 정보들을 탈취하기 위한 악성코드 감염을 목적으로 하고 있다. 페이팔 결제 안내 메일로 위장해 유포된 스팸 메일은…
ASEC 보안 위협 동향 리포트 2012 Vol.30 발간 Posted By ASEC , 2012년 8월 6일 안랩 ASEC에서 2012년 6월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.30을 발간하였다. 이 번에 발간된 ASEC 리포트는 2012년 6월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈 악성코드, 당신의 계좌를 노린다 이메일로 시도되는 APT 공격 주의 문서 파일을 이용한 끊임없는 악성코드 유포 아래아한글 제로데이 취약점을 악용한 악성코드 – 1 아래아한글 제로데이 취약점을 악용한 악성코드 – 2 알려진 한글 취약점을 악용한 악성코드 유포 안랩 사칭한 광고 스팸 메일 주의 정부 기관에서 발송된 메일로 위장한 스팸 메일 FedEx Post Office 메일로 위장한 악성 스팸 메일 변형된 형태의 XML 코어 서비스 취약점 (CVE-2012-1889) 악용 2) 모바일 악성코드 이슈 zsone 안드로이드 악성코드 변종 발견 스마트폰 사진을 변조하는 악성코드 스마트폰 앱 이용할 땐 항상 주의하세요 3) 보안 이슈…
APT 공격과 관련된 안드로이드 악성코드 발견 Posted By ASEC , 2012년 8월 2일 해외 보안 업체인 트렌드 마이크로(Trend Micro)에서는 7월 27일 “Adding Android and Mac OS X Malware to the APT Toolbox” 제목의 문서를 공개하였다. 해당 문서는 2012년 3월 해당 업체에서 공개한 “Luckycat Redux: Inside an APT Campaign” 럭키캣(Luckycat)이라고 명명된 APT 공격 형태를 조사하는 과정에서 발견된 안드로이드(Android) 악성코드에 대해 다루고 있다. 해당 업체에서는 럭키캣 APT 공격과 관련된 특정 C&C 서버를 조사하는 과정에서 해당 C&C 서버에서 AQS.apk (15,675 바이트)와 testService.apk (17,810 바이트) 2개의 안드로이드 스마트폰에 설치 가능한 APK 파일 2개를 발견하게 되었다고 한다. ASEC에서는 해당 2개의 AQS.apk (15,675 바이트)와 testService.apk (17,810 바이트) 파일들을 확보하여 자세한 분석을 진행하였다. 2개의 APK 파일들은 모두 동일한 기능을 하도록 제작되었으며, 그 중 testService.apk (17,810 바이트)을 안드로이드 스마트폰에 설치하게 되면 아래 이미지와 동일한 아이콘을 생성하게 된다. 그리고 해당 앱을 사용자가 직접 실행시키거나 스마트폰이 사용자에 의해 부팅하게 될…
