Google’s Shorten URL Service 서비스를 이용한 악성코드 유포사례 Posted By ASEC , 2011년 8월 1일 단축 URL 서비스(Shorten URL Service)란? 단축 URL 서비스(Shorten URL Service)는 Twitter, FaceBook같은 SNS(Social Network Service)에서 활발히 사용되고 있으며 포스팅할 수 있는 글자 수의 제한을 보완하기 위해서 원본 URL을 짧게 변환하는 것이다. [그림 1] Google's Shorten URL Service [그림 1]의 예처럼 원본 URL을 Google's Shorten URL Service를 이용하여 단축 URL로 변환하면 원본 URL의 길이보다 짧아 지므로 그 만큼의 포스팅할 수 있는 글자 수를 확보할 수 있는 장점이 있다. 하지만 이를 악용한 사례(악성코드 유포, 광고 등)가 자주 발견되고 있어 주의가 필요하다. 단축 URL 서비스의 가장 큰 위험성은 바로 “단축 URL을 신뢰할 수 있는가?”란 문제인데 사용자…
Drive by Download 기법의 안드로이드 악성앱 Ggtrack Posted By ASEC , 2011년 7월 25일 1. Android-Trojan/Ggtrack 알아보자! 기존의 안드로이드 악성코드는, 알려진 바와 같이 Google Android Market 에 공개되어 있는 정상 앱을 위장하여, 악의적인 코드를 삽입하거나, 추가적인 악성앱이 설치되도록 리패키징하여, 다시 Google Android Market 이나 3RD Party Market 에 업로드한 형태를 다수 보여왔다. 이번 포스팅에서 다루는 악성앱은, Drive by Download 기법의 윈도우 pc에 감염되는 악성코드와 같은 방식으로 감염을 시도하는 안드로이드 악성코드에 대해 알아 보자. [그림] 악성코드 관계도 [그림] 악성앱 관련 트래픽 조회 화면(알렉사 조회화면) 2. Ggtrack 악성앱 Battery Saver 정보! * 아래 그림(표)에서 알 수 있듯이 앱 목적에 맞지 않게 과도한 권한을 필요로 하고 있다. [그림] Battery Saver 권한 정보 [그림] Battery Saver 설치/실행 정보 * 서버와 통신하는 일부 코드 * SMS를 모니터링 하여, 아래와 같은 번호가 일치할 경우 사용자에게 메시지를 숨김으로써, 사용자 모르게 악의적…
노출형 배너 광고를 이용한 악성코드 유포사례 Posted By ASEC , 2011년 7월 25일 해킹된 사이트를 통한 악성코드 유포는 평일이면 잠잠하다가 주말이 시작되는 금요일 저녁부터 발생하여 토, 일요일에 집중된다. 이번 주는 일부 블로그에서 악성코드가유포되는 것이 탐지되었다. 해당 블로그들의 공통점을 조사해 본 결과 특정 업체에서 제공하는 배너광고 스크립트를 사용하고 있었다. 검색 사이트를 이용해서 해당 배너광고 스크립트를 사용하는 블로그, 사이트의 현황을 검색해 본 결과 아래그림처럼 상당수의 블로그나 사이트에서 해당 배너광고 스크립트를 사용하고 있음을 확인 할 수 있었다. [그림 1] 검색 사이트 검색결과 결론은 특정 배너광고 업체가 해킹되었고 해당 업체에서 제공한 배너광고 스크립트를 사용하는 모든 블로그나 사이트는 악성코드 유포 사이트로 이용될 수 있는 위험에 놓여 있다. 이번 사례와 관련해서 안철수연구소에서는 이미 “배너광고 사이트를 통한 악성코드 유포사례“에 대해서 아래 주소에서 언급한 바 있다. * 관련 정보: 여러분의 배너광고는 안전한가요?: http://core.ahnlab.com/257 악성코드는 온라인 게임 사이트를 타고,,,: http://core.ahnlab.com/256 배너…
소셜기능을 통해 확산되고 SMS 과금시키는 Android 악성앱 주의 Posted By ASEC , 2011년 7월 19일 1. 개 요 안드로이드 온라인 동영상 스트리밍 플레이어로 위장하여 사용자 모르게 SMS 발송으로 과금을 일으키고, 친구 추천 기능을 통해 주변에 악성앱을 확산 시키는 안드로이드 악성코드가 새롭게 발견되어 관련 내용을 공유한다. [fig] fake online video streaming player 2. 분 석 A. SMS 과금 및 휴대폰 정보 탈취 악성 앱이 설치되면 온라인상의 동영상들을 볼 수 있는 뷰어가 나오면서, 동시에 하드코딩된 중국의 premium number (106***82) 로 SMS 을 전송하여 별도의 과금을 시킨다. [fig] sendsms to premium number 만일 중국의 해당 premium number 로 문자가 정상적으로 송신되었을 시, 서비스제공자로 부터 서비스등록에 관련된 안내메시지를 문자로 회신(feedback)받게 되어 있어 서비스 사용여부를 알 수 있다. 이 악성앱은 영리하게도 회신되는 문자를 사용자가 볼 수 없게끔 필터링을 하여 실제 과금된 사실을을 전혀 알 수 없게 만든다. 이 악성앱은 “10” 으로 시작되는 번호들로 전송되는 SMS에…
시스템 파일 교체 악성코드는 계속 변화 중… Posted By ASEC , 2011년 7월 18일 지난주말에도 어김없이 국내 일부 사이트들이 해킹되어 윈도우 정상 시스템 파일을 교체하는 악성코드가 유포되었다. 그리고 이번 주에 유포된 “정상 윈도우 파일인 ws2help.dll을 교체하는 악성코드에서 감염방식의 변화“가 있었다. 어떤 부분에서 변화가 있었는지 지금부터 살펴보도록 하겠다. • 원형 vs. 변형 [그림 1] 원형의 ws2help.dll 교체과정 기존의 악성코드에서 정상 윈도우 파일인 ws2help.dll을 [그림 1]의 과정대로 교체를 했다면 이번 주말에 발견된 악성코드는 아래 과정을 거친다. [그림 2] 변형의 ws2help.dll 교체과정 [그림 1]과 [그림 2]의 차이점은 [그림 1], 드롭퍼에 의해서 ws2help.dll로 생성된 악성 DLL이 악의적인 목적(특정 온라인 게임 사용자의 계정정보 탈취, 백신 무력화 등)을 수행하면서 정상 프로그램과 백업된 정상 DLL인 ws3help.dll(원본 파일명은 ws2help.dll)에 다리 역할을 했다면 [그림 2], 드롭퍼가 실행되면 sleep.dll , 패치된 ws2help.dll을 생성하고 이후 동작방식은 imm32.dll이 패치되었을 때와 동일하다. • 참고정보: http://core.ahnlab.com/267, 위 주소에서…
