카카오톡 PC버전이라고? 내 정보, 돈까지 빼갈 수 있어.. Posted By ASEC , 2011년 7월 13일 스마트폰 사용자의 필수 어플이라 할 수 있는 대표 스마트폰 모바일 메신저 카카오톡의 PC용 버전으로 위장한 악성 프로그램이 사용자의 개인정보 및 돈을 빼간 사실이 발견되어 주의가 필요하다. 카카오톡 PC버전 위장 프로그램 유포는… 카카오톡 정식 홈페이지 사이트 주소인 “www.kakao.com“과 유사한 “www.kakao.ez.to“라는 주소로 웹사이트를 개설해 실제 홈페이지와 동일한 디자인을 적용 신규회원에게 문화상품권을 제공한다는 안내를 하며 사용자에게 PC버전 다운로드 및 설치를 유도한다. 현재는 해당 웹사이트가 유효하진 않지만, 아래와 같은 아이콘의 카카오톡 PC버전 위장용 파일은 블로그나 카페를 통해 유포될 가능성이 있어 주의가 필요하다. [그림1] 카카오톡 PC버전 위장파일의 아이콘 실제로 데스크탑에서 카카오톡을 사용할 수 있는 방법으로, 스마트폰 환경처럼 PC에서 가상머신 프로그램을 이용해 안드로이드 운영체제 상에서 카카오톡을 사용하는 방법이 있을 수 있다. 하지만 카카오톡 PC버전을 위장한 이 악성프로그램은 기본 Windows 상에서 실행파일 형태로 바로 실행가능하며, 실행 시…
[주의] 통화 및 SMS송수신 내역을 감시하는 안드로이드 악성코드 GoldDream 등장 Posted By ASEC , 2011년 7월 7일 1. 개 요 안드로이드 게임. “FastRacing” 으로 위장하여, 설치시 사용자폰의 SMS 발신/수신 내역, 전화통화기록 등을 사용자 모르게 감시하고, 특정 서버로 민감한 정보를 전송하는 악성코드가 발견되었다. 해당 악성코드는 “GoldDream” 이라 불리우며, '정상적인 게임'에 악의적인 코드를 추가하고 리패키징하여 중국의 써드파티마켓에서 유포된 것이 해외 유명대학의 연구팀에 의해 밝혀져 관련 소식이 전해지게 되었다. “GoldDream” 은 또한 사용자폰을 감시하는 기능 이외에 C&C서버를 통해 스마트폰에 특정 명령을 내릴 수있는 bot 기능도 포함되어 있는데, 이는 “GoldDream“에서 최초로 발견된 기능은 아니며 “DroidKungFu” 나 이전의 다른 안드로이드 악성코드에서도 보여지는 최근 악성코드의 트렌드이다. 안드로이드 악성코드도 이젠 실험적인 레벨을 넘어 점점 정립된 프로세스를 갖추며 짜임새있게 배포되고 있다는 것을 나타내고 있다. [그림] Application 정보 2. 분 석 A. SMS/통화기록/핸드폰 정보 감시 및 탈취 악성 앱을 설치하게 되면 동시에 receiver 가 등록되며, 등록 이후에 발생되는 system event 들을 가로챈다….
정상 윈도우 시스템 파일 교체 악성코드, MS11-050 취약점을 사용하다. Posted By ASEC , 2011년 7월 3일 악성코드 제작자들에게 악성코드를 제작하고 유포하는 것은 금전적인 이득을 취하기 위한 하나의 생계수단이 되었다. 이를 위해서 제작한 악성코드를 여러가지 경로(주로 해킹된 웹 사이트를 통해서…)로 유포시킨 후 가능하면 악성코드에 감염된 PC를 많이 양산해야 한다는 의미이고 이때 해킹된 웹 사이트에 접속한 PC에 있을지 모르는 여러가지 취약점들을 고려하여 최적화된 악성 스크립트가 사용되고 있다. 요즘 해킹된 웹 사이트를 통해서 1차적으로 삽입된 악성 스크립트를 분석해 보면 2개 이상의 취약점을 이용하는 것은 기본이다. 얼마전부터 정상 윈도우 시스템 파일을 교체하는 악성코드가 MS11-050(CVE-2011-1255)취약점을 이용한 유포사례가 발견되었다. 그리고 해당 취약점에 대한 분석정보가 ASEC블로그에 포스팅되었다. • ASEC블로그: CVE-2011-1255 취약점 악용 악성코드 유포
소셜커머스(Social Commerce) 사이트를 통한 악성코드 유포사례(2) Posted By ASEC , 2011년 6월 29일 소셜커머스(Social Commerce) 사이트를 통한 악성코드 유포사례(1) 소셜커머스(Social Commerce) 사이트를 통한 악성코드 유포사례(2) main.html의 Flash Player 버전체크 루틴은 아래와 같다. switch (VSwf) { case “WIN 10,3,181,23”: document.writeln(““); break case “WIN 10,3,181,22”: document.writeln(““); break case “WIN 10,3,181,14”: document.writeln(““); break default: document.writeln(““); } Flash Player버전이 10,3,181,23 / 10,3,181,22 / 10,3,181,14일 경우 fnew.html을 다운로드, 그외 버전은 fold.html을 다운로드 하도록 되어 있다. main.html – fnew.html & head.swf 분석 fnew.html의 내용을 살펴보면 아래처럼 head.swf 파일에 info=라는 인자를 사용하여 특정 데이터를 다운로드하는 것으로 보인다. [그림 1]fnew.html & head.swf의 동작구조 head.swf의 내부를 살펴보면 Flash Player의 버전을 체크하여 취약점 및 Shellcode가 동작하는데 필요한 주소를 설정하는 것으로 보인다. 참고로 head.swf는 CVE-2011-2110취약점을 사용하여 악성코드를 실행한다. //—- Flash Player의 버전체크 —-//…
소셜커머스(Social Commerce) 사이트를 통한 악성코드 유포사례(1) Posted By ASEC , 2011년 6월 29일 주말만 되면 국내 사이트들은 해킹되어 최신 취약점들과 함께 악성코드 유포와 사용자들의 PC는 악성코드 감염으로 몸살을 알고 있다. 소셜커머스 사이트에서 악성코드 유포 사례가 발생했었는데 이에 대해서 정리했다. 소셜커머스(Social Commerce) 사이트를 통한 악성코드 유포사례(1) 소셜커머스(Social Commerce) 사이트를 통한 악성코드 유포사례(2) * 참고: 해당 사이트 및 악성코드 유포 주소는 공개할 수 없다. 해당 사이트를 통해서 유포된 악성코드는 V3:2011.06.26.01이상의 엔진 버전에서 아래와 같이 대응하고 있다. Win-Trojan/Agent.90588(V3) Win-Trojan/Agent.33592272(V3) Win-Trojan/Agent.33606100(V3) JS/Agent(V3) HTML/Agent(V3) SWF/Cve-2010-2884(V3) HTML/Agent(V3) 악성 스크립트가 삽입된 해당 사이트의 페이지는 아래와 같다. http://***************/common/script.php?l=b4b7caa5611fae1fb130505ccdb53a15&t=.js [그림 1] 악성 스크립트 주소가 삽입된 페이지 ee.js는 아래처럼 main.html을 다운로드 한 후 실행하는 스크립트로 아래 코드를 저장하고 있다. document.write(““); main.html은 해킹된 해당 사이트에 접속한 PC로부터 쿠키, Internet Explorer 및 Flash Player의 버전을 체크하여 악성코드를 다운로드하는 스크립트로 main.html의 구조를 요약해 보면 아래와 같다. [그림 2] main.html의…