소셜커머스(Social Commerce) 사이트를 통한 악성코드 유포사례(2)

소셜커머스(Social Commerce) 사이트를 통한 악성코드 유포사례(1) 소셜커머스(Social Commerce) 사이트를 통한 악성코드 유포사례(2) main.html의 Flash Player 버전체크 루틴은 아래와 같다. switch (VSwf) {    case “WIN 10,3,181,23”:      document.writeln(““);      break    case “WIN 10,3,181,22”:      document.writeln(““);      break    case “WIN 10,3,181,14”:      document.writeln(““);      break    default:      document.writeln(““); } Flash Player버전이 10,3,181,23 / 10,3,181,22 / 10,3,181,14일 경우 fnew.html을 다운로드, 그외 버전은 fold.html을 다운로드 하도록 되어 있다. main.html – fnew.html & head.swf 분석 fnew.html의 내용을 살펴보면 아래처럼 head.swf 파일에 info=라는 인자를 사용하여 특정 데이터를 다운로드하는 것으로 보인다.                                                      [그림 1]fnew.html & head.swf의 동작구조 head.swf의 내부를 살펴보면 Flash Player의 버전을 체크하여 취약점 및 Shellcode가 동작하는데 필요한 주소를 설정하는 것으로 보인다. 참고로 head.swf는 CVE-2011-2110취약점을 사용하여 악성코드를 실행한다.  //—- Flash Player의 버전체크 —-//…

소셜커머스(Social Commerce) 사이트를 통한 악성코드 유포사례(1)

주말만 되면 국내 사이트들은 해킹되어 최신 취약점들과 함께 악성코드 유포와 사용자들의 PC는 악성코드 감염으로 몸살을 알고 있다. 소셜커머스 사이트에서 악성코드 유포 사례가 발생했었는데 이에 대해서 정리했다. 소셜커머스(Social Commerce) 사이트를 통한 악성코드 유포사례(1) 소셜커머스(Social Commerce) 사이트를 통한 악성코드 유포사례(2) * 참고: 해당 사이트 및 악성코드 유포 주소는 공개할 수 없다. 해당 사이트를 통해서 유포된 악성코드는 V3:2011.06.26.01이상의 엔진 버전에서 아래와 같이 대응하고 있다.  Win-Trojan/Agent.90588(V3) Win-Trojan/Agent.33592272(V3) Win-Trojan/Agent.33606100(V3) JS/Agent(V3) HTML/Agent(V3) SWF/Cve-2010-2884(V3) HTML/Agent(V3) 악성 스크립트가 삽입된 해당 사이트의 페이지는 아래와 같다. http://***************/common/script.php?l=b4b7caa5611fae1fb130505ccdb53a15&t=.js                                                     [그림 1] 악성 스크립트 주소가 삽입된 페이지   ee.js는 아래처럼 main.html을 다운로드 한 후 실행하는 스크립트로 아래 코드를 저장하고 있다. document.write(““); main.html은 해킹된 해당 사이트에 접속한 PC로부터 쿠키, Internet Explorer 및 Flash Player의 버전을 체크하여 악성코드를 다운로드하는 스크립트로 main.html의 구조를 요약해 보면 아래와 같다.                                                              [그림 2] main.html의…

Malicious Software, Friday Night Fever~!!

1. 서론 ⊙ 금요일 퇴근 후 또는 학업을 마치고, PC를 사용하는 인터넷 사용자를 타겟으로 하는 악성코드가 여전히 기승을 부리고 있다. 이러한 악성코드의 감염 원인과, 예방방법을 알아보자. 2. 악성코드 유포 사이트 ⊙ 국내에서 주말마다 반복되는 악성코드 유포 경유지 이번주는 어디일까? 본격적인 어둠이 오기전 먼저 유포를 시작하는 곳 중, 한두 곳만 살펴 보았다. – 악성코드 유포 경유지 : 현재는 조치되어 유포하고 있지 않다. [그림] 악성 스크립트 유포 사이트   – 해당 사이트에 접속하면, 아래와 같은 사이트로 연결되어 악의적인 스크립트가 실행된다. [그림] 악성코드를 감염시키기 위해 다운로드 되는 파일 정보  – 이중 마지막 단계인 main.swf 파일을 살펴보자. 최근, Adobe Flash Player (CVE-2011-2110) 취약점을 이용한 악성코드 감염이 일반적이다. [그림] Adobe Flash Player 취약점을 이용한 main.swf 내부 코드 – 다운로드 받는 파일을 확인해 보자. main.swf 파일에 파라미터 “info=”를 통해 URL을…

웹 공격(SQL Injection)을 통한 악성코드 유포

최근 Armorize라는 보안업체가 블로그에 공개한 내용에 따르면 다수의 사이트들을 대상으로 웹 공격이 발생하여 해킹된 후 악성코드가 유포되는 사례가 발생했다고 한다. 해당 업체의 블로그에는 이번 사례의 기술적인 내용과 해킹되어 악성코드를 유포했던 일부 사이트들이 공개되었다. • Mass Meshing Injection: sidename.js ongoing: http://blog.armorize.com/2011/06/mass-meshing-injection-sidenamejs.html 위 주소에 언급된 760개의 사이트들에 대해서 국가, 악성코드 유포, 취약점 등 여러 가지를 분석해 보았다. 참고로 위 주소에 공개된 760개의 사이트들을 참고하여 기반으로 분석 및 작성한 것이므로 실제 내용과는 차이가 있을 수 있다.• 국가별 피해 사이트 현황 [그림 1] 국가별 피해 사이트 현황 760개의 사이트들에 대해서 국가별로 분류해본 결과 [그림 1]과 같고 US(미국)에 위치한 사이트들에서 피해가 가장 많이 발생했으며 ETC에 포함된 국가들도 마찬가지로 분류해 보면 아래 [그림 2]와 같다. [그림 2] ETC에 포함된 국가별 피해 사이트 현황 [그림 2]를 보면…

“내 문서”, “바탕화면” 등에 있던 파일들이 모두 사라졌다?

1. 서론 임의의 시스템 계정을 등록 및 활성화 시켜 마치 사용자로 하여금 “내 문서”, “바탕 화면” 등에 있던 파일이 사라진 듯한  증상을 보이는 악성 배치 파일이 발견되어 정보 공유 차원에서 작성한다. 2. 감염 시 나타나는 증상 아래 [그림 1]과 같이 악성 배치 파일 (batch file) “Edugate fucker.bat” 파일과 마이크로소프트 (Microsoft)에서 배포하는 “subinacl.exe” 파일이 함께 유포되고 있다. [그림 1] 악성 배치 파일과 정상 subinacl.exe 파일 사용자가 악성 배치 파일을 Edugate fucker.bat 을 실행하게 되면 “edugatefuck” 이라는 계정이 등록되게 되며 “edugatefuck” 계정이 활성화 되게 된다.  또한 “edugatefuck” 계정은 관리자 그룹으로 등록이 된다. 그리고 마이크로소프트에서 배포하는 subinacl이라는 파일을 악용하여 시작 프로그램의 권한을 제한하여 실행되지 않도록 수정된다. 마이크로소프트 (Microsoft)에서 배포하는 subinacl이라는 유틸은 권한 및 소유권을 변경하는 기능을 가지고 있다.  이제 사용자는 아래 [그림 2]와 같이 “edugatefuck” 계정으로 윈도우에 로그인하게 된다.   [그림 2]…