메신저를 통해 새로운 방식으로 전파되는 악성코드 Posted By ASEC , 2011년 4월 14일 최근 특정 메신저를 통해 전파되는 악성코드의 유포방식이 변경되었습니다. 기존에는 아래와 같이 대화창 혹은 쪽지를 이용해 URL을 클릭하도록 유도하여 클릭하게 되면 아래와 같은 특정 파일을 다운로드 하게 됩니다. [그림 1] 기존 전파 방법 다운로드 된 파일은 아래와 같이 생겼으며 폴더 혹은 사진 파일로 착각하여 클릭을 유도하도록 하여 악성코드에 감염되는 형태였습니다. [그림 2] 기존에 전파된 폴더 혹은 다른 아이콘으로 위장한 악성코드 형태 이러한 방식에 대해 많이 전파하고 알려 이제는 사용자들이 악성코드 임을 인지하여 실행을 하지 않아 악성코드로 부터 감염을 예방할 수 있었습니다. 하지만 이를 인지한 악성코드 제작자는 새로운 방식을 이용하여 악성코드를 유포하고 있습니다.변경된 방법은 의심스러운 쪽지나 대화창을 통해 URL을 전파하는 방법은 동일하나 URL을 클릭하게 되면 파일이 다운로드 되는것이 아니라 취약점을 통해 악성코드가 자동으로 다운로드 및 실행이 되어 감염이 되게 됩니다. [그림 3]…
스타맵핵, 정말 맵핵기능만 있을까요? 아닐걸요?! Posted By ASEC , 2011년 4월 14일 프롤로그 누구나 상대방과의 경쟁에서 이기고 싶은 마음은 가지고 있습니다. 이는 온라인 게임에서도 예외일 수는 없겠죠. 온라인 상에서는 이런 사람의 심리를 교묘하게 이용하여 악성코드를 실행하게 하는 경우가 비일비재하게 발생하고 있는데 이를 사회공학(Social Engineering)기법이라고 하죠. 오늘 스타맵핵으로 위장한 악성코드의 위험성에 대해서 여러분께 경고하고자 합니다. 스타맵핵, 정말 맵핵기능만? 본론에 들어가기에 앞서 이번 글과 관련된 파일은 V3에서 아래와 같이 진단하고 있습니다. 1. V3 엔진버전: V3:2011.04.14.00 2. V3 진단명: Win-Trojan/Pcclient.57348.D / Win-Trojan/Pcclient.491614 / Win-Trojan/PcClient6.Gen 스타 크래프트가 전 세계적으로 가장 인기 있는 게임 중에 하나라는 것은 어느 누구도 부정할 수는 없을 것입니다. 전 세계에 흩어져 있는 그리고 얼굴도 모르는 게이머와 함께 온라인으로 스타 크래프트를 즐긴다는 것은 스타 크래프트의 가장 큰 매력이죠. 온라인 상에서 상대방과 게임을 즐김에 있어서 누구나 상대방을 이기고 싶은 경쟁심리를 가지고…
국내 해킹된 사이트에서 발견된 “HTML Style tag based malicious Iframes (2)” Posted By ASEC , 2011년 4월 12일 프롤로그 이전에 “HTML Style tag based malicious Iframes”에 대해서 간단하게 언급했었는데 오늘 그 두번째 시간으로 악성코드를 유포할 때 다운로드 되는 악성 PDF에 관한 내용입니다. * “HTML Style tag based malicious Iframes”: http://core.ahnlab.com/275 PDF 분석 V3에서 PDF/Pdfka로 진단되는 해당 PDF를 살펴보면 아래처럼 /XFA로 묶여진 여러 개의 Object ID들이 존재하며, /XFA [8 0 R 9 0 R 10 0 R 11 0 R 12 0 R 13 0 R 14 0 R 15 0 R 16 0 R 17 0 R] 실제 PDF의 취약점을 통해서 악성코드를 다운로드 하도록 악성 JS파일을 담고 있는 Object ID는 8 0, 9 0, 10 0, 11 0, 12 0이며 아래 그림으로 표현할 수가 있습니다. 악성 JS의 메인코드는 위 [그림 2]에서 본 것처럼 Object ID 11…
국내 해킹된 사이트에서 발견된 “HTML Style tag based malicious Iframes” Posted By ASEC , 2011년 4월 8일 외국 보안 블로그에 “In depth analysis – decoding HTML Style tag based malicious Iframes”란 제목으로 Style태그를 사용한 악성 iframe에 대한 분석정보가 포스팅되었습니다. ☞ In depth analysis – decoding HTML Style tag based malicious Iframes: http://research.zscaler.com/2011/02/in-depth-analysis-decoding-html-style.html 위 URL에 기술된 분석정보를 읽어 보면 해당 악성 Style 태그는 다른 악성 링크들과 마찬가지로 최종 목적은 취약점이 존재하는 PC를 악성코드 감염시키는 것입니다. 그리고 해당 형식이 새로운 것은 아니지만 해킹된 웹 사이트에 삽입되었던 기존의 악성 URL 형식과는 달라 관심을 끌기엔 충분했고 국내 해킹된 일부 웹 사이트들에서도 동일한 형식을 사용한 악성코드 유포 사례가 있었습니다. Case 1: [그림 1] Style태그를 사용한 악성 iframe [그림 1]에 나타난 스크립트를 난독화 해제해 보면 아래와 같이 악성 iframe이 존재한다는 것을 알 수 있습니다.
Android-Spyware/Licheck Posted By ASEC , 2011년 4월 4일 개요 어플리케이션 설치시 안드로이드폰의 사용자 정보를 특정 서버로 유출 시키는 목적을 가진 악성앱이 추가로 발견되어 관련내용 공유드립니다. 앱 정보 [그림1] 앱 아이콘 [그림2] 앱 실행 화면 특징 [그림3] 앱 설치 정보 / 권한 정보 상세 정보 – 폰의 주소록에 저장된 번호로 SMS 를 전송한다. – 특정 서버로 아래와 같은 사용자의 정보 유출을 시도한다. Phone numbers IMEI number Name [그림4] Manifest 정보 [그림5] classes.dex 의 SMS 전송 코드의 일부 [그림6] 특정 서버로 전송되는 정보의 일부 코드 [그림7] 악성 앱 관계도 진단 정보 [그림8] V3 진단화면 더보기 접기 Android-Spyware/Licheck | 2011.04.01.00 접기 1) 스마트폰 전용 모바일 백신을 설치 및 최신 엔진버전으로 유지한다 2) 출처가 명확하지 않은(블랙마켓 등을 통한) 어플리케이션은 다운로드 및 설치를 자제한다 3) 스마트폰도 PC와 마찬가지로…
