악성 URL의 숨바꼭질

최근에 국내 일부 해킹된 사이트에서 사이트 관리자들에 의해서 처리가 어렵도록 삽입된 악성 URL이 조각으로 구성된 일부 케이스가 발견되었습니다. 이는 새로운 기법도 아니고 예전부터 간헐적으로 발견되어 왔죠. 1. 악성 URL이 여러 변수에 조각 형태로 저장된 경우 아래 그림은 특정 국내 사이트의 메인 페이지에 삽입된 악성 URL 부분을 캡쳐해 놓은 것으로 악성 URL이 여러 변수에 조각형태로 저장되어 있었습니다. 만약 여러분이 사이트 관리자라면 아래 악성 URL을 찾을 수 있었을까요? 물론 찾아 제거할 수 있겠지만 다소 시간이 소요됐을 것입니다. 위 그림에서 보면 조각난 악성 URL은 document.write에 의해서 하나의 조합된 URL로 재구성됩니다. document.write(selector_op0+selector_op1+selector_op2+selector_op3+selector_op4+selector_op5+selector_op6+selector_op7+ selector_op8+selector_op9+selector_op10+selector_op11+selector_op12+selector_op13) document.write에 의해서 재구성된 악성 URL은 아래와 같고 더 이상 동작하지 않으므로 악성코드를 유포하지는 않습니다. 2. CSS파일에 삽입된 악성 URL 아래 그림 역시 특정 국내 사이트의 CSS파일에 삽입된 악성 URL입니다. 위 그림에서 보여진 코드가 설마 악성 URL이라고 생각할 수 있었을까요?…

PC방을 타켓으로 전파되는 악성코드

1. 서론 최근 피시방을 대상으로 온라인 게임 계정 탈취 및 원격 제어 프로그램을 설치하는 악성코드가 확인이 되어 해당 문서를 작성 합니다. 2. 감염 경로 최초 감염 경로는 불분명 하나 감염된 후 ARP Spoofing을 이용하여 웹페이지에 아래와 같이 Iframe 태그를 삽입하여 악성코드를 전파 하는 것으로 확인되었습니다. [그림 1] ARP Spoofing을 통해 삽입된 iframe 코드 3. 악성코드 감염 시 주요 증상 해당 악성코드에 감염이 되면 같은 네트워크에 있는 다른 시스템 역시 감염을 시키기 위해 ARP ARP 패킷을 다수 발생을 시키게 됩니다.그리고 감염된 시스템은 아래 경로에 아래와 같은 파일들이 생성됩니다. C:WINDOWSsystem32wbemH1A1.exe C:WINDOWSsystem32wbemH1A1_NDA_8.exe C:WINDOWSsystem32wbemPCBangMng.exe C:WINDOWSsystem32wbemUpdateService.exe C:WINDOWSsystem32wbemtranslator.dll C:WINDOWSsystem32wbemdllhost.exe C:WINDOWSsystem32wbemH1A1-DNA.dna C:WINDOWSsystem32wbemH1A1.html C:WINDOWSsystem32wbemTIMEDNA.dna C:WINDOWSsystem32wbemsys.rna C:WINDOWSsystem32wbemmongoose.exe C:WINDOWSsystem32wbemmongoose.conf 추가로 레지스트리를 수정하여 아래와 같은 행위를 합니다. 1) 윈도우 기본 방화벽 설정 80, 139, 445 허용 아래 프로세스에 대해 C:WINDOWSsystem32wbemdllhost.exe 허용 2) 서비스 등록…

새로운 안드로이드 트로이목마, ADRD 주의

1. 서 론 해외에서 사용자 정보를 탈취하는 신종 안드로이드 악성코드가 발견되어 관련 내용을 전해드립니다. 2. 악성코드 유포 방법 및 증상 일명 ADRD 라 불리는 해당 악성코드는 “Geimini” 악성코드와 비슷하게 정상 App 에 악성코드를 심어 리패키징 되는 형태로 유포되고 있습니다. 리패키징되는 App 은 S사의 wallpaper 관련 App을 타제품에서도 쓸수 있게끔 포팅한 App으로 개인에 의해 제작된 App입니다. [그림 1. Dandelion Live Wallpaper]   [그림 2. 변조 후 요구되는 시스템 권한] 변조된 App 은 설치시 원래 App의 기능을 수행하면서, 백그라운드로 아래의 동작을 겸합니다. – 특정 URL로 접근 adrd.zt.cw.4 adrd.xiaxiab.com/pic.aspx adrd.taxuan.net/index.aspx – 사용자의 IMEI/IMSI 값 전송 – Alarm 을 이용하여 주기적으로 동작시킴 – 커맨드 서버에서 명령받아 실행될 수 있음 3. 진단현황 Ahnlab V3 mobile 제품군에서는 아래와 같은 진단명으로 진단가능합니다. [진단명] Android-Spyware/Adrd 4. 악성코드 감염 예방법 스마트폰 열풍과 함께…

중고거래 사이트를 위장하여 PC를 좀비화시키는 악성코드 주의

1. 서  론 블로그를 통해 디지털카메라, 노트북 등 고가의 물품을 판매하는 것처럼 꾸며 첨부파일 설치를 유도하는 악성코드가 발견되었습니다. 해당 PC를 감염시켜 제어권한을 획득하여 파일 및 중요정보 탈취 / 변조를 유발하기 때문에 주의를 필요로 합니다. 2. 악성코드 유포방법 및 증상 고가의 인기 물품(DLSR, 노트북, 각종 IT기기 등)들을 싸게 파는 것처럼 속여 접속을 유도하고, 제품 사진을 확인하기 위해선 첨부된 파일을 열어보도록 유도하여 악성코드를 감염시키는 방법으로 유포되고 있습니다. 첨부된 파일을 압축 해제하면 다음과 같은 파일들을 확인할 수 있습니다.  vbs, bat, exe 파일등의 악성파일이 보이지 않도록 숨김으로 설정되어 있습니다. 위의 파일들이 실행될 경우 백신 프로그램(Anti virus)의 동작을 중단시키고, 재부팅시 백신프로그램이 실행되지 않도록 레지스트리를 수정합니다. 또한 악성코드 실행 파일이 컴퓨터가 시작할 때마다 실행되도록 레지스트리에 추가합니다. 중단되는 프로그램과 수정되는 레지스트리 목록은 아래와 같습니다. 중단을 시도하는 서비스 목록 ALYac_PZSrv…

System Tool 2011 조치 안내

1. 서  론 이름을 바꿔가며 변형이 유포되며, 그리고 감염 피해가 발생되고 있는 허위 백신 프로그램이 최근에는 'System Tool 2011'이라는 이름으로 유포되고 있어 주의가 필요합니다. – 관련 포스팅 글 : http://core.ahnlab.com/52 2. 악성코드 유포 방법 및 증상 주로 SEO(Search Engine Optimazation) 기법, 또는 스팸 메일을 통해 유포되어 왔으며, System Tool, Total Security 같은 유사한 이름으로 변경되어 유포되고 있습니다. 감염 후, 아래와 같이 배경화면이 변경되어 악성코드에 감염됨을 확인할 수 있습니다. [그림 1] 감염시 변경된 배경화면 그리고 아래와 같이 허위 감염창을 띄워 사용자로 하여금 악성코드에 감염된 것 처럼 보여주게 됩니다. [그림 2] 허위 진단 창 또한, 실행 파일들에 대한 실행이 불가하게 되며, 실행시 아래 그림과 같이 파일이 감염되어 실행할 수 없다는 메시지를 띄우게 됩니다. [그림 3] 파일 실행시 허위 감염 메시지 이와 거의 동일한…