백도어

신천지 비상연락처 위장한 Bisonal 악성코드 유포 중 (2020.03.05)

ASEC분석팀은 현재 우리나라에서 이슈가 되고있는 신천지 관련 악성코드가 유포된 것을 확인하였다. 유포 파일명은 xlsx 엑셀 또는 ppt 파워포인트 문서 파일로 보이지만, 유니코드 RLO(Right to Left Override) 방식을 이용하여 파일 확장자를 다른 형태로 보이도록 하였다. 실제 악성 파일은 *.scr 파일이다. RLO 변조 된 파일 유니코드 RLO 변조 유포 악성 파일 신천지예수교회비상연락처(1).Rcs.xlsx 신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직RCS.ppt – 신천지예수교회비상연락처(1).xlsx  엑셀 문서 내용 – 신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직.ppt 파워포인트 내용 – 1 파워포인트 내용 – 2 분석 내용은…

취약점을 악용하지 않는 한글 파일 악성코드

ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 워드프로세스에 존재하는 알려진 코드 실행 취약점을 악용하는 취약한 한글 파일들이 유포된 사례들 다수를 공개하였다. 유포되었던 취약한 한글 파일들 대부분은 아래 3가지 형태의 취약점을 가장 많이 악용하여 백도어 형태의 악성코드 감염을 시도하였다. 1. HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow)로 인한 임의의 코드 실행 취약점 2. HncApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플로우로 인한 임의의 코드 실행 취약점 3. EtcDocGroup.DFT에 존재하는 버퍼 오버플로우로 인한 임의의 코드 실행 취약점 그러나 9월 10일과 11일 이틀 동안 그 동안 알려진 한글 워드프로세스에 존재하는 취약점을 악용하지 않는 다른 형태의 한글 파일들 다수가 발견되었다. 이 번에 발견된 한글 파일들은 총 4개로 안전여부.hwp (47,616 바이트), 운영체제 레포트 제목.hwp (31,744 바이트), 120604 전북도당 통합진보당 규약(6월 2주차).hwp (63,488 바이트)와 민주통합전라남도당 입당,정책 입당원서(제1호).hwp (102,912 바이트)이다. 해당 한글 파일들…

다시 발견된 한글 취약점을 악용한 취약한 한글 파일

ASEC에서는 그 동안 지속적으로 발견되고 있는 한글 소프트웨어에 존재하는 취약점을 악용한 악성코드 감염 사례들 다수를 언급하였다.  6월 15일 – 한글 제로데이 취약점을 악용한 악성코드 유포 6월 26일 – 알려진 한글 취약점을 악용한 악성코드 유포 7월 5일 – 지속적으로 발견되는 취약한 한글 파일 유포 7월 25 – 한글 취약점을 악용한 취약한 한글 파일 추가 발견 2012년 8월 13일, 어제 다시 기존에 알려진 한글 취약점을 악용하는 취약한 한글 파일이 발견되었으며, 해당 취약한 한글 파일을 열게 되면 다음과 같은 내용이 나타나게 된다. 해당 취약한 한글 파일은 아래 이미지와 동일한 구조를 가지고 있으며 새로운 제로 데이(Zero Day, 0-Day) 취약점이 아니다. 해당 취약점은 HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow) 취약점이며, 해당 취약점은 2010년부터 지속적으로 악용되어 왔던 한글 소프트웨어 취약점들 중 하나이다. 그리고…

Adobe Acrobat CVE-2011-2462 제로 데이 취약점을 악용한 타겟 공격

한국 시각으로 2011년 12월 7일 새벽 Adobe에서는 보안 권고문 “APSA11-04 Security Advisory for Adobe Reader and Acrobat“을 공개하며 Adobe Acrobat에서 알려지지 않은 제로 데이(Zero-Day) 취약점인 CVE-2011-2462가 발견되었음을 알렸다. Adobe에서는  이번에 발견된 제로 데이 취약점에 영향을 받는  Adobe Acrobat 버전들은 다음과 같다고 밝히고 있다. Adobe Reader X (10.1.1) and earlier 10.x versions for Windows and Macintosh Adobe Reader 9.4.6 and earlier 9.x versions for Windows, Macintosh and UNIX Adobe Acrobat X (10.1.1) and earlier 10.x versions for Windows and Macintosh Adobe Acrobat 9.4.6 and earlier 9.x versions for Windows and Macintosh 그리고 보안 권고문을 통해 해당 제로 데이 취약점을 악용한 타겟 공격(Targeted Attack)이 발생하였으며, 해당 취약점을 보고 한 업체로는 미국 군수 방위 업체인 록히드 마틴(Lockheed Martin)으로 밝히고 있다. 이 번 타겟 공격과 관련하여 시만텍(Symantec)에서는…

악성코드를 위한 안티 바이러스 체크 웹 사이트

최근에 발생하는 APT(Advanced Persistent Threat)와 같은 보안 사고들에서는 기업 내부 네트워크로 메일이나 메신저(Messenger), SNS(Social Network Service) 등을 이용해 백도어(Backdoor) 기능을 수행하는 악성코드를 전달하여 감염을 시도한다.   이렇게 전달 되는 악성코드들 대부분은 공격자에 의해 사전에 안티 바이러스(Anti-Virus) 소프트웨어에 의해 진단이 되는지 테스트 과정을 거쳐 공격 성공율을 높이고 있다. 이러한 테스트의 과정은 최근 러시아에서 발견된 아래와 같은 프라이빗 AV 체커(Private AV Checker) 웹 사이트를 통해 진행되며 모두 금전적인 댓가를 지불하게 된다. 이 번에 발견된 해당 웹 사이트에서 35개의 안티 바이러스 제품들의 검사가 가능하며 1회 검사에 1 센트이며 20 달러(한화 약 22,000원)를 지불할 경우에는 500회까지 검사가 가능하다고 광고 중 이다.     해당 웹 사이트를 조사하는 과정에서 해당 웹 사이트는 다시 아래 러시아 웹 사이트에서 제공하는 API(Application Program Interface)를 이용하여 제작하는 것으로 확인 되었다….