전자 문서들의 취약점을 악용하는 악성코드들 다수 발견 Posted By ASEC , 2012년 10월 9일 추석 연휴가 끝난 이후 ASEC에서는 최근 다양한 형태의 전자 문서들에 존재하는 취약점을 악용하는 악성코드들을 발견하였다. 전자 문서와 관련된 악성코드들이 발견되는 것이 이 번이 처음 발생한 사항이 아니지만, 마이크로소프트 워드(Microsoft Word), 한글 소프트웨어 그리고 어도비 리더(Adobe Reader) 파일인 PDF에 존재하는 알려진 취약점 등을 악용하는 악성코드가 동시 다발적으로 발견된 것은 특이 사항으로 볼 수 있다. 먼저 한글 소프트웨어와 관련된 악성코드는 크게 3가지 형태로 기존에 알려진 취약점을 악용하는 형태, 특이하게 내부에 악의적인 목적으로 제작된 자바 스크립트(Java Script)가 포함된 형태 그리고 한글 문서 자체가 특이한 OLE 포맷을 가지고 있는 형태가 발견되었다. 기존에 알려진 한글 취약점을 악용하는 취약한 한글 파일은 아래 이미지와 동일한 내용을 포함하고 있는 “붙임1_국방기술정보 위원명단_[2].hwp (1,061,892 바이트)”로 유포되었다. 해당 취약한 한글 파일은 HncApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플로우로 인한 임의의 코드 실행…
ASEC 보안 위협 동향 리포트 2012 Vol.32 발간 Posted By ASEC , 2012년 10월 8일 안랩 ASEC에서 2012년 8월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.32을 발간하였다. 이 번에 발간된 ASEC 리포트는 2012년 8월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈 보안 프로그램으로 위장한 악성코드 변조된 정상 프로그램을 이용한 게임핵 유포 ActiveX라는 이름의 악성코드 게임부스터 패스트핑으로 위장한 악성코드 국내 업체를 대상으로 유포된 악성 스팸 메일 이메일을 이용한 어도비 CVE-2009-0927 취약점 악성코드 유포 오라클 자바 JRE 7 제로데이 취약점을 악용한 악성코드 유포 MS12-060(CVE-2012-1856) 취약점을 악용한 타깃 공격 어도비 플래시 플레이어의 CVE-2012-1535 취약점 악용 악성코드 페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷 런던 올림픽 악성 스팸메일 Xanga 초대장을 위장한 악성 스팸메일 Flame 변형으로 알려진 Gauss 악성코드 YSZZ 스크립트 악성코드의 지속 발견 사우디아라비아 정유 업체를 공격한 Disttrack 악성코드 악성코드…
ZeroAccess로도 알려진 Smiscer 변형 Posted By ASEC , 2012년 10월 5일 제로엑세스(ZeroAccess)로도 알려진 스미서(Smiscer) 변형은 얼마 전 국내 언론의 “악성코드 ‘제로액세스’, 전 세계 900만대 감염시켜” 기사를 통해 전 세계적으로 많은 감염 피해를 유발하고 있다. ASEC에서는 9월 초에 발견된 스미서의 변형에 대해 상세한 분석을 통해 이 번에 발견된 스미서 변형이 어떠한 방식으로 동작하는지 파악하였다. 우선 스미서 변형의 감염 기법을 이해하기 위해서는 EA(Extended Attributes)에 대한 이해가 선행되어야 한다. EA(Extended Attributes)는 원래 HPFS(High Performance File System)에 있는 기능을 NTFS에서 구현 해 놓은 것을 말하며, 쉽게 설명하면 파일의 추가적인 속성을 “Name=Value” 처럼 환경 변수 형태로 파일에 붙이는 것을 이야기 한다. 윈도우 시스템에서는 ZwSetEaFile과 ZwQueryEaFile 두 개의 API로 해당 값들을 Set 혹은 Query 할 수 있게 제공하고 있으며 FILE_FULL_EA_INFORMATION이라는 구조체의 링크드 리스트(Linked List)로서 EA를 구현해 놓았다. 물론 EaValueLength가 2 Byte 변수이므로 최대 64K 바이트(Byte)까지 값을 쓸수 있다. 위 이미지와 같은…
취약점을 악용하지 않는 한글 파일 악성코드 Posted By ASEC , 2012년 9월 13일 ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 워드프로세스에 존재하는 알려진 코드 실행 취약점을 악용하는 취약한 한글 파일들이 유포된 사례들 다수를 공개하였다. 유포되었던 취약한 한글 파일들 대부분은 아래 3가지 형태의 취약점을 가장 많이 악용하여 백도어 형태의 악성코드 감염을 시도하였다. 1. HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow)로 인한 임의의 코드 실행 취약점 2. HncApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플로우로 인한 임의의 코드 실행 취약점 3. EtcDocGroup.DFT에 존재하는 버퍼 오버플로우로 인한 임의의 코드 실행 취약점 그러나 9월 10일과 11일 이틀 동안 그 동안 알려진 한글 워드프로세스에 존재하는 취약점을 악용하지 않는 다른 형태의 한글 파일들 다수가 발견되었다. 이 번에 발견된 한글 파일들은 총 4개로 안전여부.hwp (47,616 바이트), 운영체제 레포트 제목.hwp (31,744 바이트), 120604 전북도당 통합진보당 규약(6월 2주차).hwp (63,488 바이트)와 민주통합전라남도당 입당,정책 입당원서(제1호).hwp (102,912 바이트)이다. 해당 한글 파일들…
마이크로소프트 2012년 9월 보안 패치 배포 Posted By ASEC , 2012년 9월 12일 마이크로소프트(Microsoft)에서 2012년 8월 한 달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2012년 9월 12일 배포하였다. 이번에 마이크로소프트에서 배포된 보안 패치들은 총 2건으로 다음과 같다. Microsoft Security Bulletin MS12-061 – 중요 Visual Studio Team Foundation Server의 취약점으로 인한 권한 상승 문제점 (2719584) Microsoft Security Bulletin MS12-062 – 중요 System Center Configuration Manager의 취약점으로 인한 권한 상승 문제점 (2741528) 마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다. 마이크로소프트 업데이트
