MS12-004 윈도우 미디어 취약점을 악용한 악성코드 유포 Posted By ASEC , 2012년 1월 27일 2012년 1월 27일 금일 트렌드 마이크로(Trend Micro) 블로그 “Malware Leveraging MIDI Remote Code Execution Vulnerability Found“를 통해 마이크로소프트(Microsoft)에서 1월 11일 배포하였던 보안 패치인 “MS12-004 Windows Media의 취약점으로 인한 원격 코드 실행 문제점 (2636391)“와 관련된 취약점(CVE-2012-0003)을 악용하여 유포된 악성코드가 발견되었다. 해당 MS12-004 취약점을 악용하여 유포된 악성코드와 관련된 사항들을 ASEC에서 추가적인 조사를 진행하는 과정에서 해당 악성코드는 아래와 같은 전체적이 구조를 가지고 있는 것으로 파악하였다. 악성코드 감염의 근본적인 시작이 되는 mp.html(16,453 바이트) 파일은 최초 1월 21일 설날 연휴가 시작되는 토요일 국내에서 발견되었으며, 해당 스크립트 악성코드가 존재하였던 시스템은 미국에 위치하고 있다. 그리고 해당 악성코드들과 관련된 공격자는 한국과 중국을 포함한 극동 아시아 권을 주된 대상으로 해당 악성코드들을 유포 한 것으로 ASEC에서는 추정하고 있다. 해당 mp.html 스크립트 악성코드를 텍스트 에디터로 분석을 해보면 아래와 같은 구조를 가지고 있으며, 파일…
스페이스와 탭을 이용한 자바스크립트 난독화 출현 Posted By ASEC , 2012년 1월 26일 자바스크립트 소스를 이용하여 악성코드를 심는 방법은 일반화 된지 오래 되었다. 특히 악성코드 제작자들은 자바스크립트 소스를 분석하기 어렵게 만들기 위한 난독화 과정을 거쳐, 백신제품의 엔진에 반영하기 어렵게 하고 있다. 지금까지는 주로 문자열 인코딩 방식을 ASCII 코드가 아닌 다른 방식을 이용하여 알아보기 힘들게 만들었다.
배너광고를 통한 악성코드 유포사례 Posted By ASEC , 2011년 11월 20일 안철수연구소는 ASEC 블로그를 통해서 배너광고를 통한 악성코드 유포사례에 대해서 여러차례 다룬 바 있고 이번에 발견된 사례도 기존과 크게 다르지 않다. 1. 악성코드 유포는 어떻게? 이번에 발견된 사례는 아래 그림과 같은 형식으로 유포가 되었다. [그림 1] 배너광고를 통한 악성코드 유표과정 2. 악성코드 감염은 어떻게? [그림 1]처럼 악성 스크립트가 삽입된 배너광고에 노출된 PC가 만약 보안 취약점이 존재했다면 악성코드에 감염되었을 확률이 높다. [그림 2] 배너에 삽입된 악성 스크립트 악성 스크립트가 정상적으로 동작하면 브라우저 버전, 취약점등 조건에 따라 최종적으로 아래 주소에서 악성코드를 다운로드 및 실행한다. http://***.78.***.175/Ags/AGS.gif 배너광고에 노출된 PC에 악성코드를 다운로드 및 실행하기 위해서 사용된 취약점은 아래와 같다. ※ CSS 메모리 손상 취약점(MS11-003, CVE-2010-3971) http://technet.microsoft.com/ko-kr/security/bulletin/ms11-003 ※ Adobe Flash Player 취약점: CVE-2011-2140 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2140 http://www.adobe.com/support/security/bulletins/apsb11-21.html 위 취약점들을 사용한 악성 스크립트에 포함된 쉘코드는 아래 그림처럼 암호화된 URL가지고 있으며…
광고성 html을 가장하여 악성코드를 다운로드하는 스팸메일 (2) Posted By ASEC , 2010년 6월 30일 http://core.ahnlab.com/193 상기의 이전 글에서 최근 html 파일을 첨부하거나 html 링크를 삽입한 스팸메일을 통해 악성코드를 다운로드 하는 스팸메일의 형태를 살펴보았습니다. 이어서 난독화된 악성 스크립트를 살펴 보도록 하겠습니다. 상기와 같이 난독화된 악성 스크립트는 악성 스크립트 제작자가 제작한 루틴 및 사용되지 않는 쓰레기 코드로 구성되어 있으며 디코딩 후 실제 악의적인 웹 페이지가 완성이 되게 됩니다. 최종 디코딩된 악성 스크립트는 MDAC[Microsoft Data Access Components], PDF, JAVA 취약점을 이용하여 악성코드를 로컬에 저장하고 실행하게 됩니다. 취약점을 이용한 파일 및 game.exe 파일은 아래와 같은 진단명으로 V3에서 진단/치료가 가능합니다. game.exe -> Win-Trojan/Agent.26112.RQ Notes10.pdf -> PDF/Exlpoit Applet10.html ->HTML/Agent 다음 글에서 다운로드 된 game.exe 파일 실행 시 증상에 대해 살펴보도록 하겠습니다.
