악성코드

usp10.DLL 파일을 이용한 온라인 게임 악성코드

온라인 게임에서 사용되는 개인 정보들을 탈취하기 위한 악성코드는 몇 년에 걸쳐서 한국에서 꾸준히 발견되고 있으며, 이제는 매주 주말마다 새로운 변형들을 다양한 웹 어플리케이션 취약점들과 연동하여 유포하고 있다. 이러한 온라인 게임 관련 악성코드에 대해서 ASEC에서는 그 변형들이 악용하는 유포 기법들을 지속적으로 공유하고 잇다. 2011년 10월 – ws2help.dll을 교체하는 온라인 게임 악성코드 분석 2012년 3월 – CVE-2012-0754 취약점을 이용해 전파되는 온라인 게임핵 악성코드 2012년 7월 – XML 코어 서비스 취약점 악용으로 온라인 게임 악성코드 유포 2012년 7월 – GongDa Pack의 스크립트 악성코드 증가 2012년 8월 – YSZZ 스크립트 악성코드의 지속 발견 2012년 10월 – 패치드(Patched) 형태의 악성코드 변천사 이러한 온라인 게임의 사용자 개인 정보 탈취를 목적으로하는 악성코드가 최근에서는 usp10.DLL 파일을 악용하여 보안 소프트웨어를 무력화 기능까지 포함된 악성코드가 발견되었다. 이 번에 발견된 온라인 게임 관련 악성코드는 크게 3가지 부분으로…

국내 PC 사용자를 대상으로 유포된 아두스카 부트킷

현재까지 PC의 MBR(Master Boot Record)를 변조하여 악의적인 기능을 수행하는 부트킷(Bootkit)은 러시아와 루마니아를 포함한 동유럽 지역에서 제작되어 유포 되는 사례가 다수를 차지하고 있다. 이러한 부트킷에 대해 ASEC에서는 관련 분석 정보들을 블로그들을 통해 공유한 바가 있다. 2011년 10월 – MBR을 변조하는 Halcbot 부트킷 상세 분석 10월 12일 국내 PC 사용자를 대상으로 유포된 부트킷 기능이 포함된 온라인 게임 관련 개인 정보를 탈취하는 악성코드가 발견되었다. 이 번에 발견된 부트킷 기능의 악성코드는 “해피투게더.exe (230,349,368 바이트)”라는 파일명을 가지고 있으며 200 MB가 넘는 큰 크기를 가지고 있다. 해당 악성코드가 동작하는 전체적인 구조를 정리하면 아래 이미지와 동일하다. 유포된 해피투게더.exe 는 실제로는 인스톨 기능을 가진 인스톨러(Installer) 파일로서 해당 악성코드에 감염이 되면 crvsv.exe 가 실행이 되며, 실제 해당 crvsv.exe가 MBR 감염과 함께 온라인 게임 관련 악성코드를 감염시키는 드로퍼(Dropper) 이다. 해당 crvsv.exe 악성코드느 다음의 악의적인 기능을 수행하게 된다.   …

한글 소프트웨어 보안 패치 배포

ASEC에서는 10월 10일 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용한 악성코드 유포 시도가 발견되었다고 공지 한 바가 있다. 10월 18일부터 한글 소프트웨어 개발사인 한글과 컴퓨터에서 해당 제로 데이 취약점을 제거 할 수 있는 보안 패치를 배포 중에 있다. 이 번 보안 패치의 대상이 되는 한글 소프트웨어는 다음과 같다. 한글 2002 5.7.9.3058 및 이전버전 한글 2004 6.0.5.776 및 이전버전     한글 2005 6.7.10.1083 및 이전버전 한글 2007 7.5.12.652 및 이전버전 한글 2010 8.5.8.1278 및 이전버전     해당 보안 패치는 한글과 컴퓨터 웹 사이트를 통해 보안 패치를 업데이트 할 수 있으며, 아래 이미지와 같이 [한컴 자동 업데이트]를 실행해서도 보안 패치 설치가 가능하다. [한컴 자동 업데이트]가 실행되면 아래 이미지와 같이 현재 설치되어 있는 한글 프로그램에 맞는 보안 패치를…

국방 관련 내용을 담은 취약한 한글 파일 발견

2012년 하반기로 접어들면서 국내 관공서에서 사용 빈도가 높은 한글 소프트웨어의 취약점을 악용하여 악성코드 감염을 시도하는 사레가 지속적으로 발견되고 있다. 특히 2012년 6월과 10월에는 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용하는 사례들도 발견되었다. 10월 15일과 16일 다시 국내에서 국방 관련 내용을 가지고 있는 취약한 한글 파일들이 발견되었으며, 이 번에 발견된 취약한 한글 파일은 총 2개로 “군환경교육계획(2012).hwp (1,044,996 바이트)”와 “우리도 항공모함을 갖자.hwp (240,285 바이트)”의 파일명으로 유포되었다. 취약한 한글 소프트웨어를 사용하는 시스템에서 해당 취약한 한글 파일들을 열게 될 경우에는, 아래 이미지와 같이 국방 관련 내용이 나타나게 된다. 해당 취약한 한글 파일들은 기존에 이미 알려진 HncTextArt_hplg 또는 HncApp.dll 관련 버퍼 오버플로우(Buffer Overflow)로 인한 코드 실행 취약점들을 악용하고 있다. 첫 번째 취약한 한글 파일인 군환경교육계획(2012).hwp 을 열게 되면, 백그라운드로 “system32.dll (65,536 바이트)” 가 다음 경로에 생성 된다. C:Documents and Settings[사용자 계정명]Local…

패치드(Patched) 형태의 악성코드 변천사

ASEC에서는 그 동안 악성코드에 의해 정상 윈도우(Windows) 시스템 파일을 변조시켜 악의적인 기능을 수행하는 패치드(Patched) 형태의 악성코드에 대한 정보들을 공개하였다. 특히 다양한 온라인 게임의 사용자 정보들을 탈취하는 온라인 게임 관련 트로이목마(OnlineGameHack)에 의해 온라인 게임의 메인 실행 프로세스의 주소 공간에 악성코드인  DLL 파일을 안정적으로 실행시키기 위해 윈도우 시스템의 정상 DLL 파일들을 감염 시키는 형태가 자주 발견되고 있다. 이러한 형태의 악성코드들을 일반적으로 패치드(Patched) 형태의 악성코드라고 불리고 있으며, 현재까지 발견된 악성코드에 의해 사용되는 패치드 기법들을 다음과 같이 정리 할 수 있다. 1. DLL 파일에 악의적인 DLL 파일을 로드하는 코드 삽입 후 이 코드로 분기하도록 패치하는 형태 일반적으로 많이 알려진 패치드 형태로서, 과거 3년 전부터 발견되기 시작하였으며, 주로 패치의 대상이 되었던 윈도우 정상 DLL 파일들은 imm32.dll, olepro32.dll, dsound.dll과 같다.  패치가 된 DLL 파일은 위 이미지와 같이 파일의 섹션 끝 부분에 쉘코드(Shellcode)가 삽입 되어…