ASEC 보안 위협 동향 리포트 2012 Vol.32 발간 Posted By ASEC , 2012년 10월 8일 안랩 ASEC에서 2012년 8월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.32을 발간하였다. 이 번에 발간된 ASEC 리포트는 2012년 8월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈 보안 프로그램으로 위장한 악성코드 변조된 정상 프로그램을 이용한 게임핵 유포 ActiveX라는 이름의 악성코드 게임부스터 패스트핑으로 위장한 악성코드 국내 업체를 대상으로 유포된 악성 스팸 메일 이메일을 이용한 어도비 CVE-2009-0927 취약점 악성코드 유포 오라클 자바 JRE 7 제로데이 취약점을 악용한 악성코드 유포 MS12-060(CVE-2012-1856) 취약점을 악용한 타깃 공격 어도비 플래시 플레이어의 CVE-2012-1535 취약점 악용 악성코드 페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷 런던 올림픽 악성 스팸메일 Xanga 초대장을 위장한 악성 스팸메일 Flame 변형으로 알려진 Gauss 악성코드 YSZZ 스크립트 악성코드의 지속 발견 사우디아라비아 정유 업체를 공격한 Disttrack 악성코드 악성코드…
이메일을 이용한 어도비 CVE-2009-0927 취약점 악성코드 유포 Posted By ASEC , 2012년 8월 22일 ASEC에서는 2012년 8월 21일 어제 CVE-2009-0927 취약점을 악용하는 어도비 리더(Adobe Reader) 파일인 PDF 파일이 이메일에 첨부되어 국내에 유포된 사실을 확인 하였다. 해당 CVE-2009-0927 취약점은 2009년 3월 어도비에서 보안 권고문 “APSB09-04 Security Updates available for Adobe Reader and Acrobat“을 통해 이미 보안 패치가 배포 중인 취약점이다. 그리고 해당 취약점을 악용하여 취약한 PDF 파일을 유포하는 공격 형태는 2009년 10월부터 지속적으로 발견되어 왔다. 2009년 10월 9일 – 어도비 PDF 제로 데이 취약점 공격 악성코드 발견 2009년 10월 16일 – 새로운 어도비 취약점 웹 사이트를 통해 유포 2009년 11월 10일 – 타켓 공격에 악용된 취약한 PDF 악성코드 2010년 11월 25일 – 이메일로 유포된 랜섬웨어를 다운로드하는 제우스 이 번에 발견된 CVE-2009-0927 취약점을 악용하는 취약한 PDF 파일은 이메일에 첨부된 형태로 유포되었으며, 동일한 취약점을 파일명과 문서 내용만을 변경하여 유포되었다. 현재 확인된 취약한 PDF 파일은 총…
어도비 플래쉬 플레이의 CVE-2012-1535 취약점 악용 악성코드 Posted By ASEC , 2012년 8월 16일 어도비(Adobe)에서는 8월 15일인 어제 어도비 플래쉬 플레이어(Adobe Flash Player)에 존재하는 취약점인 CVE-2012-1535를 제거하기 위한 보안 패치를 배포 중임을 보안 권고문 “APSB12-18 Security update available for Adobe Flash Player“를 통해 밝혔다. 해당 보안 권고문을 통해 어도비에서는 플래쉬 플레이어에 존재하는 CVE-2012-1535 취약점은 버전 11.3.300.270 이하 버전에 발생하며, 제한적인 타겟 공격(Targeted Attack)에 악용되었음을 같이 공개하였다. ASEC에서는 추가적인 조사와 분석을 통해 해당 CVE-2012-1535 취약점을 악용한 타겟 공격은 마이크로소프트 워드(Microsoft Word)에 임베디드(Embedded) 된 워드 파일 형태로 유포되었으며, 유포 당시 “Running Mate.doc“와 “iPhone 5 Battery.doc“ 라는 파일명이 사용된 것으로 파악된다. 이번 발견된 어도비 플래쉬 플레이어에 존재하는 CVE-2012-1535 취약점을 악용하는 악성코드는 아래와 같은 워드 파일 구조를 가지고 있으며, 파일 내부에는 XOR로 인코딩된 백도어 파일도 같이 포함되어 있다. 취약한 어도비 플래쉬 플레이어 버전을 사용하는 시스템에서 해당 취약한 워드 파일을 열게 되면 내부에 포함된 취약한 SWF 파일도 함께 실행이…
링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷 Posted By ASEC , 2012년 7월 19일 ASEC에서는 6월 5일 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 일종인 블랙홀(Blackhole) 웹 익스플로잇 툴 킷이 스팸 메일(Spam Mail)과 결합되어 유포되었다는 사실을 밝힌 바가 있다. 금일 블랙홀 웹 익스플로잇 툴 킷과 결합된 스팸 메일이 다시 발견되었으며, 이 번에 발견된 스팸 메일은 사용자가 많은 유명 소셜 네트워크(Social Network) 서비스인 링크드인(LinkedIn)의 초대 메일로 위장하여 유포되었다. 이 번에 발견된 링크드인 스팸 메일과 결합된 형태로 유포된 블랙홀 웹 익스플로잇 툴킷은 아래 이미지와 같이 다양한 취약점들을 악용하고 있으며 최종적으로 감염된 PC에서 사용자 정보들을 탈취하기 위한 악성코드 감염을 목적으로 하고 있다. 링크드인의 초대 메일로 위장해 유포된 스팸 메일은 아래 이미지와 같은 형태를 가지고 있으며, [Accept] 부분은 정상적인 링크드인 웹 페이지로 연결되는 것이 아니라 중국에 위치한 특정 시스템으로 연결되도록 구성되어 있다. 해당 [Accept] 부분을 클릭하게 되면 중국에 위치한 특정…
변형된 형태의 XML 코어 서비스 취약점(CVE-2012-1889) 악용 Posted By ASEC , 2012년 6월 28일 ASEC에서는 6월 26일 현재까지도 제로 데이(Zero Day, 0-Day) 취약점인 XML 코어 서비스 취약점(CVE-2012-1889)을 악용한 공격 사례들이 발생하고 있다고 공유한 바가 있다. 금일 해당 XML 코어 서비스 취약점을 악용한 다른 형태의 공격 사례가 발견되었으며, 해당 공격 사례는 XML 코어 서비스 뿐 만이 아니라 자바(JAVA)와 어도비 플래쉬(Adobe Flash) 취약점까지도 같이 악용하고 있는 것으로 파악되었다. 이 번에 발견된 XML 코어 서비스 취약점을 악용한 사례는 블랙홀(Blackhole)과 같은 웹 익스플로잇 툴킷(Web Exploit Toolkit) 형태로 스크립트 악성코드들을 기능별로 분류하여 단계적으로 취약점을 악용하도록 하고 있다. 이러한 단계적으로 취약점을 악용한 공격 형태는 아래 이미지와 같은 전체적인 구조를 가지고 있어, 일부 스크립트들만 분석하여서는 전체적인 공격 및 취약점 형태를 파악하기 어렵도록 하고 있다. 현재 해당 XML 코어 서비스 취약점 등을 악용한 공격 형태는 SQL 인젝션(Injection) 공격 기법 등으로 취약한 웹 페이지의 하단에 Exploit.html…
