자바 취약점을 악용하는 악성코드들 Posted By ASEC , 2012년 9월 7일 ASEC에서는 8월 29일 “오라클 자바 JRE 7 제로 데이 취약점 악용 악성코드 유포“를 통해 자바(Java) JRE에서 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점이 발견되었으며, 이를 악용한 악성코드가 유포되었다고 공개하였다. 해당 CVE-2012-4681 자바 취약점외에도 다른 CVE-2012-0507 자바 취약점 역시 다수의 악성코드 유포에 사용되고 있다. 일반적으로 자바의 경우 JVM을 이용한 샌드박스(SandBox) 개념의 보안 기능을 운영체제에 제공하고 있다. 악의적인 코드의 경우 JVM에서 시큐리티 매니져(Security Manager)를 기준으로 차단을 하게 된다. 예를 들어 파일을 디스크에 쓰거나 실행하는 경우에 정책(Policy)에 허용 되지 않은 경우에는 해당 명령은 허용 되지 않는다. 그러나 최근에 발견된 자바 취약점을 악용하는 악성코드 제작자들은 샌드박스를 우회 하기 위해 2가지 방법을 사용하고 있다. 1. 샌드박스 자체 무력화 – CVE-2012-0507 취약점 해당 CVE-2012-0507 취약점은 AtomicReferenceArray에서 발생한다. AtomicReferenceArray 클래스의 경우 시큐리티 매니져에서 ArrayObject에 대한 타입(Type)을 체크 하지 않으며, 해당 배열 생성시 역직렬화를 하고, 역직렬화된 악의적인 코드를 doWork에…
오라클 자바 JRE 7 제로 데이 취약점 관련 보안 패치 배포 Posted By ASEC , 2012년 8월 31일 ASEC에서는 8월 29일 “오라클 자바 JRE 7 제로 데이 취약점 악용 악성코드 유포“를 통해 오라클 자바 JRE(Java Runtime Environment) 7에서 임의의 코드를 실행 할 수 있는 코드 실행 취약점(CVE-2012-4681)을 발견하였음을 공개하였다. 한국 시간으로 8월 31일 금일 자바 JRE 7에 존재하는 취약점 CVE-2012-4681을 제거 할 수 있는 보안 패치를 보안 권고문 “Oracle Security Alert for CVE-2012-4681“를 통해 공개하였다. 현재 해당 자바 JRE 7에 존재하는 취약점 CVE-2012-4681을 악용하는 JAR 파일이 공다 팩(GongDa Pack)과 블랙홀(Blackhole)이라 불리는 웹 익스플로잇 툴킷(Web Exploit Toolkit)을 통해 백도어 기능을 수행하는 윈도우 악성코드와 맥(Mac) 악성코드 등 지속적으로 다양한 형태의 악용 사례가 발견되고 있다. 그러므로, 오라클에서 배포 중인 해당 보안 패치를 즉시 설치하여 해당 CVE-2012-4681 취약점을 악용하는 다양한 보안 위협을 예방하는 것이 중요하다. 오라클에서 배포 중인 보안 패치를 포함한 최신 버전은 웹 사이트 “무료 Java 다운로드” 또는 “Java SE Downloads“를…
오라클 자바 JRE 7 제로 데이 취약점 악용 악성코드 유포 Posted By ASEC , 2012년 8월 29일 미국 현지 시각으로 8월 26일 보안 업체 FireEye에서 블로그 “ZERO-DAY SEASON IS NOT OVER YET“를 통해 오라클(Orcle) 자바 JRE(Java Runtime Environment) 7에서 임의의 코드를 실행 할 수 있는 코드 실행 취약점(CVE-2012-4681)을 발견하였음을 공개하였다. 현재 해당 자바 JRE 취약점은 개발 업체인 오라클에서 해당 보안 취약점을 제거할 수 있는 보안 패치를 제공하지 않고 있는 제로 데이(Zero-Day, 0-Day) 취약점으로 각별한 주의가 필요하다. 이 번에 발견된 자바 JRE 관련 제로 데이 취약점은 다음 버전의 소프트웨어에서 악용이 가능하다. Oracle Java 7 (1.7, 1.7.0) Java Platform Standard Edition 7 (Java SE 7) Java SE Development Kit (JDK 7) Java SE Runtime Environment (JRE 7) 해당 자바 JRE 관련 취약점은 최초 아래 이미지와 같이 중국에서 제작된 공다 팩(GongDa Pack)이라 불리는 웹 익스플로잇 툴킷(Web Exploit Toolkit)에서 사용되는 스크립트 악성코드를 통해 유포되었으며,…
GongDa Pack의 스크립트 악성코드 증가 Posted By ASEC , 2012년 7월 30일 ASEC에서는 2012년 5월 월간 “안”을 통해 공다 팩(GongDa Pack)으로 명명된 중국에서 제작된 웹 익스플로잇 툴 킷(Web Exploit Toolkit)에 대한 상세한 분석 정보에 대해 공개한 사례가 있다. 2012-05-08 'GongDa'의 무차별 웹 공격이 시작됐다 공다 팩이라는 해당 웹 익스플로잇 툴킷의 스크립트 악성코드는 다양한 일반 어플리케이션들의 취약점을 악용하여 온라인 게임 관련 개인 정보들을 탈취하는 악성코드 유포를 목적으로 하고 있었다. 이러한 공다 팩에서 사용되는 스크립트 악성코드가 최근 몇 주 사이 지속적으로 발견되고 있으며, 업데이트 된 공다 팩 변형에 의해 유포되는 것으로 확인되었다. 최초 2012년 5월에 발견된 공다 팩에서 사용되는 스크립트 악성코드는 버전이 “JSXX 0.41″로 표기되어 있으나, 최근에 다시 발견되고 있는 스크립트 악성코드들의 경우 아래 이미지와 동일하게 “JSXX 0.44“로 표기 되어 있다. 해당 업데이트 된 버전의 공다 팩을 이용해 유포되는 스크립트 악성코드들은 V3 제품군에서 다음과 같이 진단한다. 하지만…
링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷 Posted By ASEC , 2012년 7월 19일 ASEC에서는 6월 5일 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 일종인 블랙홀(Blackhole) 웹 익스플로잇 툴 킷이 스팸 메일(Spam Mail)과 결합되어 유포되었다는 사실을 밝힌 바가 있다. 금일 블랙홀 웹 익스플로잇 툴 킷과 결합된 스팸 메일이 다시 발견되었으며, 이 번에 발견된 스팸 메일은 사용자가 많은 유명 소셜 네트워크(Social Network) 서비스인 링크드인(LinkedIn)의 초대 메일로 위장하여 유포되었다. 이 번에 발견된 링크드인 스팸 메일과 결합된 형태로 유포된 블랙홀 웹 익스플로잇 툴킷은 아래 이미지와 같이 다양한 취약점들을 악용하고 있으며 최종적으로 감염된 PC에서 사용자 정보들을 탈취하기 위한 악성코드 감염을 목적으로 하고 있다. 링크드인의 초대 메일로 위장해 유포된 스팸 메일은 아래 이미지와 같은 형태를 가지고 있으며, [Accept] 부분은 정상적인 링크드인 웹 페이지로 연결되는 것이 아니라 중국에 위치한 특정 시스템으로 연결되도록 구성되어 있다. 해당 [Accept] 부분을 클릭하게 되면 중국에 위치한 특정…
