취약점

배너광고를 통한 악성코드 유포사례

안철수연구소는 ASEC 블로그를 통해서 배너광고를 통한 악성코드 유포사례에 대해서 여러차례 다룬 바 있고 이번에 발견된 사례도 기존과 크게 다르지 않다. 1. 악성코드 유포는 어떻게? 이번에 발견된 사례는 아래 그림과 같은 형식으로 유포가 되었다.                                                  [그림 1] 배너광고를 통한 악성코드 유표과정 2. 악성코드 감염은 어떻게? [그림 1]처럼 악성 스크립트가 삽입된 배너광고에 노출된 PC가 만약 보안 취약점이 존재했다면 악성코드에 감염되었을 확률이 높다. [그림 2] 배너에 삽입된 악성 스크립트 악성 스크립트가 정상적으로 동작하면 브라우저 버전, 취약점등 조건에 따라 최종적으로 아래 주소에서 악성코드를 다운로드 및 실행한다. http://***.78.***.175/Ags/AGS.gif 배너광고에 노출된 PC에 악성코드를 다운로드 및 실행하기 위해서 사용된 취약점은 아래와 같다. ※ CSS 메모리 손상 취약점(MS11-003, CVE-2010-3971) http://technet.microsoft.com/ko-kr/security/bulletin/ms11-003 ※ Adobe Flash Player 취약점: CVE-2011-2140 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2140 http://www.adobe.com/support/security/bulletins/apsb11-21.html 위 취약점들을 사용한 악성 스크립트에 포함된 쉘코드는 아래 그림처럼 암호화된 URL가지고 있으며…

알면 No! 모르면 Yes!?

  1. 불필요한(광고,서치) 프로그램  최근 이동통신사의 4G 방송 광고에서도 보여주듯, 한국인의 성격은 대체로 급한것 같다. 이러한 성격이 무의식적으로 불필요한 프로그램의 설치나, 악성코드의 감염에도 한 몫 하고 있진 않을까?  [확인]을 요청하는 창이 팝업되거나, 잘 모르는 내용은 빠른 진행을 위하여 Yes! 를 연달아 누른 경험이 누구나 한번쯤은 있을 것이다. 반면에, 보안패치나, 응용프로그램 패치가 팝업될 경우에는, 나중에 해야지 하면서 No~ 를 가볍게 누른적이 종종 있을 것이다.  나날이 증가하는 불필요한 프로그램, 그중에서도 광고성 프로그램은 여러 백신사를 괴롭히고 있다. 사용자들의 불편을 초래하는 이러한 프로그램은 관련법에 의거하여 진단근거에 부합할 경우에만 진단하고 있다. 그로인해, 사용자들이 불만을 호소하여도 엔진에 추가하지 못하는 경우도 존재한다.  오히려 불법적인 배포로 진단하게 되면, 어김없이 업체로 부터의 항의가 접수된다. 그렇다고 제외하지는 않는다. 우리는 고객의 안전한 PC 환경을 유지할 의무가 있기 때문이다.  우리에게 지금 필요한 것은? …

ASEC 보안 위협 동향 리포트 2011 Vol.21 발간

안철수연구소 ASEC에서 2011년 10월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2011 Vol.21을 발간하였다. 이 번에 발간된 ASEC 리포트는 2011년 10월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. * 10월 주요 보안 위협 이슈들 MySQL 사이트에 삽입된 악성 스크립트 스티브 잡스 사망 관련 메일로 위장한 악성코드 Smiscer Rootkit QR 코드를 통해 감염되는 안드로이드 악성코드 발견 NETFLIX 위장 안드로이드 악성 애플리케이션 CVE-2011-2140 취약점을 이용한 악성코드 유포 플래시가 당신 컴퓨터의 웹 카메라와 마이크를 조종한다 리눅스 Tsunami DDoS 공격 툴의 맥 OS X 포팅 국내PC를 감염 목표로 하는 부트킷 상세 분석 안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다  ASEC 보안 위협 동향 리포트 2011 Vol.21 발간

윈도우 커널 제로 데이 취약점을 악용한 Duqu 악성코드

현지 시각 2011년 10월 18일 미국 보안 업체인 시만텍(Symantec)에서는 이란 원자력 발전소를 공격 대상으로한 스턱스넷(Stuxnet)의 변형인 Duqu 악성코드가 발견되었음 블로그 “W32.Duqu: The Precursor to the Next Stuxnet“를 통해 공개하였다. 그리고 Duqu에 대해 약 46 페이지의 분석 보고서 “W32.Duqu The precursor to the next Stuxnet” 를 공개하였다. 현재 해당 보고서는 현지 시각 2011년 11월 1일부로 1.3 버전으로 업데이트 되었다. 시만텍에서는 Duqu 악성코드를 분석하는 과정에서 2009년 발견되었던 스턱스넷 악성코드와 유사한 형태를 가지고 있으며, 동일 인물 또는 제작 그룹에 제작된 것으로 추정되고 있음을 밝히고 있다. 이번에 발견된 Duqu는 스턱스넷과 같이 산업 제어 시스템과 관련된 코드와 자체 전파 기능은 존재하지 않았다.  그러나 C&C(Command and Controal) 서버를 통해 원격 제어가 가능하며, 키로깅(Keylogging)을 통해 정보를 수집할 수 있는 기능이 존재한다. 그리고 시스템에 감염된지 36일이 지나면 자동 삭제하는…

마이크로소프트 2011년 9월 보안 패치 배포

마이크로소프트(Microsoft)에서 2011년 8월 한달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2011년 9월 14일 배포하였다. 이번에 마이크로소프트에서 배포된 보안 패치들은 총 5건으로 다음과 같다. Microsoft Security Bulletin MS11-070 – 중요 WINS의 취약점으로 인한 권한 상승 문제점 (2571621) Microsoft Security Bulletin MS11-071 – 중요 Windows 구성 요소의 취약점으로 인한 원격 코드 실행 문제점 (2570947) Microsoft Security Bulletin MS11-072 – 중요 Microsoft Excel의 취약점으로 인한 원격 코드 실행 문제점 (2587505) Microsoft Security Bulletin MS11-073 – 중요 Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점 (2587634) Microsoft Security Bulletin MS11-074 – 중요 Microsoft SharePoint의 취약점으로 인한 권한 상승 문제점 (2451858) 다양한 악성코드들이 마이크로소프트의 윈도우 보안 취약점을 악용함으로 미리 보안 패치 설치를 통해 악성코드의 감염을 예방 하는 것이 좋다….