취약점

전자 문서들의 취약점을 악용하는 악성코드들 다수 발견

추석 연휴가 끝난 이후 ASEC에서는 최근 다양한 형태의 전자 문서들에 존재하는 취약점을 악용하는 악성코드들을 발견하였다. 전자 문서와 관련된 악성코드들이 발견되는 것이 이 번이 처음 발생한 사항이 아니지만, 마이크로소프트 워드(Microsoft Word), 한글 소프트웨어 그리고 어도비 리더(Adobe Reader) 파일인 PDF에 존재하는 알려진 취약점 등을 악용하는 악성코드가 동시 다발적으로 발견된 것은 특이 사항으로 볼 수 있다. 먼저 한글 소프트웨어와 관련된 악성코드는 크게 3가지 형태로 기존에 알려진 취약점을 악용하는 형태, 특이하게 내부에 악의적인 목적으로 제작된 자바 스크립트(Java Script)가 포함된 형태 그리고 한글 문서 자체가 특이한 OLE 포맷을 가지고 있는 형태가 발견되었다. 기존에 알려진 한글 취약점을 악용하는 취약한 한글 파일은 아래 이미지와 동일한 내용을 포함하고 있는 “붙임1_국방기술정보 위원명단_[2].hwp (1,061,892 바이트)”로 유포되었다. 해당 취약한 한글 파일은 HncApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플로우로 인한 임의의 코드 실행…

ASEC 보안 위협 동향 리포트 2012 Vol.32 발간

안랩 ASEC에서 2012년 8월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.32을 발간하였다.  이 번에 발간된 ASEC 리포트는 2012년 8월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈 보안 프로그램으로 위장한 악성코드 변조된 정상 프로그램을 이용한 게임핵 유포 ActiveX라는 이름의 악성코드 게임부스터 패스트핑으로 위장한 악성코드 국내 업체를 대상으로 유포된 악성 스팸 메일 이메일을 이용한 어도비 CVE-2009-0927 취약점 악성코드 유포 오라클 자바 JRE 7 제로데이 취약점을 악용한 악성코드 유포 MS12-060(CVE-2012-1856) 취약점을 악용한 타깃 공격 어도비 플래시 플레이어의 CVE-2012-1535 취약점 악용 악성코드 페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷 런던 올림픽 악성 스팸메일 Xanga 초대장을 위장한 악성 스팸메일 Flame 변형으로 알려진 Gauss 악성코드 YSZZ 스크립트 악성코드의 지속 발견 사우디아라비아 정유 업체를 공격한 Disttrack 악성코드 악성코드…

다양한 전자 문서들의 취약점을 악용한 악성코드

한글과 컴퓨터에서 개발하는 한글 워드프로세스와 마이크로소프트(Microsoft)에서 개발하는 워드(Word)에 존재하는 알려진 취약점을 악용하는 악성코드들이 동시에 3건이 발견되었다. 첫 번째 취약한 한글 파일은 중공 5세대 핵심들의 불확실한 미래.hwp (241,873 바이트)로 아래 이미지와 동일한 내용을 가지고 있다. 두 번째  취약한 한글 파일은 미래모임.hwp (104,448 바이트)로 아래 이미지와 동일한 내용을 가지고 있다. 마지막으로 발견된 취약한 워드 파일은 부서간 의사소통 조사 설문지.doc (361,026 바이트) 로 아래 이미지와 동일한 내용이 포함되어 있다. 해당 워드 파일은 CVE-2012-0158 취약점으로 “Microsoft Security Bulletin MS12-027 – 긴급 Windows 공용 컨트롤의 취약점으로 인한 원격 코드 실행 문제점 (2664258)” 이미 보안 패치가 배포 중인 알려진 취약점이다. 특히 마지막 취약한 워드 파일의 경우에는 아래와 같이 사내 설문 조사 관련 전자 메일로 위장하여 첨부한 취약한 워드 파일을 실행하도록 유도하는 사회 공학 기법을 사용하고 있다. From: 김** [mailto:surv***************sme@yahoo.co.kr]  Sent: Thursday,…

인터넷 익스플로러 제로 데이 취약점(CVE-2012-4969) 픽스잇 배포

ASEC에서는 2012년 9월 18일 마이크로소프트(Microsoft)에서 개발한 인터넷 익스플로러(Internet Explorer)에 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점인 CVE-2012-4969이 발견되었으며, 이를 악용한 공격이 실제 발생하였음을 알렸다. 미국 현지 시각으로 9월 20일 마이크로소프트에서 해당 CVE-2012-4969 취약점을 제거하기 위한 임시 보안 패치인 픽스 잇(Fix It)을 보안 권고문 “Microsoft Security Advisory: Vulnerability in Internet Explorer could allow remote code execution“을 통해 배포 하였다. 이번 마이크로소프트에서 배포하는 픽스 잇은 해당 보안 취약점을 제거하기 위한 임시 방안이며, 향후 정식 보안 패치가 배포되면 해당 보안 패치를 설치하는 것이 좋다. 향후 정식 보안 패치가 배포 되기 전 인터넷 익스플로러를 사용해야만 되는 경우에는 위 이미지에서와 같이 Microsoft Fix it 50939 버전을 다운로드 받아 설치를 진행하면 된다. 그 외 가능하다면 임시적으로 다른 웹 브라우저들인 파이어폭스(Firefox) 또는 구글 크롬(Google Chrome)을 설치하여 사용하는 것이 좋다.

인터넷 익스플로러 버전 7과 8의 제로 데이 취약점 악용

마이크로소프트(Microsoft)에서는 2012년 9월 17일 블로그 “Microsoft Security Advisory (2757760) Vulnerability in Internet Explorer Could Allow Remote Code Execution“를 통해 인터넷 익스플로러(Internet Explorer) 버전 7과 8에 알려지지 않은 제로 데이(Zero Day, 0-Day) 취약점이 발견되음을 공개하였다. 이 번에 발견된 해당 제로 데이 취약점은 인터넷 익스플로러에서 HTML 파일을 렌더링하는 과정에서 메모리 오염으로 인한 임의의 코드 실행 취약점으로, 현재 해당 제로 데이 취약점을 악용한 공격이 9월 14일을 전후하여 실제 발생하였다. 해당 제로 데이 취약점은 8월 26일 공개된 오라클 자바 JRE 7 제로 데이 취약점 악용 악성코드 유포 관련 서버에서 발견되어, 자바(Java) 취약점 악용과 관련이 있을 것으로 추정된다. 이 번에 유포된 인터넷 익스플로러 제로 데이 취약점을 악용에는 Exploit.html (304 바이트), Moh2010.swf (13,631 바이트), Protect.html (973 바이트)와 111.exe (16,896 바이트) 총 4개의 악성코드가 사용되었다. 최초 Exploit.html (304 바이트)에는 아래 이미지와 같이 Moh2010.swf (13,631 바이트)을 호출하는 코드를 포함하고 있으며, 해당 Moh2010.swf (13,631 바이트)는 DoSWF라는…