취약점

자바 취약점을 악용하는 악성코드들

ASEC에서는 8월 29일 “오라클 자바 JRE 7 제로 데이 취약점 악용 악성코드 유포“를 통해 자바(Java) JRE에서 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점이 발견되었으며, 이를 악용한 악성코드가 유포되었다고 공개하였다. 해당 CVE-2012-4681 자바 취약점외에도 다른 CVE-2012-0507 자바 취약점 역시 다수의 악성코드 유포에 사용되고 있다. 일반적으로 자바의 경우 JVM을 이용한 샌드박스(SandBox) 개념의 보안 기능을 운영체제에 제공하고 있다. 악의적인 코드의 경우 JVM에서 시큐리티 매니져(Security Manager)를 기준으로 차단을 하게 된다. 예를 들어 파일을 디스크에 쓰거나 실행하는 경우에 정책(Policy)에 허용 되지 않은 경우에는 해당 명령은 허용 되지 않는다. 그러나 최근에 발견된 자바 취약점을 악용하는 악성코드 제작자들은 샌드박스를 우회 하기 위해 2가지 방법을 사용하고 있다. 1. 샌드박스 자체 무력화 – CVE-2012-0507 취약점 해당 CVE-2012-0507 취약점은 AtomicReferenceArray에서 발생한다. AtomicReferenceArray 클래스의 경우 시큐리티 매니져에서 ArrayObject에 대한 타입(Type)을 체크 하지 않으며, 해당 배열 생성시 역직렬화를 하고, 역직렬화된 악의적인 코드를 doWork에…

한글 소프트웨어의 취약점을 악용하는 악성코드

ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 취약점을 악용하는 악성코드 사례들을 다수 공개한 적이 있다. 2011년 10월 – 취약한 한글 파일을 악용한 악성코드 유포 2012년 6월 – 한글 제로데이 취약점을 악용한 악성코드 유포 2012년 6월 – 알려진 한글 취약점을 악용한 악성코드 유포 2012년 7월 – 지속적으로 발견되는 취약한 한글 파일 유포 2012년 7월 – 한글 취약점을 악용한 취약한 한글 파일 추가 발견 2012년 8월 – 다시 발견된 한글 취약점을 악용한 취약한 한글 파일 2012년 9월 3일 다시 한글 소프트웨어에 존재하는 취약점을 악용하는 취약한 한글 파일과 악성코드가 다시 발견되었다. 이 번에 발견된 취약한 한글 파일을 열게 되면 아래 이미지와 동일하게 “북한전문가와 대북전략가“라는 제목의 내용을 가지고 있다. 이 번에 발견된 취약한 한글 파일은 기존에 발견되었던 취약한 한글 파일들에서 자주 악용되었던  HncTextArt_hplg 관련 버퍼 오버플로우(Buffer Overflow) 취약점은 아니다….

ASEC 보안 위협 동향 리포트 2012 Vol.31 발간

안랩 ASEC에서 2012년 7월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.31을 발간하였다.  이 번에 발간된 ASEC 리포트는 2012년 7월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈 Banki 트로이목마의 공습 구글 코드를 악용한 악성코드 유포 국외 은행 피싱 메일 아래아한글 취약점을 악용한 파일 추가 발견 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷 BHO에 등록되는 온라인 게임핵 악성코드 WinSocketA.dll 파일을 이용하는 온라인 게임핵 Cross-Platform 악성코드 위구르족을 타깃으로 한 맥 악성코드 2) 모바일 악성코드 이슈 APT 공격과 관련된 안드로이드 악성코드 발견 스마트폰에도 설치되는 애드웨어 3) 보안 이슈 DNS changer 감염으로 인한 인터넷 접속 장애 주의 BIND 9 취약점 발견 및 업데이트 권고 어느 기업의 데이터 유출 후, 고객에게 보내진 ‘보안 패치’ 메일의 비밀 4)…

오라클 자바 JRE 7 제로 데이 취약점 관련 보안 패치 배포

ASEC에서는 8월 29일 “오라클 자바 JRE 7 제로 데이 취약점 악용 악성코드 유포“를 통해 오라클 자바 JRE(Java Runtime Environment) 7에서 임의의 코드를 실행 할 수 있는 코드 실행 취약점(CVE-2012-4681)을 발견하였음을 공개하였다. 한국 시간으로 8월 31일 금일 자바 JRE 7에 존재하는 취약점 CVE-2012-4681을 제거 할 수 있는 보안 패치를 보안 권고문 “Oracle Security Alert for CVE-2012-4681“를 통해 공개하였다. 현재 해당 자바 JRE 7에 존재하는 취약점 CVE-2012-4681을 악용하는 JAR 파일이 공다 팩(GongDa Pack)과 블랙홀(Blackhole)이라 불리는 웹 익스플로잇 툴킷(Web Exploit Toolkit)을 통해 백도어 기능을 수행하는 윈도우 악성코드와 맥(Mac) 악성코드 등 지속적으로 다양한 형태의  악용 사례가 발견되고 있다. 그러므로, 오라클에서 배포 중인 해당 보안 패치를 즉시 설치하여 해당  CVE-2012-4681 취약점을 악용하는 다양한 보안 위협을 예방하는 것이 중요하다. 오라클에서 배포 중인 보안 패치를 포함한 최신 버전은 웹 사이트 “무료 Java 다운로드” 또는 “Java SE Downloads“를…

MS12-060(CVE-2012-1856) 취약점을 악용한 타겟 공격

마이크로소프트(Microsoft)에서는 8월 15일 7월 한 달간 발견된 해당 업체에서 개발한 보안 취약점들을 제거하는 보안 패치를 배포하였다. 이번 8월에 배포된 보안 패치 중에는 “MS12-060 – Windows 공용 컨트롤의 취약점으로 인한 원격 코드 실행 문제점 (2720573)“가 포함되어 있으며, 마이크로소프트에서 개발한 오피스(Office) 제품과 관련된 취약점이다. 해당 취약점에 대해 마이크로소프트는 별도의 블로그 “MS12-060: Addressing a vulnerability in MSCOMCTL.OCX's TabStrip control“를 통해 해당 MS12-060 보안 패치가 제거하는 보안 취약점 CVE-2012-1856을 악용한 타겟 공격(Targeted Attack)이 발견되었음도 같이 공개하였다. ASEC에서는 이와 관련하여 추가적인 정보들을 수집하는 과정에서 해당 타겟 공격에 실제 악용된 것으로 알려진 악성코드를 확보하였다. CVE-2012-1856 취약점을 악용한 타겟 공격은 이메일의 첨부 파일로 아래 이미지와 동일한 RTF(Rich Text Format)이 첨부되어 유포된 것으로 알려져 있다. 해당 CVE-2012-1856 취약점은 RTF 파일 내부에 포함되어 있는 엑티브엑스(ActiveX) 오브젝트에 의해 엑티브엑스 오프젝트 처리와 관련되어 있는 MSCOMCTL.OCX 파일의 메모리 엑세스…