Google Play Store 100만 다운로드 ADULTS ONLY Posted By ASEC , 2013년 1월 11일 구글 플레이 스토어에 스마트폰의 정보를 수집하는 애플리케이션이 등록되어 있었다. 이 애플리케이션을 제작한 DG-NET 제작자에 의하여 플레이 스토어에 등록된 3개의 애플리케이션은 모두 같은 기능이며 총 100만 이상의 다운로드를 기록하였다. [그림1] 스마트폰의 정보를 수집하는 애플리케이션(구글 플레이 스토어) [그림2] 같은 제작자에 의하여 등록된 애플리케이션 현재는 3개의 애플리케이션이 구글 플레이 스토어에서 삭제된 상태이다. 하지만, 아직도 서드 파티 마켓(3rd Party)에서는 다운로드가 가능하다. [그림3] 서드 파티 마켓(3rd Party)에 등록된 애플리케이션 이외에도 같은 종류의 애플리케이션이 존재했다. [그림4] 추가 애플리케이션 해당 애플리케이션을 설치하면 아래와 같은 아이콘이 생성된다. (2개의 애플리케이션만 설치하였다.) [그림5] 애플리케이션 아이콘 애플리케이션을 실행하면 아래와 같은 화면을 볼 수 있다. [그림6] 애플리케이션 설치 후 실행화면 안드로이드 기반의 애플리케이션은 권한 정보를 확인함으로써, 행위를 예측할 수…
이미지 파일들을 탈취하는 악성코드 발견 Posted By ASEC , 2012년 11월 5일 PC 성능이 향상되고 멀티미디어로서의 PC 활용도가 높아짐으로 인해 사용하는 PC에 다양한 동영상과 사진, 문서 파일들을 보관하는 일반 사용자들이 증가 추세에 있다. 이러한 시대 상황에 맞추어 감염된 PC에 존재하는 이미지 파일들을 탈취하여 외부로 유출하는 악성코드가 발견되었다. 이 번에 발견된 이미지 파일들을 탈취하는 악성코드와 같은 형태의 악성코드는 2012년 2월 문서 파일들을 탈취하는 악성코드와 유사한 목적을 수행하기 위해 제작되었다라고 볼 수 있다. 이 번에 발견된 해당 악성코드는 아래 이미지의 코드와 같이 감염된 시스템의 C 드라이브, D 드라이브 그리고 E 드라이브에 존재하는 JPG, JPEG와 DMP 확장자를 가지는 파일들 모두를 수집하여 C: 에 모두 복사하게 된다. 그리고 아래 이미지의 코드에서와 같이 독일에 위치한 특정 시스템으로 접속을 시도하게 된다. 접속이 성공하게 되면 FTP(File Transfer Protocol)를 이용하여 C:에 복사된 JPG, JPEG와 DMP 확장자를 가지는 파일들 모두 전송하게 된다. 이 번에 발견된 이미지 파일들을 탈취하기…
연봉 계약서로 위장한 취약한 한글 파일 발견 Posted By ASEC , 2012년 10월 26일 ASEC에서는 지속적으로 국내 관공서 등에서 많이 사용되는 한글 소프트웨어의 취약점을 악용하여 악성코드 감염을 시도하는 공격에 대해 알린 바가 있다. 이러한 한글 소프트웨어의 취약점을 악용하는 공격 형태는 10월 24일 대통령 선거 공약 관련 내용으로도 유포 된 바가 있다. 10월 25일에는 일반 기업들의 연봉 계약서 내용으로 위장하여 유포된 취약한 한글 파일이 발견되었다. 이 번에 발견된 취약한 한글 파일은 “연봉계약서.hwp (1,015,812 바이트)” 라는 파일명을 가지고 있으며, 이를 열게 되면 아래 이미지와 같은 내용을 가지고 있다. 해당 취약한 한글 파일은 HwpApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플 로우로 인한 코드 실행 취약점이다. 해당 취약점은 2012년 6월에 발견되었으며, 당시 제로 데이(Zero-Day,0-Day) 취약점으로 발견되었다. 해당 취약한 한글 파일이 열리게 되면, 사용자 모르게 백그라운드로 “system32.dll (81,920 바이트)”를 다음 경로에 생성하게 된다. C:Documents and SettingsTesterLocal SettingsTempsystem32.dll 그리고 생성한 system32.dll 는…
오라클 자바 JRE 7 제로 데이 취약점 관련 보안 패치 배포 Posted By ASEC , 2012년 8월 31일 ASEC에서는 8월 29일 “오라클 자바 JRE 7 제로 데이 취약점 악용 악성코드 유포“를 통해 오라클 자바 JRE(Java Runtime Environment) 7에서 임의의 코드를 실행 할 수 있는 코드 실행 취약점(CVE-2012-4681)을 발견하였음을 공개하였다. 한국 시간으로 8월 31일 금일 자바 JRE 7에 존재하는 취약점 CVE-2012-4681을 제거 할 수 있는 보안 패치를 보안 권고문 “Oracle Security Alert for CVE-2012-4681“를 통해 공개하였다. 현재 해당 자바 JRE 7에 존재하는 취약점 CVE-2012-4681을 악용하는 JAR 파일이 공다 팩(GongDa Pack)과 블랙홀(Blackhole)이라 불리는 웹 익스플로잇 툴킷(Web Exploit Toolkit)을 통해 백도어 기능을 수행하는 윈도우 악성코드와 맥(Mac) 악성코드 등 지속적으로 다양한 형태의 악용 사례가 발견되고 있다. 그러므로, 오라클에서 배포 중인 해당 보안 패치를 즉시 설치하여 해당 CVE-2012-4681 취약점을 악용하는 다양한 보안 위협을 예방하는 것이 중요하다. 오라클에서 배포 중인 보안 패치를 포함한 최신 버전은 웹 사이트 “무료 Java 다운로드” 또는 “Java SE Downloads“를…
악성코드 감염으로 알려진 일본 재무성 침해 사고 Posted By ASEC , 2012년 8월 21일 2012년 7월 21일 일본 국내 언론들을 통해 “Finance Ministry reveals 2010-2011 computer virus; info leak feared” 일본 재무성에서 2010년에서 2011년 2년 사이에 감염된 악성코드가 발견되었으며, 이로 인해 내부 정보가 유출 되었을 것으로 추정된다는 기사가 공개 되었다. ASEC에서는 해당 침해 사고와 관련한 추가적인 정보와 관련 악성코드를 확인하는 과정에서 해당 침해 사고와 관련된 악성코드를 확보하게 되었으며, 해당 악성코드는 약 1년 전인 2011년 9월 경에 발견된 것으로 파악하고 있다. 이번에 파악된 악성코드가 실행되면 해당 파일이 실행된 동일한 경로에 다음 파일을 생성하고, 정상 시스템 프로세스인 explorer.exe에 스레드로 인젝션하게 된다. C::[악성코드 실행 경로]tabcteng.dll (114,688 바이트) 그리고 다음 레지스트 경로에 키 값을 생성하여 감염된 시스템이 재부팅하더라도 자동 실행 되도록 구성하게 된다. HKLMSYSTEMControlSet001ServicesNetmanParametersServiceDll “C:[악성코드 실행 경로]tabcteng.dll” 감염된 시스템에 존재하는 인터넷 익스플로러(Internet Explorer)의 실행 파일 iexplorer.exe를 실행 시켜 HTTP로 외부에 존재하는…
