불특정 다수를 상대로한 추가 감염 주의 당부!! Posted By ASEC , 2013년 3월 25일 안랩(대표 김홍선, www.ahnlab.com)은 25일 악성코드의 추가배포 징후를 포착하여 고객 및 개인 PC 사용자의 주의를 당부했다. 이번 악성코드의 추가 배포는 오늘 오전 10시 30분부터 시작되었고 기업은 물론이고 개인용 PC(불특정 일반인) 대상으로 유포되었다는 점이 특징이다. 안랩은 어제(24일) 오전 9시 경 변종을 발견하여 분석한 결과 1차 공격에 사용된 악성코드의 특징인 MBR(Master Boot Record) 파괴기능은 물론 C&C(Command & Control) 서버와 통신하는 백도어 설치기능이 추가되었음을 확인했다고 밝혔다. 3월 20일 방송사와 금융사의 전산망을 마비시킨 1차 공격은 내부 타이머로 공격시간대를 특정한 반면 이번 공격에서는 C&C(Command & Control) 서버와 교신하여 공격자가 원하는 시간대에 공격을 할 수 있도록 되어있다. 특히 이 악성코드는 기존 백신의 진단/치료를 방해하는 기능이 있다. 안랩은 ASD엔진의 DNA기술을 이용하여 해당 악성코드를 이미 2013.03.20.07 엔진(20일 오후 9시 38분부터 배포)부터 이미 선제 대응이 가능했다….
주요 방송사 및 은행 전산망 장애 유발 악성코드 분석 Posted By ASEC , 2013년 3월 21일 3월 20일 14시경 주요 방송사 및 은행 전산망 장애가 발생하는 사고가 한국에서 발생하였으며, ASEC에서는 악성코드 감염 후 디스크 손상으로 부팅 불가로 인해 장애가 발생한 것으로 확인하였다. 현재 해당 악성코드는 운영체제에 따라 디스크를 손상시키는 기능이 포함되어 있으며, 상세한 디스크 손상 내용은 아래 분석 정보에 기술하였다. 해당 악성코드는 V3 엔진(엔진버전: 2013.03.20.06 이상)으로 업데이트 할 경우 검사 및 치료가 가능하며, 3월 20일 오후 6시경부터 제공 중인 전용백신으로도 검사 및 치료 할 수 있다. [UPDATE – 2013/03/25] 현재까지 ASEC에서 분석한 이번 주요 방송사 및 은행 전산망 장애를 유발한 악성코드는 다음 이미지와 같이 A 케이스와 B 케이스로 나누어서 발생하였다. 우선 위 이미지 좌측 편의 A 케이스에 사용되었던 파일들에 대한 세부 분석 내용은 다음과 같다. 우선 드로퍼인 File A는 %Temp% 폴더에 다음 파일들을 생성하게 된다. 1) File B : MBR 파괴 기능…
국방 관련 내용의 0-Day 취약점 악용 한글 파일 Posted By ASEC , 2012년 11월 26일 ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하였던 취약점들을 악용하여 원격 제어 형태의 악성코드 감염을 시도하는 형태의 위협들에 대해서 지속적으로 알려 왔었다. 금일 다시 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이(0-Day, Zero-Day) 취약점을 악용하여 원격 제어 형태의 악성코드 감염을 시도한 사례가 발견되었다. 현재 ASEC에서는 금일 발견된 해당 제로 데이 취약점에 대해 자세한 분석을 진행 중에 있다. 이 번에 발견된 취약한 한글 파일은 한국 시각으로 11월 21일에서 22일 사이에 정부 기관을 대상으로 유포된 것으로 추정된다. 해당 제로 데이 취약점을 가지고 있는 취약한 한글 문서를 열게 되면, 아래 이미지와 동일하게 “한국 공군의 위상에 대한 평가와 진단“이라는 제목의 문서 내용이 보여지게 된다. 해당 취약한 한글 문서를 한글과 컴퓨터에서 제공하는 최신 보안 패치가 모두 적용된 한글2010이 설치된 시스템에서 열게 되면 아래 경로에 “HncCtrl.exe (139,264 바이트)” 파일이…
한반도 정황 관련 내용을 가진 취약한 한글 파일 발견 Posted By ASEC , 2012년 11월 1일 ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 취약점을 악용하여 악성코드 감염을 시도하는 사례들에 대해 여러 차례 언급한 바가 있다. 최근인 10월 25일에는 대통령 선거 관련 내용을 가진 취약한 한글 파일이 유포된 사례가 있어, 한국 사회에서 주요 관심 사항으로 부각되는 주제들을 악성코드 유포에 악용하는 사회 공학(Social Engineering) 기법들이 정교해지고 있다. 이러한 한국 사회의 주요 관심 사항 중 하나인 한반도 정황 관련 내용을 포함하고 있는 취약한 한글 파일이 10월 31일 발견되었다. 이 번에 발견된 취약한 한글 파일은 “한반도 신뢰 프로세스.hwp (309,612 바이트)”라는 파일명으로 유포되었으며, 해당 취약한 한글 파일을 열게 되면 아래 이미지 파일과 같이 “한반도 신뢰 프로세스 (KOREA TRUST PROCESS)”라는 제목이 나타나게 된다. 해당 취약한 한글 파일을 보안 패치가 설치되지 않은 취약한 한글 소프트웨어를 사용하는 시스템에서 열게 되면 사용자 모르게 백그라운드로 “~ZZ.tmp(102,400 바이트)“를…
usp10.DLL 파일을 이용한 온라인 게임 악성코드 Posted By ASEC , 2012년 10월 22일 온라인 게임에서 사용되는 개인 정보들을 탈취하기 위한 악성코드는 몇 년에 걸쳐서 한국에서 꾸준히 발견되고 있으며, 이제는 매주 주말마다 새로운 변형들을 다양한 웹 어플리케이션 취약점들과 연동하여 유포하고 있다. 이러한 온라인 게임 관련 악성코드에 대해서 ASEC에서는 그 변형들이 악용하는 유포 기법들을 지속적으로 공유하고 잇다. 2011년 10월 – ws2help.dll을 교체하는 온라인 게임 악성코드 분석 2012년 3월 – CVE-2012-0754 취약점을 이용해 전파되는 온라인 게임핵 악성코드 2012년 7월 – XML 코어 서비스 취약점 악용으로 온라인 게임 악성코드 유포 2012년 7월 – GongDa Pack의 스크립트 악성코드 증가 2012년 8월 – YSZZ 스크립트 악성코드의 지속 발견 2012년 10월 – 패치드(Patched) 형태의 악성코드 변천사 이러한 온라인 게임의 사용자 개인 정보 탈취를 목적으로하는 악성코드가 최근에서는 usp10.DLL 파일을 악용하여 보안 소프트웨어를 무력화 기능까지 포함된 악성코드가 발견되었다. 이 번에 발견된 온라인 게임 관련 악성코드는 크게 3가지 부분으로…