패치드(Patched) 형태의 악성코드 변천사 Posted By ASEC , 2012년 10월 18일 ASEC에서는 그 동안 악성코드에 의해 정상 윈도우(Windows) 시스템 파일을 변조시켜 악의적인 기능을 수행하는 패치드(Patched) 형태의 악성코드에 대한 정보들을 공개하였다. 특히 다양한 온라인 게임의 사용자 정보들을 탈취하는 온라인 게임 관련 트로이목마(OnlineGameHack)에 의해 온라인 게임의 메인 실행 프로세스의 주소 공간에 악성코드인 DLL 파일을 안정적으로 실행시키기 위해 윈도우 시스템의 정상 DLL 파일들을 감염 시키는 형태가 자주 발견되고 있다. 이러한 형태의 악성코드들을 일반적으로 패치드(Patched) 형태의 악성코드라고 불리고 있으며, 현재까지 발견된 악성코드에 의해 사용되는 패치드 기법들을 다음과 같이 정리 할 수 있다. 1. DLL 파일에 악의적인 DLL 파일을 로드하는 코드 삽입 후 이 코드로 분기하도록 패치하는 형태 일반적으로 많이 알려진 패치드 형태로서, 과거 3년 전부터 발견되기 시작하였으며, 주로 패치의 대상이 되었던 윈도우 정상 DLL 파일들은 imm32.dll, olepro32.dll, dsound.dll과 같다. 패치가 된 DLL 파일은 위 이미지와 같이 파일의 섹션 끝 부분에 쉘코드(Shellcode)가 삽입 되어…
MS12-004 윈도우 미디어 취약점을 악용한 악성코드 유포 Posted By ASEC , 2012년 1월 27일 2012년 1월 27일 금일 트렌드 마이크로(Trend Micro) 블로그 “Malware Leveraging MIDI Remote Code Execution Vulnerability Found“를 통해 마이크로소프트(Microsoft)에서 1월 11일 배포하였던 보안 패치인 “MS12-004 Windows Media의 취약점으로 인한 원격 코드 실행 문제점 (2636391)“와 관련된 취약점(CVE-2012-0003)을 악용하여 유포된 악성코드가 발견되었다. 해당 MS12-004 취약점을 악용하여 유포된 악성코드와 관련된 사항들을 ASEC에서 추가적인 조사를 진행하는 과정에서 해당 악성코드는 아래와 같은 전체적이 구조를 가지고 있는 것으로 파악하였다. 악성코드 감염의 근본적인 시작이 되는 mp.html(16,453 바이트) 파일은 최초 1월 21일 설날 연휴가 시작되는 토요일 국내에서 발견되었으며, 해당 스크립트 악성코드가 존재하였던 시스템은 미국에 위치하고 있다. 그리고 해당 악성코드들과 관련된 공격자는 한국과 중국을 포함한 극동 아시아 권을 주된 대상으로 해당 악성코드들을 유포 한 것으로 ASEC에서는 추정하고 있다. 해당 mp.html 스크립트 악성코드를 텍스트 에디터로 분석을 해보면 아래와 같은 구조를 가지고 있으며, 파일…
Malicious Software, Friday Night Fever~!! Posted By ASEC , 2011년 6월 24일 1. 서론 ⊙ 금요일 퇴근 후 또는 학업을 마치고, PC를 사용하는 인터넷 사용자를 타겟으로 하는 악성코드가 여전히 기승을 부리고 있다. 이러한 악성코드의 감염 원인과, 예방방법을 알아보자. 2. 악성코드 유포 사이트 ⊙ 국내에서 주말마다 반복되는 악성코드 유포 경유지 이번주는 어디일까? 본격적인 어둠이 오기전 먼저 유포를 시작하는 곳 중, 한두 곳만 살펴 보았다. – 악성코드 유포 경유지 : 현재는 조치되어 유포하고 있지 않다. [그림] 악성 스크립트 유포 사이트 – 해당 사이트에 접속하면, 아래와 같은 사이트로 연결되어 악의적인 스크립트가 실행된다. [그림] 악성코드를 감염시키기 위해 다운로드 되는 파일 정보 – 이중 마지막 단계인 main.swf 파일을 살펴보자. 최근, Adobe Flash Player (CVE-2011-2110) 취약점을 이용한 악성코드 감염이 일반적이다. [그림] Adobe Flash Player 취약점을 이용한 main.swf 내부 코드 – 다운로드 받는 파일을 확인해 보자. main.swf 파일에 파라미터 “info=”를 통해 URL을…
시스템 파일을 변조하는 온라인 게임핵 악성코드 변경 Posted By ASEC , 2011년 6월 19일 1. 서론최근 윈도우 시스템 파일을 악성으로 변조하는 온라인 게임핵 악성코드가 다수 발견되고 있다. 이러한 악성코드는 대부분 웹사이트를 통해 유포되는데 계속해서 새로운 변종을 만들고 있어 많은 사용자가 감염이 되어 정보공유 차원에서 작성을 한다.2. 악성코그 감염 경로해당 악성코드는 웹사이트를 통해 유포되며 유포방법은 총 3가지 취약점을 이용한다.1) Adobe Flash Player, CVE-2011-0611위 취약점은 SWF 파일을 이용한 취약점으로 주소 banner숫자.swf, nb.swf 등의 파일명으로 유포가 이루어 진다. 분석을 해보면 아래와 같이 SWF 파일 내부에 쉘코드가 포함된 것을 확인할 수 있다. [그림 1] SWF 파일 분석 화면 해당 쉘코드를 분석하면 아래와 같이 jpg을 받아 실행함을 알 수 있다. 확장자는 jpg나 실제로는 이미지 파일이 아닌 악성코드 파일이다. [그림 2] 쉘코드 분석 후 최종 다운로드 받는 URL을 확인한 화면 2) Adobe Flash Player, CVE-2011-2110해당 취약점은 지난 6월 15일에 보안…
악성코드 유포에 이용된 Adobe Flash Player 취약점 업데이트! Posted By ASEC , 2011년 6월 15일 최근 주말에 국내 다수의 사이트에서 윈도우 시스템 파일을 악성으로 변조시키는 악성코드가 유포되었습니다. 유포에 이용된 취약점은 Adobe Flash Player 취약점이며, Adobe 사에서 금일 긴급 보안 업데이트가 이루어 졌습니다. 따라서 아래 사이트를 방문하셔서 업데이트를 꼭! 진행하시기 바랍니다.Adobe Flash Player 업데이트 : http://www.adobe.com/go/getflash상세정보 : http://www.adobe.com/support/security/bulletins/apsb11-18.html추가로 현재 시스템에 설치된 Adobe Flash Player 버전을 확인하고자 하신다면 아래 메뉴에서 확인해 보시기 바랍니다. Windows 7 : [제어판] – [시스템 및 보안] – [Flash Player] Windows XP : [제어판] – 왼쪽의 [기타 제어판 옵션] – [Flash Player] 위 메뉴를 찾아 실행 후 아래와 같이 [고급] 탭에서 확인하실 수 있습니다. 현재 최신버전은 10.3.181.26 입니다. 만약 위에 안내해드린 메뉴에서 [Flash Player] 메뉴가 존재하지 않는다면 최신버전이 아니오니 업데이트를 하시기 바랍니다. 추가로 이미 악성코드에 감염된 사용자는 인터넷 익스플로러 실행 시 브라우져가 정상적으로…
