The “Kimsuky” Operation로 명명된 한국을 대상으로 한 APT 공격 Posted By ASEC , 2013년 9월 12일 2013년 9월 12일 새벽 러시아 보안 업체인 캐스퍼스키(Kaspersky)에서는 해당 업체 블로그 “The “Kimsuky” Operation: A North Korean APT?“를 통해 한국을 대상으로 한 고도의 APT(Advanced Persistent Threat) 공격이 발견되었음을 공개하였다. 해당 블로그에서는 총 31개의 악성코드 MD5 해쉬(Hash) 값을 공개하였으며, 공격자는 불가리아의 무료 이메일 서버스인 mail.bg 를 이용해 감염된 시스템에서 탈취한 데이터를 보관하고 있다고 밝히고 있다. ASEC에서는 해당 블로그에서 공개한 총 31개의 악성코드에 대해 2013년 6월부터 발견되고 있음을 파악하고 다양한 방안으로 대응을 진행 중에 있다. 아래 그래프는 이번에 캐스퍼스키에서 명명한 The “Kimsuky” Operation에서 공개된 31개의 악성코드들을 ASD(AhnLab Smart Defense)의 데이터 베이스에 다년간 축적된 데이터를 이용해 발견된 시기를 년도와 월별로 정리한 내역이다. 이번 한국을 대상으로한 The “Kimsuky” Operation로 명명된 APT 공격에 사용된 악성코드는 2009년 3월 최초로 발견되었으며, 4년 동안 동일한 형태의 다른 변형들이 발견되지 않았다. 그러나 2013년 6월 초를 시작으로 6월 한…
대통령 선거 관련 내용을 담은 취약한 한글 파일 발견 Posted By ASEC , 2012년 10월 25일 ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어 존재하는 취약점들을 악용하여 악성코드 감염을 시도한 공격 사례들에 대해 여러 차례 공유 한 바가 있다. 특히 최근 1달 사이만을 살펴보더라도 아래와 같이 다수의 공격 사례들이 있어, 외부에서 유입되는 이메일에 첨부된 한글 파일을 열게 될 경우에는 각별한 주의가 필요하다. 2012년 10월 19일 – 국방 관련 내용을 담은 취약한 한글 파일 발견 2012년 10월 10일 – 한글 소프트웨어의 제로 데이 취약점 악용 악성코드 2012년 10월 09일 – 전자 문서들의 취약점을 악용하는 악성코드들 다수 발견 2012년 09월 21일 – 다양한 전자 문서들의 취약점을 악용한 악성코드 2012년 10월 24일, 다시 한글 소프트웨어에 존재하는 알려진 취약점을 악용하는 취약한 한글 파일 2건이 발견되었다. 이 번에 발견된 취약한 한글 파일 2건은 국내 유명 포털 웹 사이트에서 제공하는 메일 서비스의 이메일 주소 이용하고…
한글 소프트웨어의 제로 데이 취약점 악용 악성코드 Posted By ASEC , 2012년 10월 10일 ASEC에서는 그 동안 한글 소프트웨어에 존재하는 취약점들을 악용하는 악성코드 유포 사례들을 공개 한 바가 있다. 그리고 2012년 6월 15일에는 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용한 악성코드 유포 사례가 있음을 공개하기도 하였다. 2012년 10월 8일 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용하여 악성코드 유포를 시도한 사레가 다시 발견되었으다. 이 번에 발견된 제로 데이 취약점을 악용하느 취약한 한글 파일은 아래 이미지와 같은 내용을 가지고 있으며, 유포 당시에는 “한반도통일대토론회-120928.hwp (225,792 바이트)”라는 파일명을 사용하였다. 해당 취약한 한글 파일은 앞서 언급한 바와 같이 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용하고 있으며, 현재 한글과 컴퓨터에서 관련 보안 패치를 제공하지 않고 있다. 악용되는 취약점은 한글 소프트웨어에서 사용되는 HwpApp.dll에 존재하는 한글 문서 내용을 파싱 할 때 발생하는 힙 스프레이 오버플로우(Heap-spray Overflow)로 인한…
인터넷 익스플로러 버전 7과 8의 제로 데이 취약점 악용 Posted By ASEC , 2012년 9월 18일 마이크로소프트(Microsoft)에서는 2012년 9월 17일 블로그 “Microsoft Security Advisory (2757760) Vulnerability in Internet Explorer Could Allow Remote Code Execution“를 통해 인터넷 익스플로러(Internet Explorer) 버전 7과 8에 알려지지 않은 제로 데이(Zero Day, 0-Day) 취약점이 발견되음을 공개하였다. 이 번에 발견된 해당 제로 데이 취약점은 인터넷 익스플로러에서 HTML 파일을 렌더링하는 과정에서 메모리 오염으로 인한 임의의 코드 실행 취약점으로, 현재 해당 제로 데이 취약점을 악용한 공격이 9월 14일을 전후하여 실제 발생하였다. 해당 제로 데이 취약점은 8월 26일 공개된 오라클 자바 JRE 7 제로 데이 취약점 악용 악성코드 유포 관련 서버에서 발견되어, 자바(Java) 취약점 악용과 관련이 있을 것으로 추정된다. 이 번에 유포된 인터넷 익스플로러 제로 데이 취약점을 악용에는 Exploit.html (304 바이트), Moh2010.swf (13,631 바이트), Protect.html (973 바이트)와 111.exe (16,896 바이트) 총 4개의 악성코드가 사용되었다. 최초 Exploit.html (304 바이트)에는 아래 이미지와 같이 Moh2010.swf (13,631 바이트)을 호출하는 코드를 포함하고 있으며, 해당 Moh2010.swf (13,631 바이트)는 DoSWF라는…
오라클 자바 JRE 7 제로 데이 취약점 악용 악성코드 유포 Posted By ASEC , 2012년 8월 29일 미국 현지 시각으로 8월 26일 보안 업체 FireEye에서 블로그 “ZERO-DAY SEASON IS NOT OVER YET“를 통해 오라클(Orcle) 자바 JRE(Java Runtime Environment) 7에서 임의의 코드를 실행 할 수 있는 코드 실행 취약점(CVE-2012-4681)을 발견하였음을 공개하였다. 현재 해당 자바 JRE 취약점은 개발 업체인 오라클에서 해당 보안 취약점을 제거할 수 있는 보안 패치를 제공하지 않고 있는 제로 데이(Zero-Day, 0-Day) 취약점으로 각별한 주의가 필요하다. 이 번에 발견된 자바 JRE 관련 제로 데이 취약점은 다음 버전의 소프트웨어에서 악용이 가능하다. Oracle Java 7 (1.7, 1.7.0) Java Platform Standard Edition 7 (Java SE 7) Java SE Development Kit (JDK 7) Java SE Runtime Environment (JRE 7) 해당 자바 JRE 관련 취약점은 최초 아래 이미지와 같이 중국에서 제작된 공다 팩(GongDa Pack)이라 불리는 웹 익스플로잇 툴킷(Web Exploit Toolkit)에서 사용되는 스크립트 악성코드를 통해 유포되었으며,…
