ASEC 보안 위협 동향 리포트 2013 Vol.43 발간 Posted By ASEC , 2013년 9월 13일 안랩 ASEC에서 2013년 7월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.36을 발간하였다. 이 번에 발간된 ASEC 리포트는 2013년 7월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈 고객님, 당황~하셨어요? 구매 발주서로 위장한 키로그 악성코드 주의 구입 주문서 위장 악성 메일 PayPal 피싱 주의 날씨 배너에 숨겨진 악성코드 회사 도메인 파일을 첨부한 악성 스팸 메일 주의 특정 기관을 대상으로 유포된 한글 악성코드 발견 한글 문서 파일을 노린 악성코드 NTFS 파일 시스템을 악용하는 악성코드 일본 자동차 업체의 해외 사이트 악성코드 유포 2) 모바일 악성코드 이슈 PC 정보 탈취하는 안드로이드 앱 안드로이드 인증서 우회 취약점 중국산 Langya 악성 앱 3) 보안 이슈 마이크로소프트 IE Use-After-Free 취약점 (CVE-2013-3163) 악용 국내 다수의 사이트를 통해 악성코드 뱅키(Banki) 배포 ASEC에서…
ZeroAccess로도 알려진 Smiscer 변형 Posted By ASEC , 2012년 10월 5일 제로엑세스(ZeroAccess)로도 알려진 스미서(Smiscer) 변형은 얼마 전 국내 언론의 “악성코드 ‘제로액세스’, 전 세계 900만대 감염시켜” 기사를 통해 전 세계적으로 많은 감염 피해를 유발하고 있다. ASEC에서는 9월 초에 발견된 스미서의 변형에 대해 상세한 분석을 통해 이 번에 발견된 스미서 변형이 어떠한 방식으로 동작하는지 파악하였다. 우선 스미서 변형의 감염 기법을 이해하기 위해서는 EA(Extended Attributes)에 대한 이해가 선행되어야 한다. EA(Extended Attributes)는 원래 HPFS(High Performance File System)에 있는 기능을 NTFS에서 구현 해 놓은 것을 말하며, 쉽게 설명하면 파일의 추가적인 속성을 “Name=Value” 처럼 환경 변수 형태로 파일에 붙이는 것을 이야기 한다. 윈도우 시스템에서는 ZwSetEaFile과 ZwQueryEaFile 두 개의 API로 해당 값들을 Set 혹은 Query 할 수 있게 제공하고 있으며 FILE_FULL_EA_INFORMATION이라는 구조체의 링크드 리스트(Linked List)로서 EA를 구현해 놓았다. 물론 EaValueLength가 2 Byte 변수이므로 최대 64K 바이트(Byte)까지 값을 쓸수 있다. 위 이미지와 같은…
