어도비 리더 CVE-2013-0640 및 CVE-2013-0641 취약점 악용 Posted By ASEC , 2013년 2월 18일 어도비(Adobe)에서는 현지 시각으로 2월 13일 어도비 리더(Reader)와 아크로뱃(Acrobat)에 존재하는 취약점인 CVE-2013-0640 및 CVE-2013-0641를 악용한 타깃 공격(Targeted Attack)이 발생하였음을 보안 권고문 “Security Advisory for Adobe Reader and Acrobat“를 통해 밝혔다. 이 번에 발견된 2개의 어도비 리더와 아크로뱃 취약점은 기존에 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점으로 현재까지 해당 취약점들을 제거할 수 있는 보안 패치가 제공되지 않고 있다. ASEC에서 파악한 바로는 해당 제로 데이 취약점들은 아프가니스탄을 중심으로 한 중동 지역을 대상으로 한 타깃 공격(Targeted Attack) 형태로 이메일의 첨부 파일로 공격이 진행되었다. 어도비에서는 해당 취약점들에 영향을 받는 어도비 리더와 아크로뱃 버전들은 다음과 같음을 밝히고 있다. 윈도우(Windows) 및 맥킨토시(Macintosh) Adobe Reader XI (11.0.01 및 이전 버전) 윈도우(Windows) 및 맥킨토시(Macintosh) Adobe Reader X (10.1.5 및 이전 버전) 윈도우(Windows), 맥킨토시(Macintosh) 및 리눅스(Linux) Adobe Reader 9.5.3 및 이전 버전 윈도우(Windows), 맥킨토시(Macintosh) Adobe Acrobat XI (11.0.01 및 이전 버전) 윈도우(Windows), 맥킨토시(Macintosh)Adobe…
한글 파일 제로 데이(Zero-Day) 취약점 악용 공격 Posted By ASEC , 2013년 1월 29일 2012년도에는 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 취약점을 악용한 타깃 공격(Target Attack)이 예년에 비해 비교적 크게 증가하였다. 이 중에는 기존에 알려지지 않은 제로 데이(Zero Day, 0-Day)을 악용한 공격 형태도 2012년 6월과 11월에 발견될 정도로 한글 소프트웨어 취약점을 악용한 공격의 위험성이 증가하고 있다. 2012년 6월 – 한글 제로데이 취약점을 악용한 악성코드 유포 2012년 11월 – 국방 관련 내용의 0-Day 취약점 악용 한글 파일 이러한 한글 소프트웨어에 존재하는 기존에 알려지지 않은 제로 데이 취약점을 악용한 공격이 1월 25일경 다시 발견되었다. 이 번에 발견된 한글 소프트웨어의 제로 데이 취약점을 악용하는 취약한 한글 파일은 아래 이미지와 같이 다수의 개인 정보를 포함한 형태로 발견되었다. 해당 취약한 한글 파일은 아래 이미지와 동일한 같은 구조를 갖고 있으며, 이 중 “BinData” 항목의 “BIN0001.bmp” 라는 비정상적인 이미지를 파싱하는 과정에서 취약점이 발생하게 된다. 이로…
이스라엘 정부 기관 대상의 타겟 공격 발생 Posted By ASEC , 2012년 11월 1일 이스라엘 언론인 The Times of Israle의 “How Israel Police computers were hacked: The inside story“을 통해 이스라엘 정부 기관을 대상으로 한 타겟 공격(Targeted Attack)이 발생하였음이 공개되었다. 이러한 정부 기관을 대상으로 한 타겟 공격은 최근에는 10월 18일 대만 기상청을 대상으로한 타겟 공격이 발견된 사례가 있다. 특히 이 번에 발견된 이스라엘 정부 기관을 대상으로 한 타겟 공격은 대만 기상청을 대상으로 한 타겟 공격과 유사한 형태로 이메일을 통해 시작되었다. 이스라엘 정부 기관을 대상으로한 타겟 공격에 사용된 이메일은 다음과 같은 메일 형식을 가지고 있는 것으로 트렌드 마이크로(Trend Micro)에서 블로그 “Xtreme RAT Targets Israeli Government“를 통해 밝히고 있다. 발신인 – bennygantz59.gmail.com 이메일 제목 – IDF strikes militants in Gaza Strip following rocket barrage 첨부 파일명 – Report & Photos.rar 첨부된 Report & Photos.rar의 압축을 풀게 되면 “IDF strikes militants in…
대만 기상청을 대상으로한 타겟 공격 발견 Posted By ASEC , 2012년 10월 18일 어도비 리더(Adobe Reader)와 마이크로소프트 오피스(Microsoft Office)와 같은 전자 문서에 존재하는 취약점을 악용하여 악성코드 감염을 시도하는 사례들은 지속적으로 발견되고 있다. 10월 17일 ASEC에서는 대만의 기상청 내부 직원을 대상으로한 타겟 공격(Targeted Attack)이 발생하였음을 발견하였다. 이번 대만 기상청의 내부직원을 대상으로한 타겟 공격은 아래 이미지와 동일한 이메일을 통해 진행되었다. 해당 이메일들에는 첨부된 전자 문서는 “個人資料同意申請書.doc (247,200 바이트)”, “中央氣象局颱風資料庫研究用帳號申請表.doc (248,224 바이트)” 그리고 “國立中央大學大氣科學系通訊錄.xls (146,432 바이트)” 파일이 첨부되어 있었다. 첨부된 전자 문서 파일들은 개인정보 동의 신청서와 기상 관련 자료들 인것으로 위장하여 이메일의 수신인이 문서를 열어보기 쉬운 파일명을 사용하고 있다. 그리고 워드 문서의 경우에는 CVE-2012-0158 취약점을 악용하며 보안 권고문 “Microsoft Security Bulletin MS12-027 – 긴급 Windows 공용 컨트롤의 취약점으로 인한 원격 코드 실행 문제점 (2664258)” 을 통해 이미 보안 패치가 배포 중인 알려진 취약점이다. 그리고 취약한 전자 문서 파일들은 공통적으로 원격 제어가 가능한 백도어 형태의…
어도비 플래쉬 플레이의 CVE-2012-1535 취약점 악용 악성코드 Posted By ASEC , 2012년 8월 16일 어도비(Adobe)에서는 8월 15일인 어제 어도비 플래쉬 플레이어(Adobe Flash Player)에 존재하는 취약점인 CVE-2012-1535를 제거하기 위한 보안 패치를 배포 중임을 보안 권고문 “APSB12-18 Security update available for Adobe Flash Player“를 통해 밝혔다. 해당 보안 권고문을 통해 어도비에서는 플래쉬 플레이어에 존재하는 CVE-2012-1535 취약점은 버전 11.3.300.270 이하 버전에 발생하며, 제한적인 타겟 공격(Targeted Attack)에 악용되었음을 같이 공개하였다. ASEC에서는 추가적인 조사와 분석을 통해 해당 CVE-2012-1535 취약점을 악용한 타겟 공격은 마이크로소프트 워드(Microsoft Word)에 임베디드(Embedded) 된 워드 파일 형태로 유포되었으며, 유포 당시 “Running Mate.doc“와 “iPhone 5 Battery.doc“ 라는 파일명이 사용된 것으로 파악된다. 이번 발견된 어도비 플래쉬 플레이어에 존재하는 CVE-2012-1535 취약점을 악용하는 악성코드는 아래와 같은 워드 파일 구조를 가지고 있으며, 파일 내부에는 XOR로 인코딩된 백도어 파일도 같이 포함되어 있다. 취약한 어도비 플래쉬 플레이어 버전을 사용하는 시스템에서 해당 취약한 워드 파일을 열게 되면 내부에 포함된 취약한 SWF 파일도 함께 실행이…
