Trojan

독일 은행을 노리는 스파이아이 변형 발견

ASEC에서는 4월 4일 온라인 뱅킹 정보 탈취를 위해 제작된 스파이아이(SpyEye) 트로이목마가 이제는 온라인 뱅킹외에 다양한 국가에 위치한 다양한 산업군의 웹 사이트들에서 사용자 계정 정보들의 탈취를 노린다는 정보를 전달한 바가 있다. 이러한 스파이아이 트로이목마가 감염 형태가 기존에 발견되었던 스파이아이 변형들과 다른 새로운 형태의 스파이아이 변형이 발견되었다. 이 번에 발견된 스파아이 트로이목마는 전체적인 동작면에서는 기본적으로 동일한 것으로 미루어 현재까지 언더그라운드에 공개된 다양한 온라인 뱅킹 정보 탈취 트로이목마들의 소스코드 중 스파이아이의 소스코드를 사용된 것으로 추정된다. 추가적으로 ASEC에서는 2012년 5월 중순부터 해당 새로운 스파이아이 트로이목마 변형이 유포되기 시작한 것으로 추정되며, 그리고 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 한 종류인 블랙홀 익스플로잇 툴킷(Blackhole Exploit Toolkit)에 의해 유포된 것으로 추정하고 있다. 해당 스파이아이 트로이목마에 감염되면 감염된 시스템에서 실행 중인 정상 윈도우 시스템 파일 explorer.exe의 프라이빗 메모리(Private Memory) 영역에 자신의…

안드로이드 모바일 허위 백신 유포

안드로이드(Android) 스마트폰의 사용율이 전 세계적으로 증감하에 따라 이와 관련된 다양한 보안 위협들이 발생하고 있다. 특히 해당 모바일(Mobile) 운영체제에서 동작하는 악성코드들은 2011년 하반기를 기점으로 기하 급수적으로 증가하고 있으며, 제작 목적 역시 금전 획득을 위한 목적으로 제작되는 사례들도 동반 증가하고 있다. 이러한 안드로이드 악성코드들의 유포는 현재까지 대부분이 구글(Google)에서 운영하는 안드로이드 앱스토어(Android Appstore) 또는 방문자가 많은 유명 서드 파티 앱스토어(3rd Party Appstore)를 통해 유포되는 사례가 많았다. 그러나 현재는 허위 앱 스토어를 통해 직접 유포하거나 유명 앱들을 배포하는 웹 사이트로 위장하여 유포하는 방식 등으로 기존 윈도우(Windows) 운영체제 기반의 PC에 감염되는 악성코드들이 유포되는 방식들을 그대로 답습하는 형태로 발전하고 있다. 이러한 안드로이드 악성코드가 금일 기존 윈도우 운영체제 기반의 PC에 감염되었던 허위 백신들과 유사한 형태로 유포되는 사례가 발견되었다. 이러한 허위 백신 형태의 악성코드는 최근 애플 맥(Mac) 운영체제 사용자들이…

어도비 플래쉬 CVE-2012-0754 취약점 악용한 문서 파일들 발견

최근 발견되고 있는 타겟 공격(Targeted Attack) 이나 APT(Advanced Persistent Threat) 형태의 공격들에서는 공통적으로 마이크로소프트 오피스(Microsoft Office), 어도비 리더(Adobe Reader) 그리고 한글 프로그램과 같은 전자 문서 파일에 존재하는 취약점들을 악용하는 사례가 자주 발견되고 있다. 그 중에서 특히 어도비 리더와  어도비 플래쉬(Adobe Flash)에 존재하는 취약점들을 악용하여 원격 제어 기능을 가지고 있는 악성코드를 유포하는 사례가 자주 발견되고 있다. 금일 해외에서 어도비 플래쉬에 존재하는 CVE-2012-0754 취약점을 악용하는 마이크로소프트 워드(Microsoft) 파일 또는 엑셀(Excel) 파일을 이용한 타겟 공격이 발견되었으며, 해당 공격은 이메일의 첨부 파일로 존재한 것으로 공개되었다. 어도비 플래쉬에 존재하는 CVE-2012-0754 취약점은 제로 데이(Zero-Day, 0-Day) 취약점은 아니며, 미국 현지 시각으로 2012년 2월 15일 어도비에서 보안 권고문 “APSB12-03 Security update available for Adobe Flash Player” 을 통해 보안 패치를 배포 중에 있다. 이번에 발견된 CVE-2012-0754 취약점을 악용하는 취약한…

시리아 반정부군을 감시하기 위한 악성코드 유포

2월 17일 해외 언론인 CNN의 기사 “Computer spyware is newest weapon in Syrian conflict“를 통해 시리아 정부에서 반정부군의 동향을 수집하고 감시하기 위한 목적으로 악성코드를 유포하였다 내용이 공개되었다. 이 번에 알려진 해당 악성코드는 현재까지 ASEC에서 파악한 바로는 특정인들을 대상으로 이메일의 첨부 파일로 전송된 것으로 파악하고 있다. 이 메일에 첨부된 해당 악성코드는 일반적으로 많이 사용되는 RARSfx로 압축되어 있으며, 파일 내부에는 아래 이미지와 같이 백도어 기능을 수행하는 svhost.exe(69,632 바이트)와 정상 이미지 파일인 20111221090.jpg(114,841 바이트)가 포함되어 있다. 해당 RARSfx로 압축된 파일을 실행하게 되면 아래 경로에 파일들을 생성하고 실행하게 된다. C:Documents and Settings[사용자 계정명]Local SettingsTemp20111221090.jpg C:Documents and Settings[사용자 계정명]Local SettingsTempsvhost.exe 그리고 감염된 시스템의 사용자가 악성코드 감염을 파악하지 못하도록 다음 이미지와 같은 이미지 파일을 보여주게 된다. 임시 폴더(Temp)에 생성된 svhost.exe(69,632 바이트)는 마이크로소프트 비주얼 베이직(Microsoft Visual Basic)으로…

MS11-073 워드 취약점을 악용한 타겟 공격 발생

2012년 2월 10일 미국 보안 업체인 시만텍(Symantec)에서는 블로그 “New Targeted Attack Using Office Exploit Found In The Wild“을 통해 마이크로소프트(Microsoft)에서 2011년 9월 공개한 보안 패치 “Microsoft Security Bulletin MS11-073 Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점 (2587634)” 취약점을 악용한 타겟 공격(Targeted Attack)을 발견되었음 공개하였다. 해당 MS11-073 취약점을 악용한 타겟 공격은 이메일을 통해 진행되었으며 ZIP으로 압축된 첨부 파일에는 아래 이미지와 같이 취약한 워드(Word) 파일과 fputlsat.dll(126,976 바이트)이 포함되어 있었다. 취약한 워드 파일을 fputlsat.dll(126,976 바이트)와 동일한 폴더에서 열게 되면 아래 이미지와 같은 워드 파일이 실행된다.  해당 취약한 파일이 실행되면 아래 이미지와 동일하게 fputlsat.dll(126,976 바이트)은 삭제되고 정상 Thumbs.db 파일이 생성된다. 그러나 실제로는 해당 취약한 워드 파일에 의해 윈도우 임시 폴더(Temp)에 ~MS2A.tmp(76,800 바이트)이 생성된다. 생성된  ~MS2A.tmp(76,800 바이트) 파일은 다시 윈도우 폴더(C:WINDOWS)와 윈도우 시스템 폴더(C:WINDOWSsystem32)에 iede32.ocx(13,824 바이트)을 생성하게 된다. 그리고 윈도우…