웹 사이트 접속만으로도 디도스 공격 발생시키는 공격방식 확인 Posted By ASEC , 2013년 6월 26일 – 청와대, 국정원, 새누리당 사이트는 악성 스크립트 방식의 새로운 디도스 공격 받아 – 정부통합전산센터는 좀비PC방식의 기존 디도스 방식 공격 받아 안랩[대표 김홍선 http://www.ahnlab.com]은 25일 일부 정부기관을 공격한 디도스[DDoS: Distributed Denial of Service, 분산 서비스 거부] 공격에 대한 분석내용을 추가 발표했다. 안랩은 이번 정부기관에 대한 디도스 공격은 악성스크립트를 이용한 새로운 방식과, 악성코드에 감염된 좀비PC를 이용하는 기존 디도스 공격 방식이 혼재되어 있다고 밝혔다. 안랩은 청와대, 국정원과 새누리당 웹 사이트는 ‘악성스크립트 방식’의 디도스 공격을 받았고, 이는 국가적 대형 디도스 공격에 처음으로 사용된 기법이라고 밝혔다. 또한 안랩은 정부통합전산센터의 DNS[Domain Name Service]서버는 좀비PC를 사용한 기존 방식의 디도스 공격을 받은 것으로 확인했다. 안랩이 최초로 확인한 ‘악성스크립트 방식’ 디도스 공격은 기존 좀비PC를 이용한 공격과 달리, 공격자가 특정 웹사이트에 악성스크립트를 설치하고 사용자들이 이 사이트를 방문하면, 미리…
6.25 DDoS 공격에 사용된 악성코드 상세 분석 Posted By ASEC , 2013년 6월 25일 6월 25일 오전 10시에 일부 정부 기관 홈페이지를 대상으로 DDoS(Distributed Denial of Service) 공격을 수행하도록 제작된 악성코드가 발견되었다. ASEC에서는 해당 DDoS 공격 수행 기능을 가진 악성코드들을 신속하게 확보하여 상세한 분석을 진행 중에 있다. 현재까지 분석된 정보들은 아래와 같으며, 추가적으로 분석된 정보들은 ASEC 블로그를 통해 지속적으로 업데이트 할 예정이다. [업데이트 히스토리] 1) 2013.06.25 – 6.25 DDoS 공격에 사용된 악성코드 상세 분석 내용 최초 작성 2) 2013.06.26 – 6.25 DDoS 공격에 사용된 악성 스크립트 상세 분석 내용 추가 1. 공격 시나리오 특정 웹하드 업체(www.simdisk.co.kr)의 설치 파일(RARSFX)을 변조하여 압축 해제 후 SimDiskup.exe 가 실행 되도록 해두었다. 아래 이미지는 이 번에 유포된 악성코드들의 전체적인 상관 관계를 도식화한 이미지이다. 2. 주요 파일 분석 정보 1) servmgr.exe (4,383,232 바이트) 해당 파일은 전체적인 구조에서 드롭퍼(Dropper) 역할을 수행하도록 제작된 악성코드이다. 해당 파일의 리소스(Resource) 영역에는 다른 PE…
YSZZ 스크립트 악성코드의 지속 발견 Posted By ASEC , 2012년 8월 14일 ASEC에서는 중국에서 제작되는 것으로 추정되는 GongDa Pack으로 명명된 스크립트 형태의 악성코드가 지속적으로 발견되고 있다는 것을 공개한 바가 있다. 7월 30일 – GongDa Pack의 스크립트 악성코드 증가 최근들어 GongDa Pack으로 명명된 스크립트 악성코드 이외에 YSZZ로 명명된 스크립트 악성코드가 버전을 계속 변경하면서 유포되고 있는 것이 발견되었다. 7월 3일 발견된 스크립트 악성코드의 경우는 아래 이미지처럼 상반기부터 발견되기 시작한 다른 YSZZ 스크립트 악성코드 변형들과 동일하게 0.3 버전의 스크립트 였다. 그러나 8월 3일 발견된 YSZZ 스크립트 악성코드는 아래 이미지와 같이 0.8 VIP 버전으로 업데이트된 버전의 스크립트 였다. 8월 11일 주말에 발견된 YSZZ 스크립트 악성코드는 아래 이미지와 같이 0.9 VIP 버전으로 다시 업데이트된 버전의 스크립트 였다. 해당 업데이트 된 버전의 YSZZ 스크립트 악성코드들은 V3 제품군에서 다음과 같이 진단한다. 하지만 다수의 변형들이 지속적으로 발견되고 있음으로 주의가 필요하다. HTML/Downloader JS/Downloader JS/Agent 그리고 네트워크…
ASEC 보안 위협 동향 리포트 2012 Vol.26 발간 Posted By ASEC , 2012년 3월 20일 안철수연구소 ASEC에서 2012년 2월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.26을 발간하였다. 이 번에 발간된 ASEC 리포트는 2012년 2월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈 PC에 존재하는 모든 문서 파일을 탈취하는 악성코드 누군가 나를 지켜보고 있다? 웹캠으로 도촬하는 악성코드 가짜 KB국민은행 피싱 사이트 주의 스마트폰의 문자 메시지로 전달되는 단축 URL 특정 기관을 목표로 발송되는 발신인 불명의 이메일 주의 시리아 반정부군을 감시하기 위한 악성코드 유포 변형된 MS12-004 취약점 악용 스크립트 발견 MS11-073 워드 취약점을 이용하는 타깃 공격 발생 어도비 플래시 취약점 이용한 문서 파일 발견 wshtcpip.dll 파일을 변경하는 온라인게임핵 발견 윈도우 비스타, 윈도우 7을 대상으로 하는 온라인게임핵 악성코드 발견 2) 모바일 악성코드 이슈 안드로이드 애플리케이션에 포함된 윈도우 악성코드 3) 보안…
안드로이드 어플리케이션에 포함된 윈도우 악성코드 Posted By ASEC , 2012년 2월 3일 일반적으로 서로 다른 윈도우(Windows) 운영체제와 리눅스(Linux) 운영체제에서 모두 감염되어 동작하는 악성코드를 제작하는 것은 기술적으로 많은 사항들을 고려해야 되는 문제임으로 쉽지 않은 사항이다. 특히나 모바일(Mobile) 운영체제와 일반 윈도우 PC 모두에 감염되어 동작하는 악성코드를 제작하기라는 것은 더욱 쉽지 않은 사항이다. 2012년 2월 3일 ASEC에서는 하루동안 전세계에서 수집되어 분석되었던 안드로이드(Android) 어플리케이션들을 확인하는 과정에서 특이하게 특정 어플리케이션 내부에 윈도우 악성코드가 포함되어 있는 것을 발견하였다. 이 번에 발견된 안드로이드 어플리케이션은 아래와 같은 구조를 가지고 있으며, 아래 이미지의 붉은색 박스로 표기한 스크립트 파일인 about_habit.htm(123,196 바이트)를 내부에 포함하고 있다. 해당 안드로이드 어플리케이션 내부에 포함된 about_habit.htm는 일반적인 HTML 파일이 아니며 실제로는 비주얼 베이직 스크립트(Visual Basic Script)로 다음과 같은 형태를 가지고 있다. 해당 비주얼 베이직 스크립트 파일은 svchost.exe(61,357 바이트) 파일명으로 윈도우 운영체제에서 감염되는 악성코드를 생성하고 실행하게 되었다. 그러나 해당 비주얼 베이직 스크립트 파일은 안드로이드…
