ASEC에서는 201년 02월 25일 유명 소셜 네트워크 서비스(Social Network Service) 웹 사이트인 트위터(Twitter)의 사용자간 전송 가능한 다이렉트 메시지(Direct Messages)로 악의적인 피싱(Phishing) 웹 사이트로 연결되는 링크가 포함된 것이 발견되었는 소식을 전한 바가 있었다.

금일 오전에는 또 다시 트위터 사용자들 사이로 송신자가 누구인지 불명확한 스팸(Spam) 성격의 다이렉트 메시지가 전송되었다.


이번에 전송된 스팸 형태의 트위터 다이렉트 메시지는 위 이미지와 같이 24세의 여성이 윈도우 라이브(Windows Live) 메신저(Messenger)로 연락을 달라는 문구를 담고 있다.

그러나 실제 메신저로 연결을 하게 될 경우 메신저에 등록된 메일 주소로 스팸 및 피싱 메일 등 다양한 보안 위협에 노출될 우려가 있음으로 이에 대한 각별한 주의가 필요하다.


이러한 형태로 전송한 사람이 누구인지 잘 모르는 트위터 다이렉트 메시지를 받게 될 경우에는 메시지를 삭제하고 메시지에 포함되어 있는 메일 주소, 웹 사이트 링크 및 단축 URL(URL Shortening)은 클릭하지 않는 것이 중요하다.

그리고 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 제품과 백신을 시스템에 설치하여 사전에 다양한 보안 위협으로 인한 피해를 예방 하도록 한다.
저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

해외 시각으로 2010년 2월 24일, 한 블로그를 통해 유명 소셜 네트워크 서비스(Social Network Service) 웹 사이트인 트위터(Twitter)의 사용자간 전송 가능한 다이렉트 메시지(Direct Messages)로 악의적인 피싱(Phishing) 웹 사이트로 연결되는 링크가 포함된 것이 발견되었다.

해당 블로그에서는 아래 이미지와 동일하게 트위터에 등록되어 있는 개인 사용자들에게 직접 전달되는 다이렉트 메시지가 전송 되었다.


해당 메시지에는 일반적으로 트위터 사용자들이 많이 사용하는 단축 URL(URL Shortening) 기법이 적용된 웹 사이트 링크가 포함되어 있었다.
ASEC에서는 다이렉트 메시지로 전달된 해당 단축 URL을 분석 한 결과, 해당 웹 사이트 링크를 클릭하게 되면 아래 이미지와 같이 허위로 작성된 트위터 사용자 로그인 웹 사이트로 연결이 된다.


해당 웹 사이트를 통해 사용자 계정과 암호를 실제로 입력하게 되면 아래 이미지에서와 같이 웹 페이지를 표시 할 수 없다는 오류가 발생하게 된다.


그러나 실제 전송되는 네트워크 패킷(Network Packet)을 분석해보면 아래 이미지에서와 같이 사용자 계정과 암호는 그대로 특정 시스템으로 전송이 되는 것을 확인 할 수 가 있었다.


해당 트위터 피싱 웹사이트와 사용자 계정과 암호가 전송되는 시스템은 중국 허베이(Hebei)에 위치하고 있어 탈취된 개인 정보가 중국으로 전송된 것을 알 수 가 있다.


이번 트위터에서 발생한 단축 URL을 통한 피싱 웹 사이트 연결은 일부 보안 업체에서 우려한 바와 같이 소셜 네트워크 사이트(Social Network Site)들 안에서 단축 URL로 인해 피싱이나 악의적인 웹 사이트로 연결하여 악성코드를 유포하는 등의 보안 위협이 발생 할 수 있다는 것을 증명한 사례로 볼 수 있다.


이렇게 소셜 네트워크 사이트들에 발생할 수 있는 악의적인 웹 사이트 접속으로 인해 피해가 발 생 할 수 있음으로 소셜 네트워크 사이트 내부에서 잘 모르는 사용자가 전송한 단축 URL은 함부로 클릭하지 않는 주의가 필요하다.

그리고 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 제품과 백신을 시스템에 설치하여 사전에 이러한 보안 위협으로 인한 피해를 사전에 예방하는 것이 중요하다.
저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

2010년 2월 16일 ASEC에서는 전자 메일로 유포되었던 Zbot 트로이목마 변형들이 웹 사이트의 iFrame을 이용해 다른 악성코드 감염을 시도한다는 "2중 감염 기법을 사용하는 Zbot 변형"이라는 글을 게시한 바가 있었다.

2010년 2월 21일에는 이러한 2중 감염 기법이 적용된 페이스북(Facebook) 사용자 로그인 웹사이트로 위장한 피싱(Phishing) 웹 사이트에서 iFrame을 이용해 다른 악성코드 감염을 시도한 사례가 해외에서 발견되었다.

번에 발견된 페이스북으로 위장한 피싱 웹 사이트는 최초 전자 메일로 유포 된 것으로 알려져 있으며 해당 전자 메일 본문에는 아래 이미지와 같은 페이스북 사용자 정보를 입력하도록 되어 있는 페이스북 관련 피싱 웹 사이트 링크가 포함되어 있었다.


해당 피싱 웹 사이트에서는 사용자 정보를 입력하게 되면 다시 아래 이미지에서와 같이 사용자 이름과 국가 정보를 입력하게 되어 있으며 입력이 완료되면 정상적인 페이스북 웹 사이트로 연결하도록 되어 있다.



그러나 이렇게 사용자 정보를 입력 받는 페이스북 피싱 웹 사이트의 소스코드를 확인 해보면 "2중 감염 기법을 사용하는 Zbot 변형"이라는 글에서와 동일한 형태로 iFrame을 이용해 카자흐스탄(Kazakhstan)에 위치한 특정 시스템으로 사용자 모르게 연결되도록 하고 있다.


해당 페이스북 피싱 웹 사이트에서 iFrame을 이용해 연결하는 해당 시스템에는 아래 이미지와 같이 인터넷 익스플로러(Internet Explorer)과 어도비 아크로뱃(Adobe Acrobat)과 플래쉬(Flash) 취약점을 악용하는 취약한 파일들이 존재하고 있다.


해당 서버에 존재하는 취약한 파일들은 다음의 취약점들을 악용하여 다른 악성코드의 감염을 시도하고 있다.

MS05-052

MS06-014

MS06-073

MS09-028

APSB08-11

APSB08-13

APSB08-19

APSA09-07

해당 피싱 웹 사이트 제작자는 다른
웹 익스플로잇 툴 킷(Web Exploit Toolkit)과 연동하는 아래 이미지와 같은 전체적인 구조를 가지고 있으며 1차적으로 피싱 웹 사이트를 통해 페이스북의 사용자 계정과 암호 탈취를 시도한다. 그리고 2차적으로 iFrame을 이용하여 악성코드를 감염 시킴으로서 좀비(Zombie) 시스템으로 악용하거나 다른 개인 정보들의 탈취를 노리고 있는 것으로 볼 수 있다.


위와 같은 전체적인 구조도를 살펴 볼때 2009년 3분기 부터 진행 되었던 전자 메일로 악의적인 웹 사이트를 링크를 전달하는 기법은 2010년에도 지속적으로 등장하고 있는 것으로 분석된다.

컴퓨터 사용자는 수신하는 전자 메일 중 의심스러운 웹 사이트 링크를 클릭하지 않도록 주의하고 마이크로소프트의 다양한 취약점과 함께 다양한 어도비 취약점들이 악용되고 있음으로 사용하는 다양한 어플리케이션의 보안 패치들에 대해서도 주의를 기울여야 한다.
저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

2009년 6월부터 다양한 사회적인 이슈들을 이용하는 사회 공학 기법을 통해 유포되었던 Zbot 변형이 최근에 와서는 악의적인 웹 사이트에 포함되어 있는 iFrame으로 어도비 아크로뱃 리더(Adobe AcroBat Reader)의 PDF 파일에 존재하는 취약점도 악성코드 유포에 악용되는 것이 확인 되었다.

이러한 2중 감염 기법은 최근에 발견된 허위 세금 고지 메일로 위장한 Zbot 변형들 중에서 사용하고 있는 것으로 알려져 있다.

이러한 기법은 최초 허위 세금 고지 메일로 위장한 전자 메일을 유포한 한 후 해당 전자 메일 본문에 포함되어 있는 링크를 클릭 할 경우 아래 이미지와 같은 웹 사이트로 연결된다.


악의적인 웹 사이트에서는 기존과 동일하게 해당 웹 사이트에서 제공하는
tax-statement.exe(130,560 바이트)를 다운로드하도록 유도하고 있으며 해당 파일은 Zbot 트로이목마 변형이다.

Zbot 트로이목마 제작자는 해당 웹 사이트의 접속자가 해당 트로이목마 변형을 다운로드 하지 않는 경우를 고려하여 아래 이미지와 같이
웹 사이트 내부에 iFrame 코드를 삽입하여 카자흐스탄(Kazakhstan)에 위치한 특정 서버에서 취약한 PDF 파일을 다운로드 하도록 되어 있다.


해당 서버에서 다운로드 된 취약한 PDF 파일은 다시 카자흐스탄에 위치한 다른 서버로 부터
Mufanom 트로이목마 변형을 다운로드 한 후 실행하도록 되어 있다. 이러한 전체적인 구조를 간략하게 도식화 한 이미지가 아래와 같다.


위 이미지와 같은 전체적인 구조를 가지고 있는 Zbot 변형을 유포하기 위한 전자 메일은 해당 악성코드 제작자가 악의적인 웹 사이트로 접속한 사용자가 해당 웹 사이트에 대한 의심으로 Zbot 변형을 정상적으로 다운로드 하지 않을 경우 생각한
2중 감염 기법으로 볼 수 있다.

이러한 2중 감염 기법을 사용하는 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

Win32/Ircbot.worm.variant
PDF/Exploit
Win-Trojan/Mufanom.39424.AG

이러한 복합적인 공격 기법은 2009년 이전 부터 웹 사이트에 존재하는 악성 스크립트 파일에서 사용하는 감염 기법을 전자 메일을 통한 유포과 결합된 형태로 볼 수 있음으로 컴퓨터 사용자는 마이크로소프트(Microsoft) 보안 업데이트 뿐만이 아니라 자신이 자주 사용하는 어플리케이션의 보안 업데이트도 많은 주의를 기울여야 한다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

2009년 한 해 동안 다양한 메일 형태로 유포되었던 Zbot 변형들은 그 중에서 세금 청구와 같은 개인 정보와 금전적인 문제를 사칭하여 유포되는 특징들도 보였었다.

이렇게 다양한 주제의 사회 공학 기법을 사용한 Zbot 변형은 2010년 2월 12일부터 세금 연말 정산이 잘못 되었다는 안내 메일로 위장하여 유포되었다.

이번에 유포된 Zbot 변형은 아래 이미지와 같이 "You are in a higher tax bracket" 라는 제목을 사용하며 메일 본문에는 세금 연말 정산이 잘 못되었으니  세금 연말 정산 내역서를 재확힌 하라는 내용을 가지고 있다. 그리고 해당 내역서를 확인 하기 위해서는 특정 웹 사이트 링크를 제공하며 해당 웹 사이트로 접속할 것을 유도 하고 있다.



해당 메일 본문에 제공되고 있는 특정 웹 사이트로 연결되는 링크를 클릭하게 될 경우 아래 이미지와 같이 플래쉬 플레이어(Flash Player)가 최신 버전이 아니니 최신 버전을 다운 받을 것으로 요구하고 있다.


해당 웹 사이트에서 제공하는
update.exe(123,904 바이트)의 파일은 기존에 알려진 Zbot 트로이목마의 변형 중 하나이다.

이와 같이 허위 세금 연말 정산 메일로 위장한 Zbot 변형은 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Zbot.123904.C

이러한 전자 메일을 통한 악성코드의 감염을 예방하기 위해서는 다음의 사항들을 숙지하는 것이 중요하다.


1. 안티스팸 솔루션 도입을 통해 스팸 및 악의적인 전자 메일의 유입을 최소화 하도록 한다.


2. 메일을 보낸 사람이 잘 알지 못 하는 사람일 경우 가급적 메일을 열지 말고 삭제하는 것이 좋다.

3. 사용중인 컴퓨터 시스템에 백신을 설치하고 실시간 감시를 켜두는 것이 중요하다.

4. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

5. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.

6. 악성코드의 감염을 예방하기 위해 사용하는 컴퓨터 시스템의 윈도우, 인터넷 익스플로러 및 오피스 제품 등에 존재하는 취약점을 제거하는 보안 패치를 모두 설치 하도록 한다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

2010년 2월 10일, 마이크로소프트(Microsoft)의 멀웨어 프로텍션 센터(Malware Protection Center) 블로그에 발렌타인 데이(Valentine Day)와 관련된 "Cupid Struck"가 게시되었다. 

해당 블로그에 따르면 해외에서 최근 발렌타인 데이 그림으로 위장한 악성코드인 Bifrose 변형이 발견되었다는 내용이다. 이와 관련해 ASEC에서 추가적인 정보를 수집하는 과정에서 해당 악성코드는 2009년 1월 28일 최초 발견된 것으로 확인 되었다. 

이번에 발견된 발렌타인 데이 그림으로 위장한 Bifrose 변형에 대해 ASEC에서는 상세한 분석을 진행 하였다. 

이번에 발견된 악성코드는 RARSfx로 압축이 되어 있으며 실행을 하게 되면 아래 이미지와 같이 실행된 해당 폴더에 이미지 파일들과 함께 숨김 속성을 가진 82.exe(160,213 바이트) 파일이 생성된다.



생성된 이미지 중에는 아래 이미지와 같이 발렌타인 데이와 관련된 이미지도 포함이 되어 있다.


이 외에 아래 이미지와 같은 피아노 이미지외에 장미꽃 이미지들도 같이 포함 되어 있어 감염된 시스템의 사용자에게 이미지 파일들이 압축되어 있는 파일들로 위장하고 있다.


그리고 감염된 사용자 모르게 백그라운드로 숨김 속성으로 생성된 82.exe(160,213 바이트)를 실행시켜 다음 경로에 다른 악성코드를 생성시킨다.

C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe(57,917 바이트)

생성된 server.exe(57,917 바이트)은 윈도우 시스템에 존재하는 정상 파일인 Explorer.exe의 특정 메모리 영역에 자신의 코드를 덮어쓰고 다음의 경로에 자신의 복사본을 생성시킨다.

C:\WINDOWS\system32\Bifrost\server.exe(57,917 바이트)

그리고 윈도우의 특정 레지스트리 키들을 생성하여 감염된 시스템이 자동 실행 될 때 해당 악성코드가 다시 실행 되도록 한다.

자신의 코드를 덮어쓴 정상 프로세스인 Explorer.exe은 인터넷 익스플로러(Internet Explorer)를 백그라운드 실행 시켜 미국 서부에 위치한 특정 시스템으로 접속을 시도하게 된다.


해당 악성코드가 특정 시스템으로 접속을 성공하게 되면 다음의 악의적인 기능들을 수행 할 수 있게 된다.

사용자 키보드 입력 후킹
사용자 마우스 입력 후킹
메신저 사용자 정보 및 암호 후킹
클립보드 정보 후킹
특정 보안 제품 프로세스가 실행 중일 경우 강제 종료
가상 키보드 입력 후킹
원격 제어 기능

발렌타인 데이 시즌을 맞이하여 발렌타인 데이 그림으로 위장한 악성코드는 V3 제품군에서 다음과 같이 진단한다.
 
Dropper/Bifrose.693626
Win-Trojan/Midgare.32256

이번에 발견된 악성코드는 발렌타이 시즌을 맞아 사회적인 관심이 높은 주제를 선정하여 이를 악용한 사례이다. 이러한 사례는 2009년 6월
마이클 잭슨 사망을 악용한 사례과 2009년 12월 연말 연시 사회적 분위기를 악용한 사례 등이 있음으로 이러한 사회적 이슈가 있을 때에는 특별히 악성코드 등의 보안 위협에 많은 주의가 필요하다.
저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

2010년 2월 4일, 많은 사용자들이 사용하는 웹 브라우저인 파이어폭스(Firefox)를 개발하는 모질라(Mozilla)의 블로그에 "Please read: Security Issue on AMO"라는 글이 게시 되었다.

해당 글의 요지는 파이어폭스 웹 브라우저에 사용되는 일부 애드온(Add-on)에 악성코드가 포함되어 있으며 백신 제품에서 이를 진단 및 치료가 가능하다는 이야기 였다.

이러한 파이어폭스 웹 브라우저와 관련한 위협에 대해서는 이 번이 처음은 아니며 2009년 7월 파이어 폭스 취약점 공격 악성코드 발견된 사례와 2009년 9월에는 파이어폭스 확장 기능으로 설치되는 악성코드가 발견되었다. 그리고 2009년 9월에 역시 파이어폭스 사용자 정보를 유출하는 악성코드가 발견된 사례들이 있다.

이번에 악성코드가 포함되어 있는 것으로 문제가 되었던 파이어폭스 애드온인 master_filer-0.2-fx-win.xpi를 ASEC에서는 확보하여 자세한 분석을 진행하였다.

파이어 폭스 애드온으로 설치되는 해당 파일은 XPI 라는 확장자를 가지고 있으며 이러한 확장자를 가진 파일은 일반적인 ZIP과 같은 압축 파일 형태로 되어 있다.

문제가 된 master_filer-0.2-fx-win.xpi를 파이어폭스 3.0에서 파일 열기를 통해 실행을 할 경우 아래 이미지와 같은 안내 창이 생성되며 신뢰 할 수 있는 제작자의 애드온만 설치하라는 문구와 함께 해당 애드온의 제작자가 확인 되지 않는다는 메시지가 생성된다.


이러한 경고창을 무시하고 설치를 하게 되면 아래 이미지와 같이 "
Master Filer 0.2" 애드온이 정상적으로 설치 되었다는 안내 문구와 함께 파이어폭스를 재실행 할 것을 안내하게 된다.


정상적으로 파이어폭스가 완료되게 되면 아래 이미지와 같이 해당 애드온의 설치가 완료된 것을 확인 할 수 있다.


그러나 해당 애드온의 정상적인 설치가 완료되고 파이어폭스가 재부팅 되는 시점에서는 파이어폭스는 사용자에게 특별한 안내 없이 아래 경로에 존재하는 file.exe(233,508 바이트)를 백그라운드로 실행하게 된다.

C:\Documents and Settings\사용자 계정명\Application Data\Mozilla\Firefox\Profiles\kzdbp0uf.default\extensions\<생략>\chrome\content\file.exe

해당 file.exe는 기존에 알려진 Bifrose 변형이며 해당 파일이 실행되면 해당 시스템의
NTFS ADS(Alternate Data Streams) 영역에다 자신의 복사본을 다음과 같이 생성한다.

c:\WINDOWS:calc.exe

그리고 윈도우 레지스트리에 다음과 같은 키를 생성하여 시스템이 부팅할 때마다 자신이 자동 실행 되도록 구성되어 있다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Tibiabot = "C:\WINDOWS:calc.exe"

감염된 시스템에서 하드웨어 및 사용자 정보 등을 수집하여 외부로 유츌하는 기능 등을 수행하게 된다.

파이어폭스 애드온에 포함된 해당 악성코드는 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Bifrose.233508

이번 파이어폭스 특정 애드온에 포함된 악성코드는 특정인에 의해 고의적으로 악성코드를 포함하여 애드온을 제작하여 유포한 것으로 추정된다. 이러한 형태와 유사하게 공개된 프로그램들을 설치 할 때는 사용하는 백신으로 미리 검사를 해보고 신뢰 할 수 있는 프로그램들만 설치하는 것이 중요하다.

이번 보안 사고는 파이어폭스라는 특정 프로그램에 한정되어 발생하였지만 공개 소프트웨어 스토어를 제공하는 스마트폰 등에서도 역시 이와 유사한 보안 위협이 발생할 가능성이 높을 것으로 예측 된다.
저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

2009년에도 꾸준히 변형들이 양산되어 다양한 주제의 사회 공학 전자 메일을 통해 유포되었던 Bredolab 변형이 국내에서 인터넷 사용 관련 메일로 위장하여 유포 중인 것이 ASEC에서 발견하였다.

이번에 발견된 Bredolab 변형이 사용하는 전자 메일 제목은 "Your internet access is going to get suspended"을 사용하며 메일 본문에는 아래 이미지와 같이 사용하는 인터넷 회선에서 범죄로 의심되는 행동이 발견되어 중단하겠다는 내용을 담고 있다.


그리고 위 이미지와 같은 전자 메일에는 첨부 파일로
report.zip(8,845 바이트) 이 첨부 되어 있으며 해당 압축 파일의 압축을 풀면 report.exe (24,576 바이트) 파일이 생성된다.

현재까지 이러한 형태의 사회 공학 기법의 전자 메일을 통해 유포되는 Bredolab 변형들은 해외에서 제작된 허위 백신을 설치하여 금전적인 이득을 획득하고자 한다.

생성된 해당 파일은 기존에 발견되었던 Bredolab 변형이며 V3 제품군에서는 다음과 같이 진단 한다.

Win-Trojan/Bredolab.24576.W 

이러한 전자 메일을 통한 악성코드의 감염을 예방하기 위해서는 다음의 사항들을 숙지하는 것이 중요하다.

1. 안티스팸 솔루션 도입을 통해 스팸 및 악의적인 전자 메일의 유입을 최소화 하도록 한다.

2. 메일을 보낸 사람이 잘 알지 못 하는 사람일 경우 가급적 메일을 열지 말고 삭제하는 것이 좋다.

3. 사용중인 컴퓨터 시스템에 백신을 설치하고 실시간 감시를 켜두는 것이 중요하다.

4. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.


5. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다. 그리고 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

6. 악성코드의 감염을 예방하기 위해 사용하는 컴퓨터 시스템의 윈도우, 인터넷 익스플로러 및 오피스 제품 등에 존재하는 취약점을 제거하는 보안 패치를 모두 설치 하도록 한다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

2010년 1월 말 해외 언더그라운드에서 허위 백신을 유포하는 방법으로 Papka 이라는 웹 익스플로잇 툴킷(Web Exploit Toolkit)이 사용된다는 일부 보안 업체의 보고가 있었다.

웹 익스플로잇 툴킷(Web Exploit Toolkit)은 2009년 이전 부터 웹 브라우저(Web Brower)의 다양한 취약점을 악용하여 악성코드 감염에 이용되는 툴킷 형태로 알려져 있으며 그 실제 악용 사례로 2009년 6월에 발생한 나인볼(NineBall)이라 명명된 대규모 웹 사이트 공격에서도 이러한 형태의 툴 킷이 사용되어 왔다.

ASEC에서는 이 번에 알려진 Papka라는 웹 익스플로잇 툴 킷을 확보하여 자세한 분석을 진행하였다.

이번에 분석이 진행된 Papka 툴 킷의 메인 사용자 웹 페이지는 아래 이미지와 같이 간단한 형태를 가지고 있으며 별도의 데이터베이스(Database)를 필요하지 않다.


그리고 해당 툴 킷으로 유입된 피해 시스템에서 사용하는 운영체제, 사용하는 웹 브라우저와 IP 조회를 통한 위치 정보 등으로 해당 툴 킷을 설치한 공격자가 공격 대상이 되는 시스템들의 다양한 정보들을 취합 할 수 있도록 되어 있다.

해당 툴 킷에서 아래 이미지와 같이 총 7가지의 다양한 취약점들을 악용하여 공격에 사용되는 것을 알 수가 있다.


당 Papka 툴 킷에서 사용하는 취약점이 어도비(Adobe)사의 아크로뱃 리더(Acrobat Reader)에서부터 마이크로소프트(Microsoft) 윈도우(Windows)와 인터넷 익스플로러(Internet Explorer)의 취약점까지 다양하게 악용되고 있다.

특히 공격자는 이러한 툴 킷을 통해 컴퓨터 사용자가 악의적인 웹 사이트로 접속하는 순간 해당 시스템에 존재하는 7가지의 취약점을 자동으로 선택하여 악용함으로 시스템이 악성코드에 감염된 것을 알아채기가 쉽지 않다.

그러므로 사용하는 시스템의 다양한 응용 프로그램들의 보안 패치까지 관심을 가지고 설치하는 것이 중요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

2010년 2월 2일을 즈음하여 인터넷 포털 사이트를 통해 사용하는 시스템이 허위 백신에 감염되었으며 해당 허위 백신이 한국어로 제작되어 있다는 문의가 게시되었다.

ASEC에서는 해당 허위 백신의 설치 파일을 확보하여 어떠한 형태이며 한국어로 어떻게 표기되는지 자세한 분석을 진행하였다.

해당 허위 백신이 시스템에서 실행이 되면 아래 이미지와 같이 마이크로소프트(Microsoft)의 보안 패치를 위해 실행되는 윈도우 업데이트(Windows Update)와 유사한 창이 생성되며 XP 인터넷 시큐리티(Internet Security)를 설치 중이라는 메시지를 보여주게 된다.


그리고 다음 경로의 폴더에
av.exe(344,064 바이트) 라는 파일명으로 자신의 복사본을 생성하게 된다.

C:\Documents and Settings\사용자 계정명\Local Settings\Application Data\av.exe

이 외에 윈도우 시스템이 재부팅 되더라도 해당 허위 백신이 실행 되도록 윈도우 레지스트리의 다양한 자동 실행 부분에 자신을 등록 시킨다.

복사본 생성이 완료되면 아래 이미지와 같은 창을 생성하여 사용자의 동의와 상관없이 시스템 전체를 검사하여 정상적인 파일들을 악성코드로 진단하고 있다. 그리고 검사와 함께 사용하는 시스템이 심각한 악성코드들에 감염된 것으로 사용자에게 허위 정보를 제공한다.


이와 동시에 윈도우 시스템 트레이(System Tray)에도 스파이웨어(Spyware)에 감염되어 신용카드 정보 등의 중요한 개인 정보들이 외부로 유출 될 수 있다는 허위 정보를 지속적으로 보여주고 있다.


그리고 마지막으로 시스템에 감염되었다는 악성코드들을 치료하기 위해서는 온라인을 통해 정상적인 결제하여 정상 사용 등록을 하도록 유도하고 있다.


해당 허위 백신의 설정을 살펴보면 한국어만을 지원하기 위해서 제작된 것은 아니며 영어와 일본어를 포함하여 다양한 언어들을 지원하기 위해 제작되어 있다. 이는 해당 허위 백신 제작자는 감염된 시스템의 언어를 확인하여 해당 시스템의 사용자에게 가장 친숙한 언어를 보여주기 위한 것으로 보여진다.


그리고 해당 허위 백신에 감염된 시스템에서 인터넷 익스플로러(Internet Explorer)를 실행시키자 해당 허위 백신에서 인터넷 익스플로러가 온라인 뱅킹 정보를 유출할 수 있는 트로이목마에 감염되었다라는 허위 메시지를 보여 주며 빨리 해당 허위 백신을 온라인 결제하라는 요구를 하게 된다.


해당 허위 백신은 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Fakeav.344064

이번에 한국어를 지원하는 것으로 알려진 허위 백신은 심각한 악성코드들에 시스템이 감염되어 중요 개인 정보들이 유출될 수 있다라는 심각한 정보를 허위로 제공하여 온라인 결제를 유도하는 형태이다. 이렇게 허위 백신에서 한국어를 지원하는 것은 한국인에게 친숙한 한국어를 사용하여 허위 정보의 전달이 정확하게 하려는 제작자의 의도로 보여진다.

이는 결국 심각한 상황을 연출하여 사용자의 금전적 피해를 입히기 위한 고도의 사회 공학 기법으로 볼 수 있으며 향후에도 이와 유사하게 한국어를 사용하는 타켓 공격(Targeted Attack) 등이 발생 할 수 있음으로 많은 주의가 필요하다.
저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC