2009년 한 해 동안 다양한 메일 형태로 유포되었던 Zbot 변형들은 그 중에서 세금 청구와 같은 개인 정보와 금전적인 문제를 사칭하여 유포되는 특징들도 보였었다.

이렇게 다양한 주제의 사회 공학 기법을 사용한 Zbot 변형은 2010년 2월 12일부터 세금 연말 정산이 잘못 되었다는 안내 메일로 위장하여 유포되었다.

이번에 유포된 Zbot 변형은 아래 이미지와 같이 "You are in a higher tax bracket" 라는 제목을 사용하며 메일 본문에는 세금 연말 정산이 잘 못되었으니  세금 연말 정산 내역서를 재확힌 하라는 내용을 가지고 있다. 그리고 해당 내역서를 확인 하기 위해서는 특정 웹 사이트 링크를 제공하며 해당 웹 사이트로 접속할 것을 유도 하고 있다.



해당 메일 본문에 제공되고 있는 특정 웹 사이트로 연결되는 링크를 클릭하게 될 경우 아래 이미지와 같이 플래쉬 플레이어(Flash Player)가 최신 버전이 아니니 최신 버전을 다운 받을 것으로 요구하고 있다.


해당 웹 사이트에서 제공하는
update.exe(123,904 바이트)의 파일은 기존에 알려진 Zbot 트로이목마의 변형 중 하나이다.

이와 같이 허위 세금 연말 정산 메일로 위장한 Zbot 변형은 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Zbot.123904.C

이러한 전자 메일을 통한 악성코드의 감염을 예방하기 위해서는 다음의 사항들을 숙지하는 것이 중요하다.


1. 안티스팸 솔루션 도입을 통해 스팸 및 악의적인 전자 메일의 유입을 최소화 하도록 한다.


2. 메일을 보낸 사람이 잘 알지 못 하는 사람일 경우 가급적 메일을 열지 말고 삭제하는 것이 좋다.

3. 사용중인 컴퓨터 시스템에 백신을 설치하고 실시간 감시를 켜두는 것이 중요하다.

4. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

5. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.

6. 악성코드의 감염을 예방하기 위해 사용하는 컴퓨터 시스템의 윈도우, 인터넷 익스플로러 및 오피스 제품 등에 존재하는 취약점을 제거하는 보안 패치를 모두 설치 하도록 한다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

2010년 2월 10일, 마이크로소프트(Microsoft)의 멀웨어 프로텍션 센터(Malware Protection Center) 블로그에 발렌타인 데이(Valentine Day)와 관련된 "Cupid Struck"가 게시되었다. 

해당 블로그에 따르면 해외에서 최근 발렌타인 데이 그림으로 위장한 악성코드인 Bifrose 변형이 발견되었다는 내용이다. 이와 관련해 ASEC에서 추가적인 정보를 수집하는 과정에서 해당 악성코드는 2009년 1월 28일 최초 발견된 것으로 확인 되었다. 

이번에 발견된 발렌타인 데이 그림으로 위장한 Bifrose 변형에 대해 ASEC에서는 상세한 분석을 진행 하였다. 

이번에 발견된 악성코드는 RARSfx로 압축이 되어 있으며 실행을 하게 되면 아래 이미지와 같이 실행된 해당 폴더에 이미지 파일들과 함께 숨김 속성을 가진 82.exe(160,213 바이트) 파일이 생성된다.



생성된 이미지 중에는 아래 이미지와 같이 발렌타인 데이와 관련된 이미지도 포함이 되어 있다.


이 외에 아래 이미지와 같은 피아노 이미지외에 장미꽃 이미지들도 같이 포함 되어 있어 감염된 시스템의 사용자에게 이미지 파일들이 압축되어 있는 파일들로 위장하고 있다.


그리고 감염된 사용자 모르게 백그라운드로 숨김 속성으로 생성된 82.exe(160,213 바이트)를 실행시켜 다음 경로에 다른 악성코드를 생성시킨다.

C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe(57,917 바이트)

생성된 server.exe(57,917 바이트)은 윈도우 시스템에 존재하는 정상 파일인 Explorer.exe의 특정 메모리 영역에 자신의 코드를 덮어쓰고 다음의 경로에 자신의 복사본을 생성시킨다.

C:\WINDOWS\system32\Bifrost\server.exe(57,917 바이트)

그리고 윈도우의 특정 레지스트리 키들을 생성하여 감염된 시스템이 자동 실행 될 때 해당 악성코드가 다시 실행 되도록 한다.

자신의 코드를 덮어쓴 정상 프로세스인 Explorer.exe은 인터넷 익스플로러(Internet Explorer)를 백그라운드 실행 시켜 미국 서부에 위치한 특정 시스템으로 접속을 시도하게 된다.


해당 악성코드가 특정 시스템으로 접속을 성공하게 되면 다음의 악의적인 기능들을 수행 할 수 있게 된다.

사용자 키보드 입력 후킹
사용자 마우스 입력 후킹
메신저 사용자 정보 및 암호 후킹
클립보드 정보 후킹
특정 보안 제품 프로세스가 실행 중일 경우 강제 종료
가상 키보드 입력 후킹
원격 제어 기능

발렌타인 데이 시즌을 맞이하여 발렌타인 데이 그림으로 위장한 악성코드는 V3 제품군에서 다음과 같이 진단한다.
 
Dropper/Bifrose.693626
Win-Trojan/Midgare.32256

이번에 발견된 악성코드는 발렌타이 시즌을 맞아 사회적인 관심이 높은 주제를 선정하여 이를 악용한 사례이다. 이러한 사례는 2009년 6월
마이클 잭슨 사망을 악용한 사례과 2009년 12월 연말 연시 사회적 분위기를 악용한 사례 등이 있음으로 이러한 사회적 이슈가 있을 때에는 특별히 악성코드 등의 보안 위협에 많은 주의가 필요하다.
저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

2010년 2월 4일, 많은 사용자들이 사용하는 웹 브라우저인 파이어폭스(Firefox)를 개발하는 모질라(Mozilla)의 블로그에 "Please read: Security Issue on AMO"라는 글이 게시 되었다.

해당 글의 요지는 파이어폭스 웹 브라우저에 사용되는 일부 애드온(Add-on)에 악성코드가 포함되어 있으며 백신 제품에서 이를 진단 및 치료가 가능하다는 이야기 였다.

이러한 파이어폭스 웹 브라우저와 관련한 위협에 대해서는 이 번이 처음은 아니며 2009년 7월 파이어 폭스 취약점 공격 악성코드 발견된 사례와 2009년 9월에는 파이어폭스 확장 기능으로 설치되는 악성코드가 발견되었다. 그리고 2009년 9월에 역시 파이어폭스 사용자 정보를 유출하는 악성코드가 발견된 사례들이 있다.

이번에 악성코드가 포함되어 있는 것으로 문제가 되었던 파이어폭스 애드온인 master_filer-0.2-fx-win.xpi를 ASEC에서는 확보하여 자세한 분석을 진행하였다.

파이어 폭스 애드온으로 설치되는 해당 파일은 XPI 라는 확장자를 가지고 있으며 이러한 확장자를 가진 파일은 일반적인 ZIP과 같은 압축 파일 형태로 되어 있다.

문제가 된 master_filer-0.2-fx-win.xpi를 파이어폭스 3.0에서 파일 열기를 통해 실행을 할 경우 아래 이미지와 같은 안내 창이 생성되며 신뢰 할 수 있는 제작자의 애드온만 설치하라는 문구와 함께 해당 애드온의 제작자가 확인 되지 않는다는 메시지가 생성된다.


이러한 경고창을 무시하고 설치를 하게 되면 아래 이미지와 같이 "
Master Filer 0.2" 애드온이 정상적으로 설치 되었다는 안내 문구와 함께 파이어폭스를 재실행 할 것을 안내하게 된다.


정상적으로 파이어폭스가 완료되게 되면 아래 이미지와 같이 해당 애드온의 설치가 완료된 것을 확인 할 수 있다.


그러나 해당 애드온의 정상적인 설치가 완료되고 파이어폭스가 재부팅 되는 시점에서는 파이어폭스는 사용자에게 특별한 안내 없이 아래 경로에 존재하는 file.exe(233,508 바이트)를 백그라운드로 실행하게 된다.

C:\Documents and Settings\사용자 계정명\Application Data\Mozilla\Firefox\Profiles\kzdbp0uf.default\extensions\<생략>\chrome\content\file.exe

해당 file.exe는 기존에 알려진 Bifrose 변형이며 해당 파일이 실행되면 해당 시스템의
NTFS ADS(Alternate Data Streams) 영역에다 자신의 복사본을 다음과 같이 생성한다.

c:\WINDOWS:calc.exe

그리고 윈도우 레지스트리에 다음과 같은 키를 생성하여 시스템이 부팅할 때마다 자신이 자동 실행 되도록 구성되어 있다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Tibiabot = "C:\WINDOWS:calc.exe"

감염된 시스템에서 하드웨어 및 사용자 정보 등을 수집하여 외부로 유츌하는 기능 등을 수행하게 된다.

파이어폭스 애드온에 포함된 해당 악성코드는 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Bifrose.233508

이번 파이어폭스 특정 애드온에 포함된 악성코드는 특정인에 의해 고의적으로 악성코드를 포함하여 애드온을 제작하여 유포한 것으로 추정된다. 이러한 형태와 유사하게 공개된 프로그램들을 설치 할 때는 사용하는 백신으로 미리 검사를 해보고 신뢰 할 수 있는 프로그램들만 설치하는 것이 중요하다.

이번 보안 사고는 파이어폭스라는 특정 프로그램에 한정되어 발생하였지만 공개 소프트웨어 스토어를 제공하는 스마트폰 등에서도 역시 이와 유사한 보안 위협이 발생할 가능성이 높을 것으로 예측 된다.
저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

2009년에도 꾸준히 변형들이 양산되어 다양한 주제의 사회 공학 전자 메일을 통해 유포되었던 Bredolab 변형이 국내에서 인터넷 사용 관련 메일로 위장하여 유포 중인 것이 ASEC에서 발견하였다.

이번에 발견된 Bredolab 변형이 사용하는 전자 메일 제목은 "Your internet access is going to get suspended"을 사용하며 메일 본문에는 아래 이미지와 같이 사용하는 인터넷 회선에서 범죄로 의심되는 행동이 발견되어 중단하겠다는 내용을 담고 있다.


그리고 위 이미지와 같은 전자 메일에는 첨부 파일로
report.zip(8,845 바이트) 이 첨부 되어 있으며 해당 압축 파일의 압축을 풀면 report.exe (24,576 바이트) 파일이 생성된다.

현재까지 이러한 형태의 사회 공학 기법의 전자 메일을 통해 유포되는 Bredolab 변형들은 해외에서 제작된 허위 백신을 설치하여 금전적인 이득을 획득하고자 한다.

생성된 해당 파일은 기존에 발견되었던 Bredolab 변형이며 V3 제품군에서는 다음과 같이 진단 한다.

Win-Trojan/Bredolab.24576.W 

이러한 전자 메일을 통한 악성코드의 감염을 예방하기 위해서는 다음의 사항들을 숙지하는 것이 중요하다.

1. 안티스팸 솔루션 도입을 통해 스팸 및 악의적인 전자 메일의 유입을 최소화 하도록 한다.

2. 메일을 보낸 사람이 잘 알지 못 하는 사람일 경우 가급적 메일을 열지 말고 삭제하는 것이 좋다.

3. 사용중인 컴퓨터 시스템에 백신을 설치하고 실시간 감시를 켜두는 것이 중요하다.

4. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.


5. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다. 그리고 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

6. 악성코드의 감염을 예방하기 위해 사용하는 컴퓨터 시스템의 윈도우, 인터넷 익스플로러 및 오피스 제품 등에 존재하는 취약점을 제거하는 보안 패치를 모두 설치 하도록 한다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

2010년 1월 말 해외 언더그라운드에서 허위 백신을 유포하는 방법으로 Papka 이라는 웹 익스플로잇 툴킷(Web Exploit Toolkit)이 사용된다는 일부 보안 업체의 보고가 있었다.

웹 익스플로잇 툴킷(Web Exploit Toolkit)은 2009년 이전 부터 웹 브라우저(Web Brower)의 다양한 취약점을 악용하여 악성코드 감염에 이용되는 툴킷 형태로 알려져 있으며 그 실제 악용 사례로 2009년 6월에 발생한 나인볼(NineBall)이라 명명된 대규모 웹 사이트 공격에서도 이러한 형태의 툴 킷이 사용되어 왔다.

ASEC에서는 이 번에 알려진 Papka라는 웹 익스플로잇 툴 킷을 확보하여 자세한 분석을 진행하였다.

이번에 분석이 진행된 Papka 툴 킷의 메인 사용자 웹 페이지는 아래 이미지와 같이 간단한 형태를 가지고 있으며 별도의 데이터베이스(Database)를 필요하지 않다.


그리고 해당 툴 킷으로 유입된 피해 시스템에서 사용하는 운영체제, 사용하는 웹 브라우저와 IP 조회를 통한 위치 정보 등으로 해당 툴 킷을 설치한 공격자가 공격 대상이 되는 시스템들의 다양한 정보들을 취합 할 수 있도록 되어 있다.

해당 툴 킷에서 아래 이미지와 같이 총 7가지의 다양한 취약점들을 악용하여 공격에 사용되는 것을 알 수가 있다.


당 Papka 툴 킷에서 사용하는 취약점이 어도비(Adobe)사의 아크로뱃 리더(Acrobat Reader)에서부터 마이크로소프트(Microsoft) 윈도우(Windows)와 인터넷 익스플로러(Internet Explorer)의 취약점까지 다양하게 악용되고 있다.

특히 공격자는 이러한 툴 킷을 통해 컴퓨터 사용자가 악의적인 웹 사이트로 접속하는 순간 해당 시스템에 존재하는 7가지의 취약점을 자동으로 선택하여 악용함으로 시스템이 악성코드에 감염된 것을 알아채기가 쉽지 않다.

그러므로 사용하는 시스템의 다양한 응용 프로그램들의 보안 패치까지 관심을 가지고 설치하는 것이 중요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

2010년 2월 2일을 즈음하여 인터넷 포털 사이트를 통해 사용하는 시스템이 허위 백신에 감염되었으며 해당 허위 백신이 한국어로 제작되어 있다는 문의가 게시되었다.

ASEC에서는 해당 허위 백신의 설치 파일을 확보하여 어떠한 형태이며 한국어로 어떻게 표기되는지 자세한 분석을 진행하였다.

해당 허위 백신이 시스템에서 실행이 되면 아래 이미지와 같이 마이크로소프트(Microsoft)의 보안 패치를 위해 실행되는 윈도우 업데이트(Windows Update)와 유사한 창이 생성되며 XP 인터넷 시큐리티(Internet Security)를 설치 중이라는 메시지를 보여주게 된다.


그리고 다음 경로의 폴더에
av.exe(344,064 바이트) 라는 파일명으로 자신의 복사본을 생성하게 된다.

C:\Documents and Settings\사용자 계정명\Local Settings\Application Data\av.exe

이 외에 윈도우 시스템이 재부팅 되더라도 해당 허위 백신이 실행 되도록 윈도우 레지스트리의 다양한 자동 실행 부분에 자신을 등록 시킨다.

복사본 생성이 완료되면 아래 이미지와 같은 창을 생성하여 사용자의 동의와 상관없이 시스템 전체를 검사하여 정상적인 파일들을 악성코드로 진단하고 있다. 그리고 검사와 함께 사용하는 시스템이 심각한 악성코드들에 감염된 것으로 사용자에게 허위 정보를 제공한다.


이와 동시에 윈도우 시스템 트레이(System Tray)에도 스파이웨어(Spyware)에 감염되어 신용카드 정보 등의 중요한 개인 정보들이 외부로 유출 될 수 있다는 허위 정보를 지속적으로 보여주고 있다.


그리고 마지막으로 시스템에 감염되었다는 악성코드들을 치료하기 위해서는 온라인을 통해 정상적인 결제하여 정상 사용 등록을 하도록 유도하고 있다.


해당 허위 백신의 설정을 살펴보면 한국어만을 지원하기 위해서 제작된 것은 아니며 영어와 일본어를 포함하여 다양한 언어들을 지원하기 위해 제작되어 있다. 이는 해당 허위 백신 제작자는 감염된 시스템의 언어를 확인하여 해당 시스템의 사용자에게 가장 친숙한 언어를 보여주기 위한 것으로 보여진다.


그리고 해당 허위 백신에 감염된 시스템에서 인터넷 익스플로러(Internet Explorer)를 실행시키자 해당 허위 백신에서 인터넷 익스플로러가 온라인 뱅킹 정보를 유출할 수 있는 트로이목마에 감염되었다라는 허위 메시지를 보여 주며 빨리 해당 허위 백신을 온라인 결제하라는 요구를 하게 된다.


해당 허위 백신은 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Fakeav.344064

이번에 한국어를 지원하는 것으로 알려진 허위 백신은 심각한 악성코드들에 시스템이 감염되어 중요 개인 정보들이 유출될 수 있다라는 심각한 정보를 허위로 제공하여 온라인 결제를 유도하는 형태이다. 이렇게 허위 백신에서 한국어를 지원하는 것은 한국인에게 친숙한 한국어를 사용하여 허위 정보의 전달이 정확하게 하려는 제작자의 의도로 보여진다.

이는 결국 심각한 상황을 연출하여 사용자의 금전적 피해를 입히기 위한 고도의 사회 공학 기법으로 볼 수 있으며 향후에도 이와 유사하게 한국어를 사용하는 타켓 공격(Targeted Attack) 등이 발생 할 수 있음으로 많은 주의가 필요하다.
저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

2010년 2월 1일 야간 해외에서는 구글(Google) 메일로 위장하여 감염을 시도한 Prolaco 웜이 발견되었다는 웹센스(Websense)의 Malicious Google Job Application Response 글이 게시되었다.

이번에 발견된 Prolaco 웜 변형은 2009년 11월 헬로윈 축하 카드 메일이나 12월 연말 연시 축하 카드 메일로 위장하여 전파를 시도한 사례가 있었으나 이 번처럼 구글과 같은 특정 업체에서 보낸 전자 메일로 위장한 사례는 처음이다.

해당 웜은 전자 메일 제목으로 "Thank you from Google!" 을 사용하며 메일 본문에는 아래 이미지와 같이 구글로 입사 지원을 하여 고맙다는 내용과 함께 첨부되어 있는 지원 서류를 점검하라는 내용을 가지고 있다.


첨부 파일로는
CV-20100120-112.zip(541,419 바이트) 라는 압축 파일을 가지고 있으며 해당 압축 파일을 풀면 document.pdf(다수의 공백).exe(607,232 바이트)의 파일이 생성된다.

해당 웜은 구글 메일로 위장하여 전파를 시도하는 것 외에도 "You have received A Hallmark E-Card!" 라는 전자 메일을 통하여 전파를 시도하며 메일 본문은 다음과 같이 친구로부터 축하 카드를 받았으며 첨부 파일을 확인 해보라는 내용을 담고 있다.


그리고 위 이미지와 같은 전자 메일에는 첨부 파일로 Postcard.zip(541,419 바이트) 이 첨부 되어 있다.

번에 발견된 Prolaco 웜 변형이 실행되면 윈도우 시스템 폴더(C:\WINDOWS\system32)에 다음 3개의 파일들을 생성한다.

GoogleUpdate.exe(607,232 바이트)
statvcs.exe(202,240 바이트) 
stacsv.exe(239,104 바이트)

그리고 실행된 웜 자체는 아래 이미지와 같이 프로세스(Process)만을 은폐하여 프로세스 모니터링 도구에서 웜이 발견되지 않도록 한다.


그리고 다음의 윈도우 레지스트리의 특정 키 값을 수정하여 자신의 복사본인 GoogleUpdate.exe 파일이 윈도우 방확벽을 우회 하거나 시스템 부팅 시 마다 자동 실행 되도록 하며 이와 함께 임의의 TCP 포트를 오픈하여 외부로 웜이 첨부된 대량의 메일을 전송한다.

구글과 축하 카드 메일로 위장한 Prolaco 웜은 V3 제품군에서 다음과 같이 진단한다.

Win32/Prolaco.worm.607232

이러한 전자 메일을 통한 악성코드의 감염을 예방하기 위해서는 다음의 사항들을 숙지하는 것이 중요하다.

1. 안티스팸 솔루션 도입을 통해 스팸 및 악의적인 전자 메일의 유입을 최소화 하도록 한다.

2. 메일을 보낸 사람이 잘 알지 못 하는 사람일 경우 가급적 메일을 열지 말고 삭제하는 것이 좋다.

3. 사용중인 컴퓨터 시스템에 백신을 설치하고 실시간 감시를 켜두는 것이 중요하다.

4. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.


5. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다. 그리고 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

6. 악성코드의 감염을 예방하기 위해 사용하는 컴퓨터 시스템의 윈도우, 인터넷 익스플로러 및 오피스 제품 등에 존재하는 취약점을 제거하는 보안 패치를 모두 설치 하도록 한다.
저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

몇 해전부터 지속적으로 발생하는 온라인 메신저(Messenger)를 이용하여 현금 이체를 요구하는 메신저 피싱(Phishing)은 2009년에도 지속적으로 발생하여 많은 금전적 피해가 발생하였다.

ASEC에서는 이러한 메신저를 이용한 피싱이 2010년에도 지속적으로 발생할 것으로 예측하고 2010년 주요 보안 위협에도 선정한 바가 있다.


금일 이러한 온라인 메신저 피싱이 2010년에도 지속적으로 발생하고 있는 것을 ASEC에서 파악 되어 이러한 메신저로 금전적 거래를 요구하는 내용을 접할 때에는 해당 메신저 사용자에게 전화 등으로 다시 한 번 정확한 사실인지 확인하는 것이 중요하다.

이러한 메신저 피싱은 일반적으로 인간의 심리를 공격한다는 사회 공학 기법을 통해 발생하며 특히 상대방에게 어려운 상황이나 부탁을 하여 거절하지 못하는 상황을 연출하게 되는 고도의 심리적 공격 기법임으로 특별한 주의가 요구된다.
저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

ASEC에서는 2009년 11월 30일 해외 은행을 사칭한 피싱(Phishing) 메일에 대해 설명하며 이러한 피싱 메일로 인한 피해에 주의를 전한 바가 있었다.

2010년 1월 29일 새벽 ASEC에서는 국제적으로 널리 사용되는 신용카드인 VISA 카드를 사칭하여 사용자의 신용 카드 정보와 개인 정보 탈취를 노리는 피싱 메일을 발견하였다.


이 번에 발견된 VISA 카드 사칭 피싱 메일은 "
VISA card 4XXX XXXX XXXX XXXX: possible fraudulent transaction # 8509353990" 라는 메일 제목을 가지고 있으며 다음 그림과 같은 형태를 띄고 있다.


해당 피싱 메일은 위 그림에서와 같이 메일 수신인이 사용하고 있는 VISA 신용카드가 아프리카에 위치한 코트디부아르(Cote d'Ivoire) ATM 기기에서 사용되어 결제를 차단하였다는 메시지를 담고 있다. 그리고 사용 중인 VISA 카드 사용자 정보를 입력 할 것을 요구하며 특정 웹 사이트의 링크를 메일 본문에 포함하고 있다.

메일 본문에 존재하는 웹 사이트 링크를 클릭하게 되면 아래와 같이 VISA 카드 웹 사이트로 연결되며 메일 수신인의 개인 정보와 함께 사용 중인 VISA 카드 번호, 카드 만료일 및 카드 고유 번호처럼 신용 카드의 중요 결제정보를 입력할 것을 요구 하고 있다.


그러나 해당 웹 사이트의 도메인 주소를 검색해보면 아래 이미지와 같이 콜롬비아(Colombia)에 위치한 서버이며 입력하는 개인 정보 및 신용 카드 정보는 해당 웹 사이트로 전송하게 되어 있는 피싱 웹 사이트이다.


반적으로 은행 및 신용 카드 업체와 같은 금융 업체에서는 전자 메일로 고객의 중요 개인 정보를 요구하지 않음으로 이와 같은 전자 메일을 수신하게 되면 많은 주의를 기울여야 한다.

그리고 전자 메일을 통한 악성코드나 피싱으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지하는 것이 중요하다

1. 안티 스팸 솔루션 도입을 통해 스팸 및 악의적인 전자 메일의 유입을 최소화 하도록 한다.

2. 메일을 보낸 사람이 잘 알지 못 하는 사람일 경우 가급적 메일을 열지 말고 삭제하는 것이 좋다.

3. 사용중인 컴퓨터 시스템에 백신을 설치하고 실시간 감시를 켜두는 것이 중요하다.

4. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

5. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다. 그리고 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

6. 악성코드의 감염을 예방하기 위해 사용하는 컴퓨터 시스템의 윈도우, 인터넷 익스플로러 및 오피스 제품 등에 존재하는 취약점을 제거하는 보안 패치를 모두 설치 하도록 한다.
저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

2010년 1월 22일 ASEC에서는 1월 15일 발생한 마이크로소프트(Microsoft) 인터넷 익스플로러(Internet Explorer)의 알려지지 않은 취약점을 악용한 공격이 발생한 것을 알리고 이에 대한 상세한 분석을 진행하였다.

그리고 실제 공격이 활성화 되고 있음으로 마이크로소프트에서는 해당 취약점을 제거할 수 있는 보안 패치 MS10-002를 긴급으로 배포하여 해당 취약점으로 인한 피해 확산을 막고자 하였다.

ASEC TFT에서는 해당 취약점을 악용하는 보안 위협들에 대해 추가적인 정보 수집 및 분석을 진행하는 과정에서 중국 언더그라운드 웹 사이트들에서 1월 20일경 MS10-002 취약점을 악용하는 스크립트 악성코드를 자동으로 생성하는 공격 툴이 제작되고 유포 중인 것을 확인 하였다.





해당 MS10-002 취약점 악용하는 자동화 툴들은 모두 가운데 박스 부분에 악성코드가 위치할 웹 사이트 주소만 지정해주면 자동으로 해당 취약점을 악용하는 스크립트 파일이 다음 이미지와 같이 생성되도록 되어 있다.


이 번에 발견된 자동화 툴에서 생성된 악의적인 스크립트는 기존에 발견된 것들과 비교하여 버퍼(Buffer) 주소가 0x0c0d0c0d에서 0x0a0a0a0a 로 변경되었다.


제작된 쉘코드(Shellcode) 역시 특정 파일을 다운로드 할 수 있는 기능으로만 정리됨 함께 스크립트가 함수 단위로 더 정교하게 정리되었다. 그리고 인터넷 익스플로러로 로딩되었느지를 검사하는 루틴과 함께 보안 제품의 진단을 우회하기 위해 난독화가 추가된 특징들이 있다.


이렇게 자동으로 취약점을 악용하는 스크립트 악성코드를 생성하는 툴들은 2009년 7월에 발견된 중국산 MPEG2TuneRequest 취약점 악용 툴의 사례가 있었던 것 처럼 중국 언더그라운드에는 더 많이 존재할 것으로 추정된다.

그러므로 마이크로소프트의 인터넷 익스플로러 사용자는 마이크로소프트에서 제공하는 긴급 보안 패치인 MS10-002를 즉시 설치하여 추가적인 다른 보안 위협들에 의한 패해를 예방하기 바란다.
저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC