2010년 들어서도 웹 사이트를 악용한 공격은 줄어 들지 않고 있으며 이러한 공격은 현재에도 활발하게 이루어지고 있는 실정이다. 이러한 웹 사이트에 기반을 두고 사용하는 운영체제 또는 웹 브라우저(Web Browser)의 취약점을 악용하는 공격 형태에 있어서 웹 익스플로잇 툴킷(Web Exploit Toolkit)을 이용한 형태는 처음 있는 일이 아니다.

ASEC에서는 2010년 3월경 러시아 언더그라운드에서 제작된 것으로 추정되는 새로운 웹 익스플로잇 툴킷인 SEO Sploit Kit을 확보하여 새롭게 제작되는 웹 익스플로잇 툴킷들의 형태를 분석하였다.

번에 분석한 SEO Sploit Kit 은 러시아에서 2010년 3월에서 6월 사이에 제작된 것으로 추정하고 있으며 관리를 위한 메인 웹 사이트는 아래 이미지와 같은 형태를 가지고 있다.



해당 메인 웹 사이트에서는 현재 접속해 있는 좀비(Zombie) 시스템의 전체적인 현황과 함께 설치되어 있는 악의적인 웹 사이트에 접속한 시스템들에 대한 별도의 형태로 구분한 통계가 제공된다. 구분 형태는 웹 브라우저, 운영체제, 국가별 그리고 어느 웹 사이트에 삽입되어 있는 아이프레임(iFrame)을 통해 연결되었는지 그리고 어떠한 취약점을 통해 공격이 성공하였는지에 대한 통계들이 제공된다.

현재 해당 SEO Sploit Kit 툴킷에서는 아래 이미지에서와 같이 총 5가지의 취약점을 이용하여 공격을 수행 할 수 있었다.



Adobe Reader 'spell.customDictionaryOpen()' JavaScript Function Remote Code Execution Vulnerability

Adobe Acrobat and Reader Multiple Arbitrary Code Execution and Security Vulnerabilities

Foxit Reader 'util.printf()' Remote Buffer Overflow Vulnerability

MDAC(Microsoft Data Access Components) 기능의 취약점으로 인한 원격 코드 실행 문제점 (911562)

Update available for potential vulnerabilities in Adobe Reader and Adobe Acrobat 7

해당 취약점을 악용하여 실제 악성코드 감염에 어떠한 영향을 미치는지 실제 공격에 사용되는 웹 사이트의 일부 코드를 수정하여 사용하는 운영체제나 웹 브라우저에 취약점이 존재 할 경우에는 계산기 프로그램이 실행되도록 하였다.



테스트 결과는 위 이미지에서와 같이 취약점이 존재하는 운영체제 또는 웹 브라우저를 사용할 경우에는 테스트시에는 계산기 프로그램이 실행하도록 하였지만 실제 인터넷 공간에서는 충분히 악의적인 목적으로 사용됨으로 사용자 모르게 악성코드에 감염될 수가 있다.

그러므로 이러한 방식으로 유포되는 악성코드들의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.
Posted by AhnLab_ASEC
과거 국내에서는 스파이웨어에 대한 이렇다할 정의가 없었지만 2005년도경 당시 정보통신부에 의해 "스파이웨어 기준"안이 발표되었고 뒤를 이은 방송통신위원회에 역시 "스파이웨어 사례집"이 발표되어 한 번의 업데이트 이후 현재까지 해당 사례집이 사용되어 오고 있다.

앞에서 언급한 "스파이웨어 사례집 문서들"에서는 스파이웨어를 구분하는 가장 큰 부분으로 "용자 동의" 라는 점을 언급하고 있다.

최근에 와서는 이러한 부분을 악용한 스파이웨어 제작 업체들은 "사용자 동의를 받는 척" 하는 방식으로 사용자를 기만하기 시작했다.

예를 들면 사용자 약관을 읽어보기 힘들게 만들거나 불공정 약관을 사용하는 방식 등이 있다. 이렇게 적절하지 못한 사용자 동의를 구한 후 프로그램을 설치하는 것에 대해 불편해하는 여론을 스파이웨어 제작 업체들이 느낀것으로 보여진다.

최근에 와서는 더욱 교활한 방법으로 사용자들을 속이고 있다는 점들은 다수의 스파이웨어들을 분석하는 과정에서 어렵지 않게 파악되고 있다.

예를 들어 DNS 라운드 로빈(Round-Robin) 방식에 의해 임의로 부여받은 아이피(IP) 에 따라 혹은, HTTP 프로토콜 내부에 존재하는 User-Agent 또는 Referer 값에 따라 사용자 동의 절차 수행 여부를 결정하게 동작하는 것이다. 이 밖에도 단축 URL 로 접근했을 경우에만 엑티브엑스(ActiveX) 컨트롤을 이용해 프로그램이 설치되는 사례를 보았다는 글들도 인터넷에 찾아 볼 수가 있다.


위 이미지는 최근에 분석한 특정 스파이웨어가 지금도 배포되고 있는 웹사이트에서 확인할 수 있는 자바 스크립트 코드 일부분으로서 사용자 동의 절차가 옵션으로 처리 되어 있다.

위 이미지의 코드 일부분에서와 같이 isAgree() 라는 함수의 입력값으로 "agree" 가 전달되면 사용자 동의창이 보이지만 아래 주석으로 처리된 isAgree() 함수에 빈 문자열을 전달하는 것을 활성화 시켰을 때는 사용자 동의 절차 없이 스파이웨어가 설치되는 것이 확인되었다.

결국 스파이웨어의 판단에 있어서 중요한 기준 중 하나인 사용자 동의를 옵션으로 처리하여 특정 조건에서만 사용자 동의 창을 보여주고 있어 이는 보안 업체들의 진단을 우회하기 위한 하나의 방법이라고 할 수 있다.

이렇게 다양한 방식으로 유포되는 스파이웨어와 악성코드들의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.
Posted by AhnLab_ASEC

ASEC에서는 2010년 6월 중순 경부터 HTML 파일이 첨부된 스팸(Spam) 메일이 다양한 형태로 위장하여 유포되고 있음을 알려온 바가 있다. 이러한 HTML 파일이 첨부된 스팸 메일은 2010년 6월 15일에는 페이스북(Facebook)으로 위장하여 유포된 사례가 있으며 2010년 7월 5일에는 전송 실패 메일로 위장하여 유포된 사례 등과 함께 다양한 형태로 지속적으로 발견되고 있다.

지속적으로 유포되고 있는 HTML 파일이 첨부된 스팸 메일이 금일 다른 형태로 유포된 것을 ASEC에서 파악하였다.

2010년 7월  9일 발견된 첫 번째 HTML 파일이 첨부된 스팸 메일은 다음 이미지와 같은 형태를 가지고 있으며 메일 제목으로는 "
Returned mail: see transcript for details"이 사용되었다.



메일 본문에는 2010년 7월 5일에 발견되었던 전송 실패 메일로 위장하여 유포된 사례 유사하게 전달하는 메시지가 있으니 첨부된 HTML 파일을 확인 할 것을 유도 하고 있으며 첨부 파일로는 Returned mail see transcript for details.html (3,459 바이트)가 존재한다.

그리고 두번째로 발견된 형태는 다음과 같은 메일 제목과 본문을 가지고 있으며 메일 본문에는 동영사 웹 사이트인 유튜브(YouTube)에서 보낸 메일인 것으로 위장하고 있다.

* 메일 제목
User <임의의 문자열> suggests you to become friends on YouTube

* 메일 본문
User <임의의 문자열> suggests you to become friends on YouTube. Offers and acceptance of offers on friendship simplify tracing of that your friends place in the selected works, add or estimate, and also simplifies video departure by all or to the selected users.

To accept or reject this invitation, pass in attach file.

* 첨부 파일
Youtube Message.html

첨부된
Youtube Message.html (93,561 바이트)을 가지고 있어 앞서 언급한 HTML 파일과 크기면에서는 차이가 발생하지 않고 있으며 2개의 HTML 파일 모두 아래 이미지와 같이 보안 업체의 분석을 지연시킴과 동시에 보안 제품의 탐지를 우회하고자 스크립트 전체가 난독화 되어 있다.


첨부된 HTML 파일들을 실행하게 되면 공통적으로 다음과 같은 웹 사이트로 접속을 시도하게 되며 접속이 성공적으로 이루어지면 아래 이미지와 같이 4초간 기다리는 메시지가 출력된다.


그러나 해당 웹 페이지의 소스보기를 하게 되면 아래 이미지와 같이 2중으로 특정 웹 사이트 주소를 리다이렉션(Redirection) 시키기 위한 코드와 아이프레임(iFrame)을 통해 특정 웹 사이트 주소를 연결하기 위한 코드가 공통적으로 존재하고 있다.


첫 번째 존재하는 코드는 아래 이미지와 같이 기존에 널리 알려져 있는 성인 약품 광고를 위한 웹 사이트로 연결되도록 되어 있다. 그리고 두 번째 코드는 현재 정상적으로 동작하지 않고 있으나 기존의 사례를 보았을 때는 악성코드를 다운로드 한 후 실행하기 위한 것으로 분석된다.


이러한 2중적인 코드를 구성하여 사용자가 단순 스팸성 메일인 것으로 오인하게 만드는 HTML 파일이 첨부된 스팸 메일의 전체적인 구조를 도식화 하게 되면 다음과 같은 구조를 가지고 있다.


이러한 2중적인 코드를 통해 보안 위협에 노출 시키는 기법은 이번이 처음이 아니며 
2010년 2월 허위 세금 고지 메일로 위장하여 Zbot 변형을 다운로드하도록 유도함과 동시에 아이프레임으로 다른 악성코드 변형의 감염을 시도한 사례가 있다. 그리고 같은 2010년 2월에는 페이스북 피싱(Phishing) 웹 사이트에서 아이프레임을 이용하여 인터넷 익스플로러(Internet Explorer), 어도비 아크로뱃(Adobe Acrobat) 및 플래쉬(Flash) 취약점을 악용하는 악성코드의 감염을 시도한 사례가 존재한다.

이러한 2중 감염 기법을 이용하는 HTML 파일이 첨부된 악의적인 스팸 메일에 첨부되어 있는 HTML 파일은 V3 제품군에서 다음과 같이 진단한다.

HTML/Redirect

HTML 파일이 첨부된 악의적인 스팸 메일이 다양한 형태로 유포되고 있음으로 컴퓨터 사용자는 각별한 주의가 필요하다.

이렇게 다양한 방식으로 유포되는 악성코드들의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.
Posted by AhnLab_ASEC
2010년 들면서 한국에서도 소셜 네트워크 서비스(Social Network Service)에 대한 관심이 증가하고 이러한 서비스를 이용하는 사용자들이 지속적으로 증가 추세에 있다.

특히 단기간에 많은 사용자가 늘고 있어 다양한 보안 위협들이 발생하고 있는 트위터(Twitter)의 경우 2010년 6월에는
트위터의 사용자 암호 리셋 메일로 위장하여 허위 백신을 유포, 5월에는 트위터를 봇넷을 관리 및 조정하기 위한 서버로 사용하고자하는 사례, 3월에는 트위터 메시지를 통해 허위 백신을 유포 시도 사례와 함께 2월에는 트위터의 다이렉트메시지(Direct Message)를 이용해 피싱(Phishing) 웹 사이트로 유도하는 단축 URL(URL Shortening)이 유포되는 등 다양한 보안 위협 사례들이 발견되고 있다.

2010년 7월 7일 ASEC에서는 한 가지 특이한 트위터 계정을 발견하게 되었다. 해당 트위터 계정은 아래 이미지와 같이 비교적 많은 팔로어(Follower)들을 보유하고 있는 계정으로 겉으로 보기에는 일반 사용자의 트위터 계정으로 보여진다.

그러나 해당 트위터 계정에서 생성한 트위터 메시지들을 살펴보게 되면 트위터의 팔로어들을 구매 할 수 있다라는 특이한 메시지들만 반복적으로 업데이트 되고 있는 것을 알 수가 있다.



해당 트위터 계정에서 업데이트하고 있는 메시지들에 포함되어 있는 단축 URL들을 클릭하게 되면 아래 이미지와 같은 웹 사이트로 연결하도록 되어 있었다.



해당 웹 사이트에서는 팔로어 수를 500 단위로 늘려주며 2000 팔로어를 늘려주는 것에는 미화 120 달러가 필요하다는 안내를 하고 있다.

그리고 다른 웹 사이트 한 곳에서는 아래 이미지에서와 같이 팔로어를 늘려주는 것에 미화 15달러가 필요하다는 광고를 하고 있다.


이렇게 인위적으로 특정한 목적을 가지고 팔로우 수량을 늘려주는 것은 마치 악성코드와 공격 코드(Exploit)를 사고 파는 블랙 마켓(Black Market)에서 악성 봇(Bot)에 감염되어 있는 다수의 시스템들로 구성된 봇넷(BotNet)을 금전적인 거래로 판매하는 것과 유사한 형태로 보여진다.

이러한 형태는 트위터에서 팔로우 수를 금전적인 댓가를 통해 증가 시킨 이 후 해당 팔로어들에게 악성코드를 유포를 위한 웹 사이트, 피싱 웹 사이트 및 광고성 스팸 웹 사이트 등으로 연결하는 단축 URL이 포함된 다이렉트 메시지나 트위터 메시지를 전송 할 가능성이 높을 것으로 예측된다.

그러므로 트위터 사용자들은 자신의 계정으로 특정 트위터 계정이 팔로잉(Following)을 할 경우에는 해당 트위터 계정이 생성한 트위터 메시지와 사용자 프로필 등을 잘 확인 한 후에 해당 계정에 대한 팔로잉을 하는 주의가 필요할 것이다.

Posted by AhnLab_ASEC

2010년 6월 23일 BC카드 이용대금 명세서"로 위장한 악성코드가 이메일로 유포되어 네어버 특정 서버로 트래픽을 유발한 사건이 있었다. 금일 이와 유사한 형태의 악성코드가 새롭게 유포된 사실이 확인되었다.

2010년 7월 6일
 유포된 악성코드는 지난 번과 유사한 형태로 "
7월 이용대금 명세서" 란 제목의 메일로 유포되었으며
아래 이미지와 같이 메일 본문에는 신용카드 이용대금 명세서와 유사하게 제작되어 있지만 실제로는 악성코드를 PC에 감염시키기 위해 악의적으로 제작된 메일이다.



사용자가 해당 명세서 내용을 확인하고자 메일 본문에 존재하는 "
이용대금 명세서 현황"을 클릭하면 "KProtect 키보드 보안 프로그"을 설치하게끔 유도하고 있다.



현재 카드사로 위장된 웹 사이트에서는 아래 이미지에서와 같이 엑티브엑스 설치와 함께 특정 시스템에 존재하는 다른 파일들이 CAB 파일과 함께 동반 설치되도록 제작 되어 있었다.


해당 FA2010.exe (366,592 바이트) 파일이 정상적으로 실행이 되면 외부에 존재하는 다른 시스템으로 감염된 시스템의 맥어드레스(MAC Address) 정보를 전송하고 공격자에 의해 제작된 XML 포맷으로된 공격 및 메일 유포 명령을 수신하게 된다.


하지만 지난 2010년 6월 23일과는 달리 현재 C&C 서버에서는 공격 대상 목록을 포함하지 않고 있어 실제 트래픽을 유발하지는 않았을 것으로 보고 있다.


또한 현재까지 총 7대 PC에서만 진단로그가 확인되고 있어 확산이 되고 있지 않은 상태로 판단된다. 그러나, 해당 악성코드 유포 사이트 및 C&C 서버가 아직 접속이 가능한 상태라 이후 확산 추이를 지켜볼 필요가 있으며 XML을 통한 공격 명령이 언제 생성될 지 모름으로 주의가 필요하다.

현재 V3 제품군에서는 Win-Trojan/Mailfinder.366592Win-Trojan/Mailfinder.190976 진단명으로 해당 악성코드들에 대한 진단 및 치료가 가능하다.


특히 해당 악성코드는 2010년
6월 23일에도 이와 유사한 형태의 이메일로 유포를 한 사례가 존재함으로
한국어로 된 메일이라고 하더라도 메일의 발신인이나 메일의 내용들에 대해 세심하게 살펴보는 각별한 주의가 필요하다.

Posted by AhnLab_ASEC

네이트온 메신저로 전파되고 있는 악성코드가 2010년 7월 5일 대량으로 유포되어 사용자의 주의가 필요하다.

최근 1주일간 해당 악성코드의 변형 유포 추이를 ASD(AhnLab Smart Defense) 데이터베이스를 통해 살펴 보면 아래와 같은 수치로 유포 중인 것으로 알 수 있다.


특히 2010년 7월 5일 부터 다량으로 유포중인 악성코드는 기존의 형태와 다른 형태를 띠고 있어 일부 보안 제품의 진단을 우회한 것으로 확인이 되고 있어 주의가 필요하다.

안철수연구소 ASD(AhnLab Smart Defense) 자동 분석 시스템에서는 해당 변형에 대해 모두 진단이 가능하며 V3제품을 사용하는 고객은 스마트디펜스(Smart Defense) 기능을 통해 진단 및 치료가 가능하다.

가급적 메신저로 오는 쪽지에 URL 링크나 파일은 실행하지 않도록 하여 악성코드로 인한 피해를 입지 않도록 주의가 필요하다.

Posted by AhnLab_ASEC

한국시각으로 2010년 7월 4일 오전부터 메일 수신자가 과거에 발송한 메일이 전송 실패되어 반송된 메일로 위장하여 HTML 파일이 첨부된 악의적인 스팸 메일이 한국 내에 유포되었다.

이  HTML 파일이 첨부되어 유포된 전송 실패 메일로 위장한 스팸 메일은 2010년 6월 15일 ASEC 블로그를 통해 이미 언급되었던
HTML 파일이 첨부된 페이스북으로 위장한 메일과 유사한 형태로 제작되어 유포된 것으로 추정된다.

유포된 전송 실패 메일로 위장한 스팸 메일은 아래 이미지에서와 같이 "Delivery Status Notification (Failure)"라는 메일 제목을 사용하여 일반적으로 많이 접하게 되는 전송 실패 메일과 유사한 형태를 가지고 있다.


메일 본문에는 특정 수신인에게 발송한 메일이 전송 실패하여 반송되었다는 내용을 가지고 있으며 첨부 파일로는
Delivery Status Notification (Failure).html (3,551 바이트)라는 HTML 파일이 첨부되어 있다.

이러한 HTML 파일이 첨부된 형태는 과거 일반적으로 ZIP이나 실행 가능한 파일(EXE)이 첨부된 것과 다르게 보안 제품을 우회하거나 탐지하기 어렵도록 할 목적으로 제작된 것으로 추정된다. 그리고 첨부된 HTML 파일 역시 아래 이미지에서와 같이 보안 업체에서 분석하기 어렵도록 난독화 처리 되어 있는 것이 또 다른 특징으로 볼 수 있다.


첨부된 Delivery Status Notification (Failure).html (3,551 바이트)이 실행 되면 사용하는 웹 브라우저(Web Browser)를 통해 특정 웹 사이트로 접속하도록 되어 있으며 해당 웹 사이트에 존재하는 index3.html 파일이 브라우징하도록 되어 있다.


해당 웹 서버에 존재하는 index3.html 파일은 크게 2가지로 그 중 첫번재는사용자에게 아래 이미지와 같이 기존 다른 스팸 메일에서 익히 보아 왔던 성인 약품 광고 웹 사이트로 연결하는 기능을 수행하게 된다.


그리고 다른 한 가지는 현재 데이터사이즈(Datasize)가 0 으로 처리되어 테스트 당시에는 아무런 동작을하지 않도록 되어 있으나 과거의 사례를 보았을 경우, 취약점을 악용하는 어도비 아크로뱃 리더(Adobe Acrobat Reader) 파일인 PDF 또는 개인 정보 유출을 노리는 다른 악성코드 감염을 시도 할 것으로 추정된다.

이번 전송 실패 메일로 위장한 스팸 메일로 위장하여 유포되 HTML 파일은 V3 제품군에서 다음과 같이 진단한다.

HTML/Redirect

이렇게 다양한 방식으로 유포되는 악성코드들의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.
Posted by AhnLab_ASEC
2010년 7월 5일 새벽 3시경부터 국내 유명 포털 사이트 엑티브엑스(ActiveX) 매니저로 위장한 악성코드가 유포되고 있어 사용자의 주의가 필요하다.

해당 악성코드는 국내 모 포털업체에서 정상적으로 디지털 서명을 한 파일인 것처럼 교묘하게 위장하고 있어 사용자로 하여금 별다른 의심 없이 해당 파일을 설치하게끔 유도하고 있다.


윈도우 탐색기를 통해 파일에 대한 디지털 서명 정보를 확인 하면 연대서명이 되어 있지 않아도 디지털 서명이 유효하다고 나오기 때문에 주의가 필요하다. 그리고 디지털 서명 정보를 확인할 때는 반드시 연대 서명이 정상적으로 되어 있는지를 같이 확인해야 한다.

국내 모 포털 업체에서 정상적으로 디지털 서명을 하여 배포하는 파일의 이름은 아래 그림과 같이
****ActiveX.dll 이나 악성코드는
****ActiveMgr.dll 이란 이름으로 윈도우 폴더(C:\Windows) 아래에 생성된다.


현재까지 악성코드가 정상 파일처럼 위장했던 파일 이름들은 다음과 같다.

****ActiveMgr.dll
****Active.dll
****ActiveX.dll (정상파일과 동일 이름)
****BGMPlayer.dll
****CafeOn.dll
****Keysec.dll
****LoginHelper.dll
****Security.dll
notice.dll
XecureWeb.dll (정상파일과 동일 이름)
XecureWebSecurity.dll

해당 악성코드가 PC에 감염 되면 사용자에 의해 웹브라우저가 실행될 때 마다 일본에 있는 C&C 서버와 통신하여 특정 명령이 전달 될 경우 또 다른 악성코드들을 다운로드 하여 실행하도록 되어 있다.

해당 악성코드의 내부 코드 일부분을 살펴 보면 특정 조건에 의해 URLDownloadToFileA 함수를 이용하여 파일을 다운로드 한 후 ".EXE" 확장자를 추가하여 파일을 생성한 후 CreateProcessA 함수를 호출해 해당 다운로드 된 파일들을 실행하도록 한다.

현재까지 ASEC에서 파악한 바로는 C&C 서버의 위치는 국내가 아닌 일본에 위치한 것으로 파악하고 있다.



해당 악성코드 유포자는 일본에 존재하는 C&C 서버를 위장하기 위해 해당 서버의 IP를 통해 접속하게 될 경우에는 국내에 있는 특정 업체의 홈페이지 화면을 보여주어 정상적인 웹 사이트로 위장하고 있었다.


실제로 국내 웹 사이트의 HTML 소스와 이미지 등을 일본에 있는 C&C서버로 옮겨 놓아  메인 화면이 실제 국내 업체와 동일하게 나타나도록 하였으나 공지사항을 클릭해 보면 실제 서버로 링크는 걸지 않아 페이지 없음으로 나온다.

현재까지 발견된 해당 악성코드의 확산도를 ASD(AhnLab Smart Defense)의 데이터베이스를 통해 살펴 보면 아래와 같은 수치로 유포 중인 것으로 알 수 있다.


2010년 7월 5일 새벽 3시경에 발견된 악성코드는 현재까지 2,144 대 PC에서 탐지 로그가 확인되었으며 이는 V3Lite 사용자중 ASD 기능을 사용하고 있는 PC에서 수집된 정보이며 탐지 로그를 전송하지 않는 V3 제품 사용자나 해당 제품을 설치하지 않은 PC까지 고려한다면 이보다 많은 PC에서 감염 되었을 것으로 추정된다.

현재 V3제품에서는
Dropper/Pwstealer.105448 Win-Trojan/Pwstealer.64488 진단명(2010.07.05.00) 으로 해당 악성코드들에 대한 진단 및 치료가 가능하다.


이러한 다양한 형태로 위장하는 악성코드들의 감염으로 인한 피해를 예방하기 위해서는 다음의 기본 사항들을 숙지 할 필요가 있다.

1.
마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.


2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉
과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.


3. 웹 브라우저 또는 웹 사이트 링크를 통해 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.
Posted by AhnLab_ASEC

2010년 6월 22일 해외 보안 업체를 통해 기존에 익히 알려진 악성코드가 첨부된 UPS 운송 메일로 위장한 악의적인 메일에서 본문의 내용을 이미지로 처리하여 메일 보안 제품을 우회하고자 하는 사례가 발견되었다.

기존에 자주 발견되었던 UPS나
DHL 운송 메일로 위장하여 악성코드 전파를 시도하였던 악의적인 스팸 메일은 대부분 메일 본문이 텍스트로 작성되어 있었다. 그리고 이제까지 발견된 악성코드를 유포하기 위한 악의적인 스팸 메일들의 사례들을 종합 분석해보면 악성코드가 zip으로 압축되어 메일에 첨부되어 있거나 메일 본문에 특정 웹 사이트로 연결하는 링크가 포함되어 있는 형태로 유포된 사례들이다.

이번에 발견된 UPS 운송 메일로 위장한 악성코드의 경우에는 메일 제목은 기존과 유사한 형태로 "
UPS INVOICE NR<임의의 숫자>"로 되어 있으나 메일 본문 전체는 다음 이미지와 같이 메일 본문 전체가 이미지로 처리 되어 있다.


메일 본문 전체가 이미지로 처리 되어 있음으로 기존에 알려진 형태에서 처럼 악의적인 웹 사이트로 연결되는 링크는 포함되어 있지 않으며
invoice_N<임의의 숫자>.zip(62,390 바이트)의 ZIP로 압축된 악성코드가 첨부되어 있다.

ZIP으로 압축된 메일의 첨부 파일은 내부에
UPSInvoice.exe(82,432 바이트)가 존재하며 실행이 되면 기존에 발견된 다른 Oficla 변형들과 유사하게 스위스에 위치한 특정 시스템으로 접속을 시도한 후 해당 시스템에 존재하는 특정 명령에 따라 다른 악성코드 변형을 다운로드 등의 작업을 수행하게 된다.

이번에 발견된 메일 본문이 이미지로 처리 되어 있는 UPS 운송 메일로 위장한 악성코드는 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Oficla.82432.C
Win-Trojan/Oficla.20992.F

이렇게 메일 본문 전체를 이미지로 처리한 것은 해당 악성코드 제작자 또는 유포자는 메일 보안 제품등에서 많이 사용하는 메일 본문에 존재하는 텍스트(Text)를 기반으로 한 필터링(Filtering) 기법등을 우회하기 위한 하나의 기법으로 해석 할 수 있다.

이러한 전자 메일을 통한 악성코드의 감염을 예방하기 위해서는 다음의 사항들을 숙지하는 것이 중요하다.

1. 안티스팸 솔루션 도입을 통해 스팸 및 악의적인 전자 메일의 유입을 최소화 하도록 한다.

2. 메일을 보낸 사람이 잘 알지 못 하는 사람일 경우 가급적 메일을 열지 말고 삭제하는 것이 좋다.

3. 사용중인 컴퓨터 시스템에 백신을 설치하고 실시간 감시를 켜두는 것이 중요하다.

4. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

5. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.

6. 악성코드의 감염을 예방하기 위해 사용하는 컴퓨터 시스템의 윈도우, 인터넷 익스플로러 및 오피스 제품 등에 존재하는 취약점을 제거하는 보안 패치를 모두 설치 하도록 한다.
Posted by AhnLab_ASEC

ASEC에서는 2010년 6월 23일 오전 BC카드 이용 대금 명세서로 위장한 메일이 유포되었고 악성코드로 의심된다는 문의를 접수 받게 되었다. 문의의 해당 메일은 정상적인 BC 카드 이용 대금 명세서를 안내하는 메일로 보이지만 해당 메일은 악성코드 유포를 목적하여 제작된 허위 메일이며 국내 네이버 포털 사이트에 대한 분산 서비스 거부 공격(DDoS)을 수행하도록 되어 있었다.

금일 유포된 BC카드 이용 대금 명세서로 위장한 메일은 아래와 같은 이미지의 메일 본문을 가지고 있으며 메일 제목은 "
우리은행 BC카드 2010년06월20일 이용 대금명세서입니다."를 가지고 있었다.



위 이미지와 같은 메일 본문에 존재하는 "
이용대금 명세서 보기"를 클릭하게 될 경우에는 아래 이미지와 같이 정상적으로 이메일 명세서가 보이지 않는 것 처럼 제작된 허위 BC 카드 관련 웹 사이트로 연결된다.


연결된 이후에는 다시 아래 이미지에서 처럼 "KProtect 키보드 보안 프로그램" 설치가 필요하다는 안내와 함께 엑티브엑스(ActiveX) 설치를 유도하게 된다.


그러나 실제 해다 웹 사이트에서는 아래 이미지에서와 같이 엑티브엑스 설치와 함께 특정 시스템에 존재하는 다른 파일들이 CAB과 함께 동반 설치되도록 제작 되어 있었다.


해당 웹 사이트를 통해 다운로드 되어 실행된 BA10.exe (367,104 바이트)는 사용자 계정의 임시 폴더인 Temp에 다운로드 된 후 자신의 복사본을 윈도우 폴더(C:\Windows)에 복사하게 된다.


해당
BA10.exe (367,104 바이트)이 정상적으로 실행이 되면 외부에 존재하는 다른 시스템으로 감염된 시스템의 맥어드레스(MAC Address) 정보를 전송하고 공격자에 제작된 XML 포맷의 공격과 유포 명령을 수신하게 된다.

현재 ASEC에서는 ASD(AhnLab Smart Defense)의 데이터베이스(DataBase)를 통해 약 100여대의 시스템이 감염 되었던 것으로 분석하고 있으며 공격 명령을 내리는 C&C 서버는 총 3대의 시스템으로 구성된 것으로 파악하고 있다.

공격 명령을 내리는 C&C 서버 시스템으로 접속에 성공하게 될 경우에는 XML 포맷으로 제작된 감염 이후에 유포하게될 메일 형태를 내려 받게 되는데 아래 이미지에서와 같이 BC카드 이용 대금 명세서 형태를 가지고 있다.


그리고 추가적으로 분산 서비스 거부 공격(DDoS)을 수행할 때 공격의 대상이 되는 웹 사이트 주소를 아래 이미지에서와 같이 제작 되어 있으며 ASEC에서 테스트 당시에는 네이버(Naver) 포털 사이트가 공격자에 의해 지정되어 있었다.



이번 BC카드 이용 대금 명세서로 위장한 메일을 통해 분산 서비스 거부(DDoS) 공격을 수행하는 악성코드의 전체적인 구조를 도식화 하면 다음과 같은 구조를 가지고 있다.



그리고 다운로드 되는 악성코드는 ASD(AhnLab Smart Defense)의 데이터베이스(DataBase)를 통해 국내에 존재하는 총 6대의 시스템에서 관련 악성코드들이 유포되고 있는 것으로 분석하고 있다.

이번 BC카드 이용 대금 명세서로 위장한 메일을 이용하여 분산 서비스 거부 공격을 수행하는 악성코들은 V3 제품군과 ASD를 통해 다음과 같이 진단한다.

ASD.Prevention
Trojan/Win32.Infostealer
Win-Trojan/Mailfinder.192000
Win-Trojan/Mailfinder.367104

이번에 발견된 악성코드들의 추가적인 다른 형태로 유포가 있을 것으로 추정됨으로 한국어로 된 메일이라고 하더라도 메일의 발신인이나 메일의 내용들에 대해 각별한 주의를 가지고 살펴보아야 한다.

Posted by AhnLab_ASEC