지난 2010년 3월 26일 금요일 야간 서해안 앞바다에서 침몰한 천안함과 관련한 뉴스 기사를 위장하여 악의적인 웹 사이트로 연결하는 전자 메일이 2010년 3월 27일 해외에서 유포된 것이 보고 되었다.

이 번 천안함 침몰이 한국 뿐 만 아니라 국외에서도 많은 관심을 받고 있는 참사를 악성코드 유포에 악용한 전자 메일은 아래 이미지와 같은 전자 메일 형식로서 메일 제목으로는
"Dozens missing after ship sinks near North Korea"이며 별도의 첨부 파일이 존재 하지 않는다.


해당 전자 메일에는 북한 인근 해역에서 배가 침몰하였다는 내용과 함께 자세한 내용은 제공한 웹 사이트 링크를 통해 확인 할 것을 유도하고 있다.

그러나 해당 전자 메일에서 제공하고 있는 웹 사이트 링크는 3월 11일 ASEC 블로그를 통해 공개한 마이크로소프트 인터넷 익스플로러의 제로 데이(0-Day, Zero-Day) 취약점인 CVE-2010-0806을 악용하는 스크립트를 다운로드 하는 웹 사이트로 연결하도록 되어 있다.


위 이미지와 같이 CVE-2010-0806 취약점을 악용하는 자바 스크립트 파일은 현재까지 다수의 변형들이 발견되었으며 현재까지 마이크로소프트에 의해 공식적으로 취약점을 제거 할 수 있는 보안 패치는 제공되지 않은 상태이다.

해당 취약점을 악용하는 스크립트와 관련 악성코드는 V3 제품군에서 다음과 같이 진단한다.

JS/CVE-2010-0806
Win-Trojan/Tapaoux.357344

해당 취약점으로 인해 악성코드 감염을 예방하기 위해서는 해당 취약점으로 부터 영향을 받지 않는 인터넷 익스플로러 버전 8로 업그레이드 하는 것이 중요하다.
저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

2010년 3월 11일 ASEC에서는 마이크로소프트(Microsoft)의 인터넷 익스플로러(Internet Explorer)에서 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용한 타켓 공격(Targeted Attack)이 발생하였다고 전한 바 있었다.

3월 18일 해외에서 이 번에 발견된 인터넷 익스플로러의 제로 데이 취약점을 악용하는 스크립트 변형이 발견되었다.



이 번에 발견된 해당 취약점을 악용하는 스크립트 악성코드는 위 이미지와 같이 기존과 동일한 쉘코드(Shellcode)를 사용하고 다운로드 받는 파일을 XOR로 디코딩하여 실행 시키는 특징이 있다.

실제 해당 스크립트 악성코드가 실행되면 중국에 위치한 특정 시스템으로 부터 2929.exe(30,532 바이트)를 사용자 계정의 Application Data 폴더에 a.exe 라는 파일명으로 다운로드 하게 된다. 다운로드 한 해당 파일은 다시 동일한 폴더에 b.exe 라는 파일명으로 복사를 하게 된다.

그러나 다운로드 한 파일은 아래 이미지에서와 같이 정상적인 PE 파일 형태가 아니나 해당 스크립트 악성코드에 의해 XOR 디코딩을 통해 정상적인 PE 파일 형태로 변경하여 실행 하도록 한다.


이 번에 발견된 인터넷 익스플로러의 제로 데이 취약점을 악용하는 스크립트 악성코드 변형과 해당 스크립트 파일에 의해 다운로드 악성코드는 V3 제품군에서 다음과 같이 진단 한다.

JS/CVE-2010-0806.B
Win-Trojan/Zpack.30532

현재 마이크로소프트에서는 해당 제로 데이 취약점을 제거하기 위한 보안 패치를 제작하고 있는 것으로 알려져 있으나 언제 정식으로 배포 될지는 알려지지 않았다.

그러므로 사용하는 웹 브라우저(Web Browser)가 인터넷 익스플로러인 사용자는 해당 취약점의 영향을 받지 않는 인터넷 익스플로러 8로 업그레이드 함으로 이러한 보안 위협을 예방 할 수 있다.
저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

2010년 3월 8일 마이크로소프트(Microsoft)의 Malware Protection Center 블로그에 "CVE-2010-0188: Patched Adobe Reader Vulnerability is Actively Exploited in the Wild" 라는 글이 게시되었다.

해당 글의 요지는 지난 2월 16일 어도비(Adobe)사에서 공지한 아크로뱃 리더(Acrobat Reader) PDF에 존재하는 CVE-2010-0188 및 CVE-2010-0186 취약점에 대한 보안 패치 "
Security updates available for Adobe Reader and Acrobat" 중에서 CVE-2010-0188 취약점을 악용하는 PDF 파일이 발견되었다는 것이다.

ASEC에서는 해당 PDF 파일이 악용한 CVE-2010-0188 취약점과 해당 파일에 대해 상세한 분석을 진행하였다.

해당 취약점에 대한 추가적인 정보는 아래 ASEC 보안 권고문을 통해 확인 할 수 있다.

ASEC Advisory SA-2010-006
Adobe Reader (PDF) 코드 실행 취약점 주의 (CVE-2010-0188)

해당 취약점은 2006년 아이폰(iPhone)의 Jailbreak 목적으로 사용되었던 CVE-2006-3459  취약점과 동일한 것이며 취약한 LibTiff 오프소스 라이브러리가 어도비 리더(Adobe Reader) 9.3.0 이하 버전에 포함되어 있어서 발생하는 취약점으로 분석되었다.


해당 취약점을 악용하는 것으로 알려진 PDF 파일의 압축을 풀면 위 이미지에서와 같이 특정 자바스크립트(JavaScript)가 나타나며 해당 자바스크립트 코드는 Heap_Spray 오버플로우(Overflow)를 발생하는 쉘코드(Shellcode)와 함께 exploit.tif 취약점을 악용하는 코드가 아래 이미지와 같이 포함되어 있다.


실제 포함된 취약한 exploit.tif 파일의 내부 구조를 아래 이미지와 같이 살펴보면, "DotRange" 태그가 보이고 그 Value 값에 특정 문자열이 포함되어 있는 것을 알 수 있다.


결국 취약한 PDF 파일 내부에는 자바스크립트를 통해 힙(Heap)을 쉘코드로 채우고 난 이후에 해당 파일의 Value 값으로 RET를 덮어써서 쉘코드로 점프하여 실행하도록 조작되어 있었다.

실제 디버깅 과정에서도 스택(Stack)의 경계를 넘어서는 RET 주소 번지를 "DotRange"의 특정 값을 주소 번지로 채우고 해당 주소로 점프(Jump)하도록 되어 있다.


실제 해당 주소 번지로 점프를 하게되면 해당 취약한 PDF 파일이 가지고 있는 쉘코드가 실행되고 아래 이미지에서와 같이 다른 악성코드를 생성하고 실행하도록 되어 있다.


이러한 방식으로 취약한 PDF 파일을 통해 다른 악성코드의 감염을 시도하는 악성코드는 V3 제품군에서 다음과 같이 진단한다.

PDF/CVE-2010-0188

이러한 어도비 아크로뱃 리더(Adobe Acrobat Reader)의 보안 취약점을 악용하는 악성코드의 감염을 예방하기 위해서는 아래 이미지와 같이 사용하는 제품의 업데이트 기능을 통해 보안 패치를 설치하는 것이 중요하다.

저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

2010년 3월 14일 온라인 항공권 구매 관련 메일로 위장한 허위 백신을 설치하는 악성코드가 유포되었다.

이 번에 유포된 악성코드는 다음과 같은 전자 메일 형태를 가지고 있으며 메일 제목에는 "Online order for airplane ticket N648365"를 가지고 있다.

그리고 메일 본문에는 온라인으로 항공권을 구매하여 감사하며 당신의 계정이 생성되었으며 항공 요금으로 998.63 달러가 청구 할 예정이니 첨부한 신청서를 확인하라는 내용을 담고 있다.


첨부 파일로는 eTicket.zip (156,604 바이트)이 존재하며 해당 압축 파일의 압축을 풀면 eTicket.exe(186,880 바이트)가 생성된다.  

생성된 eTicket.exe를 실행되면 시스템에는 익히 알려진 허위 백신 프로그램을 설치하고 허위 치료를 위해 과금을 결제하도록 유도하는 페이지로 연결하도록 되어 있다.

해당 악성코드에 대해 V3 제품군에서는 다음과 같이 진단한다.

Win-Trojan/Fakeav.125120

이러한 전자 메일을 통한 악성코드의 감염을 예방하기 위해서는 다음의 사항들을 숙지하는 것이 중요하다

1. 안티스팸 솔루션 도입을 통해 스팸 및 악의적인 전자 메일의 유입을 최소화 하도록 한다.

2. 메일을 보낸 사람이 잘 알지 못 하는 사람일 경우 가급적 메일을 열지 말고 삭제하는 것이 좋다.

3. 사용중인 컴퓨터 시스템에 백신을 설치하고 실시간 감시를 켜두는 것이 중요하다.

4. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

5. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.

6. 악성코드의 감염을 예방하기 위해 사용하는 컴퓨터 시스템의 윈도우, 인터넷 익스플로러 및 오피스 제품 등에 존재하는 취약점을 제거하는 보안 패치를 모두 설치 하도록 한다.
저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

2010년 3월 9일 마이크로소프트(Microsoft)의 인터넷 익스플로러(Internet Explorer)에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용한 타켓 공격(Targeted Attack)이 발생하였다.

현재까지 해당 타켓 공격에서 악용한 제로 데이 취약점은 미국과 일본으로 추정되는 지역을 대상으로 한 것으로 추정되고 있으며 이번 공격에 사용된 인터넷 익스플로러의 취약점은 마이크로소프트에서 보안 패치를 제공하지 않는 상황임으로 각별한 주의가 필요하다.

해당 취약점과 관련하여 마이크로소프트에서아는 아래와 같은 보안 권고문을 게시하였으며 미국 보안 업체인 맥아피(McAfee)에서도 이와 관련한 글을 블로그에 게시하였다.

Microsoft Security Advisory (981374)
Vulnerability in Internet Explorer Could Allow Remote Code Execution

ASEC에서는 이 번 타켓 공격에 악용된 인터넷 익스플로러의 제로 데이 취약점과 관련 악성코드에 대해 상세한 분석을 진행하였다.


이 번에 제로 데이 취약점을 악용한 스크립트 악성코드는 위 이미지와 같은 형태를 가지고 있으며 현재까지 쉘코드(Shellcode)는 동일하나 다른 악성코드를 다운로드하는 웹 사이트 주소 부분만 변경되어 악용되고 있다.

그러므로 향후에도 동일한 형태의 스크립트 악성코드 변형이 계속해서 발견될 것으로 예측 된다.

이 번에 알려진 취약점은 인터넷 익스플로러에서 사용하는 iepeers.dll에서 발생하며 기존에 발견된 다른 인터넷익스플로러 취약점 악용 사례와 같이 쉘코드를 채우는 Heap_spray 코드로 구성되어 있다.


해당 쉘코드로 인해 위 이미지에서와 같이 최종적으로 다른 악성코드를 다운로드 하는 웹 사이트 주소를 실행하여 다운로드 한 후 실행하도록 설계 되어 있다.

해당 취약점과 관련한 추가적인 정보는 아래 ASEC 보안 권고문을 참고 하기 바란다.

MS 인터넷익스플로러 'iepeers.dll' 코드실행 취약점 주의(제로데이 취약점)

이 번에 발생한 공격의 전체적인 흐름을 도식화 한 이미지가 아래와 같다.


최초 공격자는 전자 메일에 특정 웹 사이트로 연결하는 웹 사이트 링크를 본문에 포함하여 특정 대상들에게 무작위로 발송하였다.

해당 메일의 수신자가 해당 링크를 클릭하게 될 경우, 미국에 위치한 특정 시스템으로 접속하여 인터넷 익스플로러의 취약점을 악용하는 스크립트 악성코드를 실행하게 된다. 그 후 다시 동일한 시스템에서 백도어 성격을 가지고 있는 다른 트로이목마들을 다운로드 한 후 실행하도록 하게 되어 있다.

해당 트로이목마들이 실행되면 DLL 파일 1개를 생성한다. 그리고 인터넷 익스플로러와 파이어 폭스(Firefox)와 같은 웹 브라우저(Web Browers)와 아웃룩(Outlook) 메일 클라이언트가 실행될 경우 해당 DLL 파일을 해당 프로세스에 스레드(Thread) 인젝션(Injection)을 시도하며 그 후 입력하는 키보드 입력값을 후킹하도록 되어 있다.

그 외에도 원격제어, 프록시(Proxy) 기능과 윈도우 로그인 암호 등을 외부로 유출하는 기능도 수행하게 되어 있다.

현재 V3 제품군에서는 이번 인터넷 익스플로러의 제로 데이 취약점을 악용하는 악성코드들을 다음과 같이 진단한다.

JS/CVE-2010-0806
Win-Trojan/Cosmu.32768.E
Win-Trojan/Mdrop.42496
Win-Trojan/Wisp.42496
Win-Trojan/Wisp.32768

그리고 네트워크 보안 장비인 트러스가드(TrusGuard)에서도 해당 취약점을 악용하는 네트워크 패킷(Network Packet)을 다음과 같이 탐지 및 차단 가능하다.

ms_ie_iepeers_code_exec_exploit

앞서 언급한 바와 같이 현재까지 해당 인터넷 익스플로러의 취약점을 제거할 수 있는 보안 패치를 마이크로소프트에서 제공하지 않음으로 각별한 주의가 필요하다.

마이크로소프트에서는 이에 대한 가장 빠른 해결 방안으로 사용하는 인터넷 익스플로러 8이 영향을 받지 않음으로 업데이트 할 것을 권고하고 있다.
저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

2010년 2월 25일 ASEC에서는 유명 소셜 네트워크 서비스(Social Network Service) 웹 사이트인 트위터(Twitter)의 사용자간 전송 가능한 다이렉트 메시지(Direct Messages) 중 악의적인 피싱(Phishing) 웹 사이트로 연결되는 링크와 메신저 추가 요청 스팸이 발견되었는 소식을 전한 바가 있었다.

ASEC에서는 추가적으로 트위터 다이렉트 메시지로 전송된 메신저 추가 요청의 스팸이 어떠한 목적을 가지고 있는 자세한 분석을 진행하였다.


스팸으로 전송된 메신저 주소를 ASEC의 테스트 메신저 계정에 추가하고 대기하자 해당 스팸 다이렉트 메시지 전송자로 추정되는 인물이 위 이미지에서와 같은 무료 웹캠 웹 사이로 접속하라는 메시지를 남겼다.

해당 웹 캠 웹사이트에 접속하게 될 경우 아래 이미지와 같이 성인 동영상 관련 웹 사이트로 연결 되며 해당 웹 사이트 자체적으로는 악의적인 목적이 존재하지 않았다.


그러나 해당 웹 캠 웹 사이트에서 제공하는 다양한 성인 동영상들 관람 하기 위해서는 성년임을 검증하는 절차로 접속한 사용자의 개인 정보와 함께 신용카드 정보를 같이 요구하고 있었다.


러한 신뢰하기 어려운 웹 사이트에서 개인 정보와 신용카드를 정보를 입력하게 될 경우 금전적인 불이익등이 발생 할 가능성이 높다.

이제까지의 상황들을 종합 해볼 때, 결국 트위터의 스팸 다이렉트 메시지 전송자는 성인 동영상 웹 사이트로 메신저 사용자가 접속하도록 유도하여 개인 정보 및 신용카드 정보를 탈취하기 위한 목적으로 트위터 사용자들에게 접근 한 것을 알 수 있다.

그러므로 전송한 사람이 누구인지 잘 모르는 트위터 다이렉트 메시지를 받게 될 경우에는 메시지를 삭제하고 메시지에 포함되어 있는 메일 주소, 웹 사이트 링크 및 단축 URL(URL Shortening)은 클릭하지 않는 것이 중요하다.

그리고 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 제품과 백신을 시스템에 설치하여 사전에 다양한 보안 위협으로 인한 피해를 예방 하도록 한다.
저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

2010년 2월 24일 캐나다(Canada) 밴쿠버(Vancouver) 동계 올림픽에서 김연아 선수가 피겨 스케이팅에서 멋진 연기로 금메달을 획득 하였다. 김연아 선수의 피겨 스케이팅 경기가 전세계로 중계된 이후 구글(Google) 검색 웹 사이트에서 김연아 선수의 동영상을 위장한 악성코드가 유포 되었다.

이 번 구글 검색 웹 사이트를 통해 유포된 허위 백신은 2009년 이전 부터 해외에서 악성코드 유포에 많이 악용되었던
BlackHat SEO(Search Engine Optimization)이라는 기법이다.

구글 검색 웹 사이트에서 특정 단어를 입력하여 검색을 할 때 구글 검색 엔진의 랭킹(Ranking) 순위가 특정 알고리즘에 의해 가장 유사도가 높은 웹 사이트가 첫 번째 페이지에 제공 된다. 이러한 사항을 악용하여 BlackHat SEO 기법은 악성코드를 유포하기 위한 웹 사이트를 검색 결과 웹 페이지의 상위권에 나타나도록 조작하는 기법이다.


구글에서 김연아 선수의 동영상과 관련된 검색어를 입력할 경우 위 이미지에서와 같이 악성코드를 유포하기 위한 웹 사이트가 첫 번째 페이지에 나타나게 되었다.

해당 웹 사이트 링크를 클릭하게 될 경우에는 악성코드를 유포하기 위한 웹 사이트로 이동하게 되고 아래 이미지에서와 같이 사용하는 시스템이 악성코드에 취약하다는 문구와 함께 시스템을 검사하기 위해서 확인을 클릭할 것을 권유하게 된다.


확인을 클릭하면 아래와 같이 시스템을 검사하는 화면이 나타나고 사용하는 시스템에 다양한 악성코드가 감염되었음을 나타내는 허위 메시지가 제공된다.


이렇게 검색 엔진의 검색 알고리즘을 악용하는 BlackHat SEO 기법으로 허위 백신의 감염을 시도하는 악성코드는 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Fakeav.382464
Win-Trojan/Fakeav.382464.B

이렇게 검색 웹 사이트를 통해 접속하는 악의적인 웹 사이트를 통한 악성코드의 감염을 예방하기 위해서는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 제품과 백신을 시스템에 설치하여 사전에 이러한 보안 위협으로 인한 피해를 사전에 예방하는 것이 중요하다.

저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

ASEC에서는 201년 02월 25일 유명 소셜 네트워크 서비스(Social Network Service) 웹 사이트인 트위터(Twitter)의 사용자간 전송 가능한 다이렉트 메시지(Direct Messages)로 악의적인 피싱(Phishing) 웹 사이트로 연결되는 링크가 포함된 것이 발견되었는 소식을 전한 바가 있었다.

금일 오전에는 또 다시 트위터 사용자들 사이로 송신자가 누구인지 불명확한 스팸(Spam) 성격의 다이렉트 메시지가 전송되었다.


이번에 전송된 스팸 형태의 트위터 다이렉트 메시지는 위 이미지와 같이 24세의 여성이 윈도우 라이브(Windows Live) 메신저(Messenger)로 연락을 달라는 문구를 담고 있다.

그러나 실제 메신저로 연결을 하게 될 경우 메신저에 등록된 메일 주소로 스팸 및 피싱 메일 등 다양한 보안 위협에 노출될 우려가 있음으로 이에 대한 각별한 주의가 필요하다.


이러한 형태로 전송한 사람이 누구인지 잘 모르는 트위터 다이렉트 메시지를 받게 될 경우에는 메시지를 삭제하고 메시지에 포함되어 있는 메일 주소, 웹 사이트 링크 및 단축 URL(URL Shortening)은 클릭하지 않는 것이 중요하다.

그리고 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 제품과 백신을 시스템에 설치하여 사전에 다양한 보안 위협으로 인한 피해를 예방 하도록 한다.
저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

해외 시각으로 2010년 2월 24일, 한 블로그를 통해 유명 소셜 네트워크 서비스(Social Network Service) 웹 사이트인 트위터(Twitter)의 사용자간 전송 가능한 다이렉트 메시지(Direct Messages)로 악의적인 피싱(Phishing) 웹 사이트로 연결되는 링크가 포함된 것이 발견되었다.

해당 블로그에서는 아래 이미지와 동일하게 트위터에 등록되어 있는 개인 사용자들에게 직접 전달되는 다이렉트 메시지가 전송 되었다.


해당 메시지에는 일반적으로 트위터 사용자들이 많이 사용하는 단축 URL(URL Shortening) 기법이 적용된 웹 사이트 링크가 포함되어 있었다.
ASEC에서는 다이렉트 메시지로 전달된 해당 단축 URL을 분석 한 결과, 해당 웹 사이트 링크를 클릭하게 되면 아래 이미지와 같이 허위로 작성된 트위터 사용자 로그인 웹 사이트로 연결이 된다.


해당 웹 사이트를 통해 사용자 계정과 암호를 실제로 입력하게 되면 아래 이미지에서와 같이 웹 페이지를 표시 할 수 없다는 오류가 발생하게 된다.


그러나 실제 전송되는 네트워크 패킷(Network Packet)을 분석해보면 아래 이미지에서와 같이 사용자 계정과 암호는 그대로 특정 시스템으로 전송이 되는 것을 확인 할 수 가 있었다.


해당 트위터 피싱 웹사이트와 사용자 계정과 암호가 전송되는 시스템은 중국 허베이(Hebei)에 위치하고 있어 탈취된 개인 정보가 중국으로 전송된 것을 알 수 가 있다.


이번 트위터에서 발생한 단축 URL을 통한 피싱 웹 사이트 연결은 일부 보안 업체에서 우려한 바와 같이 소셜 네트워크 사이트(Social Network Site)들 안에서 단축 URL로 인해 피싱이나 악의적인 웹 사이트로 연결하여 악성코드를 유포하는 등의 보안 위협이 발생 할 수 있다는 것을 증명한 사례로 볼 수 있다.


이렇게 소셜 네트워크 사이트들에 발생할 수 있는 악의적인 웹 사이트 접속으로 인해 피해가 발 생 할 수 있음으로 소셜 네트워크 사이트 내부에서 잘 모르는 사용자가 전송한 단축 URL은 함부로 클릭하지 않는 주의가 필요하다.

그리고 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 제품과 백신을 시스템에 설치하여 사전에 이러한 보안 위협으로 인한 피해를 사전에 예방하는 것이 중요하다.
저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

2010년 2월 16일 ASEC에서는 전자 메일로 유포되었던 Zbot 트로이목마 변형들이 웹 사이트의 iFrame을 이용해 다른 악성코드 감염을 시도한다는 "2중 감염 기법을 사용하는 Zbot 변형"이라는 글을 게시한 바가 있었다.

2010년 2월 21일에는 이러한 2중 감염 기법이 적용된 페이스북(Facebook) 사용자 로그인 웹사이트로 위장한 피싱(Phishing) 웹 사이트에서 iFrame을 이용해 다른 악성코드 감염을 시도한 사례가 해외에서 발견되었다.

번에 발견된 페이스북으로 위장한 피싱 웹 사이트는 최초 전자 메일로 유포 된 것으로 알려져 있으며 해당 전자 메일 본문에는 아래 이미지와 같은 페이스북 사용자 정보를 입력하도록 되어 있는 페이스북 관련 피싱 웹 사이트 링크가 포함되어 있었다.


해당 피싱 웹 사이트에서는 사용자 정보를 입력하게 되면 다시 아래 이미지에서와 같이 사용자 이름과 국가 정보를 입력하게 되어 있으며 입력이 완료되면 정상적인 페이스북 웹 사이트로 연결하도록 되어 있다.



그러나 이렇게 사용자 정보를 입력 받는 페이스북 피싱 웹 사이트의 소스코드를 확인 해보면 "2중 감염 기법을 사용하는 Zbot 변형"이라는 글에서와 동일한 형태로 iFrame을 이용해 카자흐스탄(Kazakhstan)에 위치한 특정 시스템으로 사용자 모르게 연결되도록 하고 있다.


해당 페이스북 피싱 웹 사이트에서 iFrame을 이용해 연결하는 해당 시스템에는 아래 이미지와 같이 인터넷 익스플로러(Internet Explorer)과 어도비 아크로뱃(Adobe Acrobat)과 플래쉬(Flash) 취약점을 악용하는 취약한 파일들이 존재하고 있다.


해당 서버에 존재하는 취약한 파일들은 다음의 취약점들을 악용하여 다른 악성코드의 감염을 시도하고 있다.

MS05-052

MS06-014

MS06-073

MS09-028

APSB08-11

APSB08-13

APSB08-19

APSA09-07

해당 피싱 웹 사이트 제작자는 다른
웹 익스플로잇 툴 킷(Web Exploit Toolkit)과 연동하는 아래 이미지와 같은 전체적인 구조를 가지고 있으며 1차적으로 피싱 웹 사이트를 통해 페이스북의 사용자 계정과 암호 탈취를 시도한다. 그리고 2차적으로 iFrame을 이용하여 악성코드를 감염 시킴으로서 좀비(Zombie) 시스템으로 악용하거나 다른 개인 정보들의 탈취를 노리고 있는 것으로 볼 수 있다.


위와 같은 전체적인 구조도를 살펴 볼때 2009년 3분기 부터 진행 되었던 전자 메일로 악의적인 웹 사이트를 링크를 전달하는 기법은 2010년에도 지속적으로 등장하고 있는 것으로 분석된다.

컴퓨터 사용자는 수신하는 전자 메일 중 의심스러운 웹 사이트 링크를 클릭하지 않도록 주의하고 마이크로소프트의 다양한 취약점과 함께 다양한 어도비 취약점들이 악용되고 있음으로 사용하는 다양한 어플리케이션의 보안 패치들에 대해서도 주의를 기울여야 한다.
저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC