마이크로소프트(Microsoft)에서 2014년 1월 한 달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2014년 2월 12일 배포하였다.


이번에 마이크로소프트에서 배포된 보안 패치들은 총 7건으로 다음과 같다.


Microsoft Security Bulletin MS14-005 - 중요

Microsoft XML Core Services의 취약점으로 인한 정보 유출 문제점 (2916036)


Microsoft Security Bulletin MS14-006 - 중요

IPv6의 취약점으로 인한 서비스 거부 문제점 (2904659)


Microsoft Security Bulletin MS14-007 - 긴급

Direct2D의 취약점으로 인한 원격 코드 실행 문제점 (2912390)


Microsoft Security Bulletin MS14-008 - 긴급

Exchange용 Microsoft Forefront Protection의 취약점으로 인한 원격 코드 실행 문제점 (2927022)


Microsoft Security Bulletin MS14-009 - 중요

.NET Framework의 취약점으로 인한 권한 상승 문제점 (2916607)


Microsoft Security Bulletin MS14-010 - 긴급

Internet Explorer 누적 보안 업데이트 (2909921)


Microsoft Security Bulletin MS14-011 - 긴급

VBScript 스크립팅 엔진의 취약점으로 인한 원격 코드 실행 문제점 (2928390)


마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다. 


마이크로소프트 업데이트

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

마이크로소프트(Microsoft)에서 2013년 12월 한 달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2014년 1월 16일 배포하였다.


이번에 마이크로소프트에서 배포된 보안 패치들은 총 4건으로 다음과 같다.


Microsoft Security Bulletin MS14-001 - 중요

Microsoft Word 및 Office Web Apps의 취약점으로 인한 원격 코드 실행 문제점 (2916605)


Microsoft Security Bulletin MS14-002 - 중요

Windows 커널의 취약점으로 인한 권한 상승 문제점 (2914368)


Microsoft Security Bulletin MS14-003 - 중요

Windows 커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점 (2913602)


Microsoft Security Bulletin MS14-004 - 중요

Microsoft Dynamics AX의 취약점으로 인한 서비스 거부 문제점 (2880826)


마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다. 


마이크로소프트 업데이트


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

2013년 7월 16일 Apache Struts2의 취약점(CVE-2013-2251)이 공개되었다. 해당 취약점은 Apache Struts의 특정 매개변수에 공격 구문을 전달하여, 파일 생성 및 원격 명령을 수행 할 수 있다.

7월 17일 오후 Apache Struts2 공격툴이 공개된 이후 해당 취약점을 이용한 공격이 급증하고 있으며 기업의 중요 서버에 대한 침입 시도와 피해 사례가 다수 확인되고 있다.

Apache.org는 이 취약점을 위험도 [매우 위험]으로 구분하고 있으며, 현재 패치를 제작하여 배포하고 있다.

이번 보안 업데이트의 적용 대상은 다음과 같다.

 Struts 2.0.0 - Struts 2.3.15

취약점은 Apache Struts 2.3.15 이하의 버전에서 “action:”, “redirect:”, “redirectAction:”와 같은 매개변수에 특정 구문이 전달될 때, Struts가 해당 매개변수들에 대한 입력 값 검증을 제대로 수행하지 않아 발생한다. 공격자는 원격에서 임의의 코드를 삽입할 수 있으며, 검증되지 않은 해당 코드를 서버에 삽입할 수 있다.

공격 예를 다음과 같다.

    hxxp://target/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()} 


    hxxp://target/save.action?redirect:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()} 


    hxxp://target/save.action?redirectAction:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}


현재 관련 공격 도구가 등장해 공격자가 손쉽게 공격 할 수 있다.


Struts2 취약점 공격도구 1


Struts2 취약점 공격도구 2


공격 도구를 이용할 경우 다음과 같은 GET 명령을 볼 수 있다.


취약점 해결을 위해 Struts 2.3.15 이하 버전은 2.3.15.1 이상으로 업데이트 해야 한다.

다운로드 주소 : http://struts.apache.org/download.cgi#struts23151


자세한 내용은 다음 주소를 참고하면 된다.

http://struts.apache.org/release/2.3.x/docs/s2-016.html


안랩 TrusGuard 제품군에서는 다음 시그니처로 해당 공격을 차단 할 수 있다.
-  Apache_struts_attack_tool (CVE-2013-2251)
-  Apache_struts_remote_command_exec(CVE-2013-2251)



신고
Posted by mstoned7

2월 18일 ASEC에서는 "어도비 리더 CVE-2013-0640 및 CVE-2013-0641 취약점 악용" 관련 정보를 공개하면서 해당 공격에는 2개의 제로 데이(0-Day, Zero Day) 취약점이 악용되었음을 공개하였다.


한국 시각으로 2월 21일 어도비에서는 해당 취약점들을 제거 할 수 있는 보안 패치를 배포한다는 것을 보안 권고문 "Security updates available for Adobe Reader and Acrobat"을 통해 공개하였다.


이번에 배포하는 보안 패치의 설치 대상이 되는 제품들은 다음과 같다.


윈도우(Windows)와 맥킨토시(Macintosh) 대상의 Adobe Reader XI (11.0.01와 이전 버전

윈도우(Windows)와 맥킨토시(Macintosh) 대상의 Adobe Reader X (10.1.5와 이전 버전)

윈도우(Windows), 맥킨토시(Macintosh)와 리눅스(Linux) Adobe Reader 9.5.3와 이전 버전

윈도우(Windows)와 맥킨토시(Macintosh) 대상의 Adobe Acrobat XI (11.0.01와 이전 버전)

윈도우(Windows)와 맥킨토시(Macintosh) 대상의 Adobe Acrobat X (10.1.5와 이전 버전)

윈도우(Windows)와 맥킨토시(Macintosh) 대상의 Adobe Acrobat 9.5.3과 이전 버전


어도비에서 제공하는 보안 패치는 다음의 절차로 설치 할 수 있다.


1) 어도비 리더 실행 후 상단의 [도움말] -> [업데이트 확인]을 클릭한다



2) 아래 이미지와 같이 [업데이트 확인 중...]이라는 메시지 이후 자동으로 보안 패치가 다운로드 후 설치 된다.



그리고 윈도우와 맥킨토시 사용자들은 아래 어도비 웹 사이트를 통해서도 별도 업데이트가 가능하다.


Adobe Reader for Windows


Adobe Reader for Macintosh



저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

어도비(Adobe)에서는 현지 시각으로 2월 13일 어도비 리더(Reader)와 아크로뱃(Acrobat)에 존재하는 취약점인 CVE-2013-0640 및 CVE-2013-0641를 악용한 타깃 공격(Targeted Attack)이 발생하였음을 보안 권고문 "Security Advisory for Adobe Reader and Acrobat"를 통해 밝혔다.


이 번에 발견된 2개의 어도비 리더와 아크로뱃 취약점은 기존에 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점으로 현재까지 해당 취약점들을 제거할 수 있는 보안 패치가 제공되지 않고 있다.


ASEC에서 파악한 바로는 해당 제로 데이 취약점들은 아프가니스탄을 중심으로 한 중동 지역을 대상으로 한 타깃 공격(Targeted Attack) 형태로 이메일의 첨부 파일로 공격이 진행되었다.


어도비에서는 해당 취약점들에 영향을 받는 어도비 리더와 아크로뱃 버전들은 다음과 같음을 밝히고 있다.


윈도우(Windows) 및 맥킨토시(Macintosh) Adobe Reader XI (11.0.01 및 이전 버전)

윈도우(Windows) 및 맥킨토시(Macintosh) Adobe Reader X (10.1.5  및 이전 버전)

윈도우(Windows), 맥킨토시(Macintosh) 및 리눅스(Linux) Adobe Reader 9.5.3 및 이전 버전

윈도우(Windows), 맥킨토시(Macintosh) Adobe Acrobat XI (11.0.01 및 이전 버전)

윈도우(Windows), 맥킨토시(Macintosh)Adobe Acrobat X (10.1.5 및 이전 버전)

윈도우(Windows), 맥킨토시(Macintosh) Adobe Acrobat 9.5.3 및  9.x 버전


이 번에 발견된 해당 제로 데이 취약점들은 어도비 리더 및 아크로뱃에서 XML 처리를 위해 사용되는 "AcroForm.api" 모듈에서 발생하는 힙 스프레이 오버플로우(Heap-spray overflow) 취약점이다.


이 번 어도비 리더와 아크로뱃에 존재하는 제로 데이 취약점들은 이메일의 첨부 파일 형태로 "Visaform Turkey.pdf (828,744 바이트)"라는 파일명으로 공격에 사용되었다.


해당 제로 데이 취약점들을 악용하는 취약한 PDF 파일을 열게 되면 아래 이미지와 동일한 내용을 가지고 있다.



타깃 공격에 사용된 제로 데이 취약점을 악용한 PDF 파일은 아래 이미지와 동일한 구조를 가지고 있으며, 첫 번째 스트림(Stream)에는 D.T (3,644 바이트) 파일이 암호화 되어 있고, 두 번째 스트림에는 L2P.T (366,926 바이트) 파일이 암호화 되어 존재한다.


그리고 아래 이미지와 동일하게 b5h에서부터 해당 취약한 PDF 문서를 여는데 사용한 어도비 리더와 아크로뱃의 버전을 확인하는 코드가 포함되어 있다.



해당 어도비 리더와 아크로뱃의 버전을 확인하는 코드는 다음 버전을 사용 중인지 확인하게 된다.


10.0.1.434

10.1.0.534

10.1.2.45

10.1.3.23

10.1.4.38

10.1.4.38ARA

10.1.5.33

11.0.0.379

11.0.1.36

9.5.0.270

9.5.2.0

9.5.3.305


만약 해당 취약한 PDF를 열었는 어도비 리더 및 아크로뱃이 해당 버전들에 해당 되지 않을 경우에는 아래 오류 메시지를 발생 후 종료하게 된다.



그리고 해당 취약한 PDF 파일은 아래 이미지와 동일하게 6F932h에서부터 난독화된 자바스크립트(Javascript)가 존재한다.



이 번 어도비 리더와 아크로뱃에 존재하는 제로 데이 취약점들을 악용한 공격의 전체적인 구조는 다음 이미지와 동일하다.



해당 제로 데이 취약점을 악용하는 취약한 PDF 파일을 열게 되면, D.T (46,080 바이트)라는 파일명을 가지는 DLL 파일이 다음 경로에 생성된다.


c:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\acrord32_sbx\D.T


생성된 D.T (46,080 바이트)는 다시 L2P.T (453,632 바이트) 파일명을 가지는 DLL 파일을 다음 경로에 생성하게 된다.


c:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\acrord32_sbx\L2P.T


L2P.T (453,632 바이트)는 취약점이 존재하지 않은 정상 PDF 문서인 Visaform Turkey.pdf (77,210 바이트)를 생성하여 해당 취약한 PDF 파일을 열었던 PC 사용자들에게 정상 파일처럼 보이게 만든다.


c:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\Visaform Turkey.pdf


그리고 L2P.T (453,632 바이트)는 외부 네트워크 연결이 가능한지 다음 도메인으로 접속으로 시도한다.


www.google.com/param 


감염된 시스템이 32비트(Bit) 운영체제 또는 64비트(Bit) 운영체제인지를 확인한 후, 32비트 윈도우 운영체제 일 경우에는 LangBar32.dll (250,880 바이트)을 생성하고, 64비트 윈도우 운영체제 일 경우에는 LangBar64.dll (219,648 바이트)를 다음 경로에 생성하게 된다.


c:\documents and settings\[사용자 계정명]\local settings\application data\cache\LangBar32.dll 


C:\Users\[사용자 계졍명]\AppData\Local\cache\LangBar64.dll 


그리고 감염된 시스템이 재부팅하더라도 자동 실행을 위해 레지스트리에 다음과 같은 키 값을 생성하게 된다.


HKEY_CURRENT_USER\Software\Microsoft\CTF\LangBarAddIn\{CLSID}

= C:\Documents and Settings\[사용자 계정]\Local Settings\Application Data\cache\LangBar32.dll


생성된 LangBar32.dll (250,880 바이트) 또는 LangBar64.dll (219,648 바이트)는 다음의 시스템으로 접속을 시도하게 된다.


bolsilloner.es/index.php


접속이 성공하게 될 경우에는 해당 시스템에서 특정 파일들을 다운로드 하여 lbarext32.dll (236,544 바이트)와 lbarhlp32.dll (269,824 바이트) 파일명의 DLL 파일들을 생성하게 된다.


생성된 해당 lbarext32.dll (236,544 바이트)와 lbarhlp32.dll (269,824 바이트)는 감염된 시스템에서 다음 정보들을 수집하여 kmt32.pod에 기록하게 된다.


실행 중인 프로세스 리스트

실행 중인 프로그램의 윈도우 명

사용자가 입력하는 키보드 입력 값


해당 어도비 리더와 아크로뱃에 존재하는 제로 데이 취약점을 악용한 공격은 악성코드 생성 및 악용한 취약점의 형태를 보았을 때 2월 7일 공개된 "어도비 플래쉬 플레이어 CVE-2013-0633 및 CVE-2013-0634 취약점 악용"과 동일한 그룹에 의해 제작되었을 것으로 추정된다.


이 번에 발견된 어도비 리더 및 아크로뱃에 존재하는 제로 데이 취약점을 악용한 악성코드들은 V3 제품 군에서 다음과 같이 진단한다.


PDF/Exploit

Win-Trojan/Itaduke.46080

Win-Trojan/Itaduke.453632

Win-Trojan/Itaduke.250880

Win64-Trojan/Itaduke.219648

Win-Trojan/Itaduke.236544 

Win-Trojan/Itaduke.269824


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/PDF.InScript_ZWF


어도비에서는 보안 패치를 배포하기 전까지 다음과 같은 임시 방안을 권고하고 있다. 아래 임시 방안은 윈도우(Windows) XP에 설치되어 있는 영문 어도비 리더를 기준으로 작성 되었다.


1) 어도비 리더 실행 후 상단의 [편집(Edit)] -> [기본 설정(Preferences)]을 클릭한다



2) [보안 고급(Security Enhanced)]를 클릭 후 상단의 [샌드 박스 보호(Sandbox Protections]에서 [제한된 보기(Protected View)]에서 [안전하지 않을 수 있는 위치의 파일(Files from potentially unsafe locations)]에 클릭한다.



앞서 언급한 바와 같이 현재 어도비에서는 해당 취약점들을 제거할 수 있는 보안 패치를 아직 배포하지 않고 있다. 현재 어도비에서는 보안팀 블로그 "Schedule update to Security Advisory for Adobe Reader and Acrobat (APSA13-02)"를 통해 현지 시각으로 2월 18일 보안 패치를 배포를 예정하고 있다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

마이크로소프트(Microsoft)에서 2013년 1월 한 달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2013년 2월 13일 배포하였다.


이번에 마이크로소프트에서 배포된 보안 패치들은 총 12건으로 다음과 같다.


Microsoft Security Bulletin MS13-009 - 긴급

Internet Explorer 누적 보안 업데이트 (2792100)


Microsoft Security Bulletin MS13-010 - Critical

Vulnerability in Vector Markup Language Could Allow Remote Code Execution (2797052)


Microsoft Security Bulletin MS13-011 - 긴급

미디어 압축 해제의 취약점으로 인한 원격 코드 실행 문제점 (2780091)


Microsoft Security Bulletin MS13-012 - 긴급

Microsoft Exchange Server의 취약점으로 인한 원격 코드 실행 문제점 (2809279)


Microsoft Security Bulletin MS13-013 - Important

Vulnerabilities in FAST Search Server 2010 for SharePoint Parsing Could Allow Remote Code Execution (2784242)


Microsoft Security Bulletin MS13-014 - 중요

NFS 서버의 취약점으로 인한 서비스 거부 문제점 (2790978)


Microsoft Security Bulletin MS13-015 - 중요

.NET Framework의 취약점으로 인한 권한 상승 문제점 (2800277)


Microsoft Security Bulletin MS13-016 - 중요

Windows 커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점 (2778344)


Microsoft Security Bulletin MS13-017 - 중요

Windows 커널의 취약점으로 인한 권한 상승 문제점 (2799494)


Microsoft Security Bulletin MS13-018 - 중요

TCP/IP의 취약점으로 인한 서비스 거부 문제점 (2790655)


Microsoft Security Bulletin MS13-019 - 중요

Windows CSRSS(Client/Server Run-time Subsystem)의 취약점으로 인한 권한 상승 문제점 (2790113)


Microsoft Security Bulletin MS13-020 - 긴급

OLE 자동화의 취약점으로 인한 원격 코드 실행 문제점 (2802968)


마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다. 


마이크로소프트 업데이트

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

어도비(Adobe)에서는 현지 시각으로 2월 7일 어도비 플래쉬 플레이어(Adobe Flash Player)에 존재하는 취약점인 CVE-2013-0633 및 CVE-2013-0634를 제거하기 위한 보안 패치를 배포 중임을 보안 권고문 "APSB13-04 Security updates available for Adobe Flash Player"를 통해 밝혔다.


이 번에 발견된 2개의 어도비 플래쉬 플레이어 취약점은 기존에 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점이었다.


해당 제로 데이 취약점들은 특정 대상으로 상대로한 타깃 공격(Targeted Attack)과 웹 사이트를 통해 해당 취약점을 악용하는 플래쉬 파일(SWF)를 유포하는 것으로 공개되었다.


어도비에서는 해당 취약점들에 영향을 받는 플래쉬 플레이어 버전들은 다음과 같음을 밝히고 있다.


윈도우(Windows)와 맥킨토시(Macintosh) 설치 된 Adobe Flash Player 11.5.502.146 과 이전 버전

리눅스(Linux)에 설치된 Adobe Flash Player 11.2.202.261과 이전 버전 

안드로이드(Android) 4.x 에 설치된 Adobe Flash Player 11.1.115.36와 이전 버전

안드로이드(Android) 3.x와 2.x 에 설치된 Adobe Flash Player 11.1.111.31와 이전 버전


이 번 어도비 플래쉬 플레이어에 존재하였던 제로 데이 취약점은 마이크로소프트의 워드(Word)에 임베디드(Embedded) 된 형태로 타깃 공격이 발생하였다.


ASEC에서는 파악한 바로는 총 3개의 마이크로소프트 워드가 공격에 사용되었으며, 아래 이미지와 같은 내용들을 포함하고 있다.





타깃 공격에 사용된 마이크로소프트 워드 파일 중 2개의 워드 파일들은 다음과 같은 구조를 가지고 있으며, 컨텐츠(Contents) 섹션에 어도비 플래쉬 플레이어에 존재하는 취약점을 악용하는 취약한 플래쉬 파일(SWF) 파일과 백도어가 포함되어 있다.



그리고 나머지 한 개의 워드 파일은 다음과 같은 구조를 가지고 있으며, 해당 파일 역시 컨텐츠(Contents) 섹션에 어도비 플래쉬 플레이어에 존재하는 취약점을 악용하는 취약한 플래쉬 파일(SWF) 파일과 백도어가 포함되어 있다.



이 번에 발견된 어도비 플래쉬 플레이어에 존재하였던 제로 데이 취약점 CVE-2013-0633 및 CVE-2013-0634은 모두 스택 오버플로우(Stack Overflow)로 인한 공격자가 지정한 임의의 코드를 실행 할 수 있는 코드 실행 취약점이다.


해당 취약점을 악용하는 취약한 어도비 플래쉬 플레이어 파일은 다음과 같은 구조를 가지고 있으며,  "DefineBinayData" 섹션을 2개 가지고 있다.



해당 취약한 어도비 플래쉬 파일에 존재하는 2개의 "DefineBinayData섹션에는 각각 아래 이미지와 같이 32비트에서 실행 할 수 있는 PE 파일과 64비트에서 실행 할 수 있는 PE+ 파일이 존재한다.




그리고  아래 이미지와 같이 시스템에 설치되어 있는 플래쉬 플레이어 버전과 운영체제의 버전을 체크하는 코드가 포함되어 있으며, 해당 버전의 플래쉬 플레이어에서만 취약점이 동작하도록 제작되었다.




해당 취약한 플래쉬 플레이어 파일을 제작한 공격자는 취약한 버전의 플래쉬 플레이어가 설치되어 있는 윈도우 운영체제가 32비트 또는 64비트 인가에 따라 서로 다른 악성코드 감염을 목적으로 제작하였다.


타깃 공격에 사용되었던 마이크로소프트 워드 파일들을 취약한 버전의 어도비 플래쉬 플레이어가 설치된 시스템에서 열게 되면 2개의 워드 파일들은 다음 이미지와 같이 동작하게 된다.


그리고 나머지 1개의 워드 파일은 다음 이미지와 같이 동작하게 된다.



취약한 어도비 플래쉬 파일을 포함하고 있는 마이크로소프트 워드 파일을 열게 되면 다음의 경로에는 abc.cfg (247,296 바이트)을 생성하게 된다.


C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\abc.cfg


생성된 abc.cfg (247,296 바이트)는 동일한 경로에 seccenter.xxx (88,016 바이트 또는 33,280 바이트)를 생성하게 된다. 


2개의 마이크로소프트 워드 문서에서는 seccenter.xxx (88,016 바이트)의 복사본을 아래 경로에 Googleupdate.exe (88,016 바이트)로 생성하게 된다. 


C:\Documents and Settings\[사용자 계정]\Application Data\Googleupdate.exe


그리고 나머지 1개의 워드 문서에서는 seccenter.xxx (33,280 바이트)의 복사본을 아래 경로에 svchost.exe (33,280 바이트)를 생성하게 된다. 


C:\Documents and Settings\[사용자 계정]\Application Data\svchost.exe


그러나 생성된 svchost.exe (33,280 바이트)은 암호가 설정되어 있는 압축 파일로 분석 당시에는 정상적인 동작을 하지 않았다.


생성된 Googleupdate.exe (88,016 바이트)는 동일한 경로에 config.sys (568 바이트)를 생성하게 되는데, 해당 파일은 XOR로 인코딩(Encoding) 되어 있는 데이터 파일이다. 


해당 데이터 파일을 디코딩(Decoding)하게 되면 아래 이미지와 같이 접속을 시도하는 C&C(Command and Control) 서버의 주소인 ieee.boeing-job.com(108.62.10.13) 를 포함하고 있다.  그러나 분석 당시에는 해당 C&C 서버에는 정상적인 접속이 이루어지지 않았다.



그리고 Googleupdate.exe (88,016 바이트)는 아래 이미지와 같이 한국 온라인 게임 업체의 유효기간이 만료된 비정상적인 디지털 서명 정보가 남아 있다.



Googleupdate.exe (88,016 바이트)가 정상적으로 동작하게 되면 레지스트리(Registry)에 다음 키를 생성하여 시스템이 재부팅하더라도 자동 실행 가능하도록 설정하게 된다.


HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Update = C:\Documents and Settings\[사용자 계정]\Application Data\Googleupdate.exe


 그리고 감염된 시스템에 다음과 같은 보안 소프트웨어의 프로세스가 실행 중인지 확인하여, 만약 존재하게 된다면 강제종료를 시도하게 된다.


avp.exe

qqpctray.exe

kxetray.exe

360tray.exe


이 번에 발견된 어도비 플래쉬 플레이어에 존재하였던 제로 데이 취약점 CVE-2013-0633 및 CVE-2013-0634를 악용하는 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.


DOC/Cve-2013-0633 

DOC/Cve-2013-0634

SWF/Cve-2013-0634 

Win-Trojan/Infostealer.247296

Win-Trojan/Boda.241570 

Win-Trojan/Boda.3328

Win-Trojan/Boda.247296

Win-Trojan/Boda.246272


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/DOC.InScript_ZWF


향후 출시 예정인 V3 다음 버전에 포함된 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit


현재 어도비에서는 해당 취약점들이 제거되어 있는 플래쉬 플레이어 버전을 배포 중에 있음으로 아래 웹 사이트를 통해 최신 버전의 플래쉬 플레이어를 설치하는 것이 중요하다.


Adobe Flash Player Download Center


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

ASEC에서는 아래 내용을 통해 1월 25일 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이(Zero Day, 0-Day) 취약점을 악용한 공격이 있었음을 공개하였다.


2013년 1월 29일 - 한글 파일 제로 데이(Zero-Day) 취약점 악용 공격


해당 제로 데이 취약점을 제거 할 수 있는 보안 패치를 2월 6일부터 한글과 컴퓨터에서 배포 중에 있다.


이 번 보안 패치에 영향을 받는 한글 소프트웨어 버전은 다음과 같음으로, 해당 버전 사용자는 보안 패치를 설치하는 것이 중요하다.


한글 2002SE

한글 2004
한글 2005
한글 2007
한글 2010 SE


해당 보안 패치는 한글과 컴퓨터 웹 사이트를 통해 보안 패치를 업데이트 할 수 있으며, 아래 이미지와 같이 [한컴 자동 업데이트]를 실행해서도 보안 패치 설치가 가능하다.



[한컴 자동 업데이트]가 실행되면 아래 이미지와 같이 현재 설치되어 있는 한글 프로그램에 맞는 보안 패치를 자동으로 설치할 수 있다.



그리고 아래 이미지의 [환경 설정]을 클릭하여 [업데이트 방법][자동 업데이트 설정]이 가능함으로 최신 보안 패치가 배포될 경우에 자동 업데이트가 진행 된다.



한글 소프트웨어의 알려진 취약점이나 알려지지 않은 취약점을 악용한 악성코드 유포가 지속적으로 발견되고 있다. 


그러므로 한글 소프트웨어 사용자는 한글과 컴퓨터에서 배포하는 보안 패치들을 모두 적용하고 사용 중인 보안 소프트웨어를 최신 업데이트 버전으로 유지하는 것이 악성코드 감염으로부터 시스템을 보호 할 수 있는 방안이다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

2012년도에는 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 취약점을 악용한 타깃 공격(Target Attack)이 예년에 비해 비교적 크게 증가하였다.


이 중에는 기존에 알려지지 않은 제로 데이(Zero Day, 0-Day)을 악용한 공격 형태도 2012년 6월과 11월에 발견될 정도로 한글 소프트웨어 취약점을 악용한 공격의 위험성이 증가하고 있다.


2012년 6월 - 한글 제로데이 취약점을 악용한 악성코드 유포


2012년 11월 - 국방 관련 내용의 0-Day 취약점 악용 한글 파일


이러한 한글 소프트웨어에 존재하는 기존에 알려지지 않은 제로 데이 취약점을 악용한 공격이 1월 25일경 다시 발견되었다.


이 번에 발견된 한글 소프트웨어의 제로 데이 취약점을 악용하는 취약한 한글 파일은 아래 이미지와 같이 다수의 개인 정보를 포함한 형태로 발견되었다.



해당 취약한 한글 파일은 아래 이미지와 동일한 같은 구조를 갖고 있으며, 이 중 "BinData" 항목의 "BIN0001.bmp" 라는 비정상적인 이미지를 파싱하는 과정에서 취약점이 발생하게 된다.



이로 인해 영향을 받게 되는 한글 소프트웨어의 모듈은 "HncTiff10.flt"에서 TIFF 형식의 이미지를 파싱하는 과정에서 발생하는 코드 실행 취약점이다.


해당 제로 데이 취약점으로 인해 영향을 받는 한글 소프트웨어는 ASEC의 내부적인 테스트 결과로는 다음 버전에서 동작하게 된다.


한글 및 한컴 오피스 2007

한글 및 한컴 오피스 2010


최신 보안 패치가 모두 적용된 한글 2007과 2010 버전에서는 해당 취약한 문서를 여는 과정에서 바로 취약점이 동작하게 된다. 


하지만 최신 패치가 적용되지 않은 한글 2010 버전에서는 아래 이미지와 같은 오류 메시지가 발생하며, 해당 오류 메시지를 종료하는 순간 취약점이 동작하게 된다.



해당 제로데이 취약점을 포함하고 있는 한글 파일이 정상적으로 열리게 되면 아래 이미지와 같은 전체적인 구조를 가진 다른 악성코드들이 생성된다. 


우선 취약한 한글 파일이 정상적으로 열게 될 경우에는 아래 경로에 HncUpdate.exe (641,024 바이트)가 생성 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\HncUpdate.exe


생성한 HncUpdate.exe (641,024 바이트)은 GetTempFileName 함수를 이용하여 임의의 문자열을 파일명으로 가지는 tmp 파일 3개를 다음과 같은 경로에 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\[임의의 문자열].tmp (187,904 바이트)

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\[임의의 문자열].tmp (181,760 바이트)

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\[임의의 문자열].tmp (219,136 바이트)


HncUpdate.exe (641,024 바이트)가 생성한 tmp 파일 중 187,904 바이트 크기를 가지는 tmp 파일을 다시 아래 경로에 w32time.exe (187,904 바이트) 파일명으로 다시 복사를 하게 된다.


C:\WINDOWS\system32\w32time.exe


그리고 생성한 w32time.exe (187,904 바이트)을 윈도우 서비스로 실행하기 위해서 윈도우 레지스트리 다음 경로에 "Windows Time"라는 윈도우 서비스 명으로 아래와 같은 키 값을 생성하게 된다.


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32time

ImagePath = C:\WINDOWS\system32\w32time.exe


w32time.exe (187,904 바이트)은 파일 다운로드 기능만 가지고 있는 파일이며, 다른 악의적인 기능은 존재하지 않는다.  


해당 w32time.exe (187,904 바이트)이 실행이 되면 파일 내부에 하드코딩 되어 있는 웹 사이트 주소 3곳에 존재하는 GIF 또는 JPG 확장자를 가진 파일을 다운로드 하게 된다.


분석 당시에는 아래 이미지와 같이 다운로드 되는 해당 파일들은 GIF와 JPG 파일 시그니처만 남아 있는 손상된 파일들이다



해당 악성코드 제작자는 현재까지는 손상된 GIF와 JPG 파일을 사용하고 있으나, 적절한 시기에는 이를 다른 악성코드로 변경하여 동시에 다수의 악성코드를 유포하기 위한 것으로 추정된다.


그리고 생성된 다른 임의의 문자열을 파일명으로 가지는 tmp 파일 2개는 윈도우 비스타(Windows VISITA)와 윈도우 7(Windows 7)에 존재하는 UAC(User Access Control) 기능을 무력화하여 생성한 악성코드를 정상적으로 실행하기 위한 기능을 수행하게 된다.


이 번에 알려진 한글 소프트웨어에 존재하는 제로 데이 취약점을 악용하는 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


 HWP/Exploit 

 Trojan/Win32.Agent 

 Win-Trojan/Agent.219136.DC

 Dropper/Agent.641024.G 

 Win-Trojan/Agent.181760.HT


그리고 APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-DE 


향후 출시 예정인 V3 다음 버전에 포함된 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit

Suspicious/MDP.Exploit

Suspicious/MDP.Behavior

Suspicious/MPD.DropExecutable


현재 해당 악성코드에서 사용한 취약점은 앞서 언급한 바와 같이 한글과 컴퓨터에서 보안 패치가 제공되지 않는 제로데이 취약점이다.


그러므로 이메일이나 웹 사이트 등으로부터 전달 받게된 출처가 불명확한 한글 파일을 실행하는 경우에는 각별한 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

마이크로소프트(Microsoft)에서 2012년 12월 한 달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2013년 1월 9일 배포하였다.


이번에 마이크로소프트에서 배포된 보안 패치들은 총 7건으로 다음과 같다.


Microsoft Security Bulletin MS13-001 - 긴급

Windows 인쇄 스풀러 구성 요소의 취약점으로 인한 원격 코드 실행 문제점 (2769369)


Microsoft Security Bulletin MS13-002 - 긴급

Microsoft XML Core Services의 취약점으로 인한 원격 코드 실행 문제점 (2756145)


Microsoft Security Bulletin MS13-003 - 중요

System Center Operations Manager의 취약점으로 인한 권한 상승 문제점 (2748552)


Microsoft Security Bulletin MS13-004 - 중요

.NET Framework의 취약점으로 인한 권한 상승 문제점 (2769324)


Microsoft Security Bulletin MS13-005 - 중요

Windows 커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점 (2778930)


Microsoft Security Bulletin MS13-006 - 중요

Microsoft Windows의 취약점으로 인한 보안 기능 우회 (2785220)


Microsoft Security Bulletin MS13-007 - 중요

Open Data 프로토콜의 취약점으로 인한 서비스 거부 (2769327)


마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다. 


마이크로소프트 업데이트



저작자 표시 비영리 변경 금지
신고
Posted by 비회원