안랩 ASEC에서 2013년 11월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2013 Vol.47을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2013년 11월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

PC 내 파일을 암호화하는 랜섬웨어 CryptoLocker

악성 매크로를 포함한 엑셀 파일

USB에 생성되는 ‘바로가기’ 파일

MS 오피스 제로데이 취약점(CVE-2013-3906) 주의

새터민 자기소개서로 위장한 악성 한글 파일 출현

신용카드 명세서로 위장한 악성코드 변종 유포

가짜 음성 메시지가 첨부된 악성 스팸 메일 등장

동영상 파일로 위장한 악성코드

이력서 문서 파일로 위장한 실행 파일


2) 모바일 악성코드 이슈

정상 앱을 가장한 광고 앱 주의

신뢰할 수 있는 기업의 웹사이트로 위장한 모바일 사이트

음란 페이지로 가장해 모바일 악성 앱 배포

웹서핑 중 자동으로 다운로드 되는 앱


3) 보안 이슈

비트코인 지갑 저장소를 노린 공격 발생

Apache Struts 2 취약점 업데이트 권고


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2013 Vol.47 발간



저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안랩 ASEC에서 2012년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.36을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2012년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

포털 사이트 겨냥한 금감원 사칭 피싱 악성코드 주의’

택배 사이트 배송조회 페이지에서 유포된 악성코드

토렌트 사이트에서 유포된 hosts.ics 생성 악성코드

최신 영화 공유 파일을 이용한 악성코드 유포

다앙한 DDoS 공격 기능이 있는 악성코드

PUP(불필요한 프로그램)의 습격

한컴 엑셀 파일 취약점을 이용한 백도어 유포

전자 계정 명세서로 위장한 스팸 메일

이메일로 도착한 문자메시지


2) 모바일 악성코드 이슈

금융사 피싱 앱 주의

문자메시지 수집하는 사생활 침해 악성 앱 주의

성인 악성 앱 주의

안드로이드 랜섬웨어 주의 


3) 보안 이슈

주요 정부기관 DNS 서버 DDoS

국제 사회에 영향을 미치는 에드워드 스노든 효과


4) 2013년 상반기 보안 동향

* 상반기 보안 위협 동향

정부기관, 언론 및 금융기관을 대상으로 한 대규모 보안 사고

메모리 패치 기능을 이용한 인터넷 뱅킹 악성코드

국내 소프트웨어 대상 제로데이 취약점 증가

한국적 특색이 강해지는 모바일 악성코드

파밍과 결합된 온라인 게임 계정정보 탈취 악성코드

자바와 인터넷 익스플로러 취약점의 지속적인 악용

국가간 갈등을 유발하는 인터넷의 사이버 첩보전


* 상반기 모바일 악성코드 동향

2013년 상반기 모바일 악성코드 급증

정보 유출 및 과금 유발 트로이목마 다수

사용자 과금 유발 악성 앱 최다

국내 스마트폰을 노린 악성코드


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.42 발간


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원
1. 개요
 올해 6월경 요금명세서 및 쇼핑몰 관련 메일로 위장해서 유포하는 악성코드가 발견되어 그에 대한 내용을 공유하고자 문서를 작성합니다.


2. 위장 메일 유형
 메일을 통해 유포되는 악성코드는 평소 전달되는 정상적인 요금명세서 및 쇼핑몰 관련 메일로 위장하고 있으며 ActiveX 형태로 악성코드를 설치하게 끔 하는 형태 입니다. 따라서 주의하지 않는다면 누구나 쉽게 감염될 수 있으며 현재까지 발견된 메일은 아래와 같은 메일이 있습니다.

유형 1) “OO은행 OO카드 2010년06월20일 이용 대금명세서입니다?” 라는 제목의 메일
 
[그림] OO카드 이용대금 명세서로 위장한 악성코드 유포 메일

 
[그림] 위 메일에서 [이용대금 명세서 보기] 메뉴를 선택 시 나타나는 화면


유형 2) “7월 이용대금 명세서” 라는 제목의 메일
 
[그림] 요금 명세서를 위장한 악성코드 유포 메일


유형 3) 쇼핑몰을 위장한 악성코드 유포 메일


[그림] 쇼핑몰을 위장한 악성코드 유포 메일 화면



유형 4) “[OOO] 주문하신 상품이 발송되었습니다” 라는 제목의 OOO 쇼핑몰 메일로 위장한 메일

[그림] OOO 쇼핑몰 메일로 위장한 악성코드 유포 메일 화면



3. 메일 상세 분석
 요금명세서 및 쇼핑몰 메일로 위장한 악성코드 유포 메일의 특징은 악성코드를 ActiveX를 이용하여 설치한다는 점입니다. 그리고 기존에 많은 요금 명세서 및 쇼핑몰 메일이 이러한 형태로 발송되고 있으며 보안모듈 역시 ActiveX로 설치되므로 일반 사용자는 악성 여부를 확인하기가 어려워 쉽게 악성코드가 악성코드에 감염이 될 가능성이 높은 형태의 유포방법 입니다.

그럼 악성코드가 어떤식으로 유포되어 어떤기능을 수행하는지에 대해 상세하게 분석해 보도록 하겠습니다. 먼저 전체적인 구조도 입니다.

[그림] 메일을 통해 유포되는 악성코드 구조도


1. 먼저 첫번째로 불특정 다수에서 요금명세서 및 쇼핑몰 메일로 위장하여 메일을 유포하게 됩니다.


2. 메일을 받은 사용자는 메일에 포함된 링크를 클릭하게 됩니다.

3. 메일 본문을 클릭 하거나 특정 링크 클릭 시 아래와 같은 ActiveX 설치메시지가 나타납니다.
 
[그림] 악성코드 설치를 위한 ActiveX 경고 창


ActiveX 설치를 위한 코드는 아래와 같이 구성되어 있습니다.
 
[그림] 악성코드 설치를 위한 ActiveX 코드 일부


4. ActiveX가 정상적으로 실행이 되게 되면 특정 사이트로 접속을 합니다.

5. 특정 사이트에 악성 EXE 및 DLL 파일을 다운로드 하여 사용자의 시스템에 설치가 됩니다.
여기서 다운로드 하는 EXE 및 DLL 파일명은 최초 확인된 파일명은 AD20.EXE, AD20.DLL 이나 이후 비슷한 형태로 [영문자 2자리 + 숫자 2자리] 또는 [영문자 2자리 + 숫자 4자리] 또는 [영문자 4자리] 등 다수의 변종파일이 계속해서 발견되고 있는 상황입니다.

6. 설치된 EXE 및 DLL 파일은 악성 행위를 수행하게 됩니다.

7. 악성행위 중 대표적인 행위는 특정 서버(C&C)에서 명령을 전달 받습니다.

8. 그리고 전달 받은 내용을 토대로 DDOS 기능을 수행하게 됩니다.
특정 서버(C&C)에 접속 형태는 아래와 같은 형태의 인자를 전달하여 XML 포맷의 형태로 명령을 전달받게 됩니다.

1) C&C 서버에 접속하여 명령을 받아오기 위해 요청하는 주소 형태
http://www.pa***.com /v2.0/cmd.php?mac_addr=MAC주소&ver=영문자+숫자

2) 명령 전달 형태 (XML 포맷)

</mailContent>
    <mailFileName></mailFileName>
    <mailSendTerm>43200000</mailSendTerm>
    <mailSendMax>200</mailSendMax>
    <mailRepeat>1</mailRepeat>
    <CmdServer>http://www.pa****.com/v2.0/cmd.php</CmdServer>   // C&C 서버 주소
    <CmdServer1>http://www.k***.com/v2.0/cmd.php</CmdServer1>   // C&C 서버 주소
    <CmdServer2>http://www.k***.com/v2.0/cmd.php</CmdServer2>   // C&C 서버 주소
    <CmdUpdateTime>30000</CmdUpdateTime>
    <delayWindow>10000</delayWindow>
    <CntWindow>1</CntWindow>
    <ifRandom>1</ifRandom>
  </CONFIG>
  <AddrInfo>
    <URL><![CDATA[http://mail.****.com]]></URL>   // DDOS 공격 대상 주소
    <HeaderData></HeaderData>
    <Content></Content>
    <PostData></PostData>
    <JSExec></JSExec>
    <ifJSRUN>1</ifJSRUN>
    <WaitTime>30000</WaitTime>
    <CacheDelete>0</CacheDelete>
    <fileDown>0</fileDown>
  </AddrInfo>
  <AddrInfo>
    <URL><![CDATA[http://comic.****.com]]></URL>      // DDOS 공격 대상 주소
    <HeaderData></HeaderData>
    <Content></Content>
    <PostData></PostData>
    <JSExec></JSExec>
    <ifJSRUN>1</ifJSRUN>
    <WaitTime>30000</WaitTime>
    <CacheDelete>0</CacheDelete>
    <fileDown>0</fileDown>
  </AddrInfo>
.
.
.
[중간 생략]
.
.
.
<ifJSRUN>1</ifJSRUN>
    <WaitTime>30000</WaitTime>
    <CacheDelete>0</CacheDelete>
    <fileDown>0</fileDown>
  </AddrInfo>
</root>

9. 마지막으로 불특정 다수에게 메일을 발송하여 다시 악성코드를 유포하게 됩니다.


4. 대응 상황
 현재 V3 제품군에서는 이와 유사한 형태의 악성코드를 계속해서 모니터링 및 수집중에 있으며 변종이 발견되는대로 엔진에 대응하고 있습니다.

먼저 아래 그래프는 요금명세서 및 쇼핑몰을 위장한 메일로부터 유포되는 악성코드에 대해 안철수연구소 내부적으로 확인된 감염 현황 입니다.

 
[그래프] 현재까지 확인된 요금명세서 및 쇼핑몰 메일로 위장한 악성코드 감염 추이


최초 발견은 2010년 6월 3일경에 되었으며 꾸준히 증가하고 있는 추세 입니다. 그리고 해당 악성코드는 현재 V3 제품군에서 아래와 같은 진단명으로 진단하고 있습니다.


Win-Spyware/Agent.375808.B
Win-Trojan/Mailfinder.366080
Win-Trojan/Mailfinder.367104.B
Win-Trojan/Mailfinder.367104.C
Win-Trojan/Mailfinder.190976.B
Win-Trojan/Mailfinder.188031
Win-Trojan/Agent.366080.BI
Win-Trojan/Agent.366080.BH
Win-Trojan/Ddos.366080
Trojan/Win32.DDoS
[표] 현재 V3 제품군에서 진단하는 진단명


5. 예방 방법
 이러한 일종의 사회공학적 기법을 이용하여 악성코드를 유포하는 경우 악성 여부를 확인하기가 상당히 어렵습니다. 따라서 이러한 종류의 악성코드로부터 예방을 하기 위해서는 아래와 같은 수칙을 지킨다면 조금이나마 예방을 할 수 있으리라 생각합니다.

1) 자신에게 해당하지 않는 요금명세서 관련 메일은 열람하지 않도록 합니다.
2) 주문하지 않은 상품에 대한 상품 발송 관련 쇼핑몰 메일은 열람하지 않도록 합니다.
3) 발신자의 이메일 주소가 해당 메일을 보낸 회사가 맞는지 확인을 합니다.
4) 백신을 항상 최신 버전의 엔진으로 유지하도록 합니다.
[표] 요금명세서 및 쇼핑몰 관련 메일을 통해 유포되는 악성코드 예방 수칙

신고
Creative Commons License
Creative Commons License
Posted by 비회원