온라인상에 텍스트나 소스코드 데이터를 저장해서 공유할 수 있는 Pastebin (페이스트빈) 서비스를 이용한 악성코드가 발견되었다. Pastebin 서비스에 Raw 데이터 텍스트 스트링을 올려두면 부여되는 고유한 URL을 통해 접속할 수 있는 점을 이용하였다. 

악성코드는 성인물로 위장하여 ‘2.zip’ 압축 파일명으로 유포되었다. 실행된 악성코드는 단독으로 동작하거나 실행되지 않고 여러 개의 Visual Basic 스크립트 파일과 EXE 실행 파일을 만들거나 메모리에 로드하여 최종 파일을 생성한다. 이 과정에서 악성코드는 Pastebin 도메인의 각기 다른 4개 URL에 접속하여 해당 주소의 텍스트 데이터를 받아 악성코드를 로딩하는 데 이용한다. 최종 실행되는 파일은 ‘njRAT’ 이름을 가진 원격 제어 (Remote Access) 기능의 백도어이다. 다음은 최초 유포 파일로부터 최종 원격 제어 악성코드가 실행되기까지의 과정을 도식화한 것이다.

Pastebin을 통해 받아오는 Raw 데이터 텍스트 스트링은 다양한 목적과 형태로 되어있다. 인코딩된 또 다른 스크립트를 포함한 Visual Basic 스크립트 파일, 다른 Pastebin 주소로 연결하여 텍스트 스트링을 받아오는 Visual Basic 스크립트 파일, 그리고 인코딩된 PE 파일 바이너리가 확인되었다. 이렇게 외부 리소스를 이용해 악성코드 데이터를 받아오는 것은 최초 유포 파일의 용량을 크게 줄임과 동시에 백신의 개별 파일 시그니처 탐지 또는 이상 행위 탐지를 우회하기 위한 것으로 보인다. 또한 중간에 리소스 파일이 문제가 있을 때 이를 교체하기도 쉽다.

여기서 가장 마지막으로 Pastebin에 접속해 받아오는 스트링은 인코딩된 Base64 데이터로, 위 그림에서 (10) 파일에 해당한다. 이를 호출한 (9) 파일은 다음과 같이 텍스트 스트링을 디코딩한 후 바이트 배열로 변환하고 Invoke 메소드를 통해 .NET PE 파일의 EntryPoint를 호출한다. 그리고 이 모든 과정은 로컬에 생성된 (8) 파일의 프로세스 메모리 내에서 동작한다.

실행된 PE 파일은 파일 내 난독화된 스트링 오브젝트를 이용해 악성 기능을 수행하는 핵심적인 실행 파일을 또다시 메모리상에 로드한다. 이 파일은 원격 제어 기능을 수행하는 파일이며 다음과 같은 기능을 포함하고 있다. 또한, 아래 기능은 njRAT 원격 제어 백도어 악성코드와 그 기능이 같다. 공격자는 악성코드 제작 프로그램을 이용하여 다수의 사용자를 원격 제어할 목적으로 악성코드를 유포한 것으로 보인다.
  • 일정 간격을 두고 공격자 C&C 서버(regeditcrypter.myq-see.com:4969)와 지속된 메시지 통신 
  • DDoS 공격 - ARME Attack, Slowloris Attack
  • 비트코인과 관련한 현재 동작중인 프로세스를 찾고 있으면 코인 탈취, 지갑 주소를 포함하고 있음
  • Lime 랜섬웨어, 랜섬웨어 지갑 주소는 위 지갑 주소와 동일
  • USB 자체 전파
  • 각종 안티 분석
  • 토렌트 프로그램의 시드 - uTorrent.exe, BitTorrent.exe
  • 시스템 제어 – 전원, 작업관리자, 장치 제어
  • 시스템 정보 탈취

현재 안랩 제품에서는 Pastebin을 이용한 원격제어 유형의 악성코드를 다음 이름으로 진단하고 있다.
  • 파일 진단: Trojan/Win32.Executor (2018.03.24.08)
  • 행위 진단: Malware/MDP.Create


Posted by 분석팀

스팸 메일에 첨부되어 유포되는 Microsoft Office 문서 파일 악성코드 중 Hancitor (Chanitor) 유형이 2016년 이후 다시 활발히 유포되고 있는 정황이 확인되었다. 


Hancitor 악성코드는 VBA 매크로를 이용하여 ‘사용자 정의 폼’ 내부의 암호화 된 쉘코드를 이용하여 생성한 PE를 정상 프로세스에 인젝션하여 악성 기능을 수행한다. 관련하여 2016년 다음과 같은 제목으로 본 블로그에 분석 정보를 제공하였다. 


‘MS 워드 문서에서 폼 개체를 활용한 악성코드’ - http://asec.ahnlab.com/1052


최근 유포되고 있는 Hancitor 악성코드는 2016년과 비교했을 때 폼 개체 이용 및 프로세스 인젝션을 비롯한 전체적인 동작 방식에는 큰 변화가 없다. 부분적으로 쉘코드 생성 후 실행을 위한 Windows API가 달라지고 인젝션 대상 프로세스가 달라지는 차이가 확인되었다. 


1. Microsoft Office 문서 파일



VBA 코드는 파일마다 난독화 방식에 차이가 있으나, 공통적으로 내부 바이너리를 이용하여 쉘코드가 메모리에 로드 및 실행되도록 한다. 이 과정에서 시스템의 x86 또는 x64 환경을 확인하는데 이는 시스템의 프로세서 아키텍처 정보와 더불어 Microsoft Office 제품의 설치 버전 (x86/x64) 에 영향을 받는다. 2016년 샘플과 비교했을 때 이 부분의 코드에 차이가 연산 방식으로 변화한 것이 확인되었다. 



‘사용자 정의 폼’을 이용하여 TabStrip 컨트롤 내에 악성 바이너리를 포함한 방식은 동일하다. 다만 탭 내 아이템 개수를 다수 추가하였고 그 내부에 바이너리를 포함시켜서 악성 문서 파일에 대한 Generic 진단 방식을 우회한다. (http://asec.ahnlab.com/1052 [그림 4] 참고) 이후 로드된 바이너리는 VBA 코드의 복호화 과정을 통해 쉘코드로 생성된다. 복호화 방식은 파일마다 다르게 구현되어 있다.

 





2. 메모리에 쉘코드 로드 후 실행 – 사용 API 변화


생성된 쉘코드를 WINWORD.exe 메모리에 올리고 실행하기 위한 단계로, 기존의 분석 대상 Hancitor는 RtlMoveMemory / VirtualAllocEx / EnumTimeFormatsW Windows API를 이용하였다고 하였다. 


이번에 새롭게 등장한 Hancitor는 공통적으로 메모리 관련 핵심 기능을 수행하기 위해 다음 Windows API를 이용하는 것으로 바뀌었다. 각 API는 VBA 코드에 포함되어 있으며 Alias 키워드로 호출된다.
  • NtAllocateVirtualMemory
  • NtWriteVirtualMemory
  • CreateTimerQueueTimer

아래 코드는 NtAllocateVirtualMemory 함수를 호출하는 부분이며, 프로세스 내 페이지 영역에 할당된 메모리의 BaseAddress를 얻는다. 이 파일에서는 0x194000 (=26476544) 주소 번지 영역이 할당되었다. 


이후 해당 메모리 영역에 NtWriteVirtualMemory 함수를 이용하여 버퍼에 저장된 데이터를 쓰는데 이 때 데이터가 위에서 VBA 코드의 복호화 과정을 통해 생성된 쉘코드이다. 아래 코드에서는 ‘afflatus’ 버퍼에 저장된 데이터가 ‘numerose’ 주소에 써진다. 즉, 쉘코드를 WINWORD.exe 프로세스에 올려놓는 작업이다. 0x194000 메모리 영역은 RWX 권한을 갖는다.


쉘코드는 CreateTimerQueueTimer 타이머 큐(Queue) 생성 콜백 함수를 이용하여 호출된다. 콜백함수를 이용하는 것은 2016년 Hancitor 악성코드가 EnumTimeFormatsW 함수를 이용했던 것과 동일하다. 호출되는 코드 시작 주소는 쉘코드 상에서 +0x1090 영역으로 Opcode 이다.


3. 쉘코드의 기능 – 악성 PE 인젝션

쉘코드의 기능은 과거 Hancitor와 동작 과정 및 기능면에서 크게 달라진 부분은 없다. 실행되고 있는 WINWORD.exe 프로세스(콜백 함수의 시작 주소)에 디버거를 붙여서 보면, 해당 코드는 가장 먼저 ntdll.ldrLoadDll 함수의 주소를 얻는다. ldrLoadDll 은 DLL 로드를 위한 함수로써 이후 기능에 필요한 DLL 라이브러리와 함수 주소를 얻는다.


Kernel32.dll과 PSAPI.dll 모듈과 내부 함수들의 주소를 다수 필요로 하는데, 대표적으로 다음 API 함수들의 주소를 얻는다.
  • Kernel32.ExpandEnvironmentStringsW
  • Kernel32.VirtualAlloc
  • Kernel32.WriteProcessMemory
  • Kernel32.IsWow64Process
  • Kernel32.CreateProcessW
  • PSAPI.GetMappedFileNameA
쉘코드는 페이지 영역에 메모리를 할당하고 해당 주소 영역에 쉘코드 내 바이너리를 복호화하여 Base64로 인코딩 된 데이터를 생성한다. 이후 Base64 데이터를 디코딩하는 과정을 통해 최종적으로 악성 PE를 생성한다. 이 과정은 기존 분석 내용와 동일하다. 


최종 생성된 PE는 Windows 정상 프로세스인 svchost.exe 인젝션되어 동작한다. 파일 경로는 하드코딩 되어 있으며 프로세스는 CreateProcessW API를 이용하여 실행된다. 2016년 Hancitor는 x86 환경에서는 explorer.exe에 인젝션하여 동작하였던 것과 차이가 있다. (http://asec.ahnlab.com/1052 [그림 10] 참고)

x86 - %Windir%\system32\svchost.exe 
x64 - %Windir%\SysWOW64\svchost.exe


악성코드가 정상 svchost.exe 프로세스를 생성하고 코드를 인젝션하여 동작하기 때문에 WINWORD.exe 프로세스가 종료되어도 악성 행위가 지속된다. 또한 정상 프로세스 내에서 동작하기 때문에 사용자는 이상 증상을 인지하기 어렵다.

최종 수행하는 기능은 기존과 동일하게 감염 PC의 사용자, 시스템 정보 등을 C&C 주소로 전송하는 것이며, 해당 주소로부터 명령을 받아 파일 다운로드, 추가 인젝션 행위 등을 수행할 수 있다. 먼저 api.ipify.org 접속을 통해 사용자 PC의 공인 IP 정보를 획득하며, 이 정보를 포함하여 총 3개의 C&C에 접속을 시도한다. 아래는 인젝션 된 svchost.exe가 C&C에 접속 시도하는 모습이다. C&C에 전송되는 데이터 형식은 다음과 같이 고유한 형식으로, 이 또한 기존 악성코드와 동일하다. 



현재 안랩 제품에서는 Hancitor 유형의 악성코드를 다음 이름으로 진단하고 있다.

  • 파일 진단: W97M/Downloader (2018.03.14.00)
  • 행위 진단: Malware/MDP.Injector.M393 (MDS 전용) 


Posted by 분석팀

암호화폐 시장이 달아오름과 동시에 채굴 방식 또한 점차 다양해지고 있다. PC에 악성 채굴기 실행파일을 몰래 설치하는 악성코드뿐만 아니라[각주:1], 웹 브라우저를 기반으로 하여 암호화폐를 채굴하는 방식이 2017년부터 폭증하고 있다. 

웹 브라우저 기반으로 동작하는 마이닝 방식은 기존의 실행 파일 기반과는 다르게 악성 자바스크립트(JavaScript)를 이용해 동작한다. 자바스크립트는 추가로 악성 자바(JAVA) 파일 또는 웹어셈블리(WebAssembly) 파일을 로드할 수 있으며, 해당 웹 페이지에 접속했을 때 접속자는 개인 하드웨어 자원을 이용하여 채굴을 하게 되고 그 결과는 공격자의 지갑 주소에 전송된다. 

파일 기반의 악성코드는 최종 페이로드를 사용자 시스템에 전달하기 위해 파일 다운로드 후 실행하기까지 과정이 필요하지만, 웹 기반의 마이닝 악성코드는 단순 웹 페이지 접속 조건만을 만족하면 되기 때문에 공격자 입장에서는 좀 더 손쉬운 채굴 방식이 될 수 있다.

웹 브라우저를 이용한 최초의 마이닝 방식은 암호화폐 가격이 지금보다 낮았던 2011년에 이미 확인된 바 있다. ‘Bitcoin Plus’란 이름의 서비스는 비트코인을 채굴할 목적으로 작성된 자바스크립트를 제공하였다. 이 스크립트는 악성 자바아카이브(JAR) 파일을 다운로드 하고 자바 실행 환경의 시스템에서 채굴하였다.

<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.6.1/jquery.min.js" type="text/javascript"></script>

<script src="http://www.bitcoinplus.com/js/miner.js" type="text/javascript"></script>

<script type="text/javascript">BitcoinPlusMiner("donny@bitcoinplus.com")</script>

miner.js - 악성 JAR 파일 bitcoinplus-miner.jar 로드

bitcoinplus-miner.jar - 실제 마이닝 기능을 수행

최근에는 암호화폐 종류가 다양해지고 마이닝이 인기가 높아짐에 자바스크립트 마이너 파일 역시 다양하게 제작, 유포되고 있다. 대표적으로는 CoinHive (XMR 채굴)이 있으며 이 외에도 CryptoNoter(XMR, BCN, ETN), DeepMiner(XMR, ETN 외) 등 다양하다. 이러한 마이너 파일들은 GitHub 등 저장소에 소스가 공개되어 있어 접근하기도 쉽다. 자바스크립트 파일 외에 지갑 주소, 프록시, 스레드 개수 등을 설정하는 Config 파일을 별도로 구현하기도 하며 이는 마이너마다 차이가 있다.

공격자는 다음과 같은 방식 등을 이용하여 악성 마이너 파일을 웹 브라우저에 로드할 수 있다. 

  • 개인 사이트 또는 블로그에 악성 자바스크립트 포함
  • 해킹으로 탈취한 사이트에 악성 자바스크립트 포함 (Ex. iframe 태그 이용)
  • 정상 사이트에 포함된 광고 배너에 악성 자바스크립트 포함
다음은 최근 접수된 샘플로 ad1.html 이름의 광고성 페이지 안에 악성 자바스크립트 파일을 로드하는 코드가 삽입되어 있다.

ad1.html – 마이닝 목적의 자바스크립트 파일 로드

로드 된 deepMiner.js 파일은 다음과 같이 난독화 되어 있는 파일이다. 소켓 관리, 마이닝 기능 수행 시작 등 실질적인 기능에 대한 구현 부분만 포함하고 있으며 접속 풀 주소, 호스트, 포트 등의 기본 정보는 파일 내에 없다. 이 부분은 서버에 업로드 된 별도의 설정 파일로 구현 되어있을 것으로 보인다. 

deepMiner.js – 난독화 되어 있음

ad1.html 페이지 접속시 로드 된 deepMiner.js 파일은 채굴을 위한 CryptoNight 알고리즘 수행을 위해 worker.min.js 파일을 로드한다. 

추가 파일 로드

worker.min.js 파일 또한 난독화 되어 있는데 이 파일은 유포지의 /lib/ 경로에 존재하는 해시 알고리즘 구현 파일인 cryptonight.asm.js 파일 또는 cryptonight.wasm 웹어셈블리 파일을 로드하여 메모리에 올리는 역할을 한다. 웹어셈블리 파일은 웹 브라우저 상에서 실행 가능한 컴파일된 바이너리로서 자바스크립트(인터프리터 방식)보다 훨씬 빠른 속도로 실행 가능하다. 다만 웹어셈블리 WASM 파일은 컴파일 된 형태이기 때문에 외형만 봐서는 그 기능을 파악하기 어렵다. 따라서 이를 웹어셈블리를 텍스트 형식 파일인 WAT 파일로 변환하면 부분적으로 그 기능을 파악할 수 있다. 

웹어셈블리 파일 – 해시 알고리즘 구현

웹어셈블리 파일 텍스트 포맷 – 해시 알고리즘 구현

웹어셈블리를 이용한 것은 채굴을 좀 더 빠르고 효과적으로 하기 위한 방식으로, 최근 발견되는 악성코드는 대부분 해시 알고리즘 부분을 웹어셈블리 파일로 구현하여 로드하는 것으로 확인된다.

참고로 웹어셈블리는 브라우저 종류와 버전에 따라 지원 여부가 다르다. 만약 지원하지 않는 브라우저 환경일 경우에는 원본 코드인 자바스크립트 파일을 로드한다. 작성 기준 현재 Internet Explorer 는 웹어셈블리를 지원하지 않는다.[각주:2] Internet Explorer 로 ad1.html 페이지를 방문한 사용자는 웹어셈블리 파일 대신 asm.js 자바스크립트 파일이 로딩된다. 

최종적으로 마이닝 기능을 위한 파일이 모두 로드 되면 웹 브라우저의 CPU 사용량이 급등하며 채굴 기능이 수행된다. 

지금까지 살펴본 바와 같이 암호화폐 채굴 악성코드는 채굴자 개인의 PC 자원 혹은 다른 사람의 자원을 이용하기 위해 최근 들어서 그 수가 증가하고 있다. 웹 브라우저에 로드되어 마이닝 기능을 수행되는 방식은 웹브라우저를 종료하면 그 기능이 종료되고 현재까지는 채굴 이외의 기능은 확인되지 않고 있다. 하지만 사용자의 시스템 자원을 무단으로 이용하고 불특정 다수를 대상으로 악성 행위를 하기 때문에 주의를 기울일 필요가 있다. 

V3 제품군에서는 다음과 같은 진단명으로 탐지하고 있다.

  • HTML/CoinMiner
  • JAVA/CoinMiner
  • JS/CoinMiner
  • WASM/Cryptojs


  1. http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=3&menu_dist=2&seq=26900&key=&dir_group_dist=&dir_code= [본문으로]
  2. https://caniuse.com/#search=webassembly [본문으로]
Posted by 분석팀

- 악성코드와 공격기법의 고도화, 국가간 사이버보안 위협 증대, 침투경로의 다양화 등 사이버 공격이 더욱 교묘해지고 심화될 것으로 예측


안랩[대표 권치중, www.ahnlab.com]은 ‘2014년 예상 7대 보안 위협 트렌드’를 발표했다. 이에 따르면 2014년 예상되는 주요 이슈는 ►APT방식의 악성코드 고도화와 표적[target] 확대 ► 전자금융사기와 사이버범죄의 산업화 가속 ►악성코드 유포 방법의 다양화 및 고도화 지속 ►윈도XP 지원 종료에 따른 보안 위협 증가 ►특정 표적을 노린 소규모 모바일 악성코드 ►사이버 보안에 대한 국가적 인식 변화 ►펌웨어 업데이트에 악성코드 포함 시도 증가 등이다.

 

1] APT방식의 악성코드 고도화와 표적[target] 확대

2013년까지 기업이나 기관 등 특정 표적만을 노려 고도화된 악성코드를 이용해 정보유출이나 시스템 파괴를 노린 APT[Advanced Persistent Threat, 지능형 지속 공격] 공격이 큰 문제로 등장했다. 2014년에는 APT와 같은 지능형 공격의 표적이 확대되어, 일반 PC사용자를 노린 악성코드도 기존 APT 공격과 구분이 되지 않을 정도로 고도화될 것으로 예상된다. 이와 함께, 게임머니 탈취하기 위한 온라인 게임핵[OnlineGameHack] 부류와 금융정보를 탈취하기 위한 금융 악성코드 부류의 기능이 구분되지 않을 정도로 유사해져 가는 것, 혹은 APT공격과 제로데이 취약점을 노리는 워터링홀[보충설명 참조] 공격의 구별이 없어지는 등 악성코드 간의 기능이 융합될 것으로 예상된다. 특히 금전적 이익을 위해 무차별적인 악성코드 유포를 통해 비트코인 채굴을 시도하는 사례가 국내에도 등장할 것이다.

[보충자료] 워터링 홀[Watering hole] 공격: 알려지지 않은 취약점을 활용해 악성코드를 유포하는 방법 중 하나로, 악성코드를 특정 웹사이트에 심어두고 사용자가 해당 사이트에 접속하면 악성코드가 PC로 배포되는 형태의 공격 기법

 

2] 전자금융사기와 사이버범죄의 산업화 가속

2013년 악성코드를 이용한 전자금융사기 피해사례들을 보면 피싱, 파밍, 보이스 피싱, 스미싱, 메모리 해킹 등 다양한 수법들이 사용되었다. 이렇듯 매년 사용자의 금융정보와 예금을 탈취하기 위해서 악성코드에 사용한 기술들이 점차 정교화, 고도화되고 있다. 2014년에도 악성코드 제작자들은 응용 프로그램 취약점, 정상 프로그램 변조, USB와 같은 외부 저장 매체 접근 등 다양한 방법을 통해서 악성코드 유포를 시도할 것을 보인다. 또한, 지금의 인터넷뱅킹과 같은 온라인상에서 돈을 취급하는 특정 금융 서비스를 대상으로 하는 공격이 증가할 것으로 예상된다. 따라서 금전을 노린 사이버 범죄의 산업화가 가속화될 것이다.

 

3] 악성코드 유포 방법의 다양화 및 고도화 지속

2014년에는 악성코드 유포 방법이 더 다양해지고 고도화될 것으로 예상된다. 지금까지는 불특정 다수에게 악성코드를 대량으로 유포하고 목적에 따라 변종을 유포하는 방식이 많았다. 2014년에는 기존의 방식 외에 손쉽게 악성코드를 대량으로 유포할 수 있는 새로운 형태의 유포 방법이 등장할 가능성이 높다. 예를 들어, 다수 사용자가 접속하는 CDN[Content Delivery Network, 컨텐츠 전달 네트워크]이나 도메인 관리업체, ISP[Internet Service Provider, 인터넷 서비스 제공자]업체를 통해 다수 악성코드를 배포하는 공격방식이 증가할 수 있다. 따라서 2014년에는 인터넷 서비스 관리자들의 주의가 필요할 것으로 보인다.

 

4] 윈도XP 지원 종료에 따른 보안 위협 증가

2014년 4월 8일, 윈도XP에 대한 모든 지원이 종료되며, 이후 발견된 취약점에 대한 보안 업데이트도 더는 제공되지 않는다. 따라서 지원 종료 이후 보안 위협에 대한 보호는 백신, 방화벽 등 PC용 보안 솔루션에 전적으로 의존할 수 밖에 없다. 또한, 현재 윈도XP는 인터넷 익스플로러[IE] 9 이상 버전을 지원하지 않고, 악성코드 감염에 취약한 IE 6~8 버전이 주로 사용되고 있어 보안위협에 노출될 가능성이 높다. 윈도우 XP사용자는 윈도7 또는 8 등으로 업그레이드하는 것이 필요하다.

 

5] 특정 표적을 노린 소규모 모바일 악성코드

2014년에는 모바일 악성코드를 활용해 특정 대상을 감시하거나 정보를 유출하는 소규모 모바일 악성코드가 등장할 가능성이 높아질 것으로 예상된다. 2013년에 사회적 문제로 떠오른 다양한 스미싱 악성코드는 대량 유포를 목적으로 했기 때문에 발견이 빠른 측면이 있었다. 하지만 만약 악성코드 제작자가 악성코드를 불특정 다수에 유포하지 않고, 특정 기업 내부 기밀유출이나 감시를 목적으로 소량만 유포한다면 발견이 어려워질 수 있다. 이런 점을 노린 ‘다품종 소량’ 스파이앱이 등장할 수 있다.

 

6] 사이버 보안에 대한 국가적 인식 변화

2013년 미국 국가안보국[NSA]의 광범위한 정보수집을 폭로하는 문건과 특정 국가가 미국을 거점으로 하는 기업과 최소 141개 기관의 데이터 유출을 시도하는 등 다양한 국가간 정보수집 사건이 발생했다. 국가를 대상으로 하는 수 많은 정보 수집 전쟁의 실체가 드러난 것처럼, 2014년에는 이러한 국가 간 사이버 전쟁이 더욱 정교화 되고 가속화 될 것으로 예상된다. 이에 따라 사이버 공격과 데이터 유출의 피해를 줄이기 위한 암호화와 보안기술 역시 요구될 것으로 보인다.

 

7] 펌웨어 업데이트에 악성코드 포함 시도 증가

펌웨어는 기본적으로 소프트웨어지만 하드웨어적인 요소도 포함되어 있다. 즉, 하드웨어에 내장되어 기본 동작을 관리하는 프로그램이다. 2013년 4월에 펌웨어의 일종인 바이오스[BIOS]를 만드는 한 업체의 소스코드 유출이 있었고, 10월에는 특정 회사의 제품 속 펌웨어에 백도어가 포함된 것이 확인되었다. 러시아에 수출된 중국산 가전제품에 무선 인터넷에 접속해 악의적인 기능을 할 수 있는 칩이 포함되어있다는 일부 외신 보도도 있었다. 국가 간 사이버 위협이 현실화되는 환경에서 하드웨어나 펌웨어 등에 악의적인 기능을 수행하는 코드를 포함하는 공격이 시도될 것으로 예상된다.

 

안랩 시큐리티대응센터 이호웅 센터장은 "사이버공격은 점점 지능화, 고도화되며 사용자를 위협하고 있다. 2014년에 예상되는 보안위협의 큰 흐름은 악성코드와 공격기법의 고도화, 국가간 사이버보안 위협 증대, 침투경로의 다양화로 정리할 수 있다. 개인과 기관, 기업은 충분한 보안의식을 가지고 이에 대비해야 한다”고 말했다.

Posted by 비회원

이번 악성코드의 유포방식은 10월에 알려진 변형들은 IE 제로데이 취약점을 사용하였다. 


2013년 10월9일 보안패치가 나온 것을 감안 하면 그 이전부터 유포가 진행되었을 가능성이 높으며, 취약점 패치를 하지 않은 PC에는 여전히 유포 가능성이 존재한다. 아울러, CDN 서비스 업체인 G사를 통해 서비스 운영 중인 웹 사이트가 악성코드 배포지 중 일부로 악용된 것으로 추정된다. 


Microsoft Security Bulletin MS13-080 - 긴급

Internet Explorer 누적 보안 업데이트 (2879017)


아래 그림은 IE 제로데이 취약점을 통해 감염이 이루어지는 과정을 나타낸다. 붉은색 블록으로 표시한 파일이 실제 핵심적인 기능을 수행하며, "악성코드 다운로드" 및 "관리자 페이지 계정정보 유출" 기능을 갖고 있다. 



위 그림에 존재하는 swf.jsguy2.html 파일을 iframe 태그로 로딩하는 기능을 가지고 있으며, guy2.html 은 다음의 2가지 기능을 가지고 있다. 


특정 국산 백신들에 대한 무력화 시도 

특정 사이트로부터 파일을 다운로드하고 실행


swf.js는 난독화가 되어 있으며, 이를 해제한 내용은 다음과 같다. 



guy2.html 에 존재하는 쉘코드는 Explorer.exe 프로세스에 코드를 인젝션 한 후 백신들을 무력화(삭제) 하기 위하여 레지스트리를 확인한다. 


백신 무력화에 성공한 이후,  아래 URL에서 파일을 다운받아 저장하고, 저장된 main001.gif 파일을 읽어서 첫 2바이트를 MZ 로 패치한 후 실행한다.  


http://***.***.***.***/mii/fird.gif

C:\DOCUME~1\(사용자계정명)\LOCALS~1\Temp\main001.gif


 * 쉘코드에 의한 백신 무력화 기능으로 인해, 기진단 샘플임에도 불구하고 백신이 무력화 된 상태에서 악성코드가 다운될 것으로 추정됨 

 * 단, V3Lite 3.0은 IP/URL 차단기능으로 인해 사전 차단이 가능함

Fird.gif 는 드롭퍼와 다운로더 기능을 가지고 있다. 생성되는 파일의 경로는 다음과 같다.

- c:\windows\system32\drivers\fironancosftccorpds.sys ( 또는 firanhncorpds.sys ) 

생성되는 드라이버 파일 fironancosftccorpds.sys 은 다음 백신들의 무력화를 시도 한다.

MpfSrv.exe

mcsysmon.exe

McNASvc.exe

Mcshield.exe

McProxy.exe

mcagent.exe

MsMpEng.exe

MpCmdRun.exe

msseces.exe

vmacthlp.exe

VMUpgradeHelper.exe

RSUpdSrv.rse

RSAgent.rse

RSRTSrv.rse

vcrmon.exe

SpiderNT.exe

vrmonnt.exe

vrmonsvc.exe

HFACSvc.exe

vrptsvc.exe

vrscan.exe

hpcsvc.exe

vrfwsvc.exe

hUpSvc.exe

hVrCommandSvc.exe

hVrMalSvc.exe

hVrTray.exe

AYRTSrv.exe

AYUpdSrv.exe

AYAgent.exe

AYRTSrv.aye

AYServiceNT.aye

AYUpdSrv.aye

ALYac.aye

AYUpdate.aye

AYAgent.aye

sgsvc.exe

Nsavsvc.npc

Nsvmon.npc

NVCAgent.npc

Nsavsvc.exe

Nsvmon.exe

NVCAgent.exe

NVCUpgrader.exe

NaverAgent.exe

NVCUpgrader.npc

avp.exe

AvastSvc.exe

avsx.exe

AvastUI.exe

ashUpd.exe

V3IMPro.exe

V3P3AT.exe

MonSysNT.exe

MonSvcNT.exe

v3impro.exe

v3p3at.exe

monsysnt.exe

monsvcnt.exe

AhnSD.exe

AhnSDsv.exe

ASDCr.exe

ASDCli.exe

ASDUp.exe

V3LNetdn.exe

V3LiteExp.exe

ASDSvc.exe

V3Lite.exe

V3LSvc.exe

V3LTray.exe

V3Light.exe

V3Medic.exe

V3LRun.exe

MUpdate2.exe

 

 


그리고 다음 경로에서 파일을 다운로드 및 실행한다.

- hxxp://***.***.***.***/mii/firw.gif

Firw.gif 는 드롭퍼 기능을 갖는다. 백신들을 무력화 하고 특정 사이트들의 관리자 계정과 온라인 게임들의 사용자 계정을 훔쳐낸다. 

그리고 특정 사이트들로부터 랜덤.jpg 파일을 무한히 요청하는 시도를 한다. 해당 악성코드에 의해 드롭되는 파일은 다음 경로에 생성된다.

- c:\windows\olesau32.dll
c:\windows\svchost.exe
c:\windows\system32\drivers\ahnurla.sys

olesau32.dll은 크게 다음의 3가지 주요 기능을 가지고 있다. 

랜덤명.jpg" 파일을 특정 사이트들에게 무한 요청 시도를 함으로써 DDoS를 유발 (도메인 리스트 A 참고)

관리자 계정 유출 (도메인 리스트 B참고, 최근에 발견된 변형에서 이 기능은 제외됨)

온라인 게임 사용자 계정 유출

현재 국내 무료 백신들을 테스트한 결과 olesau32.dll을 진단하지 못하고 있음

Svchost.exe 는 랜덤명.jpg 파일을 특정 사이트들에게 무한 요청 시도를 함으로써 DDoS를 유발하는 기능만을 (도메인 리스트 A 참고) 가지고 있다.  



상기 도메인 리스트(A)은 실제 파일이 존재하지 않을 경우에 웹 서버에 부하를 발생시키는 DDoS를 유발하며, 변종 마다 전체 도메인에 대한 요청 주기가 차이가 날 것으로 추정된다. 


그러나, 해당 파일이 존재할 경우 추가 악성코드 유포로 악용될 수 있으며, 실제 아래 URL의 경우, 지난 7월에 악성코드 배포 이력을 가지고 있는 것을 확인하였다. 



루트킷 기능을 가지고 있으며, ahnurla.sysolesau32.dll을 은폐한다. 또한, 다음 백신 관련 프로세스들에 대해 무력화를 시도한다. 

RSUpdSrv.rse

RSAgent.rse

RSRTSrv.rse

vcrmon.exe

SpiderNT.exe

vrmonnt.exe

vrmonsvc.exe

HFACSvc.exe

vrptsvc.exe

vrscan.exe

hpcsvc.exe

vrfwsvc.exe

hUpSvc.exe

hVrCommandSvc.exe

hVrMalSvc.exe

hVrTray.exe

AvastSvc.exe

avsx.exe

AvastUI.exe

ashUpd.exe

avp.exe

V3IMPro.exe

V3P3AT.exe

MonSysNT.exe

MonSvcNT.exe

v3impro.exe

v3p3at.exe

monsysnt.exe

monsvcnt.exe

AhnSD.exe

AhnSDsv.exe

ASDCr.exe

ASDCli.exe

ASDUp.exe

V3LNetdn.exe

V3LiteExp.exe

ASDSvc.exe

V3LSvc.exe

V3LTray.exe

V3Light.exe

V3Medic.exe

V3LRun.exe

MUpdate2.exe

AYRTSrv.exe

AYUpdSrv.exe

AYAgent.exe

AYRTSrv.aye

AYServiceNT.aye

AYAgent.aye

AYUpdSrv.aye

ALYac.aye

AYUpdate.aye

Nsavsvc.npc

Nsvmon.npc

NVCAgent.npc

Nsavsvc.exe

Nsvmon.exe

NVCAgent.exe

NVCUpgrader.exe

NaverAgent.exe

NVCUpgrader.npc

 

 

 


"관리자 계정 정보 노린 악성코드 출현!" 이라는 기사에서 다뤄진 다수의 악성코드 분석 결과로 미루어 볼때 국내 온라인 게임 사용자 계정정보 수집 기능과 변형에 따라서 특정 URL 접근시, 계정 ID, PW 를 유출한다. 

도메인 리스트 (A) 에 있는 자사의 웹 페이지들(www.ahnlab.com, m.ahnlab.com, www.v3lite.com)에 대해 10월 28일부터 10월 31일까지 4일 동안 공격을 시도한 IP를 조사한 결과, 중복되지 않는 IP 47만대로부터 공격 시도가 확인 되었다. 

또한,  일자별 공격 IP를 보면 10월 29일 30만대로 급증한 후에 계속 그 수준을 유지하고 있다. 따라서, 해당 악성코드가 감염된 PC들이 상당히 많이 존재하고 있음을 알 수 있다. 


다음은 안랩 대상 공격 IP들에 대한 국가별 분포도이며, 대부분이 국내에 존재하고 있음을 확인할 수 있다. 





IE 취약점을 이용해 배포되고 있는 악성코드는 백신 무력화와 은폐 기능을 가지고 있으며 일부 파일에 대해서는 미진단 상태로 확인되었다. ( 단, V3Lite 3.0은 사전 차단 가능 확인 )


따라서, 안랩 웹 사이트를 대상으로 공격을 시도하고 있는 IP들은 대부분 백신이 무력화 되어 있거나, 미진단 상태의 악성코드에 감염된 것으로 추정된다. ( 구 버전 V3Lite 2.0 사용자, 타사 백신 사용자, 백신 미사용자 )


해당 악성코드는 존재하지 않는 파일에 대한 무한 요청으로 인해 DDoS를 유발하며, 국내 온라인 게임 사용자 계정 정보 수집과 특정 URL 접근 시 계정 정보를 유출하는 기능도 가지고 있다. 특히, 특정 URL의 경우 기업 내 관리자들이 접근하는 주소로 판단된다. 


현재 악성코드의 기능과 확산 상태로 볼 때, 계정 정보 유출, 기업 내부 장악, DDoS 등 다양한 목적으로 악용이 가능하며, 추가 피해를 차단하기 위해서는 대응책 마련이 매우 시급한 상태이다. 


악성코드의 기능과 확산 정보로 볼 때, 단순한 엔진 업데이트를 통한 치료로는 한계가 존재하기 때문에 전용백신을 통한 치료가 필요한 상황이다. 


IE 취약점을 이용해 배포되고 있는 만큼, IE 취약점 패치에 대한 적극적인 권고가 필요하다.


Posted by 비회원

- 어제(10월 24일) 오후부터 발생, 악성코드 확산 범위 큰 것으로 예상

- 포털, 언론사, 게임사를 포함한 13개 기업 16개 웹사이트  대상

- 안랩 V3 엔진 긴급 업데이트 조치, 사용자는 V3 업데이트 후 검사 필수

 

안랩(대표 김홍선, www.ahnlab.com)은 24일 오후 16시 경부터 국내 16개 웹사이트를 대상으로 디도스(DDoS; Distributed Denial of Service, 분산 서비스 거부) 공격이 발생하고 있다고 발표했다.

 

안랩은 이번에 발생한 디도스 공격이 지난 7월 발견된 악성코드와 최근 발견된 변종 악성코드에 의해 발생한 것으로 보고 있다.

 

안랩 확인결과 25일 현재 디도스 유발 악성코드에 감염이 확인된 PC 대수만 1만대를 넘어 해당 악성코드가 많이 확산 된 것으로 판단(진단된 좀비PC 대수로 볼 때)하고 있다.

 

오늘(10월 25일 오전 09시 현재) 공격 대상은 다음(www.daum.net), 네이트(www.nate.com), MSN(www.msn.com), 티스토리(www.tistory.com), 넥슨(www.nexon.com, user.nexon.com), 한게임(www.hangame.com), 넷마블(www.netmarble.net), CBS(www.cbs.co.kr) 중앙일보(www.joinsmsn.com, www.joins.com),  안랩(www.v3lite.com, m.ahnlab.com) 등 13개 기업 16개 웹사이트이다.

 

안랩 V3는 지난 7월부터 해당 악성코드를 기 진단하고 있었다. 안랩은 당시 PC 사용자가 백신을 설치 하지 않았거나, 업데이트 하지 않는 등 적절한 조치를 취하지 않았을 경우 해당 PC가 감염되어 이번 공격에 이용된 것으로 보고 있다.

 

특히, 안랩은 이번 디도스 공격이 지난 7월의 미치료 좀비PC(백신 미설치나 당시 최신 업데이트를 안 해 감염된 좀비 PC)와, 최근 보안이 취약한 사이트 등에서 배포된 변종 악성코드(안랩 엔진 반영)에 감염된 좀비PC로 인해 발생한 것이므로 백신 검사를 통해 이 악성코드를 삭제하는 것이 근본적인 해결책이라고 밝혔다. 또한, 백신의 실시간 감시를 켜는 것도 필요하다고 말했다.

 

안랩은 현재 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 가동하는 한편, 변종 악성코드를 긴급히 엔진에 반영해 V3는 현재 해당 악성코드를 모두 진단하고 있다. 안랩은 추가 분석을 통해 악성코드에 대한 정보를 지속적으로 제공할 예정이다.

Posted by 비회원

안랩 ASEC에서 2013년 8월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.44을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2013년 8월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

메모리 패치형 Banki의 온라인 뱅킹 정보 탈취 기법 분석

고객님, 영수증이 발급되었습니다

아마존 구매 관련 메일로 위장한 스팸 메일

특정 은행 대출 승인 메일로 위장한 스팸 메일

휴가철, 사용자의 휴가비를 노려라!

동영상 재생 프로그램을 이용한 악성코드 유포

토렌트 파일로 위장한 악성코드 주의

Your reservation is now confirmed!’

델타 항공 메일로 위장한 악성코드 유포


2) 모바일 악성코드 이슈

V3 모바일 설치 위장 스미싱 주의!

금융사 피싱 앱 주의


3) 보안 이슈

자바 취약점과 결합된 메모리 해킹

인터넷 뱅킹 보안 대책


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2013 Vol.44 발간



Posted by 비회원

- 안랩 V3모바일, 안드로이드 악성코드 99.99%진단율로 전체 공동 1위 기록 

- 배터리 사용량에서도 글로벌 제품과 어깨 나란히 

- 국제 인증에서 높은 성적 잇따라 획득, 글로벌 시장 진출 발판 


글로벌 정보보안 기업인 안랩[대표 김홍선, www.ahnlab.com]의 모바일 보안 제품인 V3 모바일 2.0[이하 V3 모바일]’이 독립 보안제품 성능 평가 기관인 ‘AV-Comparatives [http://www.av-comparatives.org, 이하 AV 컴패러티브]’에서 2013년 8월에 진행한 성능평가에서 전체 1위의 악성코드 진단율을 기록했다고 밝혔다.

 

이번 테스트는 AV 컴패러티브가 8월에 카스퍼스키, 트렌드마이크로 등 전세계 14개 모바일 보안 제품을 전세계에서 수집한 2,947개의 안드로이드 악성코드 샘플을 사용해 진행했다. 안랩은 이번 테스트에 국내 기업 중 유일하게 참가해 99.9%의 악성코드 진단율로 전체 참가 제품 중 ‘킹소프트[Kingsoft]’와 공동 1위를 기록해, 모바일 보안 분야에서도 글로벌 기술력을 인정받았다.

 

V3모바일은 함께 진행된 설치 시 배터리 사용량 테스트에서도 3%미만을 기록해, 글로벌 제품들과 어깨를 나란히 했다. 악성코드 탐지 이외에 도난 방지[Anti-Theft] 기능, 스팸 전화·문자 방지 기능 등으로 부가 보안 기능에서도 좋은 평가를 받았다.

 

안랩 김홍선 대표는 “전 세계적으로 모바일 보안이 더욱 중요해지고 있는 가운데, 안랩은 지난 AV-TEST에서 좋은 성적에 이어, 이번에 AV 컴패러티브 테스트에서 1위를 기록하는 등 권위있는 보안제품 테스트 기관을 통해 성능을 인정받고 있다. 안랩은 국제 인증으로 증명된 높은 기술력을 바탕으로 국내외 모바일 보안시장 공략을 강화할 것이다”라고 말했다.

 

한편, 이번 AV 컴패러티브의 모바일 보안제품 성능 평가에는 사전 테스트를 거친 글로벌 보안업체의 제품 14개가 참여했다.

 

V3 모바일은 다양한 국제 인증으로 검증된 악성코드 분석 능력과 글로벌 수준의 대응 체제를 바탕으로 신종 모바일 악성코드에 즉각 대응할 수 있다. 또한, 타사 대비 검사 속도와 진단율은 높고, 프로그램 설치 사이즈 및 메모리 사용량과 CPU 점유율은 낮은 것이 강점이다. 현재 삼성[갤럭시 제품군]과 LG[옵티머스 제품군]의 스마트폰에 기본 탑재되어 있다.

Posted by 비회원

-접속자 수 많으면서 보안 취약한 여행사 홈페이지에 악성코드 몰래 삽입 

-웹사이트 방문만으로도 금융정보 노리는 파밍 악성코드 설치 

-백신 업데이트, 수상한 메일 첨부파일 실행 금지 등 보안수칙 준수 


많은 직장인이 애타게 기다려온 여름 휴가가 있는 8월이다. 하지만 휴가철을 맞아 들뜬 마음으로 여행을 계획하는 사이에 자신의 금융정보가 유출될 수도 있다.

 

안랩[대표 김홍선, www.ahnlab.com]은 최근 각종 여행상품을 판매하는 여행 전문 웹사이트에서, 금융정보를 유출하는 악성코드 유포가 발견되어 사용자들의 주의가 필요하다고 발표했다.

 

이번 악성코드는 휴가철을 맞아 접속 빈도가 높아진 온라인 여행사의 홈페이지에 삽입되어 자동으로 설치되는 것이 특징이다. 따라서 사용자가 보안이 소홀한 여행사 홈페이지를 방문하기만 해도, 해당 홈페이지에 몰래 삽입된 악성코드가 자동으로 사용자 PC를 감염시킨다.

 

이 때 다운로드 되는 악성코드는 사용자의 금융정보를 탈취하기 위해, 공격자가 만들어 놓은 파밍사이트로 사용자의 접속을 유도하는 기능을 가지고 있다. 즉, 이 악성코드에 감염된 PC에서 사용자가 정상적인 금융사이트로 접속해도, 악성코드가 미리 설정해 놓은 가짜 뱅킹 사이트로 연결된다. 이후 사용자가 입력한 보안카드 번호, 계좌 비밀번호 등의 금융정보가 제작자에게 전송된다. 현재는 해당 홈페이지에 접속해도 악성코드 다운로드는 중지된 상태이다.

 

또한, 휴가를 다녀온 후 자주 받게되는 영수증 문서로 위장한 악성코드도 함께 발견되었다. 이 악성코드는 사용자가 이메일에 첨부된 영수증 위장 문서를 열면, 자동으로 PC에 설치된다. 이 악성코드는 방화벽 설정을 해제해, 원래 방화벽이 막아놓았던 외부 통신을 가능한 상태로 만들어 놓는다. 이 상태에서는 특정 서버로의 정보 유출이나 원격 접속 등 다양한 공격이 가능하다.

 

안랩 이호웅 시큐리티대응센터장은 “휴가철을 맞아 온라인 여행사 방문이 증가하고 있다. 하지만 사용자의 조그만 부주의로, 자신의 금융정보가 유출될 수 있다. 따라서 백신을 항상 최신으로 업데이트하고,신뢰할 수 없는 사이트 방문을 자제, 수상한 메일 첨부파일 실행을 금지하는 등 기본적인 보안수칙을 지키는 것이 중요하다”라고 말했다. 

Posted by 비회원

- 안랩 V3모바일, 총 13.0 만점에 12.5점을 기록, AV-TEST 인증 획득 

- 악성코드 샘플 및 PUP(유해 가능 프로그램)를 100% 진단 


글로벌 정보보안 기업인 안랩[대표 김홍선, www.ahnlab.com]의 모바일 보안 제품인 V3 모바일 2.0[이하 V3 모바일]’이 독립 보안제품 성능 평가 기관인 AV-TEST[www.av-test.org]의 최근 7월 모바일 보안제품 테스트[보충자료 참조]에서 높은 점수로 인증을 획득했다.

 

안랩은 이번 테스트에 국내 기업 중 유일하게 참가해 연속 4회 인증을 획득해 모바일 보안 분야에서도 글로벌 기술력을 인정받았다. 특히, 서구권 위주의 악성코드 샘플이라는 불리한 상황에서도 악성코드 샘플 및PUP[Potentially Unwanted Program, 유해 가능 프로그램]를 100% 진단하고, 총 13.0 만점에 12.5점으로 인증을 획득[8점 이상 인증 통과]했다.

 

이번 테스트는AV-TEST가 7-8월에 시만텍, 맥아피 등 전세계 30개 모바일 보안 제품을 안드로이드 환경에서 진행했다. V3모바일은 이번 테스트에서 악성코드 및 PUP를 모두 진단해 탐지율[Protection]에서 6.0만점을 받았다.

 

또한, 오진 1개를 제외하고 제품 실행 시 단말기의 성능에 미치는 영향 평가에서도 상위권 점수를 기록해 사용편의성[Usability]에서도 6.0만점에 5.5점을 획득했다. 이밖에 악성코드 탐지 이외에 도난 방지[Anti-Theft] 기능, 스팸 전화·문자 방지 기능 등으로 부가 보안 기능에서도 추가 점수를 획득했다.

 

안랩 김홍선 대표는 “전 세계적으로 스마트폰이 보편화될 뿐만 아니라 이를 통한 업무 활동도 증가하면서 모바일 보안이 더욱 중요해지고 있다. 안랩은 국제 인증으로 증명된 높은 기술력을 바탕으로 국내외 모바일 보안시장 공략을 강화할 것이다”라고 말했다.

 

한편, 이번 AV-TEST의 모바일 보안제품 성능 평가에는 글로벌 보안업체 30곳이 참여해 27개가 테스트를 통과했다.

 

V3 모바일은 다양한 국제 인증으로 검증된 악성코드 분석 능력과 글로벌 수준의 대응 체제를 바탕으로 신종 모바일 악성코드에 즉각 대응할 수 있다. 또한, 타사 대비 검사 속도와 진단율은 높고, 프로그램 설치 사이즈 및 메모리 사용량과CPU 점유율은 낮은 것이 강점이다. 현재 삼성[갤럭시 제품군]과 LG[옵티머스 제품군]의 스마트폰에 기본 탑재되어 있다. 

 

<보충자료>

AV-TEST의 모바일 보안제품 테스트

모바일 보안제품 평가는 권위있는 글로벌 보안제품 성능 평가기관인 AV-TEST가 2013년 1월부터 새롭게 시작된 것으로, 현재까지 가장 신뢰할 수 있는 모바일 보안제품 성능 테스트다. 악성코드 탐지율, 오진, 모바일 디바이스 성능 저하율, 부가기능 등 다양한 측면에서 보안제품의 성능을 테스트한다.

Posted by 비회원