지난 4월 16일 수요일 아침. 대한민국 국민들은 믿기지 않는 소식을 접하게 된다. 그것은 세월호 침몰 사고 였다. 지금도 그 당시의 충격이 가시지 않고 있다. 유가족 뿐만 아니라 대한민국 국민 모두가큰 슬픔에 잠겨 있었지만, 세월호와 관련된 허위사실이 SNS로 유포되거나, 악용된 '스미싱' 등이 슬픔에 잠긴 국민들에게 다시한번 돌이킬 수 없는 상처를 주고 있다.

 

'스미싱' 이란 문자메시지에 포함된 인터넷 주소를 클릭하면 악성 앱(apk)을 다운로드 받게되고,이 앱을 스마트폰 사용자가 설치/실행하게 되면,사용자의 개인정보 및 금융정보를 탈취 당하게 된다.

 

세월호 관련 '스미싱' 문자는 "실시간 속보…", "침몰 그 진실..", "생존자 확인…" 등과 같은 문구를 이용했으며, "세월호 사칭 스미싱 대처 방법" 같은 어처구니 없는 어휘를 사용하기도 했다.

실제 원문은 아래와 같이 다양하게 발견되었다.

스미싱 발송 날짜

원문

5 01 목요일

세월호기부상황 조회 3**.net/y7A

4 23 수요일

23 9시경 실종자6 구조성공이다.ㅊㅋㅊㅋ http://goo.gl/**mMVX

4 22 화요일

[속보]세월호 3호창 생존자 2 발견 http://goo.gl/**Wgnd

4 21 월요일

단원고 학생·교사 78 생존 확인 http://ww.tl/**m

4 21 월요일

세월호 사칭 스미싱 문자 추가 발견..주의 당부 스미싱 대처방법 t.**t99.info

4 20 일요일

세월호 침몰  진실은... http://ww.tl/**so

4 20 일요일

믿기 어려운 세월호 침물 관련 충격 영상 공개 !!http://goo.gl/**kuii

4 20 일요일

세월호 침몰  진실 ...  http://goo.gl/**uX6D[FW]

4 19 토요일

세월호 사칭 스미싱 문자 추가 발견…주의 당부 스미싱 대처방법http://goo.gl/**X4r1

4 19 토요일

[GO! 현장세월호 구조된 6 어린이 http://126.107.**.204/

4 19 토요일

*실시간속보[세월호]침몰사망자55명더늘어*동영상보기 hosisting.**fo

4 18 금요일

[여객선침몰청해진해운 "승선자 명단 없는 사망자명단 kowa.**rtit.com

4 18 금요일

세월호 침몰  진실은...~http://ztc.me/**d

4 18 금요일

세월호 침몰  진실은...http://ww.tl/**ws

4 18 금요일

[연합뉴스]여객선 (세월호)침몰사고 구조현황 동영상 http://goo.gl/**buRb

4 18 금요일

*(실시간속보세월호침몰 사망자 25명으로 늘어..검색더보기 www.sto**paint**.net

4 18 금요일

*실시간속보세월호침몰 사망자 25 늘어 더보기 http://psm8060.h**web.net/ADT.apk

  [표1] 세월호 관련 스미싱 


악성 앱이 사용한 아이콘은 구글 마켓과 세월호 사진 등으로 만들어져 있었다.

 

[그림1] 악성 앱이 사용한 아이콘

 

이러한 세월호 관련 스미싱 악성 앱은 사용자의 연락처 정보, 디바이스 정보, 금융정보를 탈취하여 외부 서버로 전송 하도록 설계되어 있었다.

 

이번 세월호 사건을 악용한 스미싱 제작자는 지난 2014년 1월 카드사 정보유출 사건을 악용하기도 했다.

당시 사용된 메시지와 아이콘은 아래와 같다.

[그림2] 카드사 정보 유출 스미싱(좌) / 악성 앱 아이콘(우)

 

 악성 앱은 스마트폰에서 사용중인 은행 앱을 체크하여, 해당 은행 앱으로 위장한 악성앱을 다운로드 받는 기능이 존재하는데, (카드사 정보유출 사건과)대상 패키지명(은행 앱)이 동일하며, 정보를 탈취하고 전송하는 서버주소의 매개 변수 값도 동일하게 구성되어 있다. 또한 서버주소는 수시로 변경 가능하도록 C&C 명령을 받아 수행하도록 설계되어 있다.

[그림3] 대상 패키지 및 정보 탈취 서버정보의 일부 코드, 카드사 정보유출 사건(좌) / 세월호 사건(우)

 

스미싱 피해를 막기 위해서는 의심스러운 문자메시지의 URL은 클릭하지 않고 스마트폰에 백신 앱을 항상 최신 버전으로 유지해야 한다.또한, "안전한 문자"와 같은 스미싱 예방을 도와주는 앱을 설치하면 좀더 안전하게 스마트폰을 사용할 수 있다.

https://play.google.com/store/apps/details?id=com.ahnlab.safemessage

 

뿐만 아니라, 세월호 사건을 악용한 피싱 사이트도 발견 되었다.

트위터에 수많은 사용자의 이름으로 해당 내용이 게시된 것을 확인 할 수 있었다.

[그림4] 세월호 사건의 허위 SNS내용

 

또한 해당 피싱 사이트는 유명 커뮤니티에서도 발견되었다.

[그림5]세월호 사건을 악용한 피싱 사이트

 

 

작성자의 다른 글도 세월호 사건을 언급하고 있다.

[그림6] 동일 작성자에 의해 5/8일 게시된 글

 

해당 피싱 사이트는 NAVER 로그인 페이지로 위장되었으나,자세히 보면 로그인 FORM 과 위치가 맞지 않다.

[그림7] 정상적인 네이버 로그인 페이지(좌) / 악의적인 피싱 사이트(우)

 

사용자가 입력한 아이디와 패스워드는 대만에 위치한 서버(피싱 사이트)로 전송한 후, 정상적인 네이버 페이지에 접속 한다.

 

[그림8] 사용자가 입력한 ID/PW 를 피싱 사이트로 전송하는 페이지 소스코드

 

해당 데이터 패킷을 보면, 아이디와 패스워드가 전송되는 것을 볼 수 있다.

[그림9] 사용자의 계정정보가 전송되는 네트워크 패킷

 

 특히,이번 세월호 관련 스미싱 악성 앱은 국민적 관심과, 슬픔을 돈벌이로 이용하려는 범행 수법으로, 아주 악렬하기 때문에 꼭 검거되어, 강하게 처벌 받기를 바란다.

 

 스미싱 범죄는 '정보통신망이용 촉진 및 정보보호 등에 관한 법률'에 의거 처벌 받을 수 있으며,개인정보 무단 수집의 경우 5년 이하의 징역 또는 5000만원 이하의 벌금형에 처할 수 있다.

 


신고
Posted by DH, L@@

안랩 ASEC에서 2013년 10월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2013 Vol.46을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2013년 10월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

IE 취약점(MS13-080) 주의보!

웹하드 사이트에서 유포된 백도어 악성코드 발견

반복 감염 유발하는 USB 악성코드 발견

일반 사용자에게도 유포된 이력서 첨부 파일

화면보호기 확장자(.scr)를 이용한 악성 파일


2) 모바일 악성코드 이슈

모바일 메신저 피싱 앱 설치하는 악성 앱 등장

암호화된 안드로이드 악성코드의 등장

공공기관 및 기업 사칭 스미싱 증가


3) 보안 이슈

스팸 메일을 발송하는 다리미?

PHP.net 해킹으로 인한 악성코드 유포

DNS 하이재킹을 통한 홈페이지 해킹

어도비 해킹 피해자, 3800만 명으로 증가


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2013 Vol.46 발간

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

안랩 ASEC에서 2013년 7월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.36을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2013년 7월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

고객님, 당황~하셨어요?

구매 발주서로 위장한 키로그 악성코드 주의

구입 주문서 위장 악성 메일

PayPal 피싱 주의

날씨 배너에 숨겨진 악성코드

회사 도메인 파일을 첨부한 악성 스팸 메일 주의

특정 기관을 대상으로 유포된 한글 악성코드 발견

한글 문서 파일을 노린 악성코드

NTFS 파일 시스템을 악용하는 악성코드

일본 자동차 업체의 해외 사이트 악성코드 유포


2) 모바일 악성코드 이슈

PC 정보 탈취하는 안드로이드 앱

안드로이드 인증서 우회 취약점

중국산 Langya 악성 앱


3) 보안 이슈

마이크로소프트 IE Use-After-Free 취약점 (CVE-2013-3163) 악용

국내 다수의 사이트를 통해 악성코드 뱅키(Banki) 배포


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2013 Vol.43 발간

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

- 안랩 V3모바일, 안드로이드 악성코드 99.99%진단율로 전체 공동 1위 기록 

- 배터리 사용량에서도 글로벌 제품과 어깨 나란히 

- 국제 인증에서 높은 성적 잇따라 획득, 글로벌 시장 진출 발판 


글로벌 정보보안 기업인 안랩[대표 김홍선, www.ahnlab.com]의 모바일 보안 제품인 V3 모바일 2.0[이하 V3 모바일]’이 독립 보안제품 성능 평가 기관인 ‘AV-Comparatives [http://www.av-comparatives.org, 이하 AV 컴패러티브]’에서 2013년 8월에 진행한 성능평가에서 전체 1위의 악성코드 진단율을 기록했다고 밝혔다.

 

이번 테스트는 AV 컴패러티브가 8월에 카스퍼스키, 트렌드마이크로 등 전세계 14개 모바일 보안 제품을 전세계에서 수집한 2,947개의 안드로이드 악성코드 샘플을 사용해 진행했다. 안랩은 이번 테스트에 국내 기업 중 유일하게 참가해 99.9%의 악성코드 진단율로 전체 참가 제품 중 ‘킹소프트[Kingsoft]’와 공동 1위를 기록해, 모바일 보안 분야에서도 글로벌 기술력을 인정받았다.

 

V3모바일은 함께 진행된 설치 시 배터리 사용량 테스트에서도 3%미만을 기록해, 글로벌 제품들과 어깨를 나란히 했다. 악성코드 탐지 이외에 도난 방지[Anti-Theft] 기능, 스팸 전화·문자 방지 기능 등으로 부가 보안 기능에서도 좋은 평가를 받았다.

 

안랩 김홍선 대표는 “전 세계적으로 모바일 보안이 더욱 중요해지고 있는 가운데, 안랩은 지난 AV-TEST에서 좋은 성적에 이어, 이번에 AV 컴패러티브 테스트에서 1위를 기록하는 등 권위있는 보안제품 테스트 기관을 통해 성능을 인정받고 있다. 안랩은 국제 인증으로 증명된 높은 기술력을 바탕으로 국내외 모바일 보안시장 공략을 강화할 것이다”라고 말했다.

 

한편, 이번 AV 컴패러티브의 모바일 보안제품 성능 평가에는 사전 테스트를 거친 글로벌 보안업체의 제품 14개가 참여했다.

 

V3 모바일은 다양한 국제 인증으로 검증된 악성코드 분석 능력과 글로벌 수준의 대응 체제를 바탕으로 신종 모바일 악성코드에 즉각 대응할 수 있다. 또한, 타사 대비 검사 속도와 진단율은 높고, 프로그램 설치 사이즈 및 메모리 사용량과 CPU 점유율은 낮은 것이 강점이다. 현재 삼성[갤럭시 제품군]과 LG[옵티머스 제품군]의 스마트폰에 기본 탑재되어 있다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

안랩 ASEC에서 2012년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.36을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2012년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

포털 사이트 겨냥한 금감원 사칭 피싱 악성코드 주의’

택배 사이트 배송조회 페이지에서 유포된 악성코드

토렌트 사이트에서 유포된 hosts.ics 생성 악성코드

최신 영화 공유 파일을 이용한 악성코드 유포

다앙한 DDoS 공격 기능이 있는 악성코드

PUP(불필요한 프로그램)의 습격

한컴 엑셀 파일 취약점을 이용한 백도어 유포

전자 계정 명세서로 위장한 스팸 메일

이메일로 도착한 문자메시지


2) 모바일 악성코드 이슈

금융사 피싱 앱 주의

문자메시지 수집하는 사생활 침해 악성 앱 주의

성인 악성 앱 주의

안드로이드 랜섬웨어 주의 


3) 보안 이슈

주요 정부기관 DNS 서버 DDoS

국제 사회에 영향을 미치는 에드워드 스노든 효과


4) 2013년 상반기 보안 동향

* 상반기 보안 위협 동향

정부기관, 언론 및 금융기관을 대상으로 한 대규모 보안 사고

메모리 패치 기능을 이용한 인터넷 뱅킹 악성코드

국내 소프트웨어 대상 제로데이 취약점 증가

한국적 특색이 강해지는 모바일 악성코드

파밍과 결합된 온라인 게임 계정정보 탈취 악성코드

자바와 인터넷 익스플로러 취약점의 지속적인 악용

국가간 갈등을 유발하는 인터넷의 사이버 첩보전


* 상반기 모바일 악성코드 동향

2013년 상반기 모바일 악성코드 급증

정보 유출 및 과금 유발 트로이목마 다수

사용자 과금 유발 악성 앱 최다

국내 스마트폰을 노린 악성코드


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.42 발간


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

 

국내 스마트폰 사용자들을 타깃으로 금전적 이득을 취하려는 악성앱 들이 급격히 증가하고 있는 가운데, 성인 앱을 이용하여 사용자의 개인정보를 탈취하는 앱도 끊임없이 발견되고 있다.

 

최근 발견된 악성 성인 앱중 하나를 살펴보겠다.

 

[그림 1]과 같이 구글 공식 마켓에서 유포되고 있는 성인 앱은 사용자의 동의 없이 전화번호를 수집하고, 성인인증으로 이름과 주민번호를 수집하고 있었다.

 

 

[그림1] 구글 마켓에 등록된 악성 성인 앱

 

[그림 1] 의 정보에서 보이듯 2013년 6월 10일에 업데이트 기록이 남아 있었으나, 6월 11일경 구글 마켓에서 삭제 되었다.

 

 

해당 앱을 설치하여 증상을 살펴보겠다.

 

앱을 설치하면 "엉덩이 줌인"의 아이콘이 생성되고, 실행할 경우 [그림 2]의 오른쪽 화면과 같은 이미지가 나타난다.

 

[그림 2] 악성 앱 아이콘 / 실행화면

 

앱을 실행하게 되면 사용자 동의 없이 스마트폰의 전화번호를 수집하여, 특정 서버로 전송한다.

 

[그림 3] 사용자 동의 없이 개인정보 수집(전화번호)

 

전화번호를 수집하고, 아래와 같은 성인인증 화면을 보여준다.

 

[그림 4] 패키지 정보

 

사용자가 입력한 이름과 주민번호는, 전화번호를 탈취한 서버로 전송된다.

 

[그림 5] 전화번호, 이름, 주민번호 수집

 

소액결제 피해를 유발하는 '체스트' 라고 불리는 악성 앱이 작년부터 유행했다. 최근에는 '체스트' 뿐만 아니라 위에서 소개한 것과 유사한 악성 앱으로 인하여 스마트폰 사용자에게 금전적 피해가 발생하고 있다.

 

위와 같이 수집된 개인정보를 이용하여 자동결제 피해를 유발하는 경우가 발견되고 있으며, 경찰 수사결과 범인을 검거하고 있지만, 악성 앱은 끊임 없이 제작/유포 되고 있다.

 

이러한 악성 앱은 스미싱 메시지를 통해 유포되거나, 구글 공식 마켓, 서드파티 마켓에서도 유포되고 있는 만큼 사용자의 각별한 주의가 필요하다. 스마트폰 사용자들은 V3 Mobile 과 같은 백신으로 주기적으로 검사해보는 습관이 필요하다.


V3 모바일 AV-TEST 글로벌 인증 정보


해당 악성코드는 V3 Mobile 제품을 통해 진단 및 치료가 가능하다.

 

<V3 제품군의 진단명>

 

Android-Trojan/PNStealer

신고
Posted by DH, L@@

안랩 ASEC에서 2012년 11월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.35을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 11월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

JPEG 이미지 파일을 탈취해가는 악성코드

공다팩 (Gongda Pack) 스크립트 악성코드

과도한 트래픽을 발생시키는 악성코드 1

과도한 트래픽을 발생시키는 악성코드 2

이란에서 발견된 스턱스넷과 유사한 형태의 웜

특정 기관의 공고 관련 문서로 위장한 악성코드

조어도 영유권 분쟁 관련 문서로 위장한 악성코드

18대 대선 관련 엑셀문서로 위장한 악성코드

맥도널드 공짜 쿠폰 받아가세요!

Security Shield 허위 백신

해커 그룹  어나니머스  를 사칭한 랜섬웨어 발견

PayPal 결제정보 수정권고 피싱메일 주의


2) 모바일 악성코드 이슈

국내 타깃 안드로이드 악성코드 (스마트 청구서)

국내 타깃 안드로이드 악성코드 (구글 Play Store)

브라우저로 위장한 모바일 악성코드 


3) 악성코드 분석 특집

2012년 7대 악성코드 이슈


4) 보안 이슈

인터넷 익스플로러 취약점(MS12-071)

구글 크롬 제로데이 발표 예정자, 갑작스런 발표 취소. 이유는?

Cool Exploit Kit


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.35 발간


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

어도비(Adobe)에서는 현지 시각으로 2월 7일 어도비 플래쉬 플레이어(Adobe Flash Player)에 존재하는 취약점인 CVE-2013-0633 및 CVE-2013-0634를 제거하기 위한 보안 패치를 배포 중임을 보안 권고문 "APSB13-04 Security updates available for Adobe Flash Player"를 통해 밝혔다.


이 번에 발견된 2개의 어도비 플래쉬 플레이어 취약점은 기존에 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점이었다.


해당 제로 데이 취약점들은 특정 대상으로 상대로한 타깃 공격(Targeted Attack)과 웹 사이트를 통해 해당 취약점을 악용하는 플래쉬 파일(SWF)를 유포하는 것으로 공개되었다.


어도비에서는 해당 취약점들에 영향을 받는 플래쉬 플레이어 버전들은 다음과 같음을 밝히고 있다.


윈도우(Windows)와 맥킨토시(Macintosh) 설치 된 Adobe Flash Player 11.5.502.146 과 이전 버전

리눅스(Linux)에 설치된 Adobe Flash Player 11.2.202.261과 이전 버전 

안드로이드(Android) 4.x 에 설치된 Adobe Flash Player 11.1.115.36와 이전 버전

안드로이드(Android) 3.x와 2.x 에 설치된 Adobe Flash Player 11.1.111.31와 이전 버전


이 번 어도비 플래쉬 플레이어에 존재하였던 제로 데이 취약점은 마이크로소프트의 워드(Word)에 임베디드(Embedded) 된 형태로 타깃 공격이 발생하였다.


ASEC에서는 파악한 바로는 총 3개의 마이크로소프트 워드가 공격에 사용되었으며, 아래 이미지와 같은 내용들을 포함하고 있다.





타깃 공격에 사용된 마이크로소프트 워드 파일 중 2개의 워드 파일들은 다음과 같은 구조를 가지고 있으며, 컨텐츠(Contents) 섹션에 어도비 플래쉬 플레이어에 존재하는 취약점을 악용하는 취약한 플래쉬 파일(SWF) 파일과 백도어가 포함되어 있다.



그리고 나머지 한 개의 워드 파일은 다음과 같은 구조를 가지고 있으며, 해당 파일 역시 컨텐츠(Contents) 섹션에 어도비 플래쉬 플레이어에 존재하는 취약점을 악용하는 취약한 플래쉬 파일(SWF) 파일과 백도어가 포함되어 있다.



이 번에 발견된 어도비 플래쉬 플레이어에 존재하였던 제로 데이 취약점 CVE-2013-0633 및 CVE-2013-0634은 모두 스택 오버플로우(Stack Overflow)로 인한 공격자가 지정한 임의의 코드를 실행 할 수 있는 코드 실행 취약점이다.


해당 취약점을 악용하는 취약한 어도비 플래쉬 플레이어 파일은 다음과 같은 구조를 가지고 있으며,  "DefineBinayData" 섹션을 2개 가지고 있다.



해당 취약한 어도비 플래쉬 파일에 존재하는 2개의 "DefineBinayData섹션에는 각각 아래 이미지와 같이 32비트에서 실행 할 수 있는 PE 파일과 64비트에서 실행 할 수 있는 PE+ 파일이 존재한다.




그리고  아래 이미지와 같이 시스템에 설치되어 있는 플래쉬 플레이어 버전과 운영체제의 버전을 체크하는 코드가 포함되어 있으며, 해당 버전의 플래쉬 플레이어에서만 취약점이 동작하도록 제작되었다.




해당 취약한 플래쉬 플레이어 파일을 제작한 공격자는 취약한 버전의 플래쉬 플레이어가 설치되어 있는 윈도우 운영체제가 32비트 또는 64비트 인가에 따라 서로 다른 악성코드 감염을 목적으로 제작하였다.


타깃 공격에 사용되었던 마이크로소프트 워드 파일들을 취약한 버전의 어도비 플래쉬 플레이어가 설치된 시스템에서 열게 되면 2개의 워드 파일들은 다음 이미지와 같이 동작하게 된다.


그리고 나머지 1개의 워드 파일은 다음 이미지와 같이 동작하게 된다.



취약한 어도비 플래쉬 파일을 포함하고 있는 마이크로소프트 워드 파일을 열게 되면 다음의 경로에는 abc.cfg (247,296 바이트)을 생성하게 된다.


C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\abc.cfg


생성된 abc.cfg (247,296 바이트)는 동일한 경로에 seccenter.xxx (88,016 바이트 또는 33,280 바이트)를 생성하게 된다. 


2개의 마이크로소프트 워드 문서에서는 seccenter.xxx (88,016 바이트)의 복사본을 아래 경로에 Googleupdate.exe (88,016 바이트)로 생성하게 된다. 


C:\Documents and Settings\[사용자 계정]\Application Data\Googleupdate.exe


그리고 나머지 1개의 워드 문서에서는 seccenter.xxx (33,280 바이트)의 복사본을 아래 경로에 svchost.exe (33,280 바이트)를 생성하게 된다. 


C:\Documents and Settings\[사용자 계정]\Application Data\svchost.exe


그러나 생성된 svchost.exe (33,280 바이트)은 암호가 설정되어 있는 압축 파일로 분석 당시에는 정상적인 동작을 하지 않았다.


생성된 Googleupdate.exe (88,016 바이트)는 동일한 경로에 config.sys (568 바이트)를 생성하게 되는데, 해당 파일은 XOR로 인코딩(Encoding) 되어 있는 데이터 파일이다. 


해당 데이터 파일을 디코딩(Decoding)하게 되면 아래 이미지와 같이 접속을 시도하는 C&C(Command and Control) 서버의 주소인 ieee.boeing-job.com(108.62.10.13) 를 포함하고 있다.  그러나 분석 당시에는 해당 C&C 서버에는 정상적인 접속이 이루어지지 않았다.



그리고 Googleupdate.exe (88,016 바이트)는 아래 이미지와 같이 한국 온라인 게임 업체의 유효기간이 만료된 비정상적인 디지털 서명 정보가 남아 있다.



Googleupdate.exe (88,016 바이트)가 정상적으로 동작하게 되면 레지스트리(Registry)에 다음 키를 생성하여 시스템이 재부팅하더라도 자동 실행 가능하도록 설정하게 된다.


HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Update = C:\Documents and Settings\[사용자 계정]\Application Data\Googleupdate.exe


 그리고 감염된 시스템에 다음과 같은 보안 소프트웨어의 프로세스가 실행 중인지 확인하여, 만약 존재하게 된다면 강제종료를 시도하게 된다.


avp.exe

qqpctray.exe

kxetray.exe

360tray.exe


이 번에 발견된 어도비 플래쉬 플레이어에 존재하였던 제로 데이 취약점 CVE-2013-0633 및 CVE-2013-0634를 악용하는 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.


DOC/Cve-2013-0633 

DOC/Cve-2013-0634

SWF/Cve-2013-0634 

Win-Trojan/Infostealer.247296

Win-Trojan/Boda.241570 

Win-Trojan/Boda.3328

Win-Trojan/Boda.247296

Win-Trojan/Boda.246272


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/DOC.InScript_ZWF


향후 출시 예정인 V3 다음 버전에 포함된 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit


현재 어도비에서는 해당 취약점들이 제거되어 있는 플래쉬 플레이어 버전을 배포 중에 있음으로 아래 웹 사이트를 통해 최신 버전의 플래쉬 플레이어를 설치하는 것이 중요하다.


Adobe Flash Player Download Center


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

 

 취약점을 이용해서, PC 사용자가 감염사실을 인지 할 수 없도록 동작하는 국내 인터넷 뱅킹 정보 탈취 악성코드가 끊임없이 발견되고 있다. 과거 국내를 대상으로 제작된 정보 탈취 형 악성코드는 주로 주말에 취약점을 통해서 유포/확산 되었지만, 모니터링 결과 주중에도 변형을 제작하여 유포하고 있다.

 

국내 인터넷 뱅킹 정보 탈취 악성코드는 Windows 뿐만 아니라, Android 기반의 스마트폰 앱으로도 유포되었으며, 변종이 계속 발견되고 있다. 더욱이 구글 공식 마켓인 Play Store 에 등록되어 있어 그 영향이 작지 않을 것이다.

 

해킹된 웹사이트에 삽입된 악성 스크립트를 통하여 유포되는, 즉 취약점을 통하여 감염되는 흐름은 이 전에 다루었으므로 생략하겠다. 취약점을 통하여 PC에 다운로드/실행 되는 악성 파일은 아래와 같다.

 

hxxp://121.***.**.229:280/goutou.exe

 

해당 파일이 실행되면 아래와 같은 명령으로 시스템의 Hosts 파일이 변조된다.

이후 PC 사용자는 인터넷 뱅킹을 위해 정상(은행) 사이트를 방문하지만, 실제로는 제작자에 의하여 의도된 피싱(은행) 사이트로 접속하게 되는 것이다.

 

[그림 1] Hosts 파일 변조

 

사용자가 주의 깊게 살펴보지 않으면 정상 사이트와 구분하기 어렵다.

  • [인증절차]를 요구하는 피싱사이트

[그림 2] 정상 사이트(왼쪽) / 피싱 사이트(오른쪽)

 

다른 은행사이트(피싱)도 유사하게 [인증절차]를 요구하고 있다.

 

[그림 3] 은행(피싱)사이트

 

피싱 사이트에서 요구하는 [인증절차] 를 확인해 보면 아래와 같다.

 

[그림 4] 이름 / 주민번호 입력을 요구하는 피싱 사이트

 

위 페이지의 소스를 살펴보면 name_info1, 2, 3 사용자 이름과 주민번호를 인자 값으로 받아서 특정 서버로 전송할 것으로 추정된다.

 

[그림 5] 페이지 소스

이름과 주민번호 정보를 수집한 후에는 보안카드 비밀번호와 같은 추가 정보를 수집하기 위한 페이지로 이동된다.

 

[그림 6] 추가 정보 수집 페이지

 

실제 사용자에 의해 입력된 정보가 특정서버로 전송되는 과정은 아래와 같다.

 

[그림 7] 사용자에 의해 입력된 정보가 전송되는 과정

 

 

이러한 Windows 기반의 악성코드가 Android 기반의 스마트폰에서도 발견되었다.

 

아래 그림8의 페이지는 구글 마켓에 등록된 인터넷 뱅킹 정보 탈취형 악성 앱이다.

[그림 8] 구글 Play Store 에 등록된 악성 앱

 

"NH농협스마트뱅킹", "KB국민스마트뱅킹", "IBK 기업스마트뱅킹", "새마을금고스마트뱅킹", "우리스마트뱅킹"

5개 은행의 이용자를 타겟으로 제작되었으며, 하루 간격으로 변종이 유포되었다. 1월 15일에는 "LEAD TEAM", 16일에는 "ZHANG MENG", "waleriakowalczyk", 17일에는 "Kyle Desjardins" 의 제작자명으로 등록되어 유포되었다.

 

위 악성 앱 중에 하나를 확인해 보겠다.

 

[그림 9] 설치 화면(좌) / 실행 화면(우)

[그림 10] 피싱 사이트 접속 유도 화면

 

[그림 11] 은행(피싱)사이트 접속 화면

[그림 12] 은행(피싱)사이트 접속 화면

 

위 화면에서 볼 수 있듯이 사용자의 개인정보 및 인터넷 뱅킹 정보를 입력하도록 유도하고 있다.

 

해당 부분의 코드를 살펴보면 피싱사이트로 접속을 유도하는 부분을 확인할 수 있다.

[그림 13] 피싱 사이트 접속 유도의 일부 코드

 

[그림 14] 인터넷 뱅킹 정보 탈취 사이트의 일부 코드

 

Windows 기반의 악성코드 감염을 최소화하기 위해선 보안패치를 항상 최신으로 유지하고, 안전성이 확인되지 않은 파일공유사이트(p2p,토렌트)를 이용하지 않는 것이 좋다.

 

▶ Microsoft업데이트

http://update.microsoft.com

 

▶ Flash Player 업데이트

http://get.adobe.com/kr/flashplayer/

 

▶ Java (JRE) 업데이트

http://www.java.com/ko/

 

Android 기반의 금융 관련 앱을 설치할 떄는 해당 금융사가 등록한 것인지, 제작자가 올바른지 확인하고 설치하는 습관이 필요하다.

V3 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

Trojan/Win32.Banki

Android-Trojan/Yaps

신고
Posted by DH, L@@

구글 플레이 스토어에 스마트폰의 정보를 수집하는 애플리케이션이 등록되어 있었다. 이 애플리케이션을 제작한 DG-NET 제작자에 의하여 플레이 스토어에 등록된 3개의 애플리케이션은 모두 같은 기능이며 총 100만 이상의 다운로드를 기록하였다.

 

[그림1] 스마트폰의 정보를 수집하는 애플리케이션(구글 플레이 스토어)

 

[그림2] 같은 제작자에 의하여 등록된 애플리케이션


현재는 3개의 애플리케이션이 구글 플레이 스토어에서 삭제된 상태이다.

하지만, 아직도 서드 파티 마켓(3rd Party)에서는 다운로드가 가능하다.

 

[그림3] 서드 파티 마켓(3rd Party)에 등록된 애플리케이션

 

 

이외에도 같은 종류의 애플리케이션이 존재했다.

 

[그림4] 추가 애플리케이션

 

해당 애플리케이션을 설치하면 아래와 같은 아이콘이 생성된다.

(2개의 애플리케이션만 설치하였다.)

 

 

[그림5] 애플리케이션 아이콘

 

 

애플리케이션을 실행하면 아래와 같은 화면을 볼 수 있다.

 

[그림6] 애플리케이션 설치 후 실행화면

 

안드로이드 기반의 애플리케이션은 권한 정보를 확인함으로써, 행위를 예측할 수 있다. 권한 정보를 살펴보면 아래와 같다.

 

[그림7] 애플리케이션의 권한 정보

 

 

 

애플이케이션이 실행되면 아래의 정보를 수집하여 특정 서버로 전송한다.

 

-. 사용자의 이메일(구글) 주소

-. IMEI 정보

-. 위치 정보

-. 패키지명 정보

-. 이동통신사망 APN(Access Point Name) 정보

     

실제 네트워크 전송과정은 아래와 같다.

 

[그림8] 수집된 정보를 특정서버로 전송하는 과정

 

 

스마트폰 사용자는 구글 플레이 스토어에서 설치할 경우에도 다른 사용자의 평판과 애플리케이션의 권한 정보를 확인하여 설치하는 습관이 필요하다.

 

또한, 이와 유사한 기능을 하는 애플리케이션이 많기 때문에 V3 Mobile 과 같은 백신으로 주기적으로 검사해보는 습관이 필요하다.


이러한 애플리케이션은 V3 Mobile 제품에서 GWalls 또는 Airpush 와 같은 형태로 진단하고 있다.

신고
Posted by DH, L@@