- 해당 동영상 플레이어 사용자에게 허위 업데이트 창 안내, 클릭 시 악성코드 다운로드 

- 정상 디지털 사인으로 자신을 정상 파일로 위장, 키보드 입력 정보 공격자에게 전송 

- 백신 업데이트 및 정기적 검사 등 기본 보안수칙 준수 필요


안랩[대표 김홍선, www.ahnlab.com]은 최근 많은 이용자를 보유하고 있는 특정 동영상 플레이어 프로그램을 악용한 악성코드 유포가 발견되어 사용자들의 주의가 필요하다고 발표했다.


안랩에 따르면, 이번 악성코드는 특정 동영상 플레이어의 최신 버전을 위장[보충자료 1 참조]해 해당 동영상 플레이어의 업데이트 기능을 악용하는 것으로 추정된다. 먼저, 해당 프로그램 사용자에게 새로운 버전으로 업데이트하라는 허위 알림 창이 나타난다. 사용자가 이를 무심코 클릭하면, 업데이트 기능을 이용해 악성코드가 다운로드 되는 방식이다. 현재 해당 동영상 플레이어 제공사는 이 문제가 해결된 최신버전을 배포 중이다.


이번 악성코드는 감염 시에, 키보드로 입력되는 정보와 기타 시스템 정보를 특정 서버를 통해 공격자에게 전송하는 기능을 가지고 있다. 또한, 백신의 탐지를 우회하기 위해 정상적인 디지털 서명을 이용해서 자신을 정상 프로그램으로 위장[보충자료 2. 참조]하는 정교함을 보인 것도 특징이다.


안랩 이호웅 시큐리티대응센터장은 "개인은 사용 중인 백신의 최신 업데이트 유지와 실시간 검사 실행 등 보안 기본 수칙을 지키고, 기업은 최근 국내 유명 동영상 플레이어가 악성코드 유포의 타깃이 되는 사례와 같이 발생 가능한 보안위협을 인지해, 서버나 프로그램의 침해 및 위/변조에 대한 대비를 철저히 하는 것이 필요하다"고 당부했다.  

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

- 페이스북을 사칭한 발신자로 첨부파일 실행유도 

- 첨부파일 실행 시 사용자 동의 없이 외부 통신을 위한 포트개방 

- 의심스러운 메일 첨부파일 실행 자제 및 백신 업데이트 철저


글로벌 보안 기업 안랩[구 안철수 연구소, 대표 김홍선, www.ahnlab.com]은 SNS[소셜네트워크서비스] 사용인구가 증가하는 가운데, 최근 유명 SNS 플랫폼 페이스북 알림메일을 사칭한 악성메일이 발견되어 사용자 주의가 요구된다고 밝혔다.

 

안랩의 월간 보안 보고서인 ASEC리포트 최신호에 따르면 ‘당신과 함께 찍은 사진을 업로드 했다[ALFRED SHERMAN added a new photo with you to the album]’라는 제목의 이 악성메일의 발신자는 자세한 주소 없이 ‘Facebook’으로만 표시되어 있다. 본문에는 “새로운 사진이 앨범에 등록되었으니 확인하려면 첨부된 파일을 확인하라[One of your friends added a new photo with you to the album, View photo with you in the attachment]”는 내용이 적혀있다. 첨부된 zip파일의 압축을 풀면 ‘NewPhoto-in_albumPhto_.jpeg.exe’라는 그림 파일을 위장한 실행파일이 나온다.

 

해당 파일을 실행하면 실행파일 내부에 포함된 악성코드가 설치된다. 이 악성코드는 사용자 몰래 외부 특정서버와 통신하기 위한 포트를 개방한다. 즉, 외부 서버와 통신해 추가 악성코드를 다운로드 받거나 PC 내부에 저장된 정보를 외부로 유출할 수도 있다. 또한, 악성코드를 사용자의 레지스트리에 등록해 부팅 시에 자동으로 실행되도록 한다. 현재 안랩 V3는 해당 악성코드를 진단 및 치료하고 있다.

 

안랩 김홍선 대표는 “페이스북이나 트위터 등 사용자가 많은 유명 SNS의 관리자인 것처럼 위장해 악성메일을 보내 악성코드를 배포하는 방식은 예전부터 자주 발견되고 있다. 이는 향후 첨부파일이나 내용을 다르게 해서 다시 확산될 수 있다. 이런 피해를 방지하기 위해서는 의심스러운 메일의 첨부파일을 실행하는 것을 자제하고 백신을 최신 버전으로 업데이트 하는 것이 필요하다”라고 말했다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

안랩 ASEC에서 2012년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.36을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

온라인 뱅킹 트로이목마 Banki(1)

온라인 뱅킹 트로이목마 Banki(2)

패스워드를 노리는 악성코드

악성코드의 3단 콤보 공격

온라인 게임핵 변종 악성코드

특정 후보의 정책관련 한글문서 위장 악성코드

부킹닷컴을 사칭한 악성코드

과다 트래픽을 발생시키는 악성코드

상품권 번호 탈취하는 온라인 게임핵 악성코드

Xerox WorkCentre를 사칭한 악성 메일

Facebook을 사칭한 악성 e-mail 주의


2) 모바일 악성코드 이슈

국내 스마트폰 사용자를 노린 Win-Android/Chest 악성코드

PUP 앱의 폭발적인 증가


3) 보안 이슈

Stuxnet 기술을 이용하는 MySQL 취약점

지속적으로 보고되는 인터넷 익스플로러 use-after-free 취약점


4) 2012년 보안 동향 분석

악성코드 통계

- 2012년 악성코드, 1억3353만1120 건

- 악성코드 대표 진단명 감염보고 최다 20

- 2012년 악성코드 유형 ‘트로이목마’가 최다

모바일 악성코드 이슈

- 월간 모바일 악성코드 접수량

- 모바일 악성코드 유형

- 모바일 악성코드 진단명 감염보고 최다

보안 통계  

- 2012년 4분기 마이크로소프트 보안 업데이트 현황

웹 보안 통계

- 웹 사이트 악성코드 동향

웹 보안 이슈


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.36 발간


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

마이크로소프트(Microsoft)에서 2013년 1월 한 달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2013년 2월 13일 배포하였다.


이번에 마이크로소프트에서 배포된 보안 패치들은 총 12건으로 다음과 같다.


Microsoft Security Bulletin MS13-009 - 긴급

Internet Explorer 누적 보안 업데이트 (2792100)


Microsoft Security Bulletin MS13-010 - Critical

Vulnerability in Vector Markup Language Could Allow Remote Code Execution (2797052)


Microsoft Security Bulletin MS13-011 - 긴급

미디어 압축 해제의 취약점으로 인한 원격 코드 실행 문제점 (2780091)


Microsoft Security Bulletin MS13-012 - 긴급

Microsoft Exchange Server의 취약점으로 인한 원격 코드 실행 문제점 (2809279)


Microsoft Security Bulletin MS13-013 - Important

Vulnerabilities in FAST Search Server 2010 for SharePoint Parsing Could Allow Remote Code Execution (2784242)


Microsoft Security Bulletin MS13-014 - 중요

NFS 서버의 취약점으로 인한 서비스 거부 문제점 (2790978)


Microsoft Security Bulletin MS13-015 - 중요

.NET Framework의 취약점으로 인한 권한 상승 문제점 (2800277)


Microsoft Security Bulletin MS13-016 - 중요

Windows 커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점 (2778344)


Microsoft Security Bulletin MS13-017 - 중요

Windows 커널의 취약점으로 인한 권한 상승 문제점 (2799494)


Microsoft Security Bulletin MS13-018 - 중요

TCP/IP의 취약점으로 인한 서비스 거부 문제점 (2790655)


Microsoft Security Bulletin MS13-019 - 중요

Windows CSRSS(Client/Server Run-time Subsystem)의 취약점으로 인한 권한 상승 문제점 (2790113)


Microsoft Security Bulletin MS13-020 - 긴급

OLE 자동화의 취약점으로 인한 원격 코드 실행 문제점 (2802968)


마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다. 


마이크로소프트 업데이트

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

ASEC에서는 아래 내용을 통해 1월 25일 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이(Zero Day, 0-Day) 취약점을 악용한 공격이 있었음을 공개하였다.


2013년 1월 29일 - 한글 파일 제로 데이(Zero-Day) 취약점 악용 공격


해당 제로 데이 취약점을 제거 할 수 있는 보안 패치를 2월 6일부터 한글과 컴퓨터에서 배포 중에 있다.


이 번 보안 패치에 영향을 받는 한글 소프트웨어 버전은 다음과 같음으로, 해당 버전 사용자는 보안 패치를 설치하는 것이 중요하다.


한글 2002SE

한글 2004
한글 2005
한글 2007
한글 2010 SE


해당 보안 패치는 한글과 컴퓨터 웹 사이트를 통해 보안 패치를 업데이트 할 수 있으며, 아래 이미지와 같이 [한컴 자동 업데이트]를 실행해서도 보안 패치 설치가 가능하다.



[한컴 자동 업데이트]가 실행되면 아래 이미지와 같이 현재 설치되어 있는 한글 프로그램에 맞는 보안 패치를 자동으로 설치할 수 있다.



그리고 아래 이미지의 [환경 설정]을 클릭하여 [업데이트 방법][자동 업데이트 설정]이 가능함으로 최신 보안 패치가 배포될 경우에 자동 업데이트가 진행 된다.



한글 소프트웨어의 알려진 취약점이나 알려지지 않은 취약점을 악용한 악성코드 유포가 지속적으로 발견되고 있다. 


그러므로 한글 소프트웨어 사용자는 한글과 컴퓨터에서 배포하는 보안 패치들을 모두 적용하고 사용 중인 보안 소프트웨어를 최신 업데이트 버전으로 유지하는 것이 악성코드 감염으로부터 시스템을 보호 할 수 있는 방안이다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

ASEC에서는 11월 26일 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용하여 악성코드 감염을 시도한 공격이 발생하였음을 공개하였다.


2012년 11월 26일 - 국방 관련 내용의 0-Day 취약점 악용 한글 파일


해당 제로 데이 취약점과 관련하여 12월 3일 해당 제로 데이 취약점을 제거 할 수 있는 보안 패치를 배포하기 시작하였다.


[공지]한컴오피스 및 한/글 제품의 보안 패치 업데이트 안내


이 번 보안 패치의 설치 대상이 되는 한글 소프트웨어 제품들은 다음과 같다.


한컴 오피스 2010 SE+, 2007, 2005

한글 2010 SE+, 2007, 2005, 2002


해당 보안 패치는 한글과 컴퓨터 웹 사이트를 통해 보안 패치를 업데이트 할 수 있으며, 아래 이미지와 같이 [한컴 자동 업데이트]를 실행해서도 보안 패치 설치가 가능하다.



[한컴 자동 업데이트]가 실행되면 아래 이미지와 같이 현재 설치되어 있는 한글 프로그램에 맞는 보안 패치를 자동으로 설치할 수 있다.



그리고 아래 이미지의 [환경 설정]을 클릭하여 [업데이트 방법][자동 업데이트 설정]이 가능함으로 최신 보안 패치가 배포될 경우에 자동 업데이트가 진행 된다.



한글 소프트웨어의 알려진 취약점이나 알려지지 않은 취약점을 악용한 악성코드 유포가 지속적으로 발견되고 있다. 


그러므로 한글 소프트웨어 사용자는 한글과 컴퓨터에서 배포하는 보안 패치들을 모두 적용하고 사용 중인 보안 소프트웨어를 최신 업데이트 버전으로 유지하는 것이 악성코드 감염으로부터 시스템을 보호 할 수 있는 방안이다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

ASEC에서는 10월 10일 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용한 악성코드 유포 시도가 발견되었다고 공지 한 바가 있다.


10월 18일부터 한글 소프트웨어 개발사인 한글과 컴퓨터에서 해당 제로 데이 취약점을 제거 할 수 있는 보안 패치를 배포 중에 있다.


이 번 보안 패치의 대상이 되는 한글 소프트웨어는 다음과 같다.


한글 2002 5.7.9.3058 및 이전버전

한글 2004 6.0.5.776 및 이전버전    

한글 2005 6.7.10.1083 및 이전버전

한글 2007 7.5.12.652 및 이전버전

한글 2010 8.5.8.1278 및 이전버전    


해당 보안 패치는 한글과 컴퓨터 웹 사이트를 통해 보안 패치를 업데이트 할 수 있으며, 아래 이미지와 같이 [한컴 자동 업데이트]를 실행해서도 보안 패치 설치가 가능하다.



[한컴 자동 업데이트]가 실행되면 아래 이미지와 같이 현재 설치되어 있는 한글 프로그램에 맞는 보안 패치를 자동으로 설치할 수 있다.



그리고 아래 이미지의 [환경 설정]을 클릭하여 [업데이트 방법][자동 업데이트 설정]이 가능함으로 최신 보안 패치가 배포될 경우에 자동 업데이트가 진행 된다.


한글 소프트웨어의 알려진 취약점이나 알려지지 않은 취약점을 악용한 악성코드 유포가 지속적으로 발견되고 있다. 

그러므로 한글 소프트웨어 사용자는 한글과 컴퓨터에서 배포하는 보안 패치들을 모두 적용하고 사용 중인 보안 소프트웨어를 최신 업데이트 버전으로 유지하는 것이 악성코드 감염으로부터 시스템을 보호 할 수 있는 방안이다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

마이크로소프트(Microsoft)에서 2012년 9월 한 달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2012년 10월 10일 배포하였다.


이번에 마이크로소프트에서 배포된 보안 패치들은 총 7건으로 다음과 같다.


Microsoft Security Bulletin MS12-064 - 긴급

Microsoft Word의 취약점으로 인한 원격 코드 실행 문제점 (2742319)


Microsoft Security Bulletin MS12-065 - 중요

Microsoft Works의 취약점으로 인한 원격 코드 실행 문제점 (2754670)


Microsoft Security Bulletin MS12-066 - 중요

HTML 삭제 구성 요소의 취약점으로 인한 권한 상승 문제점 (2741517)


Microsoft Security Bulletin MS12-067 - 중요

FAST Search Server 2010 for SharePoint의 구문 분석 취약점으로 인한 원격 코드 실행 (2742321)


Microsoft Security Bulletin MS12-068 - 중요

Windows 커널의 취약점으로 인한 권한 상승 문제점 (2724197)


Microsoft Security Bulletin MS12-069 - 중요

Kerberos의 취약점으로 인한 서비스 거부 문제점 (2743555)


Microsoft Security Bulletin MS12-070 - 중요

SQL Server의 취약점으로 인한 권한 상승 문제점 (2754849)


마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다. 


마이크로소프트 업데이트


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

안랩 ASEC에서 2012년 7월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.31을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 7월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

Banki 트로이목마의 공습

구글 코드를 악용한 악성코드 유포

국외 은행 피싱 메일

아래아한글 취약점을 악용한 파일 추가 발견

링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷

BHO에 등록되는 온라인 게임핵 악성코드

WinSocketA.dll 파일을 이용하는 온라인 게임핵

Cross-Platform 악성코드

위구르족을 타깃으로 한 맥 악성코드


2) 모바일 악성코드 이슈

APT 공격과 관련된 안드로이드 악성코드 발견

스마트폰에도 설치되는 애드웨어


3) 보안 이슈

DNS changer 감염으로 인한 인터넷 접속 장애 주의

BIND 9 취약점 발견 및 업데이트 권고

어느 기업의 데이터 유출 후, 고객에게 보내진 ‘보안 패치’ 메일의 비밀


4) 웹 보안 이슈

GongDa Pack의 스크립트 악성코드 증가

해킹된 동영상 사이트를 통한 악성코드 유포

XML 코어 서비스 취약점 악용으로 온라인 게임 악성코드 유포


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.31 발간


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

현지 시각으로 2012년 8월 9일 해외 보안 업체 캐스퍼스키(Kaspersky)에서 블로그 "Gauss: Nation-state cyber-surveillance meets banking Trojan"와 함께 분석 보고서인 "Gauss:Abnormal Distribution"를 공개하였다.


이 번 캐스퍼스키에서 공개한 분석 보고서에서는 Gauss로 명명된 악성코드가 발견되었으며, 해당 악성코드들이 기존에 발견되었던 Duqu와 Stuxnet 변형으로 알려진 Flame과 유사도가 높은 것으로 밝히고 있다.


해당 Gauss 악성코드의 전체적인 구조는 아래 캐스퍼스키에서 공개한 이미지와 동일한 형태로 Duqu, Stuxnet 그리고 Flame과 유사한 모듈화된 형태를 가지고 있다.



이 번에 발견된 해당 Gauss 악성코드들의 특징은 다음과 같으며, Flame에서 발견되었던 특징들이 유사하게 발견되었다.


1) 2011년 9월에서 10월사이에 제작 및 유포된 것으로 추정, 제작 이후 수 차례 모듈 업데이트 및 C&C 서버 주소가 변경됨


2) 웹 브라우저 인젝션 이후 사용자 세션을 가로채는 기법으로 사용자 암호, 브라우저 쿠키 및 히스토리 수집


3) 감염된 PC에서 네트워크 정보, 프로세스, 폴더, BIOS와 CMOS 정보들 수집


4) USB를 이용 다른 PC로 전파되며 사용된 취약점은 Stuxnet에서 최초 악용되었던 "MS10-046: Windows 셸의 취약성으로 인한 원격 코드 실행 문제" 사용


5) Palida Narrow 폰트 설치


6) C&C 서버와 통신 후 수집한 정보들 모두 전송하고 다른 모듈들을 다운로드


그리고 해당 악성코드들이 수집하는 정보들은 다음과 같으며, Stuxnet과 같이 시스템 파괴 등의 목적보다는 정보 수집을 주된 목적으로 하고 있다.


1) 컴퓨터 명, 윈도우 버전, 실행 중인 프로세스 리스트


2) Program Files 폴더의 디렉토리 리스트


3) 감염된 PC의 인터넷 익스플로러 버전


4) 네트워크 및 DNS 정보


5) 쿠키를 검색해서 쿠키 중 다음 문자열이 있는지 검색 후 웹 페이지 접속시에 사용자 암호 추출

paypal, mastercard, eurocard, visa, americanexpress, bankofbeirut, eblf, blombank, byblosbank, citibank, fransabank, yahoo, creditlibanais, amazon, facebook, gmail, hotmail, ebay, maktoob


이 번에 발견된 Gauss 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

Trojan/Win32.Mediyes
JS/Gauss
Win-Trojan/Gauss.1310208
Win-Trojan/Gauss.270336
Win-Trojan/Gauss.194560
Win-Trojan/Gauss.172032
Win-Trojan/Gauss.397312
Win-Trojan/Gauss.430080
 
캐스퍼스키의 분석 보고서를 참고로 할 때 Gauss 악성코드들은 특정 금융 정보나 개인 정보 탈취 목적이라기 보다는 Flame 악성코드와 유사하게 특정 조직에 대한 포괄적인 금융 정보를 포함한 다양한 정보들을 수집하기 위해 제작된 것으로 분석 된다.


저작자 표시 비영리 변경 금지
신고
Posted by 비회원