어도비(Adobe)에서는 현지 시각으로 2월 7일 어도비 플래쉬 플레이어(Adobe Flash Player)에 존재하는 취약점인 CVE-2013-0633 및 CVE-2013-0634를 제거하기 위한 보안 패치를 배포 중임을 보안 권고문 "APSB13-04 Security updates available for Adobe Flash Player"를 통해 밝혔다.


이 번에 발견된 2개의 어도비 플래쉬 플레이어 취약점은 기존에 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점이었다.


해당 제로 데이 취약점들은 특정 대상으로 상대로한 타깃 공격(Targeted Attack)과 웹 사이트를 통해 해당 취약점을 악용하는 플래쉬 파일(SWF)를 유포하는 것으로 공개되었다.


어도비에서는 해당 취약점들에 영향을 받는 플래쉬 플레이어 버전들은 다음과 같음을 밝히고 있다.


윈도우(Windows)와 맥킨토시(Macintosh) 설치 된 Adobe Flash Player 11.5.502.146 과 이전 버전

리눅스(Linux)에 설치된 Adobe Flash Player 11.2.202.261과 이전 버전 

안드로이드(Android) 4.x 에 설치된 Adobe Flash Player 11.1.115.36와 이전 버전

안드로이드(Android) 3.x와 2.x 에 설치된 Adobe Flash Player 11.1.111.31와 이전 버전


이 번 어도비 플래쉬 플레이어에 존재하였던 제로 데이 취약점은 마이크로소프트의 워드(Word)에 임베디드(Embedded) 된 형태로 타깃 공격이 발생하였다.


ASEC에서는 파악한 바로는 총 3개의 마이크로소프트 워드가 공격에 사용되었으며, 아래 이미지와 같은 내용들을 포함하고 있다.





타깃 공격에 사용된 마이크로소프트 워드 파일 중 2개의 워드 파일들은 다음과 같은 구조를 가지고 있으며, 컨텐츠(Contents) 섹션에 어도비 플래쉬 플레이어에 존재하는 취약점을 악용하는 취약한 플래쉬 파일(SWF) 파일과 백도어가 포함되어 있다.



그리고 나머지 한 개의 워드 파일은 다음과 같은 구조를 가지고 있으며, 해당 파일 역시 컨텐츠(Contents) 섹션에 어도비 플래쉬 플레이어에 존재하는 취약점을 악용하는 취약한 플래쉬 파일(SWF) 파일과 백도어가 포함되어 있다.



이 번에 발견된 어도비 플래쉬 플레이어에 존재하였던 제로 데이 취약점 CVE-2013-0633 및 CVE-2013-0634은 모두 스택 오버플로우(Stack Overflow)로 인한 공격자가 지정한 임의의 코드를 실행 할 수 있는 코드 실행 취약점이다.


해당 취약점을 악용하는 취약한 어도비 플래쉬 플레이어 파일은 다음과 같은 구조를 가지고 있으며,  "DefineBinayData" 섹션을 2개 가지고 있다.



해당 취약한 어도비 플래쉬 파일에 존재하는 2개의 "DefineBinayData섹션에는 각각 아래 이미지와 같이 32비트에서 실행 할 수 있는 PE 파일과 64비트에서 실행 할 수 있는 PE+ 파일이 존재한다.




그리고  아래 이미지와 같이 시스템에 설치되어 있는 플래쉬 플레이어 버전과 운영체제의 버전을 체크하는 코드가 포함되어 있으며, 해당 버전의 플래쉬 플레이어에서만 취약점이 동작하도록 제작되었다.




해당 취약한 플래쉬 플레이어 파일을 제작한 공격자는 취약한 버전의 플래쉬 플레이어가 설치되어 있는 윈도우 운영체제가 32비트 또는 64비트 인가에 따라 서로 다른 악성코드 감염을 목적으로 제작하였다.


타깃 공격에 사용되었던 마이크로소프트 워드 파일들을 취약한 버전의 어도비 플래쉬 플레이어가 설치된 시스템에서 열게 되면 2개의 워드 파일들은 다음 이미지와 같이 동작하게 된다.


그리고 나머지 1개의 워드 파일은 다음 이미지와 같이 동작하게 된다.



취약한 어도비 플래쉬 파일을 포함하고 있는 마이크로소프트 워드 파일을 열게 되면 다음의 경로에는 abc.cfg (247,296 바이트)을 생성하게 된다.


C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\abc.cfg


생성된 abc.cfg (247,296 바이트)는 동일한 경로에 seccenter.xxx (88,016 바이트 또는 33,280 바이트)를 생성하게 된다. 


2개의 마이크로소프트 워드 문서에서는 seccenter.xxx (88,016 바이트)의 복사본을 아래 경로에 Googleupdate.exe (88,016 바이트)로 생성하게 된다. 


C:\Documents and Settings\[사용자 계정]\Application Data\Googleupdate.exe


그리고 나머지 1개의 워드 문서에서는 seccenter.xxx (33,280 바이트)의 복사본을 아래 경로에 svchost.exe (33,280 바이트)를 생성하게 된다. 


C:\Documents and Settings\[사용자 계정]\Application Data\svchost.exe


그러나 생성된 svchost.exe (33,280 바이트)은 암호가 설정되어 있는 압축 파일로 분석 당시에는 정상적인 동작을 하지 않았다.


생성된 Googleupdate.exe (88,016 바이트)는 동일한 경로에 config.sys (568 바이트)를 생성하게 되는데, 해당 파일은 XOR로 인코딩(Encoding) 되어 있는 데이터 파일이다. 


해당 데이터 파일을 디코딩(Decoding)하게 되면 아래 이미지와 같이 접속을 시도하는 C&C(Command and Control) 서버의 주소인 ieee.boeing-job.com(108.62.10.13) 를 포함하고 있다.  그러나 분석 당시에는 해당 C&C 서버에는 정상적인 접속이 이루어지지 않았다.



그리고 Googleupdate.exe (88,016 바이트)는 아래 이미지와 같이 한국 온라인 게임 업체의 유효기간이 만료된 비정상적인 디지털 서명 정보가 남아 있다.



Googleupdate.exe (88,016 바이트)가 정상적으로 동작하게 되면 레지스트리(Registry)에 다음 키를 생성하여 시스템이 재부팅하더라도 자동 실행 가능하도록 설정하게 된다.


HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Update = C:\Documents and Settings\[사용자 계정]\Application Data\Googleupdate.exe


 그리고 감염된 시스템에 다음과 같은 보안 소프트웨어의 프로세스가 실행 중인지 확인하여, 만약 존재하게 된다면 강제종료를 시도하게 된다.


avp.exe

qqpctray.exe

kxetray.exe

360tray.exe


이 번에 발견된 어도비 플래쉬 플레이어에 존재하였던 제로 데이 취약점 CVE-2013-0633 및 CVE-2013-0634를 악용하는 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.


DOC/Cve-2013-0633 

DOC/Cve-2013-0634

SWF/Cve-2013-0634 

Win-Trojan/Infostealer.247296

Win-Trojan/Boda.241570 

Win-Trojan/Boda.3328

Win-Trojan/Boda.247296

Win-Trojan/Boda.246272


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/DOC.InScript_ZWF


향후 출시 예정인 V3 다음 버전에 포함된 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit


현재 어도비에서는 해당 취약점들이 제거되어 있는 플래쉬 플레이어 버전을 배포 중에 있음으로 아래 웹 사이트를 통해 최신 버전의 플래쉬 플레이어를 설치하는 것이 중요하다.


Adobe Flash Player Download Center


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

안랩 ASEC에서 2012년 10월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.34을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 10월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

10월에 발견된 취약한 한글 문서 파일

MS 워드, PDF 문서들의 취약점을 악용하는 악성코드 다수 발견

한글 소프트웨어의 제로데이 취약점 악용 악성코드

미국 대선 뉴스로 위장한 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷

플레임 악성코드 변형 miniFlame 변형 발견

윈도우 도움말 파일을 이용한 악성코드 유포

국방 관련 내용을 담은 취약한 한글 파일

연봉 계약서로 위장한 취약한 한글 파일 발견

한반도 정황 관련 내용의 취약한 한글 파일 발견

대만 기상청을 대상으로 한 타깃 공격 발견

이스라엘 정부 기관 대상의 타깃 공격 발생

국내 PC 사용자를 대상으로 유포된 아두스카 부트킷

usp10.dll 파일을 이용한 온라인 게임 악성코드


2) 모바일 악성코드 이슈

NH모바일 웹 피싱사이트

방통위 사칭 악성 애플리케이션


3) 악성코드 분석 특집

패치드(Patched) 형태의 악성코드 변천사

ZeroAccess로도 알려진 Smiscer 변형

IFEO 를 이용하는 악성코드

Bootkit Story Part 1. 모체를 찾아라!


4) 보안 이슈

Adobe사의 유출된 code signing 악용사례 발생

미국 금융 기업 DDoS 공격

개인 금융 정보 탈취를 노리는 Banki 트로이목마 변형


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.34 발간


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

추석 연휴가 끝난 이후 ASEC에서는 최근 다양한 형태의 전자 문서들에 존재하는 취약점을 악용하는 악성코드들을 발견하였다.


전자 문서와 관련된 악성코드들이 발견되는 것이 이 번이 처음 발생한 사항이 아니지만, 마이크로소프트 워드(Microsoft Word), 한글 소프트웨어 그리고 어도비 리더(Adobe Reader) 파일인 PDF에 존재하는 알려진 취약점 등을 악용하는 악성코드가 동시 다발적으로 발견된 것은 특이 사항으로 볼 수 있다.


먼저 한글 소프트웨어와 관련된 악성코드는 크게 3가지 형태로 기존에 알려진 취약점을 악용하는 형태, 특이하게 내부에 악의적인 목적으로 제작된 자바 스크립트(Java Script)가 포함된 형태 그리고 한글 문서 자체가 특이한 OLE 포맷을 가지고 있는 형태가 발견되었다.


기존에 알려진 한글 취약점을 악용하는 취약한 한글 파일은 아래 이미지와 동일한 내용을 포함하고 있는 "붙임1_국방기술정보 위원명단_[2].hwp (1,061,892 바이트)"로 유포되었다.



해당 취약한 한글 파일은 HncApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플로우로 인한 임의의 코드 실행 취약점을 악용하고 있으며, 이는 기존에 알려진 취약점으로 이미 한글과 컴퓨터에서 보안 패치를 배포 중에 있다.


두 번째 발견된 취약한 한글 파일은 아래 이미지와 동일하게 문서 암호가 설정되어 있는 "122601.hwp (213,133 바이트)"와 동일 한 파일명에 파일 크기만 217,231 바이트로 다른 파일이 존재한다.


해당 한글 파일들의 내부에는 아래 이미지와 동일한 형태로 특이하게 자바 스크립트(Java Script)가 포함되어 있다.



내부에 포함되어 있는 해당 자바 스크립트 코드를 디코딩하게 되면, 특정 시스템에서 ie67.exe (99,328 바이트)의 다른 악성코드를 다운로드 후 실행하도록 되어 있다.


그리고 마지막으로 아래 이미지와 동일한 내용을 포함하고 있는 "실험 리포트.hwp (7,887,360 바이트)"라는 파이명으로 유포되었으나, 해당 문서를 여는 것만으로는 악성코드 감염 행위가 발생하지 않는다.



해당 한글 파일의 OLE 포맷을 보게되면 아래 이미지와 동일하게 기존에 발견된 특이항 형태의 섹션명이 포함된 한글 파일과 유사한 형태를 가지고 있다.



어도비 아크로뱃(Adobe Acrobat)에 존재하는 알려진 취약점을 악용하는 PDF 파일은 아래 이미지와 동일한 내용을 포함하고 있는 "안보현안분석.pdf  (679,753 바이트)" 파일명으로 유포 되었다.



해당 취약한 PDF 파일은 기존에 알려진 CVE-2009-0927 취약점을 악용하고 있으며, 2009년 3월 어도비에서 보안 권고문 "APSB09-04 Security Updates available for Adobe Reader and Acrobat"을 통해 이미 보안 패치가 배포 중에 있다.


마지막으로 발견된 마이크로소프트 워드에 존재하는 취약점을 악용하는 취약한 워드 파일은 유포 당시의 정확한 파일명은 확인 되지 않지만, 265,395 바이트의 크기를 가지고 있다.


그리고 해당 워드 파일은 CVE-2012-0158 취약점을 악용하며 보안 권고문 "Microsoft Security Bulletin MS12-027 - 긴급 Windows 공용 컨트롤의 취약점으로 인한 원격 코드 실행 문제점 (2664258)" 을 통해 이미 보안 패치가 배포 중인 알려진 취약점이다.


마이크로소프트 워드, 한글 소프트웨어 그리고 어도비 리더에 존재하는 취약점들을 악용하여 악성코드 감염을 시도하는 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.


HWP/Exploit

Dropper/Exploit-HWP

Dropper/Cve-2012-0158

PDF/Exploit

Backdoor/Win32.PcClient

Dropper/Win32.OnlineGameHack 

Win-Trojan/Infostealer.28672.K

Win-Trojan/Infostealer.81920.B


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-SEH

Exploit/DOC.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Document


앞서 언급한 바와 같이 이 번에 발견된 취약한 전자 문서 파일들은 모두 기존에 알려진 취약점들을 악용하고 있으며, 마이크로소프트, 한글과 컴퓨터 그리고 어도비에서 모두 해당 취약점들을 제거할 수 있는 보안 패치들을 배포 중에 있다.


그러므로 향후 유사한 보안 위협들로 인한 피해를 예방하기 위해서는 관련 보안 패치를 설치하는 것이 중요하다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

한글과 컴퓨터에서 개발하는 한글 워드프로세스와 마이크로소프트(Microsoft)에서 개발하는 워드(Word)에 존재하는 알려진 취약점을 악용하는 악성코드들이 동시에 3건이 발견되었다.


첫 번째 취약한 한글 파일은 중공 5세대 핵심들의 불확실한 미래.hwp (241,873 바이트)로 아래 이미지와 동일한 내용을 가지고 있다.



두 번째  취약한 한글 파일은 미래모임.hwp (104,448 바이트)로 아래 이미지와 동일한 내용을 가지고 있다.



마지막으로 발견된 취약한 워드 파일은 부서간 의사소통 조사 설문지.doc (361,026 바이트) 로 아래 이미지와 동일한 내용이 포함되어 있다.


해당 워드 파일은 CVE-2012-0158 취약점으로 "Microsoft Security Bulletin MS12-027 - 긴급

Windows 공용 컨트롤의 취약점으로 인한 원격 코드 실행 문제점 (2664258)" 이미 보안 패치가 배포 중인 알려진 취약점이다.



특히 마지막 취약한 워드 파일의 경우에는 아래와 같이 사내 설문 조사 관련 전자 메일로 위장하여 첨부한 취약한 워드 파일을 실행하도록 유도하는 사회 공학 기법을 사용하고 있다.


From: 김** [mailto:surv***************sme@yahoo.co.kr] 

Sent: Thursday, September 20, 2012 11:57 AM

To: 강**(KANG, **** ***)

Subject: 부서간 의사소통 조사 설문  

동료 여러분:


안녕하십니까? 우선 이렇게 불쑥 이메일을 보내 폐를 끼치는 것에 대해 사과드립니다. 우리 회사의 여러 부서간 의사소통의 형편이 어떤지 더욱더 원활하게 진행되게 하는 방법이 없는지 조사하기 위하여 이번 설문조사를 베푸는 바입니다. 설문 내용을 잘 읽고 귀하께서 생각하시는 가장 적절한 항목을 선택해 주시기 바랍니다. 설문지는 첨부파일에 담겨 있습니다. 확인해 주십시오. 작성하신 후 직접 본 이메일 주소로 보내면 됩니다. 


다시 한번 감사 드립니다.


이 번에 발견된 3개의 취약한 전자 문서들은 모두 기존에 알려진 취약점들을 악용하여 공통적으로 백도어 기능을 수행하는 악성코드들을 생성 및 실행하고 있다.

한글 워드프로세스와 워드에 존재하는 취약점을 악용하여 악성코드 감염을 시도하는 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.

Dropper/Exploit-HWP
HWP/Exploit
DOC/Exploit
Win-Trojan/Infostealer.45056
Dropper/Infostealer.237222
Win-Trojan/Infostealer.61480960
Win-Trojan/Infostealer.52506624 
Win-Trojan/Infostealer.75264
Dropper/Infostealer.191322

APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.

Exploit/HWP.AccessViolation-SEH
Exploit/DOC.AccessViolation-DE

향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.

Dropper/MDP.Document

앞서 언급한 바와 같이 이 번에 발견된 취약한 전자 문서 파일들은 모두 기존에 알려진 취약점들을 악용하고 있으며, 한글과 컴퓨터 그리고 마이크로소프트에서 해당 취약점들을 제거할 수 있는 보안 패치를 배포 중에 있다.

그러므로 향후 유사한 보안 위협들로 인한 피해를 예방하기 위해서는 관련 보안 패치를 설치하는 것이 중요하다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 워드프로세스에 존재하는 알려진 코드 실행 취약점을 악용하는 취약한 한글 파일들이 유포된 사례들 다수를 공개하였다.


유포되었던 취약한 한글 파일들 대부분은 아래 3가지 형태의 취약점을 가장 많이 악용하여 백도어 형태의 악성코드 감염을 시도하였다.


1. HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 않아 발생하는 버퍼 오버플로우(Buffer Overflow)로 인한 임의의 코드 실행 취약점


2. HncApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플로우로 인한 임의의 코드 실행 취약점


3. EtcDocGroup.DFT에 존재하는 버퍼 오버플로우로 인한 임의의 코드 실행 취약점


그러나 9월 10일과 11일 이틀 동안 그 동안 알려진 한글 워드프로세스에 존재하는 취약점을 악용하지 않는 다른 형태의 한글 파일들 다수가 발견되었다.


이 번에 발견된 한글 파일들은 총 4개로 안전여부.hwp (47,616 바이트), 운영체제 레포트 제목.hwp (31,744 바이트), 120604 전북도당 통합진보당 규약(6월 2주차).hwp (63,488 바이트)와 민주통합전라남도당 입당,정책 입당원서(제1호).hwp (102,912 바이트)이다.






해당 한글 파일들 모두 앞서 언급한 바와 같이 기존에 알려진 한글 워드프로세스의 취약점을 악용하지 않고 있으며, 특이하게 OLE 포맷이 아래 이미지와 같은 형태로 구성되어 있다.



위 이미지와 같이 인코딩 되어 있는 형태의 ahnurl.sys 파일을 내부에 임베디드 된 형태로 가지고 있으며, 다른 하나의 한글 파일에서는 이와는 다르게 레지스트리에 쓸 수 있는 데이터인 ahnurlahnrul.sys 모두 가지고 있는 형태도 존재한다. 



해당 한글 파일들은 파일 자체에는 취약점을 악용할 수 있는 익스플로잇(Exploit) 코드와 쉘코드(Shellcode)가 포함되어 있지 않음으로 해당 한글 파일들을 열어보는 것만으로 악성코드에 감염되지는 않는다.


현재 ASEC에서는 해당 한글 파일 제작자가 어떠한 용도와 목적으로 해당 한글 파일들을 유포한 것인지 지속적으로 확인 중에 있다.


해당 한글 파일들은 V3 제품군에서는 다음과 같이 모두 진단한다.


HWP/Agent


앞서 언급한 바와 같이 한글 워드프로세스의 알려진 취약점을 악용하여 다른 악성코드 감염을 시도하는 취약한 한글 파일들 유포 사례가 자주 발견되고 있다. 그러므로 한글과 컴퓨터에서 배포 중인 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

어도비(Adobe)에서는 8월 15일인 어제 어도비 플래쉬 플레이어(Adobe Flash Player)에 존재하는 취약점인 CVE-2012-1535를 제거하기 위한 보안 패치를 배포 중임을 보안 권고문 "APSB12-18 Security update available for Adobe Flash Player"를 통해 밝혔다.


해당 보안 권고문을 통해 어도비에서는 플래쉬 플레이어에 존재하는 CVE-2012-1535 취약점은 버전 11.3.300.270 이하 버전에 발생하며, 제한적인 타겟 공격(Targeted Attack)에 악용되었음을 같이 공개하였다.


ASEC에서는 추가적인 조사와 분석을 통해 해당 CVE-2012-1535 취약점을 악용한 타겟 공격은 마이크로소프트 워드(Microsoft Word)에 임베디드(Embedded) 된 워드 파일 형태로 유포되었으며, 유포 당시 "Running Mate.doc"와 "iPhone 5 Battery.doc" 라는 파일명이 사용된 것으로 파악된다.


이번 발견된 어도비 플래쉬 플레이어에 존재하는 CVE-2012-1535 취약점을 악용하는 악성코드는 아래와 같은 워드 파일 구조를 가지고 있으며, 파일 내부에는 XOR로 인코딩된 백도어 파일도 같이 포함되어 있다.



취약한 어도비 플래쉬 플레이어 버전을 사용하는 시스템에서 해당 취약한 워드 파일을 열게 되면 내부에 포함된 취약한 SWF 파일도 함께 실행이 되며, 힙 스프레이 오버플로우(Heap spray overflow)가 발생하게 된다. 


그리고 해당 워드 파일 내부에 같이 포함되어 있는 PE 파일을 taskman.dll (61,440 바이트)라는 명칭으로 다음의 경로에 생성 하게 된다.


C:\Documents and Settings\[사용자 계정명]\Application Data\taskman.dll


그리고 시스템에 존재하는 정상 rundll32.exe 파일을 이용하여 생성된 taskman.dll (61,440 바이트) 을 생성하게 된다.


생성된 taskman.dll (61,440 바이트)가 정상적으로 실행되면 미국에 위치한 특정 시스템으로 접속을 시도하나 분석 당시에는 정상적인 접속이 이루어지지 않았다.


정상적인 접속이 이루어지게 될 경우에는 하드웨어 및 운영체제 정보와 실행 중인 프로세스 리스트 등의 정보를 수집히는 백도어 기능을 수행하고 그 정보들을 전송하게 된다.


이번에 알려진 어도비 플래쉬 플레이어의 CVE-2012-1535 취약점을 악용하는 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


Dropper/Cve-2012-1535

Win-Trojan/Briba.61440

SWF/Cve-2012-1535


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/DOC.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit (6)


해당 CVE-2012-1535 취약점은 현재 발견된 취약한 플래쉬 플레이어 파일(.SWF)이 포함된 워드 파일에외에도 향후에는 어도비 리더(Adobe Reader)에 취약한 SWF 파일이 포함되거나 취약한 웹 사이트를 통해 SWF 파일 단독으로 유포될 가능성이 높다.


그러므로 어도비에서 현재  배포 중인 CVE-2012-1535  취약점을 제거 할 수 있는 보안 패치를 Adobe Flash Player Download Center를 통해 지금 즉시 업데이트 하여 다른 보안 위협에서 악용하는 것을 예방 하는 것이 중요 하다.


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

한국 시각으로 5월 4일 저녁 Symantec에서는 블로그 "Targeted Attacks Using Confusion (CVE-2012-0779)"을 통해 Adobe Flash Player에 존재하는 CVE-2012-0779 취약점을 악용한 타겟 공격(Targeted Attack)이 발생하였음을 공개하였다.


이와 관련해 Adobe에서도 보안 권고문 "Security update available for Adobe Flash Player"을 통해  Flash Player에 CVE-2012-0779 취약점이 존재하며, 해당 취약점을 제거하기 위한 보안 패치를 공개하였다.


이 번에 공개된 해당 CVE-2012-0779 취약점은 Adobe Flash Player 11.2.202.233와 그 이전 버전이 모두 영향을 받는 것으로 밝히고 있다.


Symantec에서는 이 번에 발생한 Targeted Attack은 전통적인 기법으로 이메일의 첨부 파일을 이용하여 진행 되었으며, 첨부 파일로는 취약한 Adobe Flash 파일을 호출할 수 있도록 되어 제작된 마이크로소프트 워드(Microsoft Word) 파일이 존재하였다.




ASEC에서는 해당 워드 파일들을 확보하여, 아래 이미지와 같이 워드 파일 내부의 1Table에 취약한 Adobe Flash 파일인 SWF을 호출할 수 있도록 제작 되어 있는 것을 확인 하였다.



이 번에 발견된 어도비 플래쉬의  CVE-2012-0779 취약점을 악용하는 악성코드들은 모두 V3 제품 군에서 다음과 같이 진단한다.


Dropper/Cve-2011-0611

Dropper/CVE-2012-0779

Win-Trojan/Vasport.57344

SWF/CVE-2012-0779

Win-Trojan/Exploit-SWF.Gen


앞서 언급한 바와 같이 Adobe에서는 해당 CVE-2012-0779 취약점을 제거 할 수 있는 보안 패치를 배포 중에 있다. 그러므로 Adobe Flash Player Download Center를 통해 지금 즉시 업데이트 하여 다른 보안 위협에서 악용하는 것을 예방 하는 것이 중요 하다.



저작자 표시
신고
Posted by 비회원
안철수연구소 ASEC에서 2012년 2월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.26을 발간하였다. 

 
이 번에 발간된 ASEC 리포트는 2012년 2월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.

1) 악성코드 이슈
 PC에 존재하는 모든 문서 파일을 탈취하는 악성코드
누군가 나를 지켜보고 있다? 웹캠으로 도촬하는 악성코드
가짜 KB국민은행 피싱 사이트 주의
스마트폰의 문자 메시지로 전달되는 단축 URL
특정 기관을 목표로 발송되는 발신인 불명의 이메일 주의
시리아 반정부군을 감시하기 위한 악성코드 유포
변형된 MS12-004 취약점 악용 스크립트 발견
MS11-073 워드 취약점을 이용하는 타깃 공격 발생
어도비 플래시 취약점 이용한 문서 파일 발견
wshtcpip.dll 파일을 변경하는 온라인게임핵 발견
윈도우 비스타, 윈도우 7을 대상으로 하는 온라인게임핵 악성코드 발견

2) 모바일 악성코드 이슈
안드로이드 애플리케이션에 포함된 윈도우 악성코드

3) 보안 이슈
국내 동영상 플레이어 프로그램의 취약점
아래아한글 스크립트 실행 취약

4) 악성코드 분석 특집
내가 설치한 앱이 악성코드라고?

 
안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 

ASEC 보안 위협 동향 리포트 2011 Vol.26 발간
저작자 표시
신고
Posted by 비회원
2011년 12월 20일 ASEC에서는 북한의 김정일 위원장의 사망을 악용한 애드웨어 유포를 알린지 얼마 되지 않아 해외 보안 업체인 트렌드 마이크로(Trend Micro)에서는 블로그 "Kim Jong Il Malicious Spam Found"를 통해 전자 메일의 첨부 파일로 취약점이 존재하는 전자 문서 파일이 유포 된 것을 공개하였다.

트렌드 마이크로에서 블로그를 통해 공개한 취약한 전자 문서 파일이 첨부된 전자 메일은 다음의 이미지와 동일한 형식을 가지고 있는 것으로 공개 하였다.

 

해당 전자 메일에 첨부된 어도비 아크로뱃 리더(Adobe Acrobat Reader) 파일은 CVE-2010-2883 취약점과 함께 아래 이미지처럼 파일 내부에는 2011년 4월에 발견된 CVE-2011-0611 취약점을 악용하는 어도비 플래쉬(Adobe Flash) 파일을 포함하고 있다.


해당 취약한 어도비 아크로뱃 리더 파일이 실행되면 아래 이미지와 같이 김정일 위원장의 사진과 함께 그의 일생과 관련한 내용들을 담고 있는 PDF 파일이 실행 된다. 


그러나 해당 파일은 취약점이 존재하지 않는 정상 파일이며 시스템 사용자 모르게 다음의 파일들을 시스템에 생성하고 실행하게 된다.

C:\Documents and Settings\Tester\Local Settings\Brief introduction of Kim Jong-il.pdf (45,572 바이트) 
C:\Documents and Settings\Tester\Local Settings\abc.scr (156,672 바이트)


생성된 파일 중  Brief introduction of Kim Jong-il.pdf(45,572 바이트)는 위 이미지와 동일한 정상 파일이며, 동반 생성된 abc.scr(156,672 바이트)가 악의적인 기능을 수행하게 된다.

생성된 abc.scr(156,672 바이트)는 다음의 파일을 다시 생성하게 된다.

C:\Documents and Settings\Tester\Local Settings\Application Data\GoogleUpdate.exe(91,136 바이트)


그리고 다음의 레지스트리 키 값을 생성하여 시스템이 재부팅 되어도 자동 실행 되도록 구성하게 된다.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
GoogleUpd = ""C:\Documents and Settings\[사용자 계정명]\Local Settings\Application Data\GoogleUpdate.exe""


abc.scr(156,672 바이트)에의해 생성된 GoogleUpdate.exe(91,136 바이트)는 감염된 시스템의 인터넷 접속 여부를 확인하기 위해 구글 웹 사이트로 접속을 수행하게 된다.

그 후 다음의 시스템들 중 하나로 역접속(Reverse Connection)을 수행하여 공격자가 지정한 명령들을 수행하게 된다.

173.***.206.***

173.***.207.***


GoogleUpdate.exe
(91,136 바이트)는 공격자의 명령에 따라 다음의 악의적인 기능들을 수행하게 된다.


실행 중 프로세스 확인 및 강제 종료
CMD Shall 명령 수행
파일 업로드 및 다운로드, 삭제


이 외에 트렌드 마이크로에서는 아래 이미지와 같이 마이크로소프트 워드(Microsoft Word)의 "Microsoft Security Bulletin MS10-087 - Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점(2423930)" 취약점을 악용해 유포된 악성코드도 존재하는 것으로 밝히고 있다.


이 번 김정일 위원장의 사망을 악용해 유포된 취약점이 존재하는 전자문서와 악성코드들은 모두 2011.12.21.01 이후 엔진 버전의 V3 제품군에서 다음과 같이 진단한다.

PDF/Cve-2010-2883
Dropper/Cve-2010-3333
SWF/Cve-2011-0611

Win-Trojan/Infostealer.156672

Win-Trojan/Infostealer.91136.B  
Win-Trojan/PcClinet.80384 
Win-Trojan/PcClinet.118784

저작자 표시
신고
Posted by 비회원
현지 시각 2011년 10월 18일 미국 보안 업체인 시만텍(Symantec)에서는 이란 원자력 발전소를 공격 대상으로한 스턱스넷(Stuxnet)의 변형인 Duqu 악성코드가 발견되었음 블로그 "W32.Duqu: The Precursor to the Next Stuxnet"를 통해 공개하였다.

그리고 Duqu에 대해 약 46 페이지의 분석 보고서 "W32.Duqu The precursor to the next Stuxnet" 를 공개하였다. 현재 해당 보고서는 현지 시각 2011년 11월 1일부로 1.3 버전으로 업데이트 되었다.

시만텍에서는 Duqu 악성코드를 분석하는 과정에서 2009년 발견되었던 스턱스넷 악성코드와 유사한 형태를 가지고 있으며, 동일 인물 또는 제작 그룹에 제작된 것으로 추정되고 있음을 밝히고 있다.

이번에 발견된 Duqu는 스턱스넷과 같이 산업 제어 시스템과 관련된 코드와 자체 전파 기능은 존재하지 않았다.  그러나 C&C(Command and Controal) 서버를 통해 원격 제어가 가능하며, 키로깅(Keylogging)을 통해 정보를 수집할 수 있는 기능이 존재한다. 그리고 시스템에 감염된지 36일이 지나면 자동 삭제하는 기능도 포함되어 있다.

최초에 배포된 분석 보고서에서는 Duqu의 감염 경로가 자세히 밝혀지지 않았으나 블로그 "Duqu: Status Updates Including Installer with Zero-Day Exploit Found"를 통해 아래 이미지와 같이 마이크로소프트 윈도우(Microsoft Windows)에 존재하는 알려지지 않은 제로 데이(Zero Day, 0-Day) 취약점을 악용한 것으로 밝혔다.


해당 제로 데이 취약점은 마이크로소프트 워드(Microsoft Word) 파일을 이용한 윈도우 커널(Windows Kernel) 관련 취약점으로 윈도우의 Win32k 트루타입 폰트 파싱 엔진(TrueType font parsing engine)에 존재하며 이로 인해 임의의 코드 실행이 가능하다.

현재 해당 취약점은 CVE-2011-3402로 마이크로소프트에서는 "Microsoft Security Advisory (2639658) Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege" 보안 권고문을 통해 자세하게 공개하였다.

그리고 추가적으로 마이크로소프트에서는 "Microsoft Security Advisory: Vulnerability in TrueType font parsing could allow elevation of privileges"를 통해 임시적으로 해당 취약점을 제거할 수 있는 Fix It 툴을 공개하였다.


현재 V3 제품군에서는 해당 Duqu 악성코드들을 다음의 진단명으로 진단하고 있다.

Win-Trojan/Duqu.6656
Win-Trojan/Duqu.68096
Win-Trojan/Duqu.24960.B 
Win-Trojan/Duqu.29568
Win-Trojan/Duqu.24960
Win-Trojan/Duqu
Win-Trojan/Agent.85504.HN 
Worm/Win32.Stuxnet 
 
해당 취약점은 보안 패치가 제공되지 않는 제로 데이 상태이며, 다른 악성코드나 보안 위협에서 해당 취약점을 악용할 가능성도 있음로 해당 Fix It을 통해 취약점을 제거하는 것이 중요하다.

그러나 해당 Fix It은 임시적인 방편임으로 향후 정식 보안 패치가 배포 될 경우에는 해당 보안 패치를 설치하는 것이 필요하다. 
저작자 표시
신고
Posted by 비회원