이번 악성코드의 유포방식은 10월에 알려진 변형들은 IE 제로데이 취약점을 사용하였다. 


2013년 10월9일 보안패치가 나온 것을 감안 하면 그 이전부터 유포가 진행되었을 가능성이 높으며, 취약점 패치를 하지 않은 PC에는 여전히 유포 가능성이 존재한다. 아울러, CDN 서비스 업체인 G사를 통해 서비스 운영 중인 웹 사이트가 악성코드 배포지 중 일부로 악용된 것으로 추정된다. 


Microsoft Security Bulletin MS13-080 - 긴급

Internet Explorer 누적 보안 업데이트 (2879017)


아래 그림은 IE 제로데이 취약점을 통해 감염이 이루어지는 과정을 나타낸다. 붉은색 블록으로 표시한 파일이 실제 핵심적인 기능을 수행하며, "악성코드 다운로드" 및 "관리자 페이지 계정정보 유출" 기능을 갖고 있다. 



위 그림에 존재하는 swf.jsguy2.html 파일을 iframe 태그로 로딩하는 기능을 가지고 있으며, guy2.html 은 다음의 2가지 기능을 가지고 있다. 


특정 국산 백신들에 대한 무력화 시도 

특정 사이트로부터 파일을 다운로드하고 실행


swf.js는 난독화가 되어 있으며, 이를 해제한 내용은 다음과 같다. 



guy2.html 에 존재하는 쉘코드는 Explorer.exe 프로세스에 코드를 인젝션 한 후 백신들을 무력화(삭제) 하기 위하여 레지스트리를 확인한다. 


백신 무력화에 성공한 이후,  아래 URL에서 파일을 다운받아 저장하고, 저장된 main001.gif 파일을 읽어서 첫 2바이트를 MZ 로 패치한 후 실행한다.  


http://***.***.***.***/mii/fird.gif

C:\DOCUME~1\(사용자계정명)\LOCALS~1\Temp\main001.gif


 * 쉘코드에 의한 백신 무력화 기능으로 인해, 기진단 샘플임에도 불구하고 백신이 무력화 된 상태에서 악성코드가 다운될 것으로 추정됨 

 * 단, V3Lite 3.0은 IP/URL 차단기능으로 인해 사전 차단이 가능함

Fird.gif 는 드롭퍼와 다운로더 기능을 가지고 있다. 생성되는 파일의 경로는 다음과 같다.

- c:\windows\system32\drivers\fironancosftccorpds.sys ( 또는 firanhncorpds.sys ) 

생성되는 드라이버 파일 fironancosftccorpds.sys 은 다음 백신들의 무력화를 시도 한다.

MpfSrv.exe

mcsysmon.exe

McNASvc.exe

Mcshield.exe

McProxy.exe

mcagent.exe

MsMpEng.exe

MpCmdRun.exe

msseces.exe

vmacthlp.exe

VMUpgradeHelper.exe

RSUpdSrv.rse

RSAgent.rse

RSRTSrv.rse

vcrmon.exe

SpiderNT.exe

vrmonnt.exe

vrmonsvc.exe

HFACSvc.exe

vrptsvc.exe

vrscan.exe

hpcsvc.exe

vrfwsvc.exe

hUpSvc.exe

hVrCommandSvc.exe

hVrMalSvc.exe

hVrTray.exe

AYRTSrv.exe

AYUpdSrv.exe

AYAgent.exe

AYRTSrv.aye

AYServiceNT.aye

AYUpdSrv.aye

ALYac.aye

AYUpdate.aye

AYAgent.aye

sgsvc.exe

Nsavsvc.npc

Nsvmon.npc

NVCAgent.npc

Nsavsvc.exe

Nsvmon.exe

NVCAgent.exe

NVCUpgrader.exe

NaverAgent.exe

NVCUpgrader.npc

avp.exe

AvastSvc.exe

avsx.exe

AvastUI.exe

ashUpd.exe

V3IMPro.exe

V3P3AT.exe

MonSysNT.exe

MonSvcNT.exe

v3impro.exe

v3p3at.exe

monsysnt.exe

monsvcnt.exe

AhnSD.exe

AhnSDsv.exe

ASDCr.exe

ASDCli.exe

ASDUp.exe

V3LNetdn.exe

V3LiteExp.exe

ASDSvc.exe

V3Lite.exe

V3LSvc.exe

V3LTray.exe

V3Light.exe

V3Medic.exe

V3LRun.exe

MUpdate2.exe

 

 


그리고 다음 경로에서 파일을 다운로드 및 실행한다.

- hxxp://***.***.***.***/mii/firw.gif

Firw.gif 는 드롭퍼 기능을 갖는다. 백신들을 무력화 하고 특정 사이트들의 관리자 계정과 온라인 게임들의 사용자 계정을 훔쳐낸다. 

그리고 특정 사이트들로부터 랜덤.jpg 파일을 무한히 요청하는 시도를 한다. 해당 악성코드에 의해 드롭되는 파일은 다음 경로에 생성된다.

- c:\windows\olesau32.dll
c:\windows\svchost.exe
c:\windows\system32\drivers\ahnurla.sys

olesau32.dll은 크게 다음의 3가지 주요 기능을 가지고 있다. 

랜덤명.jpg" 파일을 특정 사이트들에게 무한 요청 시도를 함으로써 DDoS를 유발 (도메인 리스트 A 참고)

관리자 계정 유출 (도메인 리스트 B참고, 최근에 발견된 변형에서 이 기능은 제외됨)

온라인 게임 사용자 계정 유출

현재 국내 무료 백신들을 테스트한 결과 olesau32.dll을 진단하지 못하고 있음

Svchost.exe 는 랜덤명.jpg 파일을 특정 사이트들에게 무한 요청 시도를 함으로써 DDoS를 유발하는 기능만을 (도메인 리스트 A 참고) 가지고 있다.  



상기 도메인 리스트(A)은 실제 파일이 존재하지 않을 경우에 웹 서버에 부하를 발생시키는 DDoS를 유발하며, 변종 마다 전체 도메인에 대한 요청 주기가 차이가 날 것으로 추정된다. 


그러나, 해당 파일이 존재할 경우 추가 악성코드 유포로 악용될 수 있으며, 실제 아래 URL의 경우, 지난 7월에 악성코드 배포 이력을 가지고 있는 것을 확인하였다. 



루트킷 기능을 가지고 있으며, ahnurla.sysolesau32.dll을 은폐한다. 또한, 다음 백신 관련 프로세스들에 대해 무력화를 시도한다. 

RSUpdSrv.rse

RSAgent.rse

RSRTSrv.rse

vcrmon.exe

SpiderNT.exe

vrmonnt.exe

vrmonsvc.exe

HFACSvc.exe

vrptsvc.exe

vrscan.exe

hpcsvc.exe

vrfwsvc.exe

hUpSvc.exe

hVrCommandSvc.exe

hVrMalSvc.exe

hVrTray.exe

AvastSvc.exe

avsx.exe

AvastUI.exe

ashUpd.exe

avp.exe

V3IMPro.exe

V3P3AT.exe

MonSysNT.exe

MonSvcNT.exe

v3impro.exe

v3p3at.exe

monsysnt.exe

monsvcnt.exe

AhnSD.exe

AhnSDsv.exe

ASDCr.exe

ASDCli.exe

ASDUp.exe

V3LNetdn.exe

V3LiteExp.exe

ASDSvc.exe

V3LSvc.exe

V3LTray.exe

V3Light.exe

V3Medic.exe

V3LRun.exe

MUpdate2.exe

AYRTSrv.exe

AYUpdSrv.exe

AYAgent.exe

AYRTSrv.aye

AYServiceNT.aye

AYAgent.aye

AYUpdSrv.aye

ALYac.aye

AYUpdate.aye

Nsavsvc.npc

Nsvmon.npc

NVCAgent.npc

Nsavsvc.exe

Nsvmon.exe

NVCAgent.exe

NVCUpgrader.exe

NaverAgent.exe

NVCUpgrader.npc

 

 

 


"관리자 계정 정보 노린 악성코드 출현!" 이라는 기사에서 다뤄진 다수의 악성코드 분석 결과로 미루어 볼때 국내 온라인 게임 사용자 계정정보 수집 기능과 변형에 따라서 특정 URL 접근시, 계정 ID, PW 를 유출한다. 

도메인 리스트 (A) 에 있는 자사의 웹 페이지들(www.ahnlab.com, m.ahnlab.com, www.v3lite.com)에 대해 10월 28일부터 10월 31일까지 4일 동안 공격을 시도한 IP를 조사한 결과, 중복되지 않는 IP 47만대로부터 공격 시도가 확인 되었다. 

또한,  일자별 공격 IP를 보면 10월 29일 30만대로 급증한 후에 계속 그 수준을 유지하고 있다. 따라서, 해당 악성코드가 감염된 PC들이 상당히 많이 존재하고 있음을 알 수 있다. 


다음은 안랩 대상 공격 IP들에 대한 국가별 분포도이며, 대부분이 국내에 존재하고 있음을 확인할 수 있다. 





IE 취약점을 이용해 배포되고 있는 악성코드는 백신 무력화와 은폐 기능을 가지고 있으며 일부 파일에 대해서는 미진단 상태로 확인되었다. ( 단, V3Lite 3.0은 사전 차단 가능 확인 )


따라서, 안랩 웹 사이트를 대상으로 공격을 시도하고 있는 IP들은 대부분 백신이 무력화 되어 있거나, 미진단 상태의 악성코드에 감염된 것으로 추정된다. ( 구 버전 V3Lite 2.0 사용자, 타사 백신 사용자, 백신 미사용자 )


해당 악성코드는 존재하지 않는 파일에 대한 무한 요청으로 인해 DDoS를 유발하며, 국내 온라인 게임 사용자 계정 정보 수집과 특정 URL 접근 시 계정 정보를 유출하는 기능도 가지고 있다. 특히, 특정 URL의 경우 기업 내 관리자들이 접근하는 주소로 판단된다. 


현재 악성코드의 기능과 확산 상태로 볼 때, 계정 정보 유출, 기업 내부 장악, DDoS 등 다양한 목적으로 악용이 가능하며, 추가 피해를 차단하기 위해서는 대응책 마련이 매우 시급한 상태이다. 


악성코드의 기능과 확산 정보로 볼 때, 단순한 엔진 업데이트를 통한 치료로는 한계가 존재하기 때문에 전용백신을 통한 치료가 필요한 상황이다. 


IE 취약점을 이용해 배포되고 있는 만큼, IE 취약점 패치에 대한 적극적인 권고가 필요하다.


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

- 어제(10월 24일) 오후부터 발생, 악성코드 확산 범위 큰 것으로 예상

- 포털, 언론사, 게임사를 포함한 13개 기업 16개 웹사이트  대상

- 안랩 V3 엔진 긴급 업데이트 조치, 사용자는 V3 업데이트 후 검사 필수

 

안랩(대표 김홍선, www.ahnlab.com)은 24일 오후 16시 경부터 국내 16개 웹사이트를 대상으로 디도스(DDoS; Distributed Denial of Service, 분산 서비스 거부) 공격이 발생하고 있다고 발표했다.

 

안랩은 이번에 발생한 디도스 공격이 지난 7월 발견된 악성코드와 최근 발견된 변종 악성코드에 의해 발생한 것으로 보고 있다.

 

안랩 확인결과 25일 현재 디도스 유발 악성코드에 감염이 확인된 PC 대수만 1만대를 넘어 해당 악성코드가 많이 확산 된 것으로 판단(진단된 좀비PC 대수로 볼 때)하고 있다.

 

오늘(10월 25일 오전 09시 현재) 공격 대상은 다음(www.daum.net), 네이트(www.nate.com), MSN(www.msn.com), 티스토리(www.tistory.com), 넥슨(www.nexon.com, user.nexon.com), 한게임(www.hangame.com), 넷마블(www.netmarble.net), CBS(www.cbs.co.kr) 중앙일보(www.joinsmsn.com, www.joins.com),  안랩(www.v3lite.com, m.ahnlab.com) 등 13개 기업 16개 웹사이트이다.

 

안랩 V3는 지난 7월부터 해당 악성코드를 기 진단하고 있었다. 안랩은 당시 PC 사용자가 백신을 설치 하지 않았거나, 업데이트 하지 않는 등 적절한 조치를 취하지 않았을 경우 해당 PC가 감염되어 이번 공격에 이용된 것으로 보고 있다.

 

특히, 안랩은 이번 디도스 공격이 지난 7월의 미치료 좀비PC(백신 미설치나 당시 최신 업데이트를 안 해 감염된 좀비 PC)와, 최근 보안이 취약한 사이트 등에서 배포된 변종 악성코드(안랩 엔진 반영)에 감염된 좀비PC로 인해 발생한 것이므로 백신 검사를 통해 이 악성코드를 삭제하는 것이 근본적인 해결책이라고 밝혔다. 또한, 백신의 실시간 감시를 켜는 것도 필요하다고 말했다.

 

안랩은 현재 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 가동하는 한편, 변종 악성코드를 긴급히 엔진에 반영해 V3는 현재 해당 악성코드를 모두 진단하고 있다. 안랩은 추가 분석을 통해 악성코드에 대한 정보를 지속적으로 제공할 예정이다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어 존재하는 취약점들을 악용하여 악성코드 감염을 시도한 공격 사례들에 대해 여러 차례 공유 한 바가 있다. 특히 최근 1달 사이만을 살펴보더라도 아래와 같이 다수의 공격 사례들이 있어, 외부에서 유입되는 이메일에 첨부된 한글 파일을 열게 될 경우에는 각별한 주의가 필요하다.



2012년 10월 24일, 다시 한글 소프트웨어에 존재하는 알려진 취약점을 악용하는 취약한 한글 파일 2건이 발견되었다. 이 번에 발견된 취약한 한글 파일 2건은 국내 유명 포털 웹 사이트에서 제공하는 메일 서비스의 이메일 주소 이용하고 있으며, 취약한 한글 파일들이 이메일의 첨부 파일로 존재 한다.


첫 번째 메일은 아래 이미지와 같이 "핵심공약"이라는 메일 제목에 "핵심공약.hwp" 라는 한글 파일이 첨부 파일로 존재하는 형태이다.



그리고 두 번째 메일은 아래 이미지와 같이 "현안대응"이라는 메일 제목에 "현안대응.hwp"이라는 한글 파일이 첨부 파일로 존재한다.



첨부 되어 있는 "핵심공약.hwp (164,629 바이트)"을 열게 되면 아래 이미지와 같이 대통령 선거의 공약들과 관련된 내용이 나타나게 된다.



그리고 두 번째 "현안대응.hwp (168,725 바이트)"를 열게 되면 아래 이미지와 같이 한국의 정치적인 상황들과 관련된 내용이 나타나게 된다.



이 번에 발견된 해당 파일들은 일반적인 OLE 포맷을 따르지 않고 아래 이미지와 같이 한글  Version 2 포맷이라는 별도의 파일 포맷 형식으로 되어 있다.



그리고 해당 취약한 한글 파일들 내부에는 아래 이미지와 같이 별도의 PE 파일이 임베디드(Embedded) 되어 있는 형태를 가지고 있다.



해당 취약한 한글 파일들을 열게 되면 모두 공통적으로 시스템 사용자 모르게 백그라운드로 "svc.exe (126,976 바이트)" 파일을 생성하게 된다.


C:\Documents and Settings\Tester\Local Settings\Temp\svc.exe


생성된 svc.exe는 다시 DLL 형태의 파일인 "wdmaud.drv (78,336 바이트)" 를 다음 경로에 생성하게 된다.


C:\WINDOWS\wdmaud.drv


생성된 wdmaud.drv 는 윈도우 시스템 프로세스인 explorer.exe와 winlogin.exe의 스레드(Thread)로 인젝션이 성공하게 되면 감염된 시스템에서 다음의 악의적인 기능들을 수행하게 된다.


파일 다운로드 및 업로드

CMD.EXE를 이용한 콘솔 명령 실행

실행 중인 프로세스 리스트 수집

감염된 시스템 컴퓨터명 수집

감염된 시스템 IP와 프록시(Proxy) 서버 주소 수집

윈도우 사용자 계정 명 수집

감염된 시스템의 윈도우 버전과 언어 정보 수집


감염된 시스템에서 수집한 정보들은 한국에 위치한 특정 시스템으로 HTTP를 이용해 전송하게 된다.


이 번에 발견된 대통령 선거 관련 내용을 담고 있는 취약한 한글 파일들은 모두 V3 제품 군에서 다음과 같이 진단한다.


HWP/Exploit

Trojan/Win32.Npkon

Trojan/Win32.Dllbot


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-SEH


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Suspicious/MDP.Document

Dropper/MDP.Exploit

Suspicious/ MDP.Exploit

Suspicious/MDP.Behavior


현재 한글과 컴퓨터에서는 해당 취약한 한글 파일들이 악용하는 취약점에 대한 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안랩 ASEC에서 2012년 4월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.28을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 4월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

악성 DOC 문서를 첨부한 스피어 피싱 메일

북한 광명성 3호 발사 및 핵 실험을 주제로 한 악성코드

4.11 총선 이슈에 발견된 악성코드

런던 올림픽 개최를 이용한 악성코드

핵 안보 정상회담 PDF 문서로 위장한 악성코드

사회공학 기법을 이용하여 유포되는 악성 HWP 파일

국내 주요 금융기관 피싱 사이트 다수 발견

페이스북을 통해 유포되는 보안 제품 무력화 악성코드

보안 제품의 업데이트를 방해하는 Host 파일 변경 악성코드 주의

보안 제품 동작을 방해하는 온라인 게임핵 변종

Mac OS를 대상으로 하는 보안 위협의 증가

윈도우, Mac OS를 동시에 감염시키는 악성코드

자바, MS 오피스 취약점을 이용하여 유포되는 Mac OS X 악성코드

티베트 NGO를 타깃으로 하는 Mac 악성코드

낚시 포털 사이트를 통해 유포되는 온라인게임 계정 탈취 악성코드

스턱스넷 변형으로 알려진 듀큐 악성코드의 변형

스파이아이 공격 대상 기업들의 업종과 국가 분석


2) 모바일 악성코드 이슈

Another fake Angry birds


3) 악성코드 분석 특집

불필요한 옵션 사용으로 발생할 수 있는 스마트폰 보안 위협과 대응


4) 보안 이슈

윈도우 공용 컨트롤 취약점(CVE-2012-0158)을 악용하는 문서


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.28 발간


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원