보통 APT (Advanced Persistent Threat)로 분류되는 위협은 지속적인 공격을 특징으로 꼽는다. 하지만, 공격자가 지속적으로 매번 새로운 공격 방식을 사용하는 경우는 드물다. 공격에 이용하는 악성코드 역시 보통 자신들의 악성코드를 조금씩 바꿔 공격에 이용한다. 


이 글에서 언급한 Backdoor/Win32.Etso 변형도 예외가 아니다. 


2014년 9월 표적공격(targeted attack)으로 추정되는 백도어 샘플을 분석하던 중 유사 악성코드를 이용한 공격이 2011년부터 진행되었음을 확인했다.   


2011년 MS 워드 문서 취약점 (CVE-2010-3333)을 이용한 공격이 있었다.  취약점이 존재하는 MS 워드로 해당 RTF 파일을 열어보면 중국어를 포함한 문서 내용이 열린다.





 



취약점을 가진 워드에서 변조된 문서를 열면 dll 파일이 떨어지고 실행된 후 ~KB8467501.tmp 파일에 최종 감염된 백도어 코드를 쓴다. 


 



시스템에는 최종적으로 KB01b80cc5.dll 등의 이름을 가진 백도어 파일에 감염된다.




국내에서도 2011년 봄 동일한 CVE-2010-3333 취약점을 이용한 공격이 존재했었다. 


 



국내에 발견된 변형은 내부에 RAR로 압축된 파일을 포함하고 있었다.



관련 악성코드는 특징적으로 익스포트(Export) 함수에 SafeSvcInstall, SafeSvcMain, SafeSvcUninstall가 존재한다. 의심스러운 파일 중 해당 익스포트 함수를 가지고 있다면 분석을 위해 보안 업체에 신고하자.  





 


백도어 프로그램으로 원격 제어, 키로깅 등의 기능을 가지고 있다.


ASD(AhnLab Smart Defense)에 수집된 파일 중 동일 익스포트 이름을 사용하고 있는 파일은 2010년 부터 약 200 개가 수집되었다. 이들 파일의 관련성은 추가로 파악해봐야 알 수 있지만 동일 공격자 혹은 동일 그룹의 소행이라면 적어도 2010년 이후 4년 동안 국내외를 대상으로 꾸준한 공격 시도 가능성이 높다.


V3 제품군에서는 다음과 같은 진단된다.


Backdoor/Win32.Etso

Dropper/Exploit-cve-2010-3333

Trojan/Win32.Etso

Dropper/Agent.145096

Rtf/Exploit

 

안랩에서는 관련 공격을 계속 추적할 예정이다.


[참고자료]


- http://cryptam.com/docsearch.php?sha256=52c5131ad098721be54d9d8a2f6ab3f07375239339b44d26096d80f1458e3aa2


- http://cryptam.com/docsearch.php?sha256=11f60c5fee574c21ffdde162c076a81dc01a2f92846862bee2b3a405ec3486a5



저작자 표시
신고
Posted by mstoned7

- 악성코드와 공격기법의 고도화, 국가간 사이버보안 위협 증대, 침투경로의 다양화 등 사이버 공격이 더욱 교묘해지고 심화될 것으로 예측


안랩[대표 권치중, www.ahnlab.com]은 ‘2014년 예상 7대 보안 위협 트렌드’를 발표했다. 이에 따르면 2014년 예상되는 주요 이슈는 ►APT방식의 악성코드 고도화와 표적[target] 확대 ► 전자금융사기와 사이버범죄의 산업화 가속 ►악성코드 유포 방법의 다양화 및 고도화 지속 ►윈도XP 지원 종료에 따른 보안 위협 증가 ►특정 표적을 노린 소규모 모바일 악성코드 ►사이버 보안에 대한 국가적 인식 변화 ►펌웨어 업데이트에 악성코드 포함 시도 증가 등이다.

 

1] APT방식의 악성코드 고도화와 표적[target] 확대

2013년까지 기업이나 기관 등 특정 표적만을 노려 고도화된 악성코드를 이용해 정보유출이나 시스템 파괴를 노린 APT[Advanced Persistent Threat, 지능형 지속 공격] 공격이 큰 문제로 등장했다. 2014년에는 APT와 같은 지능형 공격의 표적이 확대되어, 일반 PC사용자를 노린 악성코드도 기존 APT 공격과 구분이 되지 않을 정도로 고도화될 것으로 예상된다. 이와 함께, 게임머니 탈취하기 위한 온라인 게임핵[OnlineGameHack] 부류와 금융정보를 탈취하기 위한 금융 악성코드 부류의 기능이 구분되지 않을 정도로 유사해져 가는 것, 혹은 APT공격과 제로데이 취약점을 노리는 워터링홀[보충설명 참조] 공격의 구별이 없어지는 등 악성코드 간의 기능이 융합될 것으로 예상된다. 특히 금전적 이익을 위해 무차별적인 악성코드 유포를 통해 비트코인 채굴을 시도하는 사례가 국내에도 등장할 것이다.

[보충자료] 워터링 홀[Watering hole] 공격: 알려지지 않은 취약점을 활용해 악성코드를 유포하는 방법 중 하나로, 악성코드를 특정 웹사이트에 심어두고 사용자가 해당 사이트에 접속하면 악성코드가 PC로 배포되는 형태의 공격 기법

 

2] 전자금융사기와 사이버범죄의 산업화 가속

2013년 악성코드를 이용한 전자금융사기 피해사례들을 보면 피싱, 파밍, 보이스 피싱, 스미싱, 메모리 해킹 등 다양한 수법들이 사용되었다. 이렇듯 매년 사용자의 금융정보와 예금을 탈취하기 위해서 악성코드에 사용한 기술들이 점차 정교화, 고도화되고 있다. 2014년에도 악성코드 제작자들은 응용 프로그램 취약점, 정상 프로그램 변조, USB와 같은 외부 저장 매체 접근 등 다양한 방법을 통해서 악성코드 유포를 시도할 것을 보인다. 또한, 지금의 인터넷뱅킹과 같은 온라인상에서 돈을 취급하는 특정 금융 서비스를 대상으로 하는 공격이 증가할 것으로 예상된다. 따라서 금전을 노린 사이버 범죄의 산업화가 가속화될 것이다.

 

3] 악성코드 유포 방법의 다양화 및 고도화 지속

2014년에는 악성코드 유포 방법이 더 다양해지고 고도화될 것으로 예상된다. 지금까지는 불특정 다수에게 악성코드를 대량으로 유포하고 목적에 따라 변종을 유포하는 방식이 많았다. 2014년에는 기존의 방식 외에 손쉽게 악성코드를 대량으로 유포할 수 있는 새로운 형태의 유포 방법이 등장할 가능성이 높다. 예를 들어, 다수 사용자가 접속하는 CDN[Content Delivery Network, 컨텐츠 전달 네트워크]이나 도메인 관리업체, ISP[Internet Service Provider, 인터넷 서비스 제공자]업체를 통해 다수 악성코드를 배포하는 공격방식이 증가할 수 있다. 따라서 2014년에는 인터넷 서비스 관리자들의 주의가 필요할 것으로 보인다.

 

4] 윈도XP 지원 종료에 따른 보안 위협 증가

2014년 4월 8일, 윈도XP에 대한 모든 지원이 종료되며, 이후 발견된 취약점에 대한 보안 업데이트도 더는 제공되지 않는다. 따라서 지원 종료 이후 보안 위협에 대한 보호는 백신, 방화벽 등 PC용 보안 솔루션에 전적으로 의존할 수 밖에 없다. 또한, 현재 윈도XP는 인터넷 익스플로러[IE] 9 이상 버전을 지원하지 않고, 악성코드 감염에 취약한 IE 6~8 버전이 주로 사용되고 있어 보안위협에 노출될 가능성이 높다. 윈도우 XP사용자는 윈도7 또는 8 등으로 업그레이드하는 것이 필요하다.

 

5] 특정 표적을 노린 소규모 모바일 악성코드

2014년에는 모바일 악성코드를 활용해 특정 대상을 감시하거나 정보를 유출하는 소규모 모바일 악성코드가 등장할 가능성이 높아질 것으로 예상된다. 2013년에 사회적 문제로 떠오른 다양한 스미싱 악성코드는 대량 유포를 목적으로 했기 때문에 발견이 빠른 측면이 있었다. 하지만 만약 악성코드 제작자가 악성코드를 불특정 다수에 유포하지 않고, 특정 기업 내부 기밀유출이나 감시를 목적으로 소량만 유포한다면 발견이 어려워질 수 있다. 이런 점을 노린 ‘다품종 소량’ 스파이앱이 등장할 수 있다.

 

6] 사이버 보안에 대한 국가적 인식 변화

2013년 미국 국가안보국[NSA]의 광범위한 정보수집을 폭로하는 문건과 특정 국가가 미국을 거점으로 하는 기업과 최소 141개 기관의 데이터 유출을 시도하는 등 다양한 국가간 정보수집 사건이 발생했다. 국가를 대상으로 하는 수 많은 정보 수집 전쟁의 실체가 드러난 것처럼, 2014년에는 이러한 국가 간 사이버 전쟁이 더욱 정교화 되고 가속화 될 것으로 예상된다. 이에 따라 사이버 공격과 데이터 유출의 피해를 줄이기 위한 암호화와 보안기술 역시 요구될 것으로 보인다.

 

7] 펌웨어 업데이트에 악성코드 포함 시도 증가

펌웨어는 기본적으로 소프트웨어지만 하드웨어적인 요소도 포함되어 있다. 즉, 하드웨어에 내장되어 기본 동작을 관리하는 프로그램이다. 2013년 4월에 펌웨어의 일종인 바이오스[BIOS]를 만드는 한 업체의 소스코드 유출이 있었고, 10월에는 특정 회사의 제품 속 펌웨어에 백도어가 포함된 것이 확인되었다. 러시아에 수출된 중국산 가전제품에 무선 인터넷에 접속해 악의적인 기능을 할 수 있는 칩이 포함되어있다는 일부 외신 보도도 있었다. 국가 간 사이버 위협이 현실화되는 환경에서 하드웨어나 펌웨어 등에 악의적인 기능을 수행하는 코드를 포함하는 공격이 시도될 것으로 예상된다.

 

안랩 시큐리티대응센터 이호웅 센터장은 "사이버공격은 점점 지능화, 고도화되며 사용자를 위협하고 있다. 2014년에 예상되는 보안위협의 큰 흐름은 악성코드와 공격기법의 고도화, 국가간 사이버보안 위협 증대, 침투경로의 다양화로 정리할 수 있다. 개인과 기관, 기업은 충분한 보안의식을 가지고 이에 대비해야 한다”고 말했다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

2013년 9월 12일 새벽 러시아 보안 업체인 캐스퍼스키(Kaspersky)에서는 해당 업체 블로그 "The “Kimsuky” Operation: A North Korean APT?"를 통해 한국을 대상으로 한 고도의 APT(Advanced Persistent Threat) 공격이 발견되었음을 공개하였다.


해당 블로그에서는 총 31개의 악성코드 MD5 해쉬(Hash) 값을 공개하였으며, 공격자는 불가리아의 무료 이메일 서버스인 mail.bg 를 이용해 감염된 시스템에서 탈취한 데이터를 보관하고 있다고 밝히고 있다.


ASEC에서는 해당 블로그에서 공개한 총 31개의 악성코드에 대해 2013년 6월부터 발견되고 있음을 파악하고 다양한 방안으로 대응을 진행 중에 있다.


아래 그래프는 이번에 캐스퍼스키에서 명명한 The “Kimsuky” Operation에서 공개된 31개의 악성코드들을 ASD(AhnLab Smart Defense)의 데이터 베이스에 다년간 축적된 데이터를 이용해 발견된 시기를 년도와 월별로 정리한 내역이다.



이번 한국을 대상으로한 The “Kimsuky” Operation로 명명된 APT 공격에 사용된 악성코드는 2009년 3월 최초로 발견되었으며, 4년 동안 동일한 형태의 다른 변형들이 발견되지 않았다. 그러나 2013년 6월 초를 시작으로 6월 한 달 동안 총 10개의 변형들이 발견되었으며, 2013년 9월 현재까지 지속적으로 변형들이 발견되었다.


The “Kimsuky” Operation에 사용된 악성코드들 모두 기존 한국에서 지속적으로 발견되던 취약한 한글 파일(.HWP)을 이용해 감염을 유도하는 기법으로 유포 되었다.


취약한 한글 파일들은 한국 내 정부 기관과 관공서를 대상으로 APT 공격에서 특징적으로 발견되는 이메일에 취약한 한글 파일을 첨부하여 공격 대상이 되는 내부 직원들에게 전달하는 스피어 피싱(Spear Phishing) 형태의 공격 기법이 사용되었다.


이러한 취약한 한글 파일들은 2012년 10월에 발견된 아래 이미지와 같이 스피어 피싱(Spear Phishing) 형태의 공격 기법으로 공격 대상이 되는 기관의 내부 직원들에게 전달 되었다.




현재까지 한국에서 발견된 스피어 피싱(Spear Phishing) 이메일에 첨부된 취약한 한글 파일은 크게 다음과 같은 3가지 취약점을 지속적으로 사용하고 있다. 


HWPTAG_PARA_HEADER 레코드에서 취약점 발생

HWPTAG_PARA_TEXT 레코드에서 취약점을 발생

HWPTAG_SHAPE_COMPONENT_TEXTART 레코드에서 취약점 발생


그러나 앞서 언급한 주요 3가지 취약점 이외에도 새로운 제로데이(Zero Day) 취약점들이 지속적으로 발견되고 있음으로 각별한 주의가 필요하다.


생성되는 악성코드 역시 가장 최근인 9월 초에 발견된 취약한 한글 파일의 경우, 보안 패치가 설치 되지 않은 취약한 버전의 아래 한글 소프트웨어를 사용하는 시스템에서 열어보게 될 경우 다음과 같은 악성코드들이 생성된다.


- C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\core.dll 

- C:\WINDOWS\system32\olethk64.dll

- C:\WINDOWS\system32\spondge.dll

- C:\WINDOWS\system32\zipfd.icc


그리고, 감염된 시스템에서 탈취한 데이터를 아래 무료 이메일 서비스를 사용하는 메일 주소로 전송하게 된다.


- zmail.zoho.com

- accounts.zoho.com


ASEC에서는 탈취한 데이터가 전송되는 이메일 주소의 메일 주소를 확인 하게 되면 아래 이미지와 동일한 초기 화면을 볼 수 있다. 그리고 한국에서 많이 사용되는 메일 서비스 계정을 이용해 ID가 등록되어 있는 것을 확인 할 수 있다.



그리고 해당 이메일 주소로 접속 한 시스템 이력을 확인 해보게 되면, 해당 이메일 주소를 사용한 공격자는 2013년 8월 28일 마지막으로 접속을 한 것이 알 수 있다. 9월 11일과 12일 접속한 IP는 ASEC에서 분석을 위한 목적으로 접속을 한 이력이다.



이와 함께 이메일을 수신한 이력을 확인 해보면, 아래 이미지와 같이 악성코드에 감염된 시스템에서 탈취 및 키로깅(Keylogging) 된 데이터가 암호화 되어 이메일의 첨부 파일로 보관 중인 것을 확인 할 수 잇다.


그리고 해당 메일 계정의 휴지통(Trash)에 존재하는 이메일의 첨부 파일에는 향휴 유포를 목적으로 추정되는 새로운 악성코드 변형이 XOR로 인코딩 되어 kkc.txt (77,824 바이트)라는 파일명으로 보관 중에 있다.



이번에 공개된 악성코드들 중 윈도우 레지스트리(Windows Registry)를 조작하여, V3의 개인용 방화벽(Personal Firewall)을 무력화하고자 하는 사례가 존재하였다.


그러나 최신 버전의 엔진과 패치를 모두 적용한 V3 제품 군의 경우에는 아래 이미지와 같이 "자체 보호" 기능으로 인해 개인용 방화벽이 무력화 되지 않는다.


 


이 번 캐스퍼스키에서 공개한 The “Kimsuky” Operation 으로 명명된 APT 공격에 사용된 악성코드들 가진 취약한 한글 파일과 관련 악성코드들은 모두 V3 제품 군에서 다음과 같이 진단한다.

Trojan/Win32.XwDoor

이 외에 지속적으로 발견되는 취약점을 악용하는 취약한 한글 파일들과 관련 악성코드들은 모두 V3 제품 군에서 다음과 같이 진단한다.

HWP/Exploit
Trojan/Win32.Backdoor
Trojan/Win32.Npkon
Trojan/Win32.Dllbot

취약점을 악용하는 취약한 한글 파일들은 APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher, 미국 제품명 MDS(Malware Defense System)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지 가능하다.

Exploit/HWP.AccessViolation-DE
Exploit/HWP.AccessViolation-SEH

V3 인터넷 시큐리티(Internet Security) 9.0 에 포함된 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.

Dropper/MDP.Exploit
Suspicious/MDP.Document
Suspicious/ MDP.Exploit
Suspicious/MDP.Behavior

취약점을 악용하는 취약한 한글 파일이 첨부된 스피어 피싱(Spear Phishing) 형태의 공격 기법이 지속적으로 발생하고 있다. 

그러므로, 사용하고 있는 아래아 한글 소프트웨어의 보안 패치를 모두 설치하고, 조직 외부 인물이 발송한 이메일에 첨부되어 있는 한글 파일을 열때는 각별한 주의가 필요하다.


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

- 안랩 MDS, 94.7 퍼센트의 정보유출 방지 및 진단율을 기록


글로벌 정보보안 기업인 안랩[대표 김홍선, www.ahnlab.com]의 APT대응 전문 솔루션 ‘안랩 MDS [AhnLab Malware Defense System, 국내제품명 트러스와처]’가 권위있는 글로벌 독립 보안테스트 기관인 NSS Labs[www.nsslabs.com,이하 NSS]가 7월에 실시한 ‘정보유출 진단 제품 분석[Breach Detection System Product Analysis]’테스트에서 높은 점수를 획득했다.

 

최근 몇 개월 간, NSS는 미국 텍사스에 위치한 자사 연구소에서 APT성 공격으로 인한 정보유출 대응에 대한 심도있는 테스트를 실시했다. 이번 테스트는 인터넷 및 이메일로 전파되는 악성코드, 취약점, 보안제품 우회 악성코드 및 전체적인 정보유출 진단 및 치료에 대한 항목으로 실시되었다.

 

안랩MDS는 이번 장기간 테스트에서 94.7 퍼센트의 정보유출 방지 및 진단율을 기록해 높은 점수를 획득했다. 안랩 MDS는 신속한 악성코드 진단과 광범위한 전사 시스템 보호, 자동 치료 기능을 제공한다. 특히, 유일한 전용 하드웨어 장비와 분석 소프트웨어 융합제품으로, 기업 및 기관을 노리는 APT형 공격과 제로데이[보충자료 참고]공격에 대한 강력한 방어기능을 제공한다.

 

안랩 김홍선 대표는 “NSS는 글로벌 독립 보안 제품 및 성능 테스트 전문기관이다. 이번 테스트는 안랩의 세계 수준의 보안 기술력, 손쉬운 사용, APT방식의 공격을 비롯한 진화한 악성코드 방어 능력을 가지고 있음을 인정받은 것이다. 특히, 대규모 장비나 별도 소프트웨어 라이선스가 필요한 다른 벤더와는 달리, 안랩 MDS는 단일 구성으로 효과적인 전사보안 및 통합관리가 가능하다. 국내 벤더 중 유일하게 받은 이번 테스트 결과를 바탕으로, 해외 APT 관련 시장 공략을 가속화 할 것이다”라고 말했다.

 

한편,안랩은 7월 27일에서 8월 1일[현지시간]까지 미국 라스베가스에서 열리는 글로벌 보안 컨퍼런스 ‘블랙햇[Black hat] 2013에 참가해 안랩 MDS를 소개했다.

 

<보충자료>

*제로데이 취약점

특정 소프트웨어 제작사에서 패치가 아직 나오지 않은 보안 취약점. 이 시점에서 이루어지는 공격을 ‘제로데이 공격’이라 한다

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

- 1차 : 25 APT 트레이스 스캔
- 2차 : 주중 MBR 프로텍터 제공
- 3.20 APT 공격 노출 여부 및 잔여 흔적 추적하는 ‘APT 트레이스 스캔’ 고객사 제공
비상대응체제 유지 및 고객 피해 최소화 노력 지속
 
글로벌 보안 기업 안랩(대표 김홍선, www.ahnlab.com)은 오늘지난 3 20 14시경 발생한 특정 방송사/금융사 대상 APT 공격에 대한 ‘고객정보보호 후속조치’를 발표했다이는 안랩이 공격발생 당일인 3 20 17 49분에 긴급 V3 엔진 업데이트 및 18 40분에 전용백신을 배포한 데 이은 후속조치이다.
 
안랩이 발표한 고객정보보호 후속조치는 △3.20 APT 공격 노출 여부 및 잔여 흔적을 추적하는 ‘APT 트레이스 스캔(APT Trace Scan)’ 제공 △만약에 있을지 모르는 변종에 대비해PC부팅영역인 ‘MBR(마스터부트레코드)’ 보호를 위한 ‘MBR 프로텍터(MBR Protector)’ 제공 등이다.
 
안랩은 우선 25일부터 ‘APT 트레이스 스캔(APT Trace Scan)’을 고객사에 개별적으로 제공했다. APT 트레이스 스캔은 자신의 PC가 이번 ‘3.20 APT 공격’에 노출됐는지 여부와 공격 흔적을 확인하는 프로그램이다이는 안랩 고객사 중장애증상을 겪지 않았거나 공격 당일 엔진 업데이트 및 전용백신을 실행했어도 이번 공격과 관련해 내부 시스템의 안전 상태를 더욱 정확하게 알고 싶어하는 고객과추측성 정보로 불안해 하고 있는 고객을 위한 지원 프로그램이다.
 
이 프로그램은 사용자의 PC를 스캔한 후만약 공격 흔적이 발견되면 팝업창을 통해 PC격리 및 백업 등 초기 조치와 별도의 안내사항을 공지한다고객 문의 접수 후에는 전화 및 방문 지원으로 고객피해를 최소화할 계획이다.
 
안랩은 25일 ‘APT 트레이스 스캔(APT Trace Scan)’을 제공하고이후 주중에 MBR 프로텍터 등을 상황에 맞게 제공해 고객 정보보호를 체계적으로 진행해나갈 계획이다.
 
사고 발생 후 안랩은 보안 전문가들을 중심으로 전사 비상 대응 체제를 급박하게 가동하고 있다다만 지금까지 피해가 일반 사용자들까지 퍼져있지 않은 상황에서 추측성 정보를 자제해 사회불안 야기를 피하고명확한 원인규명 및 피해 최소화 솔루션 개발에 집중하고자 대외발표를 자제해 왔다.
 
안랩의 김홍선 대표는 “명확한 조사결과 안랩에 귀책사유가 있다면 피하지 않고 책임을 질 것이며이번 사태가 해결될 때까지 비상대응체제를 유지하고 고객 피해를 최소화하기 위해 전사적인 노력을 기울일 것이다”라고 밝혔다

신고
Posted by DH, L@@

 최근 취약한 PDF 파일이 국내 방산업체 직원을 사칭하여 내부 직원 대상으로 이메일 통해 유포된 것이 보고되었다. PDF 파일의 내용을 보면 알 수 있듯이 사회공학적 기법을 이용하여, 방산진흥본부에서 방산업체로 업무협조 문서를 발송한 것처럼 위장하고 있다.

 

[그림 1] PDF 파일 내용

 

해당 PDF 파일은 지난 2012년 8월에 ASEC 블로그의 "이메일을 이용한 어도비 CVE-2009-0927 취약점 악성코드 유포"와 유사한 형태로 공격자는 방산업체로 수신되는 문서를 이용하여 꾸준히 APT 공격을 하는 것으로 보인다.

이러한 공격으로 인해 내부 기밀 정보가 외부 공격자에게 유출되는 피해가 발생할 수 있기 때문에 국가 기관 및 방산업체에서는 심각하게 받아들여지고 있다. 따라서, 이와 같은 보안 위협에 대한 대응이 필요하다.

 

방산업체 직원으로 사칭해서 유포된 이메일의 첨부파일은 다음과 같다.

[그림 2] 이메일 첨부파일

 

"업무연락 근무시간 관련 업계 현황 조사 협조요청_20130130.pdf" 파일을 실행하면 아래와 같이 파일과 레지스트리 키를 생성하여 webios.dll 파일이 6to4 Manager 이름으로 서비스에 등록되어 시스템 시작 시 마다 자동 실행되도록 한다.

 

[파일 생성]

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\AdobeARM.dll

C:\WINDOWS\system32\webios.dll

C:\WINDOWS\system32\wdiguest.dll

 

[레지스트리 등록]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Parameters\ServiceDll

"C:\WINDOWS\system32\webios.dll"

 

[그림 3] 6to Manager 서비스 등록 상태

 

webios.dll 파일과 wdiguest.dll 파일은 동일한 파일이며, webios.dll 파일은 svchost.exe 프로세스에 로드 되어 동작하며, 미국에 위치하는 C&C 서버로 주기적으로 접속을 시도하는 것으로 확인된다.

 

hxxp://yy**.**.nu (173.2**.***.202, US)

 

[그림 4] 173.2**.***.202 접속 시도 패킷

 

C&C 서버와 정상적인 통신에 성공하게 된다면 공격자의 명령에 따라 키보드 입력을 가로채는 키로깅과 원격 제어 등의 기능을 수행하게 된다.

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

PDF/Exploit

Trojan/Win32.Dllbot

Win-Trojan/Dllbot.8704.E

신고
Posted by DH, L@@

2012년도에는 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 취약점을 악용한 타깃 공격(Target Attack)이 예년에 비해 비교적 크게 증가하였다.


이 중에는 기존에 알려지지 않은 제로 데이(Zero Day, 0-Day)을 악용한 공격 형태도 2012년 6월과 11월에 발견될 정도로 한글 소프트웨어 취약점을 악용한 공격의 위험성이 증가하고 있다.


2012년 6월 - 한글 제로데이 취약점을 악용한 악성코드 유포


2012년 11월 - 국방 관련 내용의 0-Day 취약점 악용 한글 파일


이러한 한글 소프트웨어에 존재하는 기존에 알려지지 않은 제로 데이 취약점을 악용한 공격이 1월 25일경 다시 발견되었다.


이 번에 발견된 한글 소프트웨어의 제로 데이 취약점을 악용하는 취약한 한글 파일은 아래 이미지와 같이 다수의 개인 정보를 포함한 형태로 발견되었다.



해당 취약한 한글 파일은 아래 이미지와 동일한 같은 구조를 갖고 있으며, 이 중 "BinData" 항목의 "BIN0001.bmp" 라는 비정상적인 이미지를 파싱하는 과정에서 취약점이 발생하게 된다.



이로 인해 영향을 받게 되는 한글 소프트웨어의 모듈은 "HncTiff10.flt"에서 TIFF 형식의 이미지를 파싱하는 과정에서 발생하는 코드 실행 취약점이다.


해당 제로 데이 취약점으로 인해 영향을 받는 한글 소프트웨어는 ASEC의 내부적인 테스트 결과로는 다음 버전에서 동작하게 된다.


한글 및 한컴 오피스 2007

한글 및 한컴 오피스 2010


최신 보안 패치가 모두 적용된 한글 2007과 2010 버전에서는 해당 취약한 문서를 여는 과정에서 바로 취약점이 동작하게 된다. 


하지만 최신 패치가 적용되지 않은 한글 2010 버전에서는 아래 이미지와 같은 오류 메시지가 발생하며, 해당 오류 메시지를 종료하는 순간 취약점이 동작하게 된다.



해당 제로데이 취약점을 포함하고 있는 한글 파일이 정상적으로 열리게 되면 아래 이미지와 같은 전체적인 구조를 가진 다른 악성코드들이 생성된다. 


우선 취약한 한글 파일이 정상적으로 열게 될 경우에는 아래 경로에 HncUpdate.exe (641,024 바이트)가 생성 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\HncUpdate.exe


생성한 HncUpdate.exe (641,024 바이트)은 GetTempFileName 함수를 이용하여 임의의 문자열을 파일명으로 가지는 tmp 파일 3개를 다음과 같은 경로에 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\[임의의 문자열].tmp (187,904 바이트)

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\[임의의 문자열].tmp (181,760 바이트)

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\[임의의 문자열].tmp (219,136 바이트)


HncUpdate.exe (641,024 바이트)가 생성한 tmp 파일 중 187,904 바이트 크기를 가지는 tmp 파일을 다시 아래 경로에 w32time.exe (187,904 바이트) 파일명으로 다시 복사를 하게 된다.


C:\WINDOWS\system32\w32time.exe


그리고 생성한 w32time.exe (187,904 바이트)을 윈도우 서비스로 실행하기 위해서 윈도우 레지스트리 다음 경로에 "Windows Time"라는 윈도우 서비스 명으로 아래와 같은 키 값을 생성하게 된다.


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32time

ImagePath = C:\WINDOWS\system32\w32time.exe


w32time.exe (187,904 바이트)은 파일 다운로드 기능만 가지고 있는 파일이며, 다른 악의적인 기능은 존재하지 않는다.  


해당 w32time.exe (187,904 바이트)이 실행이 되면 파일 내부에 하드코딩 되어 있는 웹 사이트 주소 3곳에 존재하는 GIF 또는 JPG 확장자를 가진 파일을 다운로드 하게 된다.


분석 당시에는 아래 이미지와 같이 다운로드 되는 해당 파일들은 GIF와 JPG 파일 시그니처만 남아 있는 손상된 파일들이다



해당 악성코드 제작자는 현재까지는 손상된 GIF와 JPG 파일을 사용하고 있으나, 적절한 시기에는 이를 다른 악성코드로 변경하여 동시에 다수의 악성코드를 유포하기 위한 것으로 추정된다.


그리고 생성된 다른 임의의 문자열을 파일명으로 가지는 tmp 파일 2개는 윈도우 비스타(Windows VISITA)와 윈도우 7(Windows 7)에 존재하는 UAC(User Access Control) 기능을 무력화하여 생성한 악성코드를 정상적으로 실행하기 위한 기능을 수행하게 된다.


이 번에 알려진 한글 소프트웨어에 존재하는 제로 데이 취약점을 악용하는 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


 HWP/Exploit 

 Trojan/Win32.Agent 

 Win-Trojan/Agent.219136.DC

 Dropper/Agent.641024.G 

 Win-Trojan/Agent.181760.HT


그리고 APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-DE 


향후 출시 예정인 V3 다음 버전에 포함된 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit

Suspicious/MDP.Exploit

Suspicious/MDP.Behavior

Suspicious/MPD.DropExecutable


현재 해당 악성코드에서 사용한 취약점은 앞서 언급한 바와 같이 한글과 컴퓨터에서 보안 패치가 제공되지 않는 제로데이 취약점이다.


그러므로 이메일이나 웹 사이트 등으로부터 전달 받게된 출처가 불명확한 한글 파일을 실행하는 경우에는 각별한 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

-APT 공격 기법 진화, 대상 확대..문서 파일 악용 지능화 

-정치 이슈 이용한 악성코드 유포, 해킹 등 기승 

-모바일 악성코드, 국내 금융사 이용 피싱 사이트 급증


글로벌 정보보안 기업인 안랩[구 안철수연구소, 대표 김홍선, www.ahnlab.com]은28일 올 한 해 동안의 보안 위협의 주요 흐름을 분석해 ‘2012년7대 보안 위협 트렌드’를 발표했다. 이에 따르면 올 한 해 주요 이슈는 ▲APT 기승 ▲소프트웨어의 취약점 악용 지속 증가 ▲정치적 이슈 두드러진 사회공학 공격 기법 ▲모바일 악성코드 급증 ▲악성코드의 고도화 ▲핵티비즘과 기업 정보 탈취 목적 해킹 빈발 ▲국내 피싱 웹사이트 급증 등이었다.


 

1. APT 기승

 

APT[Advanced Persistent Threat; 지능형 타깃 공격]는 전년보다 공격 기법이 진화했으며 공격 대상 역시 광범위해졌다.

 

APT 공격은 그동안 어도비PDF, 마이크로소프트[MS]의 워드 등 문서 파일에 존재하는 취약점을 악용해 왔다. 취약점을 악용해 취약한 전자 문서 파일을 제작한 뒤 공격하고자 하는 대상이나 기관에 이메일로 보내는 것이다. 이 같은 전통적 형태의APT 공격 기법은2012년에도 여전히 기승을 부렸다.

 

이와 동시에 좀더 진화한 형태도 나타났다. 정상 전자문서나 이미지 파일을 악성코드와 함께 압축 파일[RARSfx]로 만들어 이메일에 첨부한 것이 대표적이다. RARSfx 파일은 압축을 풀지 않아도 실행이 되기 때문에, 사용자가 전자문서나 이미지 파일이라 생각하고 실행한 경우 뜻하지 않게 악성코드에 감염될 수 있다. 이 밖에 윈도우의 도움말 파일[HLP]에 악성코드를 삽입해 이메일로 전달하는 형태도 등장했다.


또한 공격 대상이 되는 기관[기업]에서 사용 빈도가 높은 운영체제를 파악한 뒤, 그에 맞는맞춤형 악성코드를 제작하거나 모바일 기기에서 작동하는 악성코드를 제작, 유포하는 형태도 발견됐다. 특히 국내에서는 기업이나 공공기관에서 자주 사용하는 소프트웨어의 업데이트 파일을 악성코드로 변경, 유포한 사례도 있었다.

 

공격 대상의 범위도 다각화했다. 과거에는 첨단 산업 분야에서 각 기업의 내부 기밀 자료를 탈취하고자 하는 목적으로 이뤄졌다. 그러나 이제는 정치적인 사안이나 군사 정보를 확보하기 위한 목적으로 정부 기관과 민간 단체에도 공격이 시도되면서 그 폭이 넓어졌다.

 

2. 소프트웨어의 취약점 악용 지속 증가

 

올해 소프트웨어의 취약점을 악용한 보안 위협은 특정 지역에서 주로 사용되는 소프트웨어를 악용하는 형태가 증가했다.

 

국내에서 가장 눈에 띄는 것은 국산 문서 프로그램을 악용한 공격이다. 특히 올해는 제로데이 취약점이 발견되었으며, 이를 활용한 공공 및 정부기관 내부 직원들 타깃의 공격도 가해져 주목을 끌었다. 이는 해당 문서 프로그램이 국내에서 사용 빈도가 높다는 점에서 국내 타깃 공격이 증대되고 있는 징후로 해석할 수 있다.


이 밖에 세계적으로 사용빈도가 높은 소프트웨어의 취약점을 악용한 보안 위협도 지속적으로 발견됐다. 어도비 플래시를 비롯해 MS사의 소프트웨어에서 윈도우 미디어, XML 코어 서비스, 윈도우 공용 콘트롤 취약점, 인터넷 익스플로러 버전7과8의 취약점을 악용한 위협이 다수 발견됐다. 지난해부터 위협 대상으로 떠오른 자바 역시JRE 7에 존재하는 취약점을 악용한 형태가 등장했다.

 

3. 정치적 이슈 두드러진 사회공학 공격 기법


사회공학적 공격 기법에서는 정치적인 이슈를 악용한 보안 위협이 크게 늘었다. 미국과 한국의 대선 등 올해가 세계적으로정치의 해였기 때문에 세간의 관심과 호기심을 자극할 수 있는 정치 이슈를 악용한 공격이 증대된 것으로 풀이된다.


올해 사회공학적 공격 기법에 악용된 정치 이슈는 한국의4.11 총선과 미국의 대선, 한국의 대선 등을 들 수 있다. 또한 북한 광명성3호 발사 및 핵실험, 2012 서울핵안보정상회의 등이다. 사회적으로 이슈가 된 현안들도 공격에 자주 이용됐다. 세계적인 이목이 집중됐던 런던올림픽과, 국내서 뜨거운 화제가 됐던 한 걸그룹의 멤버왕따 사건도 활용됐다.


이 밖에 유명 패스트푸드 업체에서 제공하는 프리미엄 환불 서비스, 한 보안 업체의 보안 관련 소식, 남성이 주로 읽는 무협지, 자동차 업체가 제공하는 경품 이벤트 등의 주제로 이메일이 발송된 사례 등도 있다.

 

4. 모바일 악성코드 급증

 

모바일 악성코드는 수적 증가뿐 아니라 유포 방식의 다변화, 기능의 지능화, 공격 지역의 국지화를 특징으로 꼽을 수 있다.

 

수적 증가는 악성코드 제작자에게 모바일 환경이 금전 탈취가 가능한 새로운 시장으로 인식됐기 때문으로 보인다.

 

유포 방식은 과거 안드로이드 공식 마켓이나 서드 파티 마켓 중심이었으나, 올해는 유용한 애플리케이션이나 유명한 게임으로 위장해 허위 안드로이드 마켓에서 유포되는 방식이 등장했다. 또한 트위터나SMS[휴대전화 문자]를 통해 단축URL을 유포하는 형태도 등장했다.

 

기능의 지능화는 스마트폰의 하드웨어 정보, 사용자 개인정보는 물론이고 온라인 뱅킹 인증번호를 포함한SMS를 탈취하는 데까지 이르렀다. 모바일 백신으로 위장해 금전적 대가를 요구하는 형태도 등장했다.

 

공격 지역의 국지화는 이스라엘 사용자를 겨냥해 히브리어로 제작한 악성코드, 국내 공공기관을 사칭하거나 스마트폰 청구서로 위장한 악성코드 등에서 나타났다.

 

5. 악성코드의 고도화

 

올해 발견된 악성코드들은 과거보다 자체 보호 기능이 강해진 한편, 부팅 관련 영역까지 감염시킬 정도로 고도화했으며, 금융 정보를 직접 탈취할 정도로 과감해졌다.

 

과거에는 실행 압축과 암호화 기법 등을 사용해 보안 소프트웨어의 탐지를 회피하는 비교적 소극적인 방법을 택했다. 그러나2012년에는 보안 소프트웨어 관련 파일을 직접 삭제하거나, 보안 소프트웨어가 실행되지 않도록 운영체제의 커널[Kernel] 영역에 접근하는 적극적인 방법이 나타났다.

 

부팅 관련 영역인MBR[Master Boot Record]을 감염시키는부트킷[Bootkit] 형태의 악성코드도 올해 지속적으로 발견됐다. MBR은PC가 부팅하는 데 필요한 정보들이 저장된 물리적인 하드 디스크 영역이다. MBR은 구조가 복잡하고 크기도 제한적이라 이를 겨냥한 악성코드를 제작하기가 어렵다. 그만큼 백신 프로그램으로 진단/치료하기도 매우 까다롭다. 그러나 최근 들어 이런 유형의 부트킷 형태의 악성코드가 속속 제작되는 추세이다. 부트킷은 러시아와 중국에서 주로 제작되는 것으로 알려졌으며, 주로 온라인 게임 관련 개인정보 탈취가 목적이다.

 

또한 기존 악성코드는 키보드로 입력되는 개인정보를 이용해 간접적으로 이익을 취했다. 그러나 올해 유포된 뱅키[Banki] 악성코드는 개인 금융 정보를 직접 탈취하는 것이 특징이다. 뱅키[Banki] 트로이목마는PC에 있는 호스트[hosts] 파일을 변조해 가짜 금융권 웹사이트로 사용자를 유도해 개인정보는 물론 공인인증서까지 가로챈다.

 

6. 핵티비즘과 기업 정보 탈취 목적 해킹 빈발

 

2012년에 발생한 해킹 사고들은 크게 두 가지 목적이었다. 정치적인 의사를 표시하기 위해 사용하는 이른바 ‘핵티비즘[Hacktivism]’과, 기업이 가진 내부 정보를 탈취하기 위한 해킹이다.

 

올해4.11 총선과12.19 대선 등 정치 이슈가 많았던 만큼, 각 정당 및 정치단체 홈페이지나 언론사 홈페이지 해킹 등 핵티비즘 성격의 사건이 많았다. 기업 정보를 겨냥한 해킹은 한 방송사의 홈페이지가 해킹돼 회원400만명의 개인정보가 유출된 사고, 대형 통신사가 해킹돼 가입자870만명의 개인정보가 유출된 사고, 문서 프로그램의 업데이트 서버를 통해 악성코드를 유포한 사고 등이 있었다.

 

7. 국내 피싱 웹사이트 급증

 

그동안 해외에서는 흔했지만 국내에서는 거의 없었던 피싱 사이트가 급증했다. 201년에만 국내 대표적 금융사20여 곳이 피싱 사이트에 이용됐다. 피싱 사이트의 유포에는SMS가 주로 활용됐다. 이는 스마트폰 뱅킹의 대중화에 따른 현상으로 보인다. 일부에서는 모바일 브라우저 형태의 피싱 사이트도 등장해 ‘모바일 맞춤형’ 피싱 사이트가 기승을 부리고 있음을 보여주었다.

 

안랩 시큐리티대응센터 이호웅 센터장은"장기간에 걸쳐 지능적인 공격을 하는APT나 각종 악성코드, 해킹, 피싱 등이 노리는 것은 개인정보이다. 개인정보를 이용해 금전적 이익을 취할 수 있기 때문이다. 개인, 기업, 기관 모두 다각적이고 입체적인 대응을 해나가야 한다.”라고 강조했다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

안랩 ASEC에서 2012년 7월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.31을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 7월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

Banki 트로이목마의 공습

구글 코드를 악용한 악성코드 유포

국외 은행 피싱 메일

아래아한글 취약점을 악용한 파일 추가 발견

링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷

BHO에 등록되는 온라인 게임핵 악성코드

WinSocketA.dll 파일을 이용하는 온라인 게임핵

Cross-Platform 악성코드

위구르족을 타깃으로 한 맥 악성코드


2) 모바일 악성코드 이슈

APT 공격과 관련된 안드로이드 악성코드 발견

스마트폰에도 설치되는 애드웨어


3) 보안 이슈

DNS changer 감염으로 인한 인터넷 접속 장애 주의

BIND 9 취약점 발견 및 업데이트 권고

어느 기업의 데이터 유출 후, 고객에게 보내진 ‘보안 패치’ 메일의 비밀


4) 웹 보안 이슈

GongDa Pack의 스크립트 악성코드 증가

해킹된 동영상 사이트를 통한 악성코드 유포

XML 코어 서비스 취약점 악용으로 온라인 게임 악성코드 유포


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.31 발간


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

안랩 ASEC에서 2012년 6월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.30을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 6월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

악성코드, 당신의 계좌를 노린다

이메일로 시도되는 APT 공격 주의

문서 파일을 이용한 끊임없는 악성코드 유포

아래아한글 제로데이 취약점을 악용한 악성코드 - 1

아래아한글 제로데이 취약점을 악용한 악성코드 - 2

알려진 한글 취약점을 악용한 악성코드 유포

안랩 사칭한 광고 스팸 메일 주의

정부 기관에서 발송된 메일로 위장한 스팸 메일

FedEx Post Office 메일로 위장한 악성 스팸 메일

변형된 형태의 XML 코어 서비스 취약점 (CVE-2012-1889) 악용


2) 모바일 악성코드 이슈

zsone 안드로이드 악성코드 변종 발견

스마트폰 사진을 변조하는 악성코드

스마트폰 앱 이용할 땐 항상 주의하세요


3) 보안 이슈

IE 동일한 ID 속성 원격 코드 실행 취약점(CVE-2012-1875)

XML 코어 서비스의 취약점으로 인한 원격 코드 실행 문제점 (CVE-2012-1889)

XML 코어 서비스 취약점(CVE-2012-1889) 악용 증가


4) 2012년 상반기 보안 위협 동향

정보 유출 목적의 APT(Advanced Persistent Threat) 공격 증가

개인정보 탈취용 악성코드 지속

애플리케이션 취약점을 이용한 악성코드 기능

모바일 악성코드 유포 경로 다양화

PC와 모바일 동시 겨냥한 피싱 사이트 등장


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.30 발간


저작자 표시
신고
Posted by 비회원