- 다차원 분석 플랫폼 기반으로 V3 전 제품군에 악성코드 대응력 강화, 엔진사이즈 감소 및 빨라진 검사속도, 사용자 편의성 대폭 향상 

- 매체제어 기능 포함한 기업용 PC 보안통합 관리 솔루션 ‘V3 ES 9.0’ 동시 출시


V3 탄생 25주년을 맞은 보안 기업 안랩이 보안 기능을 대폭 강화시킨 개인 및 기업 사용자용 새로운 V3 제품군을 출시했다.

 

안랩[대표 김홍선 www.ahnlab.com]은 30일, 새로워진 다차원 분석 플랫폼을 적용해 더욱 강력한 악성코드 방어 기능을 제공하는 V3 제품군 4종의 새 버전과 1개의 신제품을 정식 출시했다.

 

오늘 공개된 신제품은 ‘다차원 분석 플랫폼’을 기반으로 탄생했다. 안랩의 다차원 분석 플랫폼이란 새로운 V3의 통합 플랫폼으로, 강력한 악성코드 통합 분석 및 대응, 향상된 탐지 및 진단 기능을 제공한다.

 

새로운 버전의 V3 제품군은 개인사용자용 토털 PC보안 케어 제품‘V3 365 클리닉’, 중소기업용 통합 PC 보안 솔루션 ‘V3 MSS[Managed Security Service]’, 기업용 PC 보안 제품인 ‘V3 인터넷 시큐리티 9.0[V3 Internet Security 9.0]’, 서버전용 백신 ‘V3 Net 9.0’이며, 새롭게 선보인 제품은 기업용 PC 보안통합 관리 솔루션인 ‘V3 엔드포인트 시큐리티 9.0[V3 Endpoint Security 9.0]이다.

 

진단기능 추가로 악성코드 방어기능 강화


오늘 공개한 새로운 버전의 V3 유료 제품군에는 안랩의 클라우드 기술인 ‘안랩 스마트 디펜스[AhnLab Smart Defense]’ 기반의 강력한 악성코드 탐지 기능과 행위기반 진단과 평판기반 진단 기술을 추가로 탑재해 악성코드 대응력을 크게 향상되었다.

또한, 의심 파일의 행위를 분석해 알려지지 않은 악성코드의 실행을 사전 차단하는 ‘행위기반 진단’, 의심 파일에 대한 클라우드 평판 정보로 의심스러운 신규 파일을 분석하는 ‘평판기반 진단’을 통해 더욱 정교한 악성코드 탐지가 가능하다.

이러한 행위기반 및 평판기반 진단 기술로 사전 차단된 악성코드 유포경로를 실시간으로 추적/관리해 사용자들의 악성 웹사이트 혹은 피싱사이트 방문을 차단하는 사전 예방 기능도 새롭게 제공한다. 이에더해, 이상/과다 트래픽 등 네트워크의 의심 행위를 바탕으로 침입을 탐지하고 차단하는 네트워크 보안 기능도 새로 탑재했다.

 

엔진사이즈 감소 및 검사속도 증대[기존 V3 대비 30% 엔진 경량화, 최대 10배 빠른 검사]


새로운 엔진인 ‘TS 프라임[TS Prime]’엔진을 적용해 엔진 크기와 검사 시 PC의 시스템 부담을 대폭 감소시키고, 검사속도는 빨라졌다. 새로운 V3 플랫폼은 악성코드의 고유정보[DNA]를추출하는 방식으로 엔진 용량을 기존 V3 제품군 대비 30% 수준으로 경량화해, 사용자 PC의 시스템 부담은 대폭 감소했다. 이와 함께, 최초 1회 검사로 안전성 확보 후 새로운 파일 및 변환된 파일을 검사하는 ‘스마트 스캔[Smart Scan]’ 기술로 검사 속도가 기존 V3 대비 최대 10배 가량 빨라졌다.

 

능동적 위협관리 기능 ‘액티브 디펜스[Active Defense]’


새롭게 추가된 ‘액티브 디펜스[Active Defense]’로 사용자 PC에서 발생한 프로그램의 행위 정보와 문제가 될 만한 가능성이 있는 파일을 필터링한다. 또한, 사용자에게 의심스러운 파일 및 프로세스에 대해 평판 정보, 프로그램의 의심 행위 정보 등 의심파일에 대한 상세한 정보를 제공해 사용자의 능동적 대응이 가능하다. 액티브 디펜스 기능은 사용자가 자신의 PC 상태를 파악하고 능동적으로 대응 할 수 있도록 프로그램 활동 내역 정보, 동작 중인 프로세스 정보. 최근 생성된 파일 정보, 클라우드 자동분석 목록 등 다양한 정보를 제공한다.

 

사용자 편의성 강화


사용자 인터페이스도 대폭 변화했다. 먼저 첫 화면에 파랑[안전], 노랑[주의], 주황[위험] 등 알기 쉬운 색상을 사용해 사용자가 PC의 보안 상태를 한눈에 알 수 있다. 제품의 각종 상태를 점검해 문제를 해결하는 ‘해결하기’와 PC 검사 및 최적화 등 핵심 기능을 타일형식으로 배치해 첫 화면에서 즉시 이용할 수 있다. 이전에 찾기 어려웠던 복잡한 옵션 기능도 단순화해 사용자가 다양한 기능을 손쉽게 활용할 수 있다. 또한, 보안센터 기능을 새롭게 추가해, 6가지 보안상태[네트워크보안, 클라우드보안, PC보안, 평판기반실행차단, 행위기반 진단, 액티브 디펜스]를 실시간으로 보여주고 관련 상세정보를 제공한다. 개인용 제품인 V3 365 클리닉의 경우 보안 전문 클리닉 서비스를 한 곳에 모아 손쉽게 서비스를 이용할 수 있도록 사용성이 강화됐다.

 

[신제품] ‘V3 엔드포인트 시큐리티 9.0[V3 Endpoint Security 9.0]’


오늘 새롭게 선보인 V3 엔드포인트 시큐리티 9.0는 기업용 PC 보안통합 관리 솔루션으로, 매체제어 기능을 가지고 있는 것이 특징이다. 안랩의 전사 SW 관리솔루션인 안랩 폴리시 센터[AhnLab Policy Center]와 함께 사용하면 USB, 블루투스, CD/DVD 드라이브, 스마트카드 리더 등 PC와 연결되는 모든 매체의 권한을 중앙에서 일괄적으로 관리할 수 있어, 더욱 광범위한 보안이 가능하다. 하반기에는 안랩의 보안제품과 기능연결을 제공해, 손쉬운 전사 PC 통합관리가 가능하다.

 

안랩 김홍선 대표는 "최근의 고도화되는 보안위협에 대응하기 위해서는 악성코드 유입 단계부터 능동적으로 대응하는 것이 중요하다. 이에 안랩은 평판 기반, 행위 기반 등 진일보한 기술을 결합해 다차원 분석 플랫폼을 구축하고 이를 통해 더욱 강력해진 V3 제품군을 선보였다. 특히, V3 탄생 25주년을 맞는 올해에 이를 발표하게 되어 더욱 의미가 있다. 앞으로도 안랩은 안전한 온라인 환경을 만들어 나가기 위해 기술 개발을 이어나갈 것이다.”고 말했다.

 

한편, 안랩은 V3 제품군 통합 출시를 기념해 안랩닷컴 사이트[http://www.ahnlab.com/kr/site/event/event/V3platform.do]에서 퀴즈 맞추기, 영상 소문내기, 구매고객 혜택 제공 등 다양한 프로모션을 오늘부터 시작한다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

- 개인 및 기업 내 PC 좀비화 방지로 디도스 공격 근원 차단 

- 개인은 물론 기업/기관도 무료 사용..기존 V3 사용자는 최신 버전으로 치료 


정보보안 기업 안랩[대표 김홍선 www.ahnlab.com]은 25일 일부 정부기관에 대한 디도스[DDoS: Distributed Denial of Service, 분산 서비스 거부] 공격이 발생함에 따라 개인 사용자가 공격에 악용되지 않도록 디도스 공격 유발 악성코드를 진단/치료하는 전용백신을 개발해 무료 제공하고 있다. [http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=111]

 

26일 오후 17시 35분부터 제공 중인 1차 전용백신에는 정부통합전산센터 웹사이트를 디도스 공격한 8개의 악성코드에 대한 진단/치료 기능이 들어있다. 27일 오후 5시부터 제공 중인 2차 전용백신에는 청와대, 국정원, 새누리당 웹사이트를 디도스 공격한 악성스크립트[JS/Agent]에 대한 진단/치료 기능이 추가됐다.       

 

이번 전용백신은 개인은 물론 기업/기관에서도 무료 사용할 수 있다. 또한 개인용 무료백신 ‘V3 LIte’[http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=8&svccode=aa1001&contentscode=483]를 비롯해 ‘V3 365 클리닉’[http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=15], V3 Internet Security 8.0 등 V3 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료할 수 있다.

 

한편, 정부통합전산센터 웹사이트를 디도스 공격한 8개의 악성코드는 각기 역할이 나눠져 있다. 사용자가 웹하드 관련 업데이트 파일로 오인해 SimDiskup.exe 파일을 실행하면 ~simdisk.exe 파일이 생성되고 디도스 공격을 수행하는 oleschedsvc.dll 파일을 다운로드한다.

 

청와대, 국정원, 새누리당 웹사이트를 디도스 공격한 JS/Agent는 악성스크립트가 심어진 웹사이트에 접속했을 때 PC에 설치되는 악성코드이다. 이 악성코드는 악성스크립트가 심어진 웹사이트에 접속했을 때만 활성화하여 특정 웹사이트에 디도스 공격을 가한다.

 

안랩의 김홍선 대표는 “디도스 공격은 좀비PC에서 시작되므로, 개인용 PC와 기업 내 PC 모두 의도치 않게 공격자가 될 수 있다. 따라서 디도스 공격의 시발점인 PC에서 악성코드를 제거하는 것이 중요하다.”라고 강조했다. 또한 “웹사이트를 운영하는 기업/기관에서는 디도스 차단 기능이 있는 네트워크 보안 솔루션이나 보안관제 서비스를 이용해 피해를 최소화해야 한다.”라고 말했다.


----------<보충 자료>-----------

 

*디도스 공격 악성코드 파일명과 기능

파일명

기능

SimDiskup.exe

웹하드 사이트인 심디스크[Simdisk]의 설치 파일을 변조한 것으로 사용자를 속이기 위한 것이다.

servmgr.exe

드롭퍼[Dropper] 역할시스템의 운영체제 버전 정보를 체크한 후 동일한 악성코드에 이미 감염되어 있는지를 확인한다.

~simdisk.exe

네트워크 접속 정보의 감시추적 및 분석을 어렵게 한다.

ole[정상윈도우서비스명].dll

특정 URL로 접속해 디도스 공격 시각[6 25 10정보를 담은 파일을 다운로드한다.

wuauieop.exe

디도스 공격을 수행한다.

~DR.tmp

ole[정상윈도우서비스명].dll 파일을 생성하고 윈도우 서비스에 등록한다.

~ER.tmp

32비트 윈도우 운영체제에서 UAC[User Account Control, 사용자 계정 컨트롤]를 우회한다.

~ER.tmp

64비트 윈도우 운영체제에서 UAC를 우회한다.

  

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

- AV-TEST 모바일 보안 제품 테스트 통과..사용편의성 만점 

- 국내 유일 글로벌 기술력 공인..모바일 보안 시장 주도



글로벌 정보보안 기업인 안랩[대표 김홍선, www.ahnlab.com, 구 안철수연구소]는 자사 모바일 보안 제품인 V3 Mobile 2.0[이하 V3 Mobile]’이 글로벌 보안 제품 테스트 기관인 AV-TEST[www.av-test.org]가 진행한 첫 공식 테스트에서 우수한 성적으로 인증을 획득했다고 밝혔다.

 

이는 국내 기업 중 유일하게 참가해 거둔 성과이다. 이로써 안랩은 모바일 분야에서도 글로벌 기술력을 공인받아 급성장하는 모바일 보안 시장에서 리더십을 발휘하게 됐다.

 

이번 테스트는 AV-TEST가 올해 1월 전세계 22개 모바일 보안 제품을 안드로이드 환경에서 테스트한 것이다. 그 결과 V3 Mobile은 13.0 만점에 10.5를 기록해 인증을 획득했다[8.5 이상 기록이면 인증 통과]. V3 Mobile은 이번 테스트에서 악성코드 탐지율 94%를 기록했다. 특히, 오진이 0개이고, 제품이 단말기의 성능에 미치는 영향을 평가하는 CPU 점유율은 0.26%를 기록해 사용편의성[Usability] 부분에서 만점을 받았다.

 

글로벌 인증 기관에서 모바일 보안 제품을 공식 테스트한 것은 이번이 처음이다. 따라서, 이번 AV-TEST의 인증은 모바일 보안 제품 인증에 첫 기준을 제시했다는 데 의미가 있다. AV-TEST는 이에 앞서 작년 10월부터 비공개 테스트를 했으며, 안랩은 국내에서 유일하게 참가해 좋은 성적을 거둔 바 있다.

 

안랩 김홍선 대표는 “안랩은 R&D 중심 기업으로서 독보적인 핵심 기술을 바탕으로 PC, 네트워크 영역 보안뿐 아니라 모바일 보안 분야에서도 시장을 주도하고 있다. 특히 이번 인증은 안랩이 새로운 보안 위협에 대한 글로벌 수준의 기술을 갖추었음을 증명하는 것이다.”라고 말했다.

 

한편, V3 Mobile은 안랩이 10년 이상 축적한 모바일 보안 솔루션 개발 경험과 노하우가 집약되어 있다. 다양한 국제 인증으로 검증된 악성코드 분석 능력과 24시간 긴급 대응 체제를 바탕으로 신종 모바일 악성코드에 즉각 대응할 수 있다. 또한, 타사 대비 검사 속도와 진단율은 높고, 프로그램 설치 사이즈 및 메모리 사용량과 CPU 점유율은 낮은 것이 강점이다. 본연의 백신 기능이 우수할 뿐 아니라 물리적 보안 영역인 도난 방지[Anti-Theft] 기능까지 제공한다. 이 밖에 파일 암호화, 무선 인터넷 접속 제어, 스팸 차단, 데이터 백업 등 다양한 보안 위협에 입체적으로 대응할 수 있는 기능을 대거 탑재했다. 현재 삼성전자, LG전자의 안드로이드 기반 스마트폰에 제공되며 지난해 일본에도 진출한 상태이다.

 

V3 Mobile과 동일한 엔진을 탑재한 V3 Mobile Plus도 금융권에서 각광받는 제품이다. V3 Mobile Plus는 스마트폰용 은행, 증권 애플리케이션이 작동할 때 백그라운드에서 작동하며 악성코드의 침투 및 작동을 막아준다. 국내 30여 개 은행, 증권사에 공급돼 있다. 

저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

- 안랩, V3 탄생 25주년 맞아 탐지력-속도-무게감 대폭 향상한 ‘새로운 V3’ 오픈 베타 서비스 

- 새롭게 진화한 V3의 핵심 기능을 회사의 거의 모든 제품과 서비스에 반영해 시장 공략 예정 


안랩 V3 탄생 25주년, 진화한 ‘새로운 V3’로 2013년 공략한다!

안랩, 새로운 V3 오픈 베타 서비스 개시

- 안랩, V3 탄생 25주년 맞아 탐지력-속도-무게감 대폭 향상한 ‘새로운 V3’ 오픈 베타 서비스

- 새롭게 진화한 V3의 핵심 기능을 회사의 거의 모든 제품과 서비스에 반영해 시장 공략 예정

 

V3 탄생 25주년을 맞은 글로벌 보안 기업 안랩[구 안철수연구소, 대표 김홍선 www.ahnlab.com]은 28일 전용 웹사이트 [ http://www.ahnlab.com/kr/site/event/event/v325thEventForm.do ]를 통해 일반 개인 사용자를 대상으로 새로워질 V3의 오픈 베타 이벤트[가칭 V3베타]를 시작했다.  

 

V3 탄생 25주년을 맞아 공개된 새로운 ‘V3베타’는 악성코드 탐지력, 검사 속도, 엔진 크기의 세가지 부문에서 혁신적으로 향상된 기능을 선보인다. 안랩은 새로운 V3의 서비스 안정화 작업을 위해 3월 31일까지 사용자가 직접 참여하는 오픈 베타 서비스를 진행한다. 안정화 단계를 거친 ‘새로운 V3[V3베타]’는 별도의 제품으로 출시하지 않고, V3 Lite를 비롯한 개인용 제품군에서 보안관제, 융합형 APT대응 솔루션인 트러스와처에 이르기까지 안랩의 거의 모든 제품과 서비스에 광범위하게 적용될 예정이다.

 

강력한 악성코드 탐지력을 갖춘 다차원 대응 엔진 ‘MDP 프레임워크’ 도입

안랩의 새로운 ‘V3베타’는 안랩이 장기간에 걸쳐 개발한 새로운 엔진인 ‘MDP[Multi-Dimensional Protection] 프레임워크’가 최초 적용되었다. ‘MDP 프레임워크’는 기존 시그니처[악성코드의 진단값 리스트] 기반의 악성코드 탐지 엔진과 네트워크 스캔 엔진을 기본적으로 탑재했다. 여기에 악성코드를 배포하는 URL을 실시간으로 추적해 접근을 차단하는 네트워크 방역 엔진, 의심 파일의 행위를 분석해 알려지지 않은 악성코드의 실행을 사전 차단하는 행위 기반 엔진을 갖추었다.

 

또한, 파일에 대한 클라우드 평판 정보로 의심스러운 신규 파일을 분석하는 평판 엔진과, 의심스러운 파일에 대하여 사용자가 능동적으로 대응할 수 있는 액티브 디펜스[Active Defense] 기능을 탑재했다. ‘MDP 프레임워크’는 다년간 축적된 안랩의 악성코드 대응 능력[엔진]을 모두 담은 신기술이다. 입체적이고 다면적인 악성코드 탐지 기능으로 이미 알려진 악성코드는 물론, 알려지지 않은 악성코드까지 효과적으로 대응한다.

 

스마트 스캔 기술로 6배 이상 빠른 검사속도 구현

또한, ‘스마트 스캔’ 기능을 적용해 속도 면에서도 획기적인 발전을 이루었다. 스마트 스캔 기술에는 안전하다고 판단된 기존 파일 외에 사용자 PC에 새롭게 생성된 파일에 대한 검사[Incremental Scan]와, 윈도우 같은 운영체제[OS] 상의 변경 사항에 대한 검사[Fastway] 기능이 탑재돼 있다. 이 기술이 적용된 V3베타는 기존 V3의 검사 속도를 능가함은 물론, 글로벌 업체들에 비해서도 6배 이상 빠른[자체 테스트 결과 기준] 검사 속도를 제공한다.

 

기존 V3 대비 20% 수준 초경량 엔진 제공

방대한 악성코드 데이터베이스[DB]를 PC에 저장하는 기존 방식에서 벗어나, 악성코드의 고유정보[DNA]만을 추출하는 방식을 적용해 엔진 크기를 대폭 감소시켰다. 이번 V3베타의 용량은 20MB[메가바이트] 이하로 기존 V3 대비 20% 수준으로 경량화한 것이다. 이에 따라 사용자의 체감 무게는 한결 더 가벼워졌다.  

 

안랩 김홍선 대표는 “악성코드가 나날이 교묘하고 지능적으로 진화하는 만큼 보안제품도 진화해야 한다. 특히 1988년 탄생한 V3가 25주년 되는 올해, 이렇게 새로워진 V3 원천기술을 선보이게 된 점은 매우 의미 있다고 생각한다. 앞으로도 안랩은 보안을 주도하는 기업으로서 축적된 기술을 바탕으로 강력한 보안과 사용자 편의성을 모두 제공해 나가겠다.”라고 강조했다.

 

한편, 이번 오픈 베타 서비스에서는 사용 후기를 보내주는 사용자 중 1위에게는 아이패드 미니를 증정한다. 이 외에도 닥터드레 헤드폰, 안랩 V3 외장하드와 해피머니 상품권 등 다양한 상품을 제공한다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

- 신규 Java 0-day 취약점 주의!

2013 1 10일 새로 발견된 Java Zero-day 취약점 (CVE-2013-0422)을 이용하여 악성코드에 감염되는 실제 사례가 국내에서 발견되어 주의가 필요하다.

해당 취약점은 Blackhole Exploit Kit, Cool Exploit Kit, Nuclear Exploit Kit 등 자동화된 공격 도구에 이용되고 있으며 전세계에서 빠르게 확산되고 있는 상황이다.

이 취약점을 이용한 공격방법은 매우 다양한데, 아래와 같이 e-mail 에 악성링크 클릭 유도하거나 SEO poisoning 기법 이용하여 검색 사이트 상위에 노출시켜 접근토록 유도하는 사례 등도 발견되었다.


[그림 1. Java 취약점을 이용한 악성 e-mail ]


[그림2. Java 취약점을 이용한 악성스크립트 코드]

 

[그림3. 다운되는 악성 Jar 파일 구조]

 

현재 모든 버전의 Java 7 최신버전의 Java (Java 7 Update10)을 포함하여 Java 7의 어떤 버전이던지 익스플로잇이 포함된 악성스크립트에 노출되면 시스템이 감염되게 된다. Oracle에서는 현재 별도의 fix 툴을 제공하지 않고 있으므로, 악성코드에 감염되는 것을 예방하려면 아래와 같이 설치된 Java의 패치가 나오기 전까지 일시적으로 시스템에서 삭제하는 것을 권한다.

 

[그림4. Java 삭제방법 제어판 -> 프로그램 제거]

Java는 추후 공식 홈페이지인 http://www.java.com/ko/ 에서 다운로드하여 재설치할 수 있다.

 

V3 제품군에서는 아래와 같이 진단/치료가 가능하다.

Trojan/JAVA.Agent (2013.01.11.05)

JAVA/Cve-2013-0422 (2013.01.11.05)

JS/Agent (2013.01.11.05)

신고
Posted by 비회원

해외에서 제작된 IOS(아이폰,아이팟등) 용 어플리케이션에 windows 용 악성코드가 숨어있던 것이 발견되어 화제이다.



발견된 어플리케이션은 검열이 까다롭기로 소문난 공식 애플 앱스토어에 등록되어 다수의 사용자가 다운로드받은 것이 확인되었으나, 현재는 앱스토어에서 삭제되어 더이상 다운로드 받을수 없다.

해당 어플리케이션은 "Instaquotes-Quotes Cards For Instagram" 이란 어플명을 사용하고 있으며, 7월 19일에 등록되어 25일에 사용자 신고에 의해 앱스토어에서 제거되었다.



[fig 1. Instaquotes-Quotes Cards For Instagram 앱]


windows 악성코드는 iOS어플리케이션패키지파일(.ipa) 내부에 아래의 경로로 위치하고 있었다.

instaquotes.ipa/Payload/Instaquotes.app/FBDialog.bundle/FBDialog.bundle.exe

instaquotes.ipa/Payload/Instaquotes.app/FBDialog.bundle/images/images.exe

위와같이 iOS 패키지 내부에 windows 용 악성코드가 있더라도 두 기종은 실행파일의 포멧이 완전히 다르므로 iOS에선 windows 악성코드가 감염될 수 없다.

하지만 iOS기기를 windows 시스템에 연결시킨 후 실행파일을 실행한다거나 기타 다른 취약점이 있을시에는 windows 시스템에 영향을 끼칠 수 있으니 주의바란다.


위 악성코드는 2년전 발견되었고, 현재는 거의 활동내역이 보고되지 않는 악성코드이다.

악성코드 감염시 폴더를 숨긴 후 폴더명.exe 형태로 복사본을 생성하여 파일시스템을 전체적으로 감염시키고 system 폴더에도 복사본 생성 및 부팅 시 자동실행되게 레지스트리를 등록하는 특징이 있다.


해당 악성코드는 V3 제품군에서 아래와 같이 치료가 가능하다

Win32/Cogduni.worm.61440 (2010.04.09.01)


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

최근 이메일을 통해 문서파일(DOC, HWP, PDF )의 취약점을 이용하여 상대방의 시스템을 공격하는 일종의 APT 공격 시도가 많이 포착되고 있다.

 

공격이 되는 대상은 기존에 불특정 다수에게 e-mail 을 유포하는 방식이 아닌 특정 집단(기관, 학교, 회사 등) 을 주로 하고 있으며 사전에 수집된 e-mail 을 바탕으로 악성 파일을 drop 하는 문서파일을 첨부하며 열람을 유도해 표적 공격을 시작한다.

 

표적공격시 발송하는 e-mail 의 특징들은 아래와 같다.

 

1. 제목이 자극적이거나 중요한 메일인 것 같은 뉘앙스를 띔

2. 취약점을 사용할 수 있는 문서파일을 첨부하며 첨부파일 이름도 중요성을 띈 것처럼 표기

3. 메일 내용은 자세히 적지 않고, 첨부파일을 확인하라고 하여 문서파일 열람을 유도

 

아래는 실제 APT 공격에 사용된 e-mail 이다.

 

[그림 1. APT 공격에 사용된 e-mail ]

 

 

문서파일은 알려진 취약점을 이용하여 조작되어 있으며, 해당 취약점이 패치되지 않은 어플리케이션으로 문서를 열 경우 악성파일이 생성되며 사용자 시스템을 감염시킨다.

사용자는 평소와 다름없이 문서파일을 열었을 뿐인데 악성파일에 감염되게 되며, 문서 또한 정상적으로 열리므로 감염사실을 전혀 눈치 챌 수 없다.

 

아래는 e-mail에 첨부된 PDF 문서의 일부이다. 별도의 확인과정이 없다면, e-mail 발송자가 악의적인 의도가 있는 것인지 아닌지 구분하기가 거의 불가능하다.

 

[그림 2. APT 공격에 사용된 악성 PDF 문서]

 

 

패치되지 않은 PDF reader로 문서를 열게 되면, exploit 이 동작하면서 악성 파일을 시스템에 심는다.

해당 악성 문서파일의 경우 아래의 경로에 두 개의 파일을 drop 한다.

 

C:\Documents and Settings\[사용자]\시작 메뉴\프로그램\시작프로그램\ld.exe

C:\Documents and Settings\[사용자]\Local Settings\Temp\AdobeARM.dll

 

[그림 3. 설치된 악성파일]

 

 

이 악성파일은 시작프로그램에 등록되어 부팅시 실행되며, 주기적으로 C&C서버( 17*.***.***.*90:80, http://Ch****k.K**k.** ) 에 접속하여 명령을 수행하는 좀비 PC를 만든다.

 

이같이 e-mail 을 이용한 APT 공격이 유행하고 있으니 세심한 주의가 필요하다.

아래의 사항들을 지키면 위 유형의 공격을 어느 정도 예방할 수 있다.

 

1. E-mail 사용시 발신인을 확인할 수 없는 메일 열람을 자제

2. 출처를 알 수 없는 첨부파일을 열지 말 것

3. 문서관련 어플리케이션은 주기적으로 업데이트하여 최신버전을 유지

4. 사용하는 Anti-Virus 제품의 실시간 검사를 활성화하고 엔진을 최신버전으로 유지

 

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

Win-Trojan/Dropper.36352 (2012.06.21.00)

Win-Trojan/Agent.32768.CEU (2012.06.21.00)

PDF/Exploit (2012.06.20.03)

 

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

요즘 악성코드는 인터넷 생활의 일부가 되고 있습니다. 평소에 자주 방문하는 유명 포털 사이트에서 어느 날 악성코드를 유포해 감염되기도 하고 이메일 보관함에 악성코드가 첨부된 파일이 몇 개 정도는 있을 정도로 감염의 위협은 일상화되어 있습니다.

이러한 악성코드로 인한 피해 예방을 위한 여러 가지 방법들이 있겠습니다만 이 중에서 PC를 좀더 안전하게 사용하기 위해 참고하면 좋을 V3의 옵션을 알려드립니다.

 

1. 검사 전 엔진 업데이트 하기

 

최근에는 하루에 발견되는 악성코드의 개체 수가 수 만개에 이를 정도로 많고 단기간에 다수의 사용자들에게 감염을 유발하고 사라지는 것을 반복하고 있습니다. 자사에서는 이와 같이 매일 대량으로 유포되는 악성코드에 대응하기 위해 악성코드의 치료기능을 메일 수 차례 업데이트하고 있습니다.
그러므로 검사를 하시기 전에는 반드시 업데이트 버튼을 클릭하셔서 최신 엔진으로 업데이트를 하시고 자동 업데이트를 하도록 설정을 하시는 것이 좋습니다. 또한 성능향상을 위해 비정기적으로 배포하는 패치파일을 업데이트 시 함께 업데이트 하도록 설정을 하시는 것을 권해드립니다.

[그림1] 엔진업데이트 설정

 

2. 모든 파일을 검사하기

 

V3의 검사 옵션 중 검사파일 형식은 [모든 파일]로 설정하시는 것이 좋습니다. 이 옵션을 사용자지정 파일만 검사하도록 설정하는 경우 V3는 자체로 악성의 동작이 가능한 실행 파일에 대해서만 악성여부를 진단합니다. 이 경우 검사 시간이 단축되고 실시간 검사에 들어가는 CPU나 램과 같은 자원의 사용량이 줄어드는 장점이 있습니다.
그러나 최근 악성코드 중에는 실행파일이 아닌 것처럼 위장하는 경우가 있기 때문에 이 옵션으로 인해 일부 악성코드를 진단하지 않을 수 있습니다. PC 사양이 낮거나 자원을 많이 사용하는 등 특수한 환경으로 인해 설정을 할 수 없는 경우가 아니라면 이 옵션은 모든 파일로 설정을 하시는 것을 권해 드립니다.

[그림2] 실시간 검사의 대상 설정

 

3.  오토런 악성코드 감염 방지를 위한 설정

 

윈도우 OS에서 제공하는 자동실행 기능은 PC 사용자가 저장장치를 삽입했을 때 런처의 기능을 해주는 실행파일을 자동으로 실행해주는 것과 같이 PC 사용자가 직접 파일 실행과 같은 행위 하지 않더라도 알아서 작업을 해줍니다. 이와 같이 PC에서 파일을 자동으로 실행해주는 점에 착안하여 악성코드 제작자들이 악성코드가 자동 실행되도록 악용을 하는 경우가 많으므로 감염 예방을 위해 다음과 같이 설정을 해보시기 바랍니다.

 

[그림3]V3 365의 오토런 악성코드 감염 예방 설정

 

 

[그림4] IS 8.0의 오토런 악성코드 감염 예방 설정

 

V3의 옵션 중 USB 드라이브 자동 검사하기 옵션은 PC 사용자가 USB나 외장하드를 삽입 시 V3가 자동으로 검사를 해주는 기능으로 감염된 악성코드가 실행되기 전 치료를 해줍니다.
CD/USB 드라이브 자동 실행 방지 옵션은 이동식 저장장치를 삽입하더라도 자동실행이 되지 않도록 OS 설정을 변경해주는 기능입니다. USB가 악성코드에 감염이 되어 있더라도 자동실행 기능이 동작하지 않으면 PC가 감염되지 않으므로 감염을 예방해줄 수 있습니다.

 

4. Smart Defense와 TrueFind로 진단율 높이기

 

V3를 설치하는 과정에서 아래와 같이 Ahnlab Smart Defense사용에 대한 동의를 요청하는 창을 경험하게 됩니다.

[그림5] Smart Defense 동의 창

 

Smart Defense는 기존에 악성코드에 대한 모든 데이터를 PC로 다운로드 한 후 PC에서 처리하던 방식과 달리 Cloud Computing 개념을 이용한 새로운 기술입니다. Smart Defense는 인터넷에 있는 악성코드 시그니처 DB에 접속하여 악성여부를 판단해주는 기능 뿐 아니라 악성여부를 판단하기 위한 여러 가지 새로운 기법들이 추가되어 있습니다. Smart Defense를 사용하면 V3에서 진단하지 않는 악성코드를 진단해 주고 엔진 업데이트를 하지 않더라도 최신의 시그니처를 사용할 수 있는 장점이 있으므로 활성화하시는 것이 좋습니다.

TrueFind는 루트킷과 같이 보안 제품에서 탐지되지 않도록 숨어있는 악성코드를 찾아 치료를 해주는 기능입니다. 최근 악성코드는 다양한 은폐 기업과 치료를 어렵게 하는 기법을 사용하는 경우가 많아 백신 제품에서 진단되지 않을 수 있기 때문에 이러한 악성코드를 탐지하기 위해 TrueFind와 같은 강력한 탐지/치료 기능이 필요합니다.

TrueFindSmart Defense를 사용하기 위해서는 다음과 같이 설정을 하면 됩니다.

[그림6]V3 MSSSmart Defense설정 

 

[그림7]IS 8.0의 True Find와 Smart Defense 사용하기

 

지금까지 V3의 옵션 중 악성코드의 감염을 예방하기 위해 알아두면 좋은 항목들에 대해서 간단하게 설명을 해드렸습니다.

자사 제품들 중 오래 전 제작되어 제공된 제품에서는 이러한 기능의 일부를 지원하지 않는 경우가 있습니다. 최신 버전의 보안 제품을 사용하는 것은 최신 공격 기법에 대한 방어를 위한 매우 중요한 요입니다. 사용하시는 제품과 구매 시의 계약에 따라 차이가 있을 수 있겠습니다만 V3 제품의 경우 하위 버전의 제품은 최상위 버전으로 무료 업그레이드가 가능하므로 사용하고 계신 제품 버전이 낮은 경우 구입처에 문의를 해보시기 바랍니다.

저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

한국에서 많이 사용되는 한글 소프트웨어에 존재하는 알려지지 않은 제로데이(0-Day, Zero-Day) 취약점 또는 기존에 알려진 취약점을 악용한 악성코드 유포는 2010년 무렵부터 국내에서 발견되기 시작하였다.


이러한 취약점이 발견될 때마다 한글 소프트웨어를 개발하는 한글과 컴퓨터에서는 발견된 해당 취약점을 제거하는 보안 패치도 꾸준히 배포하였다.


금일 다시 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용하여 악성코드 감염을 시도한 사례가 발견되었다.


이 번에 발견된 취약점을 포함하고 있는 취약한 한글 파일(HWP)은 986,624 바이트의 크기를 가지고 있으며, 전자 메일의 첨부 파일 형태로 유포된 것으로 파악하고 있다.



해당 취약한 파일은 아래 이미지와 같은 구조를 가지고 있으며, 한글 파일 내부에 다른 PE 파일이 인코딩 된 상태로 포함되어 있다.



이 번에 발견된 해당 취약한 한글 파일은 아래 이미지와 같은 전체적인 악성코드 감염 구조를 가지고 있으며, 다른 악성코드들과 로그 파일을 생성하게 된다.



해당 취약한 한글 파일을 실행하게 되면 사용 중인 윈도우(Windows) 시스템에 다음의 파일이 생성된다.


C:\WINDOWS\YAHOO.dll (135,168 바이트)


생성된 해당 YAHOO.dll 파일은 다시 윈도우 시스템 폴더(C:\WINDOWS\system32\)에 다음 파일들을 생성하게 된다.


C:\WINDOWS\system32\winview.exe  (49,152 바이트)

C:\WINDOWS\system32\c_38901.nls (45,056 바이트)


그리고 다시 생성된 파일 중 하나인 winview.exe 는 다시 자신의 복사본을 아래와 같이 생성하고 감염된 시스템의 정보들을 기록하는 로그 파일을 생성하게 된다. 


C:\WINDOWS\system32\IBMCodecSrv.exe (49,152 바이트)

C:\WINDOWS\system32\c_43911.nls

C:\WINDOWS\system32\abc.bat (39 바이트)


생성된 abc.bat 는 아래와 같은 커맨드 명령으로 동일한 윈도우 시스템 폴더에 tmp.dat를 생성하고 악성코드가 실행된 년도와 날자를 기록하게 된다.


date /t > "C:\WINDOWS\system32\tmp.dat" 


생성된 로그 파일 c_43911.nls은 아래 이미지와 같이 감염된 시스템의 하드웨어 및 운영체제 정보들 그리고 현재 감염된 시스템에서 실행 중인 프로그램들의 프로세스(Process) 정보 모두를 기록하게 된다



그리고 감염된 시스템이 재부팅을 하더라도 악성코드 자신을 다시 실행시키기 위하여 윈도우 레지스트리에 특정 키를 생성하여 생성된 파일 중 하나인 IBMCodecSrv.exe 을 "Microsoft Audio Codec Services"라는 명칭으로 윈도우 서비스로 등록하게 된다.


HKLM\SYSTEM\ControlSet001\Services\Microsoft Audio Codec Services

ImagePath = "C:\WINDOWS\system32\IBMCodecSrv.exe"


생성된 파일들은 각가 다른 역할을 하도록 설계 되어 제작되었으며, 하나의 악성코드만을 분석하여서는 해당 악성코드들이 어떠한 목적을 가지고 설계 및 제작이 되었는지를 파악하기 어렵도록 구성되었다.


최초 YAHOO.dll에 의해 생성되는 파일인 winview.exe와 해당 파일의 복사본인 IBMCodecSrv.exe는 아래 이미지에서와 같이 감염된 시스템의 하드웨어 및 운영체제 정보 수집한다.



그리고 이와 함께 함께 감염된 시스템에서 다음의 웹 브라우저들이 실행되면 해당 프로세스를 모니터링하여 접속하는 웹 사이트 주소들 역시 모두 수집하게 된다.


FireFox

Internet Explorer

Chrome


winview.exe와 해당 파일의 복사본인 IBMCodecSrv.exe는 감염된 시스템에서 웹 사이트 접속 주소, 하드웨어 및 운영체제 정보들을 수집하여 이를 로그 파일인 c_43911.nls에 기록하는 정보 수집 목적으로 제작된 악성코드 이다. 


그리고 YAHOO.dll 파일에 의해 생성되는 다른 c_38901.nls 파일은 아래 이미지에서와 같이 감염된 시스템에서 임의로 구글(Google) 지메일(Gmail)의 사용자 세션을 연결하게 된다. 



연결한 구글 지메일 세션을 이용하여 c_38901.nls는 특정 메일 주소로  winview.exe와 해당 파일의 복사본인 IBMCodecSrv.exe에 의해 감염된 시스템에서 수집된 정보들이 기록된 로그 파일인 c_43911.nls을 전송하는 정보 탈취 목적으로 제작된 악성코드이다.


이 번에 발견된 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용한 악성코드 감염 시도는 해당 악성코드가 감염된 시스템으로부터 다양한 정보들을 수집하기 위한 목적으로 제작된 것으로 추정되며, 이러한 정보는 향후 다른 공격을 계획하거나 구상할 경우 유용한 데이터로 활용 될 수 있다.


이 번에 발견된 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용한 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.


HWP/Exploit

Trojan/Win32.Dllbot

Trojan/Win32.Npkon


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함된 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Document(57)


현재 해당 악성코드에서 사용한 취약점은 앞서 언급한 바와 같이 한글과 컴퓨터에서 보안 패치가 제공되지 않는 제로데이 취약점이다.


그러므로 메일이나 웹 사이트 등으로부터 전달 받게된 출처가 불명확한 한글 파일을 실행하는 경우에는 각별한 주의가 필요하다.

저작자 표시
신고
Posted by 비회원
일반적으로 서로 다른 윈도우(Windows) 운영체제와 리눅스(Linux) 운영체제에서 모두 감염되어 동작하는 악성코드를 제작하는 것은 기술적으로 많은 사항들을 고려해야 되는 문제임으로 쉽지 않은 사항이다. 특히나 모바일(Mobile) 운영체제와 일반 윈도우 PC 모두에 감염되어 동작하는 악성코드를 제작하기라는 것은 더욱 쉽지 않은 사항이다.

2012년 2월 3일 ASEC에서는  하루동안 전세계에서 수집되어 분석되었던 안드로이드(Android) 어플리케이션들을 확인하는 과정에서 특이하게 특정 어플리케이션 내부에 윈도우 악성코드가 포함되어 있는 것을 발견하였다.

이 번에 발견된 안드로이드 어플리케이션 아래와 같은 구조를 가지고 있으며, 아래 이미지의 붉은색 박스로 표기한 스크립트 파일인 about_habit.htm(123,196 바이트)를 내부에 포함하고 있다. 


해당 안드로이드 어플리케이션 내부에 포함된 about_habit.htm는 일반적인 HTML 파일이 아니며 실제로는 비주얼 베이직 스크립트(Visual Basic Script)로 다음과 같은 형태를 가지고 있다.

 
해당 비주얼 베이직 스크립트 파일은 svchost.exe(61,357 바이트) 파일명으로 윈도우 운영체제에서 감염되는 악성코드를 생성하고 실행하게 되었다.

그러나 해당  비주얼 베이직 스크립트 파일은 안드로이드 운영체제에서는 동작할 수 없는 형태이다. 그리고 해당 파일을 포함하고 있는 안드로이드  어플리케이션의 내부 코드에는 해당  스크립트를 외장 메모리에 쓰도록 제작된 코드는 존재하지 않는다.

이로 미루어 해당 안드로이드 어플리케이션 제작자의 실수 등으로 인해 해당 비주얼 베이직 스크립트 파일이 어플리케이션 제작시 포함되었을 것으로 추정 된다.

이 번 안드로이드 어플리케이션 내부에 포함된 윈도우 악성코드들은 V3 제품군에서는 다음과 같이 진단한다.

VBS/Agent
Win-Trojan/Krap.61357
저작자 표시
신고
Posted by 비회원