"V3 Lite를 최신 버전으로 업그레이드 하세요!"

 

최근 아래와 같이 'AhnLab'을 사칭한 메일이 전송되었다.

 

[그림 1] AhnLab을 사칭한 이메일

 

V3 Lite 업그레이드 권고를 알리는 메일 내용과 더불어 관련 파일이 첨부됐으며, 해당 파일은

Windows 폴더 아이콘으로 위장한 'EXE' 실행 파일이었다.

 

[그림 2] 폴더로 가장한 EXE 실행 파일

 

"알려진 파일 형식의 파일 확장명 숨기기" 기능이 활성화된 Windows 사용자라면 아무런 의심 없이 해당 악성 코드를 실행할 것이며, 필자 또한 폴더 아이콘에 무작정 마우스가 움직였다.

 

악성 코드가 실행되면 'C:\Documents and Settings\[사용자계정]\Local Settings\Application Data'경로에 'local.exe' 파일을 생성하며, 해당 악성 코드가 위치한 경로 내 파일명(V3Lite설치방법 및 제품번호 Ver3.1976.331.25)과 같은 폴더를 생성한다.

 

악성 코드가 생성한 폴더는 자동으로 FullScreen 상태로 열리며, 사용자가 악성 코드를 실행했다는 걸 눈치 못 채게 하는 치밀함을 보인다. 생성된 폴더 내에는 V3 Lite UI 캡처 이미지 파일과 Serial Number가 기재된 텍스트 파일이 존재한다.

 

[그림 3] 악성 코드 실행 시 생성되는 폴더 내 파일들

 

악성 코드는 추가로 생성한 '_selfmove.bat'의 batch 명령어를 통해 'C:\Documents and Settings\[사용자계정]\Local Settings\Application Data' 경로 내에 'testmove.pdf'로 복제된 뒤, 자가 삭제된다.

 

이후 해당 악성코드는 추가적인 행위를 보이진 않지만, 추가 생성됐던 'local.exe' 악성 코드를 통해 특정 URL과 통신할 것으로 추정할 수 있다.

 

[그림 4] 'local.exe'가 통신할 것으로 추정되는 특정 URL

 

'local.exe' 악성코드가 통신할 C&C로 추정되는 서버는 현재 존재하지 않기 때문에, 정확한 악성 행위는 파악할 수 없으나, 해당 주소로부터 추가적인 악성 코드를 다운로드 할 것으로 예상한다.

 

'local.exe'가 연결을 시도하는 특정 URL은 아래와 같다.

 

hxxp://d.ahn*****.com/***/update2014.php

hxxp://d.ahn*****.com/***/download2014.htm

hxxp://d.ahn*****.com/***/DownLoadSuccess.php

hxxp://d.ahn*****.com/***/DownLoadFail.php

hxxp://d.ahn*****.com/***/ExeFail.php

[표 1] 'local.exe'가 연결을 시도하는 URL

 

첨부된 파일의 궁금증을 유발시키는 메일 문구를 통해 무심코 사용자가 첨부 파일을 다운 및 실행 유도하는 악성 코드 유포방식은 지난 10월부터 시스템 정보를 탈취하는 악성 코드로 이슈화된 'my new photo :)' 스팸 메일의 경우와 유사하다.

 

[그림 5] 악성 코드를 첨부 한 'my new photo' 스팸 메일

 

출처가 불분명한 메일의 첨부파일은 각별한 주의가 요구된다.

 

V3 제품에서는 아래와 같이 진단하고 있다.

 

<V3 제품군의 진단명>

 

Dropper/Win32.Agent (2014.11.21.04)

Trojan/Win32.Agent (2014.11.22.01)

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

 

스마트 폰 사용자들을 타깃으로 금전적 이득을 취하려는 악성 앱과 개인정보를 포함한 인터넷 뱅킹 정보를 탈취하려는 악성 앱이 급격히 증가하고 있다.

 

악성 앱 제작자는 지능적으로 사용자에게 악성 앱을 설치하도록 유도하고 있다. 설치 유도 방식 중에 가장 널리 이용되고 있는 것이 스미싱이다.

 

이러한 스미싱으로부터 사용자의 정보와 자산을 보호하기 위해 안랩에서는 '안전한 문자' 앱을 안드로이드 스마트폰 사용자에게 무료로 제공하게 되었다.

 

 

'안전한 문자'는 모바일 백신 제품이 아니므로, 스마트 폰 제조사를 통하여 제공하고 있는 V3 모바일 백신 제품과 함께 사용하기를 권한다.

 

앞으로 안랩에서 제공하는 '안전한 문자'를 사칭한 악성 앱이 발견될 수 있으므로, 반드시 공인 마켓에서 'AHNLAB' 개발자를 확인하고 설치 해야 한다.


[그림 1] 안랩 '안전한 문자' Play 스토어

 

 

https://play.google.com/store/apps/details?id=com.ahnlab.safemessage

구글 플레이 마켓에서 다운로드 받을 수 있다. '안전한 문자'를 설치 및 실행해 보자.

 

'안전한 문자' 앱의 설치와 설정은 [다음] 단계를 넘어가면서 쉽게 설정할 수 있다.

앱의 기능은 아래 그림과 같이 간결하면서도 이해하기 쉽게 표현했다.

[그림 2] '안전한 문자' 앱 실행 1

 

 

[그림 3] '안전한 문자' 앱 실행 2

 

링크를 검사할 수 있도록 설정하는 화면이다.

 

[그림 4] '안전한 문자' 링크 검사 설정


 

문자 메시지 검사 화면이다.

 

[그림 5] '안전한 문자' 검사 화면

 

   

위험한 문자를 발견했을 때 화면이다.

 

[그림 6] 위험한 문자 발견

 

'안전한 문자'는 △악성 URL이 포함된 문자 메시지 탐지, △ URL을 통한 웹 브라우징 실행 시 실시간 감지 기능, △알 수 없는 소스(출처) 허용 설정 여부 확인 등 3가지 다차원 보안 기능으로 스미싱 위협을 탐지한다.

먼저 '안전한 문자'는 사용자가 URL이 포함된 문자 메시지의 수신 시, 해당 URL을 자동 검사해 악성 앱 포함 여부를 알려준다. 메시지에 포함된 URL이 악성으로 확인될 경우는 위험을 알리는 경고 창이 떠 사용자에게 위협을 알려준다. 초기 탐지된 의심스러운 URL이 포함된 문자일 경우에는 스마트폰 상단에 있는 상태 확인 바에 '안전한 문자'의 아이콘이 노란색으로 '주의'할 것을 알려 주고, 악성이 아닐 경우 초록색으로 표시된다.

   

'안전한 문자'는 설치 후 최초 실행 시 문자 실시간 감시 활성화와 함께 자동으로 문자 메시지 수신함 전체 검사가 이루어진다. 이후 사용자가 안전한 문자 서비스의 '실시간 감시 기능'을 껐다가 켜면 최근 7일간 수신한 문자를 검사한다. 또한, 스마트폰 기종에 따라 MMS(멀티미디어 메시지)의 실시간 감시 및 검사도 지원한다.

   

특히 '안전한 문자'의 URL 실행 실시간 감지 기능은 타 유사 서비스(피싱 방지 앱 서비스)에서 제공하지 않는 기능이다. 이 기능(실시간 URL 링크 감지)은 문자메시지뿐 아니라 페이스북, 트위터, 카카오톡, 메모장 등 스마트폰 내 다양한 앱에서 URL을 실행해 웹사이트에 접속할 경우에도 악성 앱 다운로드 여부를 탐지해 알려줘 더욱 유용하다.

   

또한, 사용자가 스마트폰 환경 설정을 '알 수 없는 소스(출처) 허용' 상태로 해놓았을 경우 경고하는 기능도 추가해 무의식적인 사용에 따른 피해방지도 가능하다. 이는 (악성 앱일 가능성이 높은) 공식 마켓 이외 출처의 앱 설치 시도를 막는 1차적인 안전장치이다.

   

사용자는 '안전한 문자'를 이용해 실시간으로 악성 URL이 포함된 문자 메시지나, 악성 앱을 다운로드하는 URL 링크를 감지하고 V3 모바일로 즉각 치료하면 된다.

   

'안전한 문자'는 구글 플레이 마켓(https://play.google.com/store/apps/details?id=com.ahnlab.safemessage)에서 무료로 다운받아 설치할 수 있다. 지원언어는 한국어로 추후 영어 외 언어지원으로 서비스를 확대해 나갈 예정이다.

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

- 신규 Java 0-day 취약점 주의!

2013 1 10일 새로 발견된 Java Zero-day 취약점 (CVE-2013-0422)을 이용하여 악성코드에 감염되는 실제 사례가 국내에서 발견되어 주의가 필요하다.

해당 취약점은 Blackhole Exploit Kit, Cool Exploit Kit, Nuclear Exploit Kit 등 자동화된 공격 도구에 이용되고 있으며 전세계에서 빠르게 확산되고 있는 상황이다.

이 취약점을 이용한 공격방법은 매우 다양한데, 아래와 같이 e-mail 에 악성링크 클릭 유도하거나 SEO poisoning 기법 이용하여 검색 사이트 상위에 노출시켜 접근토록 유도하는 사례 등도 발견되었다.


[그림 1. Java 취약점을 이용한 악성 e-mail ]


[그림2. Java 취약점을 이용한 악성스크립트 코드]

 

[그림3. 다운되는 악성 Jar 파일 구조]

 

현재 모든 버전의 Java 7 최신버전의 Java (Java 7 Update10)을 포함하여 Java 7의 어떤 버전이던지 익스플로잇이 포함된 악성스크립트에 노출되면 시스템이 감염되게 된다. Oracle에서는 현재 별도의 fix 툴을 제공하지 않고 있으므로, 악성코드에 감염되는 것을 예방하려면 아래와 같이 설치된 Java의 패치가 나오기 전까지 일시적으로 시스템에서 삭제하는 것을 권한다.

 

[그림4. Java 삭제방법 제어판 -> 프로그램 제거]

Java는 추후 공식 홈페이지인 http://www.java.com/ko/ 에서 다운로드하여 재설치할 수 있다.

 

V3 제품군에서는 아래와 같이 진단/치료가 가능하다.

Trojan/JAVA.Agent (2013.01.11.05)

JAVA/Cve-2013-0422 (2013.01.11.05)

JS/Agent (2013.01.11.05)

신고
Creative Commons License
Creative Commons License
Posted by 비회원

최근 일본에서 여성 스마트폰 유저를 타겟으로 한 개인정보 유출형 악성코드가 발견되었다.

악성코드는 일반적으로 성인물, 도박, 불법약물 등 주로 남성들이 혹할만한 매개체 위주로 제작되는데에 반해, 최근 발견된 이 악성어플은 성인 여성을 노리고 제작된 점이 특징이다.

이 악성 어플은 어떠한 경로로 감염되는지 알아보자.

 

A.    여성 종합 정보 사이트

 여성 종합 정보 사이트에 아래그림과 같이 이 남자를 추천합니다라는 광고문구의 링크를 만들어 해당 링크를 클릭할 경우 악성 앱을 다운받아 설치를 유도한다.

 

[fig 1. 여성정보 웹페이지에 있는 이남자를 추천합니다라는 문구의 링크] 출처: Symantec


B.     광고성 스팸 메일 

또 다른 감염방법으로 돈을 많이 벌고 싶은 여성은 보세요라는 내용으로 다량의 스팸 메일을 보내고, 자극적인 내용의 본문 속에 삽입된 링크를 클릭할 경우 악성앱이 다운로드된다.

 

[fig 2. 악성어플을 설치 유도하는 스팸메일 ]

 

다운로드된 악성코드는 아래와 같이 일본어로 구성되어 있는 어플을 설치한다. 어플리케이션의 이름은 당신 이길 수 있어?’ 라는 뜻이며, 호기심을 자극하여  어플을 실행해 보게끔 한다.

 

[fig 3. 악성 어플리케이션 정보]

 

이 악성코드는 실행시 숫자가 카운트된 후 아래와 같이 당신은 졌다라는 화면이 나오며, 특별히 다른 메뉴는 존재하지 않는다.

[fig 4. 악성어플 실행화면]

 

악성어플은 설치 및 실행과정에서 아래와 같이 사용자 개인정보를 탈취하는 기능이 있다. 특히 스마트폰의 주소록을 특정 서버 (http://58.**.**..229/ap**i/a****gist)로 모두 전송하는 기능이 있어 개인정보를 심각하게 침해하므로 주의를 요한다.

 

[fig 5. 악성 코드]


위 악성코드는 V3 mobile 제품군에서 아래와 같이 진단/치료가 가능하다

 

<V3 mobile 제품군의 진단명>

Android-Trojan/Loozfon (V3. 2012.09.04.00 )

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

최근 이메일을 통해 문서파일(DOC, HWP, PDF )의 취약점을 이용하여 상대방의 시스템을 공격하는 일종의 APT 공격 시도가 많이 포착되고 있다.

 

공격이 되는 대상은 기존에 불특정 다수에게 e-mail 을 유포하는 방식이 아닌 특정 집단(기관, 학교, 회사 등) 을 주로 하고 있으며 사전에 수집된 e-mail 을 바탕으로 악성 파일을 drop 하는 문서파일을 첨부하며 열람을 유도해 표적 공격을 시작한다.

 

표적공격시 발송하는 e-mail 의 특징들은 아래와 같다.

 

1. 제목이 자극적이거나 중요한 메일인 것 같은 뉘앙스를 띔

2. 취약점을 사용할 수 있는 문서파일을 첨부하며 첨부파일 이름도 중요성을 띈 것처럼 표기

3. 메일 내용은 자세히 적지 않고, 첨부파일을 확인하라고 하여 문서파일 열람을 유도

 

아래는 실제 APT 공격에 사용된 e-mail 이다.

 

[그림 1. APT 공격에 사용된 e-mail ]

 

 

문서파일은 알려진 취약점을 이용하여 조작되어 있으며, 해당 취약점이 패치되지 않은 어플리케이션으로 문서를 열 경우 악성파일이 생성되며 사용자 시스템을 감염시킨다.

사용자는 평소와 다름없이 문서파일을 열었을 뿐인데 악성파일에 감염되게 되며, 문서 또한 정상적으로 열리므로 감염사실을 전혀 눈치 챌 수 없다.

 

아래는 e-mail에 첨부된 PDF 문서의 일부이다. 별도의 확인과정이 없다면, e-mail 발송자가 악의적인 의도가 있는 것인지 아닌지 구분하기가 거의 불가능하다.

 

[그림 2. APT 공격에 사용된 악성 PDF 문서]

 

 

패치되지 않은 PDF reader로 문서를 열게 되면, exploit 이 동작하면서 악성 파일을 시스템에 심는다.

해당 악성 문서파일의 경우 아래의 경로에 두 개의 파일을 drop 한다.

 

C:\Documents and Settings\[사용자]\시작 메뉴\프로그램\시작프로그램\ld.exe

C:\Documents and Settings\[사용자]\Local Settings\Temp\AdobeARM.dll

 

[그림 3. 설치된 악성파일]

 

 

이 악성파일은 시작프로그램에 등록되어 부팅시 실행되며, 주기적으로 C&C서버( 17*.***.***.*90:80, http://Ch****k.K**k.** ) 에 접속하여 명령을 수행하는 좀비 PC를 만든다.

 

이같이 e-mail 을 이용한 APT 공격이 유행하고 있으니 세심한 주의가 필요하다.

아래의 사항들을 지키면 위 유형의 공격을 어느 정도 예방할 수 있다.

 

1. E-mail 사용시 발신인을 확인할 수 없는 메일 열람을 자제

2. 출처를 알 수 없는 첨부파일을 열지 말 것

3. 문서관련 어플리케이션은 주기적으로 업데이트하여 최신버전을 유지

4. 사용하는 Anti-Virus 제품의 실시간 검사를 활성화하고 엔진을 최신버전으로 유지

 

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

Win-Trojan/Dropper.36352 (2012.06.21.00)

Win-Trojan/Agent.32768.CEU (2012.06.21.00)

PDF/Exploit (2012.06.20.03)

 

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안랩에서는 4월 2일 "인터넷뱅킹 정보탈취 악성코드 스파이아이 트렌드 발표"라는 보도자료를 배포하고, 금전적인 목적으로 인터넷 뱅킹 정보를 탈취하는 악성코드인 스파이아이(SpyEye)에 대해 경고하였다.

스파이아이는 2010년 11월 ASEC에서 분석 및 연구한 결과에서 처럼 툴킷(Toolkit)을 통해 악성코드를 제작할 때 악성코드 제작자에 의해 어떠한 웹 사이트들 사용자 정보들을 탈취 할 것인지를 설정 파일을 통해 구성 할 수 있게 되어 있다.

ASEC에서는 2012년 1분기 동안 확보한 스파이아이 악성코드 샘플들을 대상으로 스파이아이가 어떠한 기업들의 사용자 계정 정보와 암호를 탈취를 노리는지 자세한 분석을 진행 하였다.

일반적으로 스파이아이는 악성코드가 첨부된 이메일 또는 취약한 웹 사이트 등을 통해 유포되고 있음으로 백신을 사용하지 않거나 최신 엔진으로 업데이트하지 않는 사용자와 취약점이 존재하는 윈도우 운영체제 사용자들의 감염이 비교적 높은 편이다.

ASEC에서 스파이아이 악성코드가 생성하는 암호화 되어 있는 설정 파일을 분석 한 결과로는 악성코드 제작자의 공격 대상이 되는 웹 사이트를 보유한 기업들의 지리적 위치는 아래 이미지와 같이 독일, 미국 그리고 캐나다 순서로 금융업이 발달한 국가들에 집중 되어 있었다.

그리고 해당 공격 대상이 되는 웹 사이트를 보유한 기업들의 업종별로 분류한 이미지는 아래와 같이 온라인 뱅킹을 지원하는 기업들에 대부분이 집중 되어 있으며 그 외에 전자 결제 서비스, 금융 투자 등의 순서로 구성되어 있다.

한 가지 특이한 사실로는 스파이아이 제작자의 공격 대상이 되는 웹 사이트들 중에는 온라인 항공권 구매 서비스를 지원하는 항공사도 포함되어 있다는 점이다.

ASEC에서 운영하는 패킷 센터(Packet Center)의 구성 시스템인 SpyEYE C&C Tracking 시스템을 통해 분석한 스파이아이가 탈취한 사용자 계정 정보와 암호를 전송하는 C&C(Command and Control) 서버가 위치해 있는 국가는 아래 이미지의 녹색 부분과 같다.



C&C 서버가 위치해 있는 국가는 대부분 미국에 집중 되어 있으며 그 외에 러시아와 우크라이나 순서로 집중 되어 있어, C&C 서버 대부분이 해킹된 시스템 또는 관리가 소흘한 시스템에 의해 설치되는 것으로 분석하고 있다.

다행스럽게도 스파이아이 제작자가 탈취를 노리는 웹사이트들에는 한국 금융 기업들이 포함되어 있지 않다. 이는 과거 몇 년전부터 진행되었던 보안 위협들의 국지화에 따른 현상으로 해석 할 수 있다. 그러나 외국 금융 기관과 온라인 뱅킹을 통해 거래를 하는 사용자들은 스파이아이 악성코드 감염에 따른 피해에 대해 많은 주의를 기울일 필요가 있다.


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

스마트폰에 대한 사용이 급증함에 따라 기존의 Barcode 기술의 Data 저장용량의 한계로 인해 새롭게 각광받는 것이 QR 코드라는 기술이다.

QR 코드는 스마트폰의 카메라(스캔) 기능을 활용하여 그림과 같은 물리적 자료에서 디지털정보, 즉 인터넷 주소 등을 변환해 주는 역할을 함으로서 특히 이벤트나 광고에서 많이 사용되었다.


[ 그림. 광고에 사용되는 QR 코드 ]



러시아의 특정 웹사이트에서 이와 같이 효과적으로 정보전달을 할 수 있는 매개체인 QR코드가 SMS를 통해 과금을 시키는 스마트폰 악성코드를 유포하는데 활용된 것이 밝혀져 관련 내용을 전한다.


1. 유포 유형

러시아의 특정 웹페이지에서 어플리케이션 홍보형식으로 QRcode 와 주소링크를 통해 유포되었다.

화면 중앙 상단에 안드로이드 어플리케이션을 바로 받을 수 있는 URL과 QRcode 를 스캔할 수 있게 되어있고, 좌측에는 어플리케이션 실행 화면이 나와있다.


[ 그림. 악성코드를 유포하는 러시아 웹사이트 ]


2. 악성코드 분석

해당 악성코드는 아래 그림과 같은 권한을 사용한다.
아래의 SEND_SMS 권한은 문자를 송신할 때 반드시 요구되는 권한으로 악성어플리케이션을 구분하는데 중요한 단서가 된다.

만일 게임과 같이 설치하려는 어플리케이션이 문자를 송신할 필요가 전혀 없는 어플리케이션인데 SEND_SMS 권한을 사용하고 있다면, 한번쯤 악성어플인지 의심할 필요가 있다.


[ 그림. 악성 어플리케이션 정보 ]


아래와 같은 코드를 이용하여 "2476" 의 premium rate number 로 문자를 송신하는 기능이 있다.
(러시아에선 약 6달러가 결제된다고 알려져 있다.)

참고로 이 악성코드는 Disassemble 시 코드를 분석하기 어렵도록 약간의 난독화가 되어 있다.


[ 그림. 문자과금 관련 코드 ]


3. 결 론

위 악성코드는 Android-Trojan/SmsSend.K 로 V3 모바일제품에서 진단한다.

스마트폰 악성코드는 더이상 개념상의 악성코드가 아닌 실제로 웹상에서 유포되고 있고, 현재도 악성코드에 감염된 스마트폰이 분명히 존재한다.

또한 위 악성코드처럼 악성코드는 항상 최신의 트렌드를 반영하며 좀 더 많은 기기들을 감염시키기 위해 기법을 발전시키며 사용자들을 유혹하고 있는 점에 주목하자.

아래의 수칙을 반드시 지켜 자신의 스마트폰을 악성코드로부터 안전하게 보호하는 것을 권한다.


1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.




신고
Creative Commons License
Creative Commons License
Posted by 비회원
스마트폰 개인정보를 유출시키는 정보유출형 안드로이드 악성코드가 발견되어 관련 내용을 전한다.


▶ 개인정보 유출

해당 악성코드는 설치와 동시에 아래와 같은 스마트폰 개인정보를 중국의 베이징에 위치한 서버 (http://on***an.com/net***d/nm*****n.jsp) 로 유출시킨다.

1. IMEI
2. 제조사 (manufacturer)
3. Model 번호
4. IMSI


[pic. data stealing code]


[pic. sending data with http post ]



다른 악성앱과 다른 점은, 위의 개인정보들을 유출하는 것 뿐아니라 특정 어플리케이션이 설치되어 있는지 조사하는 기능도 포함하고 있다는 것이데, 어플리케이션을 찾을 때 단순히 패키지네임만을 비교하는 것뿐 아니라 패키지파일(APK)의 MD5 hash 를 이용하여 더욱 정교하게 비교한다는 점이다.(패키지네임만으로는 중복값이 있을 수 있다.)

해당 악성앱이 설치여부를 검사하는 패키지네임들은 아래와 같다.

 com.cola.twisohu
 com.sohu.newsclient
 com.duomi.android
 com.snda.youni
 cn.emoney.l2
 com.diguayouxi
 com.mx.browser
 com.uc.browser
 com.onekchi.xda
 cn.goapk.market
 com.wuba
 com.mappn.gfan
 com.hiapk.marketpho

[pic. checking md5sum ]


현재 해당 악성어플리케이션은 V3 모바일제품에서 아래 진단명으로 진단/치료가 가능하다.

2011.08.10.00
Android-Spyware/Netsend

아래의 수칙을 지켜 스마트폰이 악성코드에 감염되는 것을 예방하도록 하자.

1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.


신고
Creative Commons License
Creative Commons License
Posted by 비회원

 


1. 파일 공유사이트, utorrent, P2P 프로그램에서 다운로드 받은 파일 주의 !


- 파일 공유사이트에서 받은 파일, 믿을 수 있을까 ?

- 많은 사람들이 파일 공유사이트를 이용하는 가장 큰 이유중에 하나는 접근하기 쉽고, 원하는것을 쉽게 얻을 수 있어서 일것 이다. 하지만, 파일 공유사이트 및 특정사이트의 접속만(취약점)으로 악성코드에 감염되는 사례를 다수 보여왔고, 현재에도 여전히 유효하다.


- 악성코드 유형 및 배포 URL 자료 


[그림] 악성코드 유형 분포도 / 악성코드 배포 URL




2. 내 PC의 보안패치, 응용프로그램 패치로 취약점을 조치한다면, 안전할까?


- 악성코드가 이용하는 취약점을 패치하였다면, 사이트 접속만으로 감염되지는 않는다.
하지만, 공유되는 파일에 대한 안전성까지 보장하는 것은 아니다.

- 파일 공유사이트가 악성코드 경유지 뿐만 아니라, 악성코드 제작자의 유포지로 악용되는 점을 안내하고자 한다.





3. 파일 공유사이트, utorrent, P2P 프로그램에서 받은 동영상(AV) 을 살펴 보자.


[그림] 동영상으로 추정되는, exe 로 압축된 형태의 파일




- 동영상 이름으로 보이지만, exe 형태로 압축되어 있다. 이 중에 하나를 확인해 보자.

- exe 형태로 압축된 파일을 실행하면, 동영상 파일이 생성되어 사용자는 정상적인 동영상 파일이 압축된 것으로 믿게 된다.

- 추가 생성되는 악성코드는 사용자가 알 수 없도록 백그라운드로 생성/실행 된다.

- C:\WINDOWS 폴더에 setup.exe / DTLitte.exe / _info.inf 파일을 생성한다.

 [그림] 다운로드 받은 파일 / 생성된 악성코드



- 감염시 증상

방화벽을 우회하여 백도어로 사용될 수 있다.
 

[그림] 악성코드에 의해 변경된 방화벽 예외 설정





4. V3 진단명



Dropper/Agent.1995028
Win-Trojan/Agent.1724928





5. 악성코드의 감염을 예방하고, 피해를 최소화 시키는 방법 !



 1) 윈도우 보안패치를 항상 최신으로 유지한다.
  - Microsoft : http://update.microsoft.com (Windows 정품인증 필요)

 2) 응용 프로그램 패치를 항상 최신으로 유지한다.
  - Adobe Flash Player 업데이트 : http://www.adobe.com/go/getflash/
  - Adobe Reader : http://www.adobe.com/go/getreader/

 3) 신뢰할 수 없는 사이트 및 파일은 접근하지 않는다.

 4) V3 제품을 설치하고, [환경설정] ASD 기능을 활성화 한다.
  - ASD 기능 이란? (바로가기)

 5) AhnLab SiteGuard 설치하여, 위험 사이트는 접근하지 않는다.
  - AhnLab SiteGuard 설치하기 (바로가기)

- Anti-Virus V3

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@
1. 개 요

안드로이드폰을 강제루팅 후 권한을 탈취하여 좀비화시키는 악성코드가 또 다시 발견되었다.
해당 악성코드는 'DroidKungFu' 라 불리며,  이전 DroidDream 악성코드와 유사한 패턴을 갖고 있지만 좀 더 정교한 코드와 복잡한 기능을 수행함으로서 악성코드가 계속 진화하고 있다는 것을 증명하고 있다.
본 포스트를 통해 악성코드가 어떻게 진화하였는지 알아보자.


2. 분 석

  1. 유포 경로
    'DroidKungFu' 악성코드는 정상 앱을 리패키징(re-package) 하여 유포되며, 중국 내 몇몇의 App Market 과 forum 들에서 유포되었다.


                                                                그림. 악성 어플

  2. 정보 수집
    해당 악성코드가 설치되면, 먼저 doSearchReport() -> updateInfo() 함수를 통해 스마트폰의 다양한 정보들을 수집 후 특정 서버로 전송한다.

                                                             그림. dosearchReport


                                                             그림. updateinfo


    이 과정에서 탈취되는 정보와 유출 경로는 다음과 같다

    - 탈취 정보

    imei
    ostype
    osapi
    model
    SDKVersion
    SDcard info
    internal Memory Size
    Net operator
    phone number
    running service



  3. Rooting
    정보 수집 후 악성앱은 사용자의 폰에 대해 getPermission() 함수를 통해 루팅을 시도한다.
    이때 이용되는 exploit 코드는 "RageAgainstTheCage" 라는 exploit 으로 DroidDream 때 사용되었던 코드와 동일한 코드로 Android 2.2 이하의 버전에서는 위 exploit 에 노출될 수 있다.


                                                           그림. getPermisson

    해당 익스플로잇은 '/assets/ratc' 파일로 AES 알고리즘을 사용하여 암호화되어 있는데, 악성앱 실행시 복호화되어 실행되어 진다.
    복호화에 사용되는 Key 값은 아래와 같다.


                                                           그림. 암호key

  4. Installing more malware
    rooting 이 성공하면 cplegacyres() 함수를 통해 'assets' 에 저장되어 있던 다른 악성 앱을 설치하게 되는데, 이 악성앱은 구글의 'Google Search' 앱을 위장하고 있다.


                                                              그림. cplegacyres

     

     정상앱의 경우 어플리케이션 이름은 'Google Serach' 이지만 해당 악성앱은 'Google SSearch' 라는 이름을 사용하고 있어 육안으로 구분이 가능하다.


                                                          그림. Google SSearch

    설치되는 악성 'Google SSearch' 는 서비스 형태로 System 권한을 받아 동작하며, 사용자폰을 원격통제(좀비화)하는 기능을 수행한다.
    이 때 사용되는 Command 는 아래와 같다.

    - C&C 커맨드 목록

    execHomepage : 지정된 homepage 를 연다
    execInstall : 지정된 url 의 안드로이드 패키지(앱) 파일을 다운받고 설치한다
    execStartApp : 지정된 안드로이드 앱을 실행시킨다.
    execOpenUrl : 지정된 url 을 연다
    execDelete : 지정된 file 을 삭제한다.


                                                                 그림. commands

3. 마치며


해당 악성코드는 V3 mobile 에서 아래와 같이 진단하고 있다.

엔진버전: 2011.06.07.00

Android-Exploit/Rootor.I
Android-Exploit/Rootor.K



                                                                 그림. 진단화면

아래의 수칙을 지켜 자신의 스마트폰이 악성코드에 감염되는 것을 예방하도록 하자.

1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.

 
The credit of discovering this malware goes to Dr. Xuxian Jiang and his research team at North Carolina State University.

신고
Creative Commons License
Creative Commons License
Posted by 비회원