2012년도에는 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 취약점을 악용한 타깃 공격(Target Attack)이 예년에 비해 비교적 크게 증가하였다.


이 중에는 기존에 알려지지 않은 제로 데이(Zero Day, 0-Day)을 악용한 공격 형태도 2012년 6월과 11월에 발견될 정도로 한글 소프트웨어 취약점을 악용한 공격의 위험성이 증가하고 있다.


2012년 6월 - 한글 제로데이 취약점을 악용한 악성코드 유포


2012년 11월 - 국방 관련 내용의 0-Day 취약점 악용 한글 파일


이러한 한글 소프트웨어에 존재하는 기존에 알려지지 않은 제로 데이 취약점을 악용한 공격이 1월 25일경 다시 발견되었다.


이 번에 발견된 한글 소프트웨어의 제로 데이 취약점을 악용하는 취약한 한글 파일은 아래 이미지와 같이 다수의 개인 정보를 포함한 형태로 발견되었다.



해당 취약한 한글 파일은 아래 이미지와 동일한 같은 구조를 갖고 있으며, 이 중 "BinData" 항목의 "BIN0001.bmp" 라는 비정상적인 이미지를 파싱하는 과정에서 취약점이 발생하게 된다.



이로 인해 영향을 받게 되는 한글 소프트웨어의 모듈은 "HncTiff10.flt"에서 TIFF 형식의 이미지를 파싱하는 과정에서 발생하는 코드 실행 취약점이다.


해당 제로 데이 취약점으로 인해 영향을 받는 한글 소프트웨어는 ASEC의 내부적인 테스트 결과로는 다음 버전에서 동작하게 된다.


한글 및 한컴 오피스 2007

한글 및 한컴 오피스 2010


최신 보안 패치가 모두 적용된 한글 2007과 2010 버전에서는 해당 취약한 문서를 여는 과정에서 바로 취약점이 동작하게 된다. 


하지만 최신 패치가 적용되지 않은 한글 2010 버전에서는 아래 이미지와 같은 오류 메시지가 발생하며, 해당 오류 메시지를 종료하는 순간 취약점이 동작하게 된다.



해당 제로데이 취약점을 포함하고 있는 한글 파일이 정상적으로 열리게 되면 아래 이미지와 같은 전체적인 구조를 가진 다른 악성코드들이 생성된다. 


우선 취약한 한글 파일이 정상적으로 열게 될 경우에는 아래 경로에 HncUpdate.exe (641,024 바이트)가 생성 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\HncUpdate.exe


생성한 HncUpdate.exe (641,024 바이트)은 GetTempFileName 함수를 이용하여 임의의 문자열을 파일명으로 가지는 tmp 파일 3개를 다음과 같은 경로에 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\[임의의 문자열].tmp (187,904 바이트)

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\[임의의 문자열].tmp (181,760 바이트)

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\[임의의 문자열].tmp (219,136 바이트)


HncUpdate.exe (641,024 바이트)가 생성한 tmp 파일 중 187,904 바이트 크기를 가지는 tmp 파일을 다시 아래 경로에 w32time.exe (187,904 바이트) 파일명으로 다시 복사를 하게 된다.


C:\WINDOWS\system32\w32time.exe


그리고 생성한 w32time.exe (187,904 바이트)을 윈도우 서비스로 실행하기 위해서 윈도우 레지스트리 다음 경로에 "Windows Time"라는 윈도우 서비스 명으로 아래와 같은 키 값을 생성하게 된다.


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32time

ImagePath = C:\WINDOWS\system32\w32time.exe


w32time.exe (187,904 바이트)은 파일 다운로드 기능만 가지고 있는 파일이며, 다른 악의적인 기능은 존재하지 않는다.  


해당 w32time.exe (187,904 바이트)이 실행이 되면 파일 내부에 하드코딩 되어 있는 웹 사이트 주소 3곳에 존재하는 GIF 또는 JPG 확장자를 가진 파일을 다운로드 하게 된다.


분석 당시에는 아래 이미지와 같이 다운로드 되는 해당 파일들은 GIF와 JPG 파일 시그니처만 남아 있는 손상된 파일들이다



해당 악성코드 제작자는 현재까지는 손상된 GIF와 JPG 파일을 사용하고 있으나, 적절한 시기에는 이를 다른 악성코드로 변경하여 동시에 다수의 악성코드를 유포하기 위한 것으로 추정된다.


그리고 생성된 다른 임의의 문자열을 파일명으로 가지는 tmp 파일 2개는 윈도우 비스타(Windows VISITA)와 윈도우 7(Windows 7)에 존재하는 UAC(User Access Control) 기능을 무력화하여 생성한 악성코드를 정상적으로 실행하기 위한 기능을 수행하게 된다.


이 번에 알려진 한글 소프트웨어에 존재하는 제로 데이 취약점을 악용하는 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


 HWP/Exploit 

 Trojan/Win32.Agent 

 Win-Trojan/Agent.219136.DC

 Dropper/Agent.641024.G 

 Win-Trojan/Agent.181760.HT


그리고 APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-DE 


향후 출시 예정인 V3 다음 버전에 포함된 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit

Suspicious/MDP.Exploit

Suspicious/MDP.Behavior

Suspicious/MPD.DropExecutable


현재 해당 악성코드에서 사용한 취약점은 앞서 언급한 바와 같이 한글과 컴퓨터에서 보안 패치가 제공되지 않는 제로데이 취약점이다.


그러므로 이메일이나 웹 사이트 등으로부터 전달 받게된 출처가 불명확한 한글 파일을 실행하는 경우에는 각별한 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

이스라엘 언론인 The Times of Israle의 "How Israel Police computers were hacked: The inside story"을 통해 이스라엘 정부 기관을 대상으로 한 타겟 공격(Targeted Attack)이 발생하였음이 공개되었다.


이러한 정부 기관을 대상으로 한 타겟 공격은 최근에는 10월 18일 대만 기상청을 대상으로한 타겟 공격이 발견된 사례가 있다. 특히 이 번에 발견된 이스라엘 정부 기관을 대상으로 한 타겟 공격은 대만 기상청을 대상으로 한 타겟 공격과 유사한 형태로 이메일을 통해 시작되었다.


이스라엘 정부 기관을 대상으로한 타겟 공격에 사용된 이메일은 다음과 같은 메일 형식을 가지고 있는 것으로 트렌드 마이크로(Trend Micro)에서 블로그 "Xtreme RAT Targets Israeli Government"를 통해 밝히고 있다.


발신인 - bennygantz59.gmail.com 


이메일 제목 - IDF strikes militants in Gaza Strip following rocket barrage


첨부 파일명 - Report & Photos.rar


첨부된 Report & Photos.rar의 압축을 풀게 되면 "IDF strikes militants in Gaza Strip following rocket barrage.doc[다수의 공백].scr(999,808 바이트)"이 생성된다. 


생성된 해당 파일은 RARSfx로 실행 가능한 형태로 압축된 파일로 파일 내부에는 아래 이미지와 같이 2.ico(318 바이트), barrage.doc(85,504 바이트)와 Word.exe(827,120 바이트)가 포함되어 있다.



해당 "IDF strikes militants in Gaza Strip following rocket barrage.doc[다수의 공백].scr(999,808 바이트)"을 실행하게 되면, 아래 이미지와 같이 파일 내부에 포함된 barrage.doc(85,504 바이트)을 보여주게 된다.



그러나 사용자 모르게 백그라운드로 다음의 경로에 내부에 포함하고 있는 파일들을 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\2.ico

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\\barrage.doc

C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\Word.exe


그리고 생성된 파일 중 Word.exe(827,120 바이트)를 실행시켜 ".exe(4 바이트)" 파일을 생성하고, 윈도우 시스템에 존재하는 정상 파일인 sethc.exe을 로드 한 후 해당 프로세스의 메모리 영역에 자신의 코드 전체를 삽입하게 된다.



자신의 코드가 정상적으로 삽입하게 되면 해당 sethc.exe의 프로세스를 이용하여 다음의 시스템으로 역접속을 시도하게 되나, 분석 당시에는 정상적으로 접속 되지 않았다.


loading.myftp.org:1500


정상적으로 접속이 성공하게 될 경우, 공격자의 명령에 따라 다음의 악의적인 기능들을 수행하게 된다.


원격 제어

화면 캡쳐

실행 중인 프로세스 리스트

파일 생성, 실행 및 삭제

레지스트리 키 생성 및 삭제

파일 업로드 및 다운로드

키보드 입력 값을 후킹하는 키로깅


이 번에 발견된 이스라엘 정부 기관을 대상으로 한 타겟 공격으로 유포된 악성코드들은 V3 제품 군에서 다음과 같이 진단한다.


Dropper/Xtrat.999808

Win-Trojan/Xtrat.827120


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Suspicious/MDP.DropMalware

Malware/MDP.Injector


앞서 언급바와 대만 기상청 타겟 공격과 이번 이스라엘 정부 기관을 대상으로 한 타겟 공격 모두 이메일의 첨부 파일을 이용하여, 내부 직원들의 감염을 유도하였다.


그러므로 외부에서 이메일이 전달 될 경우에는 발신인이 잘 아는 사람인지 그리고 메일 주소가 자주쓰거나 정확한 메일 주소인지를 확인하고, 첨부 파일이 존재 할 경우에는 실행을 해야 될 경우에는 백신으로 미리 검사하는 것이 중요하다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 취약점을 악용하여 악성코드 감염을 시도하는 사례들에 대해 여러 차례 언급한 바가 있다. 최근인 10월 25일에는 대통령 선거 관련 내용을 가진 취약한 한글 파일이 유포된 사례가 있어, 한국 사회에서 주요 관심 사항으로 부각되는 주제들을 악성코드 유포에 악용하는 사회 공학(Social Engineering) 기법들이 정교해지고 있다.


이러한 한국 사회의 주요 관심 사항 중 하나인 한반도 정황 관련 내용을 포함하고 있는 취약한 한글 파일이 10월 31일 발견되었다.


이 번에 발견된 취약한 한글 파일은 "한반도 신뢰 프로세스.hwp (309,612 바이트)"라는 파일명으로 유포되었으며, 해당 취약한 한글 파일을 열게 되면 아래 이미지 파일과 같이 "한반도 신뢰 프로세스 (KOREA TRUST PROCESS)"라는 제목이 나타나게 된다.



해당 취약한 한글 파일을 보안 패치가 설치되지 않은 취약한 한글 소프트웨어를 사용하는 시스템에서 열게 되면 사용자 모르게 백그라운드로 "~ZZ.tmp(102,400 바이트)"를 다음 경로에 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\~ZZ.tmp 


해당 "~ZZ.tmp(102,400 바이트)"이 정상적으로 생성되면 자신의 복사본을 "ms[임의의 문자열 5자리].dll(102,400 바이트)"를 다음 경로에 생성하게 된다.


C:\WINDOWS\system32\ms[임의 문자열 5자리].dll 


그리고 실질적인 악의적인 기능을 수행하는 "[6자리 임의의 문자열].tmp(110,592 바이트)" 을 다음 경로에 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\[6자리 임의의 문자열].tmp


생성된 "[6자리 임의의 문자열].tmp(110,592 바이트)" 은 rundll32.exe를 이용해 실행되며 windows_sru.chq 파일을 다음 경로에 생성하게 된다.


C:\WINDOWS\Help\windows_sru.chq


생성된 windows_sru.chq에는 감염된 시스템에서 수집한 다음 정보들을 기록하게 된다.


시스템 하드웨어 정보

윈도우 사용자 계정명


추가적으로 다음 확장자를 가진 파일명들을 수집하여 해당 windows_sru.chq에 기록하게 된다.


EXE, DLL, CHM. AVI, MPG, ASPX, LOG, DAT, PDF, TXT, DOCX, HWP, RAR, ZIP, ALZ, CAB, HTML, GZ, XML, EML, JPG, BMP, ISO, VC4


그리고 백그라운드로 인터넷 익스플로러(iexplore.exe)를 실행시켜 국내 유명 포털 웹사이트의 이메일 서비스를 이용하여 감염된 시스템에서 수집된 정보들이 기록된 windows_sru.chq을 첨부하여 이메일을 발송하게된다.


이 번에 발견된 한반도 정황과 관련된 내용을 가진 취약한 한글 파일과 관련 악성코드들은 모두 V3 제품 군에서 다음과 같이 진단한다.


HWP/Exploit

Win-Trojan/Dllbot.110592

Win-Trojan/Xema.102400.S


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit

Suspicious/MDP.Document


현재 한글과 컴퓨터에서는 해당 취약한 한글 파일들이 악용하는 취약점에 대한 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

ASEC에서는 지속적으로 국내 관공서 등에서 많이 사용되는 한글 소프트웨어의 취약점을 악용하여 악성코드 감염을 시도하는 공격에 대해 알린 바가 있다. 이러한 한글 소프트웨어의 취약점을 악용하는 공격 형태는 10월 24일 대통령 선거 공약 관련 내용으로도 유포 된 바가 있다.


10월 25일에는 일반 기업들의 연봉 계약서 내용으로 위장하여 유포된 취약한 한글 파일이 발견되었다. 


이 번에 발견된 취약한 한글 파일은 "연봉계약서.hwp (1,015,812 바이트)" 라는 파일명을 가지고 있으며, 이를  열게 되면 아래 이미지와 같은 내용을 가지고 있다.



해당 취약한 한글 파일은 HwpApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플 로우로 인한 코드 실행 취약점이다. 해당 취약점은 2012년 6월에 발견되었으며, 당시 제로 데이(Zero-Day,0-Day) 취약점으로 발견되었다.


해당 취약한 한글 파일이 열리게 되면, 사용자 모르게 백그라운드로 "system32.dll (81,920 바이트)"를 다음 경로에 생성하게 된다.


C:\Documents and Settings\Tester\Local Settings\Temp\system32.dll


그리고 생성한 system32.dll 는 다시  "AppleSyncNotifier.exe (81,920 바이트)" 이라는 파일을 다음 경로에 생성하게 된다.


C:\Documents and Settings\Tester\시작 메뉴\프로그램\시작프로그램\AppleSyncNotifier.exe


생성된 AppleSyncNotifier.exe  다음과 같은 악의적인 기능들을 수행하게 된다.


실행 중인 프로세스 리스트 수집

파일 다운로드 및 업로드, 실행

프로세스 강제 종료


감염된 시스템에서 수집한 정보들은 미국에 위치한 특정 시스템으로 HTTP를 이용해 전송하게 된다.


이 번에 발견된 대통령 선거 관련 내용을 담고 있는 취약한 한글 파일들은 모두 V3 제품 군에서 다음과 같이 진단한다.


HWP/Exploit

Win-Trojan/Symmi.81920


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit

Dropper/MDP.Document

Suspicious/MDP.Document


현재 한글과 컴퓨터에서는 해당 취약한 한글 파일들이 악용하는 취약점에 대한 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어 존재하는 취약점들을 악용하여 악성코드 감염을 시도한 공격 사례들에 대해 여러 차례 공유 한 바가 있다. 특히 최근 1달 사이만을 살펴보더라도 아래와 같이 다수의 공격 사례들이 있어, 외부에서 유입되는 이메일에 첨부된 한글 파일을 열게 될 경우에는 각별한 주의가 필요하다.



2012년 10월 24일, 다시 한글 소프트웨어에 존재하는 알려진 취약점을 악용하는 취약한 한글 파일 2건이 발견되었다. 이 번에 발견된 취약한 한글 파일 2건은 국내 유명 포털 웹 사이트에서 제공하는 메일 서비스의 이메일 주소 이용하고 있으며, 취약한 한글 파일들이 이메일의 첨부 파일로 존재 한다.


첫 번째 메일은 아래 이미지와 같이 "핵심공약"이라는 메일 제목에 "핵심공약.hwp" 라는 한글 파일이 첨부 파일로 존재하는 형태이다.



그리고 두 번째 메일은 아래 이미지와 같이 "현안대응"이라는 메일 제목에 "현안대응.hwp"이라는 한글 파일이 첨부 파일로 존재한다.



첨부 되어 있는 "핵심공약.hwp (164,629 바이트)"을 열게 되면 아래 이미지와 같이 대통령 선거의 공약들과 관련된 내용이 나타나게 된다.



그리고 두 번째 "현안대응.hwp (168,725 바이트)"를 열게 되면 아래 이미지와 같이 한국의 정치적인 상황들과 관련된 내용이 나타나게 된다.



이 번에 발견된 해당 파일들은 일반적인 OLE 포맷을 따르지 않고 아래 이미지와 같이 한글  Version 2 포맷이라는 별도의 파일 포맷 형식으로 되어 있다.



그리고 해당 취약한 한글 파일들 내부에는 아래 이미지와 같이 별도의 PE 파일이 임베디드(Embedded) 되어 있는 형태를 가지고 있다.



해당 취약한 한글 파일들을 열게 되면 모두 공통적으로 시스템 사용자 모르게 백그라운드로 "svc.exe (126,976 바이트)" 파일을 생성하게 된다.


C:\Documents and Settings\Tester\Local Settings\Temp\svc.exe


생성된 svc.exe는 다시 DLL 형태의 파일인 "wdmaud.drv (78,336 바이트)" 를 다음 경로에 생성하게 된다.


C:\WINDOWS\wdmaud.drv


생성된 wdmaud.drv 는 윈도우 시스템 프로세스인 explorer.exe와 winlogin.exe의 스레드(Thread)로 인젝션이 성공하게 되면 감염된 시스템에서 다음의 악의적인 기능들을 수행하게 된다.


파일 다운로드 및 업로드

CMD.EXE를 이용한 콘솔 명령 실행

실행 중인 프로세스 리스트 수집

감염된 시스템 컴퓨터명 수집

감염된 시스템 IP와 프록시(Proxy) 서버 주소 수집

윈도우 사용자 계정 명 수집

감염된 시스템의 윈도우 버전과 언어 정보 수집


감염된 시스템에서 수집한 정보들은 한국에 위치한 특정 시스템으로 HTTP를 이용해 전송하게 된다.


이 번에 발견된 대통령 선거 관련 내용을 담고 있는 취약한 한글 파일들은 모두 V3 제품 군에서 다음과 같이 진단한다.


HWP/Exploit

Trojan/Win32.Npkon

Trojan/Win32.Dllbot


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-SEH


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Suspicious/MDP.Document

Dropper/MDP.Exploit

Suspicious/ MDP.Exploit

Suspicious/MDP.Behavior


현재 한글과 컴퓨터에서는 해당 취약한 한글 파일들이 악용하는 취약점에 대한 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

2012년 하반기로 접어들면서 국내 관공서에서 사용 빈도가 높은 한글 소프트웨어의 취약점을 악용하여 악성코드 감염을 시도하는 사레가 지속적으로 발견되고 있다.


특히 2012년 6월과 10월에는 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용하는 사례들도 발견되었다.


10월 15일과 16일 다시 국내에서 국방 관련 내용을 가지고 있는 취약한 한글 파일들이 발견되었으며, 이 번에 발견된 취약한 한글 파일은 총 2개로 "군환경교육계획(2012).hwp (1,044,996 바이트)"와 "우리도 항공모함을 갖자.hwp (240,285 바이트)"의 파일명으로 유포되었다.


취약한 한글 소프트웨어를 사용하는 시스템에서 해당 취약한 한글 파일들을 열게 될 경우에는, 아래 이미지와 같이 국방 관련 내용이 나타나게 된다.




해당 취약한 한글 파일들은 기존에 이미 알려진 HncTextArt_hplg 또는 HncApp.dll 관련 버퍼 오버플로우(Buffer Overflow)로 인한 코드 실행 취약점들을 악용하고 있다.


첫 번째 취약한 한글 파일인 군환경교육계획(2012).hwp 을 열게 되면, 백그라운드로 "system32.dll (65,536 바이트)" 가 다음 경로에 생성 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\system32.dll 


그리고 다시 "taskmon.exe (15,048 바이트)"를 아래 경로에 추가적으로 생성하여, 시스템이 재부팅하더라도 자동 실행하게 구성한다.


C:\Documents and Settings\[사용자 계정명]\시작 메뉴\프로그램\시작프로그램\taskmon.exe 


추가적으로 생성된 taskmon.exe는 외부에 있는 시스템으로 역접속을 시도하나 분석 당시에는 정상적인 접속이 이루어지지 않았다. 그리고 추가적으로 다음의 악의적인 기능들을 수행하게 된다.


CMD.EXE 실행 후 콘솔 명령 실행

감염된 시스템의 윈도우 운영체제 정보 수집

원격에서 공격자가 지정한 명령 수행


두 번째 취약한 한글 파일인 우리도 항공모함을 갖자.hwp 을 열게 되면, 백그라운드로 "hncctrl.exe (164,352 바이트)" 가 다음 경로에 생성 된다. 


c:\documents and settings\tester\local settings\temp\hncctrl.exe 


그리고 다시 "svchost.exe (131,584 바이트)"를 아래 경로에 추가적으로 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Application Data\svchost.exe


svchost.exe 는 윈도우 레지스트리에 다음 키 값을 생성하여 시스템이 재부팅하더라도 자동 실행되도록 구성하게 된다.


 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Network = C:\Documents and Settings\[사용자 계정명]\Application Data\svchost.exe


추가적으로 생성된 svchost.exe 는 외부에 있는 시스템으로 역접속을 시도하나 분석 당시에는 정상적인 접속이 이루어지지 않았다. 


그리고 감염 된 시스템에서 다음 보안 프로그램들의 프로세스가 실행 중이라면 강제 종료를 시도하게 된다.


DaumCleaner.exe

hcontain.exe

vrmonnt.exe

ALYac.exe

AYAgent.exe

ALYac.aye

AYAgent.aye


이 외에 감염된 시스템의 운영체제 로그인을 위한 사용자계정명과 암호를 수집하여, 국내 유명 포털 웹 사이트에서 제공하는 이메일 서비스를 이용하여 해당 정보를 유출하게 된다.


이 번에 발견된 국방 관련 내용을 가지고 있는 취약한 한글 파일들은 V3 제품 군에서 다음과 같이 진단한다.


HWP/Exploit

Win-Trojan/Locker.65536

Trojan/Win32.Agent

Win-Trojan/Backdoor.15048


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit

Dropper/MDP.Document

Suspicious/MDP.Document

Suspicious/MDP.DropMalware

Suspicious/MDP.Behavior


현재 한글과 컴퓨터에서는 해당 취약한 한글 파일들이 악용하는 취약점에 대한 보안 패치를 배포 중인 상태이다. 그러므로 해당 보안 패치를 설치하는 것이 악성코드 감염을 근본적으로 차단하는 방안이다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

10월 17일 ASEC에서는 윈도우 도움말(HLP) 파일을 이용해 내부 정보들을 탈취하기 위한 목적으로 제작된 악성코드가 국내에 유포 된 것을 발견하였다.


이번에 윈도우 도움말 파일을 이용하여 유포된 악성코드는 아래 이미지와 동일하게 이메일의 첨부 파일 형태로 유포되었다.



유포된 이메일은 "쟁점 Q&A 통일외교"와 "전략보고서"라는 제목을 가지고 있는 2가지 형태이며 공통적으로 메일 본문에는 아무런 내용이 존재하지 않는다.


그리고 메일을 보낸 송신인은 국내 유명 포털 웹 사이트에서 제공하는 메일 서비스를 이용해 동일한 메일 주소를 사용하고 있다.


유포된 이메일에는 총 2가지 형태의 "쟁점Q&A 통일외교.zip (62,247 바이트)"와 "전략보고서.zip (61,742 바이트)" 의 첨부 파일이 존재하며, 압축 파일의 압축을 풀게 되면 "쟁점Q&A 통일외교.hlp (129,883 바이트)"와 "전략보고서.hlp (129,375 바이트)" 이 생성된다.


생성된 해당 HLP 파일들을 실행하게 되면 아래 이미지와 동일한 내용이 보여지게 된다.




그리고 해당 HLP 파일들에 의해 백그라운드로 아래의 경로에 동일한 "winnetsvr.exe (114,688 바이트)" 파일을 생성하고 실행하게 된다.


C:\WINDOWS\Temp\winnetsvr.exe 


생성된 winnetsvr.exe 파일은 다음의 윈도우 레지스트리 키를 생성하여 "Windows Kernel Srv" 명칭의 윈도우 서비스로 실행되도록 구성하게 된다.


HKLM\SYSTEM\ControlSet001\Services\Windows Kernel Srv\

ImagePath = "C:\WINDOWS\Temp\winnetsvr.exe"


그리고 감염된 시스템에서 다음의 정보들을 수집하여 외부 네트워크에 존재하는 특정 시스템으로 수집한 정보들을 전송하게 된다. 


감염된 시스템의 IP

감염된 시스템의 프록시(Proxy) IP

사용자 계정명

감염된 시스템의 운영체제 정보

HTTP를 이용한 파일 업로드 및 다운로드

CMD.exe를 이용한 콘솔 명령 실행


이 번에 발견된 윈도우 도움말 파일을 이용해 유포된 악성코드는 V3 제품 군에서 다음과 같이 진단한다.


HLP/Exploit

Trojan/Win32.Agent


그리고 향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함된 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit

Suspicious/MDP.Exploit


앞서 언급한 바와 같이 이번에 유포된 악성코드는 외부 메일 서비스를 이용하여 내부 임직원들에게 유포되었다. 그러므로 잘 모르는 메일 주소나 송신인이 보낸 메일에 첨부된 파일들은 실행 시에 각별한 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

ASEC에서는 그 동안 한글 소프트웨어에 존재하는 취약점들을 악용하는 악성코드 유포 사례들을 공개 한 바가 있다.


그리고 2012년 6월 15일에는 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용한 악성코드 유포 사례가 있음을 공개하기도 하였다.


2012년 10월 8일 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용하여 악성코드 유포를 시도한 사레가 다시 발견되었으다.


이 번에 발견된 제로 데이 취약점을 악용하느 취약한 한글 파일은 아래 이미지와 같은 내용을 가지고 있으며, 유포 당시에는 "한반도통일대토론회-120928.hwp (225,792 바이트)"라는 파일명을 사용하였다.



해당 취약한 한글 파일은 앞서 언급한 바와 같이 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용하고 있으며, 현재 한글과 컴퓨터에서 관련 보안 패치를 제공하지 않고 있다.


악용되는 취약점은 한글 소프트웨어에서 사용되는 HwpApp.dll에 존재하는 한글 문서 내용을 파싱 할 때 발생하는 힙 스프레이 오버플로우(Heap-spray Overflow)로 인한 코드 실행 취약점이다.


이 번에 유포된 취약한 한글 파일을 한글 소프트웨어가 설치된 시스템에서 열게 되면 다음 아미지와 같은 순서에 의해 악성코드들에 감염 된다.



먼저 취약한 한글 파일을 열게 되면 kbs.dll (115,200 바이트)가 다음 경로에 생성 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\kbs.dll


생성된 kbs.dll는 다시 동일한 경로에 kbs.exe (90,112 바이트)를 생성하게 되며, kbs.exe 다시 아래의 경로에 자신의 복사본인 svchost.exe (90,112 바이트)와 함께 p_mail.def (10 바이트)와 com.dat (40,960 바이트)를 순차적으로 다음 경로에 생성하게 된다.


C:\WINDOWS\system32\2065\p_mail.def

C:\WINDOWS\system32\2065\svchost.exe

C:\WINDOWS\system32\2065\com.dat


그리고 레지스트리(Registry)에 다음의 키 값을 생성하여 자신의 복사본인 svchost.exe이 "SMS Loader"라는 윈도우 서비스로 시스템 재부팅 시에도 자동 실행되도록 구성하게 된다.


HKLM\SYSTEM\ControlSet001\Services\SMS Loader

ImagePath = "C:\WINDOWS\system32\2065\svchost.exe"


kbs.exe에 의해 생성된 p_mail.def 는 악성코드가 시스템에서 실행된 최초의 시각을 기록한 로그 파일이며, kbs.exe에 의해 생성된 자신의 복사본인 svchost.exe에 의해 다음의 악의적인 기능들을 수행하게 된다.


윈도우 내장 방화벽 무력화

AhnLab V3 Internet Security 8.0 및 2007 방화벽 무력화

윈도우 사용자 정보 수집

감염 시스템 IP, 운영체제 및 하드웨어 정보 수집

키보드 입력 가로채기


그리고 감염된 시스템에서 수집한 키보드 입력 데이터와 시스템 및 하드웨어 정보는 다음과 같은 경로에 key.datlog.dat 파일들을 생성하여 기록하게 된다. 그리고 악성코드에 의해 감염된 시각을 jpg 파일명으로 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\key.dat

C:\WINDOWS\system32\2065\log.dat

C:\WINDOWS\system32\2065\[월일시분초10자리].jpg


감염된 시스템에서 수집한 정보들이 기록된 key.datlog.dat 파일들은 com.dat에 의해 한국에서 운영되는 특정 웹하드 웹 사이트에 접속하여 지정된 공유 폴더에 업로드 하게 된다.


이 번에 발견된 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용하는 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


HWP/Exploit

Trojan/Win32.Npkon

Trojan/Win32.Dllbot


APT 전문 대응 솔루션인 트러스와쳐(TrusWatcher)에 포함된 DICA(Dynamic Intelligent Content Analysis)에 의해 시그니처 없이 아래와 같이 탐지가 가능하다.


Exploit/HWP.AccessViolation-DE


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함된 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Dropper/MDP.Exploit

Suspicious/MDP.DropExecutable

Suspicious/MDP.DropMalware

Suspicious/MDP.Behavior


앞서 언급한 바와 같이 이 번에 발견된 취약한 한글 파일은 한글 소프트웨어 존재하는 알려지지 않은 제로 데이 취약점을 악용하여 악성코드 감염을 시도하였다.


그러므로 잘 알지 못하는 사람이 발송한 이메일에 첨부된 한글 파일의 실행 시에는 각별한 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

BHO는 (Browser Helper Object) Internet Explorer 의 추가적인 기능을 제공하는데 사용됩니다. 스파이웨어는 BHO를 이용하여 DLL 형태로 IE에 의하여 실행되기 때문에 윈도우 작업관리자에서 확인이 되지 않으며 Internet Explorer 7.0 기준으로 [도구]-[추가 기능 관리] 옵션을 통하여 확인할 수 있습니다. 스파이웨어나 애드웨어는 BHO를 이용하여 시작페이지를 사용자가 원하지 않는 페이지로 변경을 하거나 광고 등을 띄우며 또한 시스템 장애나 Internet Explorer 오류의 원인이 되기도 합니다.

아래 그림은 안리포트에서 BHO를 확인할 수 있는 그림입니다.


상기의 그림에서처럼 BHO로 등록된 스파이웨어가 V3에서 진단이 될 경우 "Suspicious BHO"라는 진단명으로 아래 그림처럼 진단되게 됩니다.


"Suspicious BHO" 진단명을 해결하기 위해서는 툴바와 같은  불필요한 프로그램들을 [시작]-[제어판]-[프로그램 추가/제거]에서 삭제를 해 주시면 되겠습니다.
신고
Posted by 비회원