본문 바로가기

전체 글보기1192

Google's Shorten URL Service 서비스를 이용한 악성코드 유포사례 단축 URL 서비스(Shorten URL Service)란? 단축 URL 서비스(Shorten URL Service)는 Twitter, FaceBook같은 SNS(Social Network Service)에서 활발히 사용되고 있으며 포스팅할 수 있는 글자 수의 제한을 보완하기 위해서 원본 URL을 짧게 변환하는 것이다. [그림 1] Google's Shorten URL Service [그림 1]의 예처럼 원본 URL을 Google's Shorten URL Service를 이용하여 단축 URL로 변환하면 원본 URL의 길이보다 짧아 지므로 그 만큼의 포스팅할 수 있는 글자 수를 확보할 수 있는 장점이 있다. 하지만 이를 악용한 사례(악성코드 유포, 광고 등)가 자주 발견되고 있어 주의가 필요하다. 단축 U.. 2011. 8. 1.
Drive by Download 기법의 안드로이드 악성앱 Ggtrack 1. Android-Trojan/Ggtrack 알아보자! 기존의 안드로이드 악성코드는, 알려진 바와 같이 Google Android Market 에 공개되어 있는 정상 앱을 위장하여, 악의적인 코드를 삽입하거나, 추가적인 악성앱이 설치되도록 리패키징하여, 다시 Google Android Market 이나 3RD Party Market 에 업로드한 형태를 다수 보여왔다. 이번 포스팅에서 다루는 악성앱은, Drive by Download 기법의 윈도우 pc에 감염되는 악성코드와 같은 방식으로 감염을 시도하는 안드로이드 악성코드에 대해 알아 보자. [그림] 악성코드 관계도 [그림] 악성앱 관련 트래픽 조회 화면(알렉사 조회화면) 2. Ggtrack 악성앱 Battery Saver 정보! * 아래 그림(표)에서.. 2011. 7. 25.
Test 2 Test 2 2011. 7. 25.
노출형 배너 광고를 이용한 악성코드 유포사례 해킹된 사이트를 통한 악성코드 유포는 평일이면 잠잠하다가 주말이 시작되는 금요일 저녁부터 발생하여 토, 일요일에 집중된다. 이번 주는 일부 블로그에서 악성코드가유포되는 것이 탐지되었다. 해당 블로그들의 공통점을 조사해 본 결과 특정 업체에서 제공하는 배너광고 스크립트를 사용하고 있었다. 검색 사이트를 이용해서 해당 배너광고 스크립트를 사용하는 블로그, 사이트의 현황을 검색해 본 결과 아래그림처럼 상당수의 블로그나 사이트에서 해당 배너광고 스크립트를 사용하고 있음을 확인 할 수 있었다. [그림 1] 검색 사이트 검색결과 결론은 특정 배너광고 업체가 해킹되었고 해당 업체에서 제공한 배너광고 스크립트를 사용하는 모든 블로그나 사이트는 악성코드 유포 사이트로 이용될 수 있는 위험에 놓여 있다. 이번 사례와 관련.. 2011. 7. 25.
소셜기능을 통해 확산되고 SMS 과금시키는 Android 악성앱 주의 1. 개 요 안드로이드 온라인 동영상 스트리밍 플레이어로 위장하여 사용자 모르게 SMS 발송으로 과금을 일으키고, 친구 추천 기능을 통해 주변에 악성앱을 확산 시키는 안드로이드 악성코드가 새롭게 발견되어 관련 내용을 공유한다. [fig] fake online video streaming player 2. 분 석 A. SMS 과금 및 휴대폰 정보 탈취 악성 앱이 설치되면 온라인상의 동영상들을 볼 수 있는 뷰어가 나오면서, 동시에 하드코딩된 중국의 premium number (106***82) 로 SMS 을 전송하여 별도의 과금을 시킨다. [fig] sendsms to premium number 만일 중국의 해당 premium number 로 문자가 정상적으로 송신되었을 시, 서비스제공자로 부터 서비스등록에.. 2011. 7. 19.
시스템 파일 교체 악성코드는 계속 변화 중... 지난주말에도 어김없이 국내 일부 사이트들이 해킹되어 윈도우 정상 시스템 파일을 교체하는 악성코드가 유포되었다. 그리고 이번 주에 유포된 "정상 윈도우 파일인 ws2help.dll을 교체하는 악성코드에서 감염방식의 변화"가 있었다. 어떤 부분에서 변화가 있었는지 지금부터 살펴보도록 하겠다. • 원형 vs. 변형 [그림 1] 원형의 ws2help.dll 교체과정 기존의 악성코드에서 정상 윈도우 파일인 ws2help.dll을 [그림 1]의 과정대로 교체를 했다면 이번 주말에 발견된 악성코드는 아래 과정을 거친다. [그림 2] 변형의 ws2help.dll 교체과정 [그림 1]과 [그림 2]의 차이점은 [그림 1], 드롭퍼에 의해서 ws2help.dll로 생성된 악성 DLL이 악의적인 목적(특정 온라인 게임 사용.. 2011. 7. 18.
카카오톡 PC버전이라고? 내 정보, 돈까지 빼갈 수 있어.. 스마트폰 사용자의 필수 어플이라 할 수 있는 대표 스마트폰 모바일 메신저 카카오톡의 PC용 버전으로 위장한 악성 프로그램이 사용자의 개인정보 및 돈을 빼간 사실이 발견되어 주의가 필요하다. 카카오톡 PC버전 위장 프로그램 유포는... 카카오톡 정식 홈페이지 사이트 주소인 "www.kakao.com"과 유사한 "www.kakao.ez.to"라는 주소로 웹사이트를 개설해 실제 홈페이지와 동일한 디자인을 적용 신규회원에게 문화상품권을 제공한다는 안내를 하며 사용자에게 PC버전 다운로드 및 설치를 유도한다. 현재는 해당 웹사이트가 유효하진 않지만, 아래와 같은 아이콘의 카카오톡 PC버전 위장용 파일은 블로그나 카페를 통해 유포될 가능성이 있어 주의가 필요하다. [그림1] 카카오톡 PC버전 위장파일의 아이콘 실제.. 2011. 7. 13.
[주의] 통화 및 SMS송수신 내역을 감시하는 안드로이드 악성코드 GoldDream 등장 1. 개 요 안드로이드 게임. "FastRacing" 으로 위장하여, 설치시 사용자폰의 SMS 발신/수신 내역, 전화통화기록 등을 사용자 모르게 감시하고, 특정 서버로 민감한 정보를 전송하는 악성코드가 발견되었다.  해당 악성코드는 "GoldDream" 이라 불리우며, '정상적인 게임'에 악의적인 코드를 추가하고 리패키징하여 중국의 써드파티마켓에서 유포된 것이 해외 유명대학의 연구팀에 의해 밝혀져 관련 소식이 전해지게 되었다. "GoldDream" 은 또한 사용자폰을 감시하는 기능 이외에 C&C서버를 통해 스마트폰에 특정 명령을 내릴 수있는 bot 기능도 포함되어 있는데, 이는 "GoldDream"에서 최초로 발견된 기능은 아니며 "DroidKungFu" 나 이전의 다른 안드로이드 악성코드에서도 보여.. 2011. 7. 7.