악성코드 정보1153 Stuxnet 변형으로 알려진 Duqu 악성코드의 다른 변형 발견 현지 시각으로 3월 20일 Symantec에서 해당 기업의 블로그 "New Duqu Sample Found in the Wild"를 통해 Stuxnet의 변형으로 알려진 Duqu 악성코드의 또 다른 변형이 발견되었음을 공유 하였다.Duqu는 기존에 알려진 Stuxnet이 SCADA(Supervisory Control And Data Acquisition) 감염으로 원자력 발전소 운영을 방해하기 위한 목적과 달리 감염 된 시스템과 네트워크에서 정보들을 수집하기 위한 목적으로 제작되었다.이 번에 발견된 Duqu의 또 다른 변형은 아래 Symantec에서 공개한 이미지와 같이, 붉은 색 박스로 표기된 드라이버(.sys) 파일로 밝히고 있다.ASEC에서는 이 번에 새롭게 알려진 Duqu 악성코드의 또 다른 변형.. 2012. 4. 4. 낚았을까? 낚였을까? 낚시꾼을 낚는 낚시꾼 매 주말마다 악성코드의 경유지로 악용되고 있는 웹사이트 중 한 곳을 살펴봤다. 이번에 살펴본 취약한 웹사이트는 "낚시포털"이라는 타이틀로 운영중인 사이트이다. 해당 사이트에 삽입된 스크립트를 통하여 악성코드 유포지로 연결된다. [그림] 낚시 포털 웹 사이트 삽입된 스크립트는 순차적으로 또 다른 스크립트로 이동한다. [그림] 최초 스크립트가 삽입된 구문 1 [그림] 스크립트 이동 경로 2 [그림] 스크립트 이동 경로 3 웹사이트에서 유포중인 스크립트는 CVE-2010-0806 취약점을 이용하여, 사용자에게 악성코드를 감염 시킨다. 물론, 취약점이 패치된 시스템은 감염되지 않는다. 최종적으로 유포되는 악성코드 경로와 파일명은 아래와 같다. [그림] 유포지와 악성 파일 [그림] 파일 정보.. 2012. 4. 3. ASEC 보안 위협 동향 리포트 2012 Vol.26 발간 안철수연구소 ASEC에서 2012년 2월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.26을 발간하였다. 이 번에 발간된 ASEC 리포트는 2012년 2월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈 PC에 존재하는 모든 문서 파일을 탈취하는 악성코드 누군가 나를 지켜보고 있다? 웹캠으로 도촬하는 악성코드 가짜 KB국민은행 피싱 사이트 주의 스마트폰의 문자 메시지로 전달되는 단축 URL 특정 기관을 목표로 발송되는 발신인 불명의 이메일 주의 시리아 반정부군을 감시하기 위한 악성코드 유포 변형된 MS12-004 취약점 악용 스크립트 발견 MS11-073 워드 취약점을 이용하는 타깃 공격 발생 어도비 플래시 취약점 이용한 문서 파일.. 2012. 3. 20. MS12-020 취약점을 악용하는 PoC 코드 공개 마이크로소프트에서는 3월 14일 해당 기업에서 개발한 소프트웨어들에 대한 보안 패치를 배포하였으며, 이 중 "MS12-020 원격 데스크톱의 취약점으로 인한 원격 코드 실행 문제점 (2671387)"의 코드 실행 취약점으로 인해 네트워크로 전파되는 악성코드 제작을 우려하여 마이크로소프트에서는 Security Research & Defense 블로그 "CVE-2012-0002: A closer look at MS12-020's critical issue"도 공개하였다. 현재 ASEC에서는 해당 MS12-020 취약점에 대한 추가적인 정보 수집과 함께 해당 취약점에 대한 자세한 분석을 진행 중에 있다. 최초 중국 언더그라운드를 중심으로 공개된 파이선(Python)으로 제작된 해당 취약점의 PoC(Proof .. 2012. 3. 19. 스위스 기업의 전자 서명을 도용한 악성코드 일반적으로 전자 서명은 특정 기업이나 단체에서 해당 파일은 자신들에 의해 개발 및 제작된 것이며 위, 변조가되지 않았다는 것을 증명하는 용도로 사용되고 있다. 이러한 전자 서명을 최근 몇 년 전부터 악성코드들은 보안 제품을 우회하기 위한 목적으로 전자 서명(Digital Signature)를 파일에 사용하기 시작하였다. 여기서 사용되는 전자 서명들 대부분이 특정 기업이나 단체로부터유출된 정상 전자 서명임으로 해당 정보를 이용해 정상 파일로 오판하도록 하고 있다. 이러한 악성코드의 전자 서명 악용 사례들로는 2011년 제우스(Zeus) 악성코드가 캐스퍼스키(Kaspersky)의 전자 서명을 도용한 사례와 2010년 7월 특정 포털에서 배포하는 정상 파일로 위장한사례가 존재한다. 이러한 전자 서명을 악용한 .. 2012. 3. 19. 허위 안드로이드 마켓으로 유포되는 안드로이드 악성코드 2011년 하반기를 기점으로 구글(Google)에서 개발한 안드로이드(Android) 운영체제의 악성코드가 폭발적으로 증가하였다. 이러한 배경에는 여러가지 요소가 있겠지만, 안드로이드 운영체제에 설치되는 APK(Application Package File) 파일이 구글의 안드로이드 마켓을 벗어난 여러 인터넷 웹 사이트들을 통해 유통됨으로 인해 발생하는 문제도 적지 않다고 할 수 있다. 그리고 최근에는 안드로이드 악성코드들이 유명 소셜 네트워크 서비스(Social Network Service)인 트위터(Twitter)로 유포된 사례가 있는 만큼, 안드로이드 악성코드의 유포 방식이 다변화되고 있는 것으로 볼 수 있다. ASEC에서는 금일 미국에 위치한 특정 시스템에서 아래 이미지와 같이 허위 제작된 안드로이.. 2012. 3. 16. 트위터로 전파되는 안드로이드 악성코드 주의 1. 개 요 이전 블로그에서 다뤘던 문자과금 및 추가 악성코드 설치를 유발하는 Android-Trojan/Fakeinst 의 변종이 최근 해외에서 다량의 트위터 계정을 통해 안드로이드 악성코드가 확산 중인 것이 발견되어 관련 내용을 공유한다. 2. 분 석 악성코드유포에 사용된 트윗들은 러시아 언어로 작성되었으며 단축URL 을 이용하여 악성코드 설치를 유도하는 특징이 있고, 내용들은 인기어플리케이션을 소개한다거나, 의미 없는 단어 조합 + 악성 어플리케이션 다운로드 URL 로 구성되어 있다. [fig 1. 악성코드 유포 트윗] 트윗에 포함된 단축 URL 을 클릭하면 아래와 같이 악성코드 설치를 유도하는 페이지로 접근된다. 해당 페이지들은 주로 인기어플리케이션(모바일 브라우저, 모바일 백신 등) 설치페이지로.. 2012. 3. 14. CVE-2012-0754 취약점을 이용해 전파되는 온라인 게임핵 악성코드 최근 Adobe Flash Player 취약점을 이용한 타켓 공격 관련 문서 파일이 확인된 바 있다. 관련 내용 : http://asec.ahnlab.com/785 그리고 이번주 주말에 위에서 언급한 타켓 공격과 관련된 취약점을 국내 웹사이트를 통해 전파되는 온라인 게임핵도 이용하여 악성코드를 감염시키는 것으로 확인되었다. 해당 취약점은 웹페이지에 삽입된 악성 SWF 파일에서 아래와 같은 액션 스크립트로 MP4 파일을 로드하고 있으며 아래 코드에서 MP4 파일은 ee.jpg 이다. [그림 1] SWF 파일 내부의 액션 스크립트, MP4 파일을 로드하는 부분 이 취약점은 얼핏 보기에는 이전부터 꾸준히 이용되고 있던 역시 MP4 파일 관련 취약점인 CVE-2011-2140 취약점과 떨어지는 형태나 패턴이 유.. 2012. 3. 11. 이전 1 ··· 62 63 64 65 66 67 68 ··· 145 다음
