본문 바로가기

Dropper

전자 문서들의 취약점을 악용하는 악성코드들 다수 발견 추석 연휴가 끝난 이후 ASEC에서는 최근 다양한 형태의 전자 문서들에 존재하는 취약점을 악용하는 악성코드들을 발견하였다. 전자 문서와 관련된 악성코드들이 발견되는 것이 이 번이 처음 발생한 사항이 아니지만, 마이크로소프트 워드(Microsoft Word), 한글 소프트웨어 그리고 어도비 리더(Adobe Reader) 파일인 PDF에 존재하는 알려진 취약점 등을 악용하는 악성코드가 동시 다발적으로 발견된 것은 특이 사항으로 볼 수 있다. 먼저 한글 소프트웨어와 관련된 악성코드는 크게 3가지 형태로 기존에 알려진 취약점을 악용하는 형태, 특이하게 내부에 악의적인 목적으로 제작된 자바 스크립트(Java Script)가 포함된 형태 그리고 한글 문서 자체가 특이한 OLE 포맷을 가지고 있는 형태가 발견되었다...
다양한 전자 문서들의 취약점을 악용한 악성코드 한글과 컴퓨터에서 개발하는 한글 워드프로세스와 마이크로소프트(Microsoft)에서 개발하는 워드(Word)에 존재하는 알려진 취약점을 악용하는 악성코드들이 동시에 3건이 발견되었다. 첫 번째 취약한 한글 파일은 중공 5세대 핵심들의 불확실한 미래.hwp (241,873 바이트)로 아래 이미지와 동일한 내용을 가지고 있다. 두 번째 취약한 한글 파일은 미래모임.hwp (104,448 바이트)로 아래 이미지와 동일한 내용을 가지고 있다. 마지막으로 발견된 취약한 워드 파일은 부서간 의사소통 조사 설문지.doc (361,026 바이트) 로 아래 이미지와 동일한 내용이 포함되어 있다. 해당 워드 파일은 CVE-2012-0158 취약점으로 "Microsoft Security Bulletin MS12-027 - ..
고도의 사회 공학 기법이 포함된 취약한 한글 파일들 ASEC에서는 한글과 컴퓨터에서 개발하는 알려진 코드 실행 취약점을 악용하는 취약한 한글 파일을 악용한 악성코드가 발견되었다는 것을 9월 4일 공개하였다. 9월 4일 취약한 한글 파일에 대해 공개한 이 후인 9월 5일과 9월 6일 오전 기존에 알려진 취약점을 악용하는 취약한 한글과 파일들과 악성코드들이 다시 발견되었다. 9월 5일 발견된 취약한 한글 파일은 아래 이미지와 동일하게 최근 언론을 통해 이슈가 되고 있는 독도 관련 내용을 담고 있으며, 문서 역시 독도 일본땅`日,자신만만증거보니…황당.hwp (447,504 바이트)라는 파일명을 가지고 있다. 해당 취약한 한글 파일은 HncApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플로우(Buffer Overflow)로 인한 코드 ..
한글 소프트웨어의 취약점을 악용하는 악성코드 ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 취약점을 악용하는 악성코드 사례들을 다수 공개한 적이 있다. 2011년 10월 - 취약한 한글 파일을 악용한 악성코드 유포 2012년 6월 - 한글 제로데이 취약점을 악용한 악성코드 유포 2012년 6월 - 알려진 한글 취약점을 악용한 악성코드 유포 2012년 7월 - 지속적으로 발견되는 취약한 한글 파일 유포 2012년 7월 - 한글 취약점을 악용한 취약한 한글 파일 추가 발견 2012년 8월 - 다시 발견된 한글 취약점을 악용한 취약한 한글 파일 2012년 9월 3일 다시 한글 소프트웨어에 존재하는 취약점을 악용하는 취약한 한글 파일과 악성코드가 다시 발견되었다. 이 번에 발견된 취약한 한글 파일을 열게 되면 아래 이미지와 ..
MS12-060(CVE-2012-1856) 취약점을 악용한 타겟 공격 마이크로소프트(Microsoft)에서는 8월 15일 7월 한 달간 발견된 해당 업체에서 개발한 보안 취약점들을 제거하는 보안 패치를 배포하였다. 이번 8월에 배포된 보안 패치 중에는 "MS12-060 - Windows 공용 컨트롤의 취약점으로 인한 원격 코드 실행 문제점 (2720573)"가 포함되어 있으며, 마이크로소프트에서 개발한 오피스(Office) 제품과 관련된 취약점이다. 해당 취약점에 대해 마이크로소프트는 별도의 블로그 "MS12-060: Addressing a vulnerability in MSCOMCTL.OCX's TabStrip control"를 통해 해당 MS12-060 보안 패치가 제거하는 보안 취약점 CVE-2012-1856을 악용한 타겟 공격(Targeted Attack)이 발견되..
악성코드 감염으로 알려진 일본 재무성 침해 사고 2012년 7월 21일 일본 국내 언론들을 통해 "Finance Ministry reveals 2010-2011 computer virus; info leak feared" 일본 재무성에서 2010년에서 2011년 2년 사이에 감염된 악성코드가 발견되었으며, 이로 인해 내부 정보가 유출 되었을 것으로 추정된다는 기사가 공개 되었다. ASEC에서는 해당 침해 사고와 관련한 추가적인 정보와 관련 악성코드를 확인하는 과정에서 해당 침해 사고와 관련된 악성코드를 확보하게 되었으며, 해당 악성코드는 약 1년 전인 2011년 9월 경에 발견된 것으로 파악하고 있다. 이번에 파악된 악성코드가 실행되면 해당 파일이 실행된 동일한 경로에 다음 파일을 생성하고, 정상 시스템 프로세스인 explorer.exe에 스레드로 인..
사우디아라비아 정유 업체를 공격한 Disttrack 악성코드 8월 17일 ASEC에서는 8월 15일 공개된 외국 언론 "Saudi Aramco says virus shuts down its computer network"을 통해 사우디 아라비아의 정유 업체인 Saudi Aramco에 특정 악성코드에 의한 피해가 발생하였다는 것을 확인 하였다. 추가적으로 ASEC에서 관련 보안 위협에 대한 정보들을 확인하는 과정에서 시만텍(Symantec)에서 "The Shamoon Attacks"로 명명한 보안 위협과 관련되었음을 파악하였다. Shamoon 보안 위협과 관련된 악성코드는 Disttrack로 명명되었으며, 크게 3가지 기능을 가진 악성코드들이 모듈 형태로 동작하도록 설계되어 있다. 드로퍼(Dropper) - 다른 기능들을 수행하는 악성코드들을 생성하는 메인 악성코드..
어도비 플래쉬 플레이의 CVE-2012-1535 취약점 악용 악성코드 어도비(Adobe)에서는 8월 15일인 어제 어도비 플래쉬 플레이어(Adobe Flash Player)에 존재하는 취약점인 CVE-2012-1535를 제거하기 위한 보안 패치를 배포 중임을 보안 권고문 "APSB12-18 Security update available for Adobe Flash Player"를 통해 밝혔다. 해당 보안 권고문을 통해 어도비에서는 플래쉬 플레이어에 존재하는 CVE-2012-1535 취약점은 버전 11.3.300.270 이하 버전에 발생하며, 제한적인 타겟 공격(Targeted Attack)에 악용되었음을 같이 공개하였다. ASEC에서는 추가적인 조사와 분석을 통해 해당 CVE-2012-1535 취약점을 악용한 타겟 공격은 마이크로소프트 워드(Microsoft Word)에 ..
다시 발견된 한글 취약점을 악용한 취약한 한글 파일 ASEC에서는 그 동안 지속적으로 발견되고 있는 한글 소프트웨어에 존재하는 취약점을 악용한 악성코드 감염 사례들 다수를 언급하였다. 6월 15일 - 한글 제로데이 취약점을 악용한 악성코드 유포 6월 26일 - 알려진 한글 취약점을 악용한 악성코드 유포 7월 5일 - 지속적으로 발견되는 취약한 한글 파일 유포 7월 25 - 한글 취약점을 악용한 취약한 한글 파일 추가 발견 2012년 8월 13일, 어제 다시 기존에 알려진 한글 취약점을 악용하는 취약한 한글 파일이 발견되었으며, 해당 취약한 한글 파일을 열게 되면 다음과 같은 내용이 나타나게 된다. 해당 취약한 한글 파일은 아래 이미지와 동일한 구조를 가지고 있으며 새로운 제로 데이(Zero Day, 0-Day) 취약점이 아니다. 해당 취약점은 HncTex..
구글 코드 웹 페이지로 유포된 Banki 트로이목마 변형 온라인 뱅킹에 사용되는 개인 금융 정보를 탈취하는 Banki 트로이목마 변형들이 지속적으로 유포되고 있는 것이 금일 새벽 다시 발견되었다. ASEC에서는 Banki 트로이목마 변형이 유포 중인 사실을 7월 11일과 16일 공개하였으며, 그 유포 방식에 있어서도 7월 11일 취약한 웹 사이트를 통해 웹 브라우저와 자바(JAVA) 취약점을 악용한 형태로 유포되었으며, 7월 16일 공개시에는 14일과 15일 주말 사이 사용자가 많은 웹 하드 프로그램의 웹 사이트를 통해 유포되었다. 금일 새벽 다시 발견된 Banki 트로이목마 변형은 아래 이미지와 같이 구글(Google)에서 운영하는 구글 코드 웹 페이지를 통해 유포되었다. ASEC은 구글 시큐리티(Google Security) 팀과 협력으로 현재 Banki ..