대량의 FTP 계정 탈취 악성코드 발견 :: 2009/07/03 23:35
6월 29일 미국의 보안 업체 프리빅스(Prevx)에서 6월 24일 대량의 FTP 로그인 계정을 탈취한 악성코드를 발견하였다고 한다.
프리빅스는 최초 6월 24일 악성코드가 탈취한 FTP 로그인 계정이 특정 서버에 보관 중인 것을 발견 하였으며 당시에는 총 6만 6천개의 계정이 보관 중이었으니 일정 시간이 지난 뒤에는 7만 4천개로 증가하였다고 한다. 그리고 현재는 8만 8천개를 확보 하였다고 한다.
프리빅스는 이번에 발생한 보안 사고는 웹 익스플로잇 툴 킷(Web Exploit Toolkit)에 의해 악성코드가 유포되고 감염 컴퓨터 시스템에서 FTP 로그인 계정들을 수집해서 전송 한 것으로 보고 있다.
현재 프리빅스에서는 해당 악성코드에 의해 탈취된 FTP 계정들을 다음의 웹 사이트를 통해 조회 및 확인 할 수 있도록 제공하고 있다.
이번 보안 사고와 관련된 악성코드를 V3 제품군에서는 다음과 같이 진단 한다.
Win-Trojan/Downloader.71680.T
Win-Trojan/Beastdoor.44544
이러한 악성코드의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반듯이 설치한다.
3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.
이번 보안 사고와 관련한 자세한 내용은 프리빅스의 블로그와 국내외 기사들인 아래 웹 사이트를 참고 하기 바란다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/45
토렌토리엑터 웹 사이트 악성코드 유포 :: 2009/07/03 22:39
7월 1일 웹센스(WebSense)에서 많은 사람들이 사용하는 P2P(Peer to Peer) 프로그램인 토렌토(Torrent)의 검색 엔진 역할을 하는 토렌토리액터(Torrentreactor) 웹 사이트에서 악성코드를 유포 하였다고 한다.
웹센스의 보고에 따르면 이번에 발생한 악성코드 유포 사고는 기존에 알려진 취약점들인 인터넷 익스플로러에 존재하는 MS06-014 MDAC 코드 실행 취약점과 MS08-041 엑세스 스냅샷 뷰어 (Access Snapshot Viewer)의 코드 실행 취약점을 공격하는 스크립트 악성코드가 설치되어 있었다고 한다.
해당 스크립트 악성코드를 통해 취약점이 존재하는 웹 브라우저 사용자의 시스템으로 개인 정보를 유출 할 수 있는 트로이목마를 다운로드 한 후 실행 할 수 있도록 하였다고 한다.
조금 더 자세한 사항에 대해서는 아래 웹 사이트를 참고 하기 바란다.
이번에 토렌토리액터(Torrentreactor)를 통해 유포 되었던 트로이목마는 V3 제품군에서 다음과 같이 진단 한다.
Win-Trojan/Waledoc.22528
이번과 같이 취약점이 존재하는 웹 브라우저를 통한 악성코드의 감염을 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오피스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반듯이 설치한다.
3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/44
이셋의 2009년 6월 보안 위협 동향 :: 2009/07/03 22:06
슬로바키아에 위치한 보안 업체인 이셋(ESET)에서 2009년 6월 보안 위협 동향 보고서를 발표 할 예정이라고 한다.
이번에 제작된 위협 동향 보고서의 발표에 앞서 멀웨어 인텔리전스 디렉터(Director of Malware Intelligence)인 데이비드 할리(David Harley)는 자사 블로그에 이번에 발표 예정인 2009년 6월 보안 위협 동향 보고서의 내용에 대해서 짧게 언급하였다.
이번 2009년 6월 악성코드 TOP 10에서 1위에는 2009년 상반기에 가장 많은 이슈를 만들어낸 컨피커(Conficker)웜이 차지하였고 2위로는 USB와 같은 이동형 저장 장치를 통해 전파되는 악성코드들이 생성하는 Autorun.inf 파일을 진단한 INF/Autorun가 차지하였다고 한다.
그리고 취약점 공격과 관련한 특이 사항으로는 어도비 플래쉬(Adobe Flash)와 어도비 아크로뱃 리더(Adobe Acrobat Reader)의 취약점을 공격하는 SWF 파일과 PDF 파일의 발견이 눈에 띄게 증가하였다고 한다.
그 외에 자세한 사항은 아래 이셋 블로그의 내용을 참고하면 좋을 것이다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/43
일본 교토에서 퍼스트 보안 컨퍼런스 진행 :: 2009/07/03 21:44
침해 사고 대응을 위해 조직된 정보 보호 단체인 퍼스트(First) 에서 주최 하는 보안 컨퍼런스가 일본 교토(Kyoto)에서 6월 28일부터 7월 3일 일주일간 성황리에 진행되었고 금일 모두 종료되었다.
일본 교토에서 진행된 컨퍼런스에서는 급변하는 보안 위협에 대한 다양한 위협 정보를 파악하고 글로벌 보안 업체들과의 유기적인 협력 관계을 위해 ASEC의 연구원들 다수가 참석하였다.
6월 27일과 28일에는 사전 미팅 형식의 비공개로 진행이 되고 6월 29일에서 7월 3일까지 공개 형식의 세미나 및 발표가 진행 되었다.
이번에 진행된 퍼스트 보안 컨퍼런스의 프로그램은 아래 웹 사이트를 참고하기 바란다.
마이크로소프트(Microsoft)에서는 이미 이번 컨퍼런스 참관에 대한 글을 아래 블로그에 게시 하였으며 조만간에 공개될 이번 컨퍼런스에 참석한 ASEC 연구원들의 참관기도 기대가 된다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/42
판다 시큐리티의 리버스 엔지니어링 대회 :: 2009/07/03 21:25
스페인의 보안 업체 판다 시큐리티(Panda Security)에서 리버스 엔지니어링(Reverse Engineering) 대회를 개최 한다고 한다.
이번에 진행되는 리버스 엔지니어링 대회는 유럽시각 7월 7일 화요일 오전 10시에 시작해서 7월 28일 화요일 오전 10시에 종료될 예정이라고 한다.
그리고 각 단계를 통과하는 1위에서 5위까지는 판다 시큐리티의 백신을 경품으로 지급하며 최종 우승자에게는 다음의 상품을 지급한다고 한다.
1 단계 우승자 - 150 유로 상당의 아마존(Amazon) 상품권
2 단계 우승자 - 250 유로 상당의 아마존(Amazon) 상품권
3 단계 우승자 - 450 유로 상당의 아마존(Amazon) 상품권
이번 판다의 리버스 엔지니어링 대회 참가자격은 국적에 상관이 없으나 만18세 이상이 되어야 하며 참가와 관련한 자세한 사항은 첨부한 판다 시큐리티의 대회 참가 문서 또는 아래 웹 사이트를 참고하기 바란다.
Terms.pdfTrackback Address :: http://blog.ahnlab.com/asec/trackback/41
포티넷의 2009년 6월 보안 위협 동향 :: 2009/07/03 11:37
캐나다에 위치한 보안 업체 포티넷(Fortinet)에서 2009년 6월 보안 위협 동향을 발표 하였다.
포티넷의 악성코드 TOP 10의 상위권에 Zbot 변형들이 차지하고 있는 것으로 미루어 해외에서도 Zbot 변형들의 높은 확산 시도가 있었던 것으로 해석 할 수 있다.
그리고 5위와 6위에는 스크립트 형태로 웹 브라우저의 취약점을 공격하는 악성코드들이 차지하고 있는 것으로 미루어 웹 사이트를 통한 악성코드의 지속적인 유포에 주의를 기울일 필요가 있다.
그리고 2009년 6개월 동안 전체 악성코드의 발견 수치를 나타낸 그래프가 위 이미지와 같다고 한다. 위 이미지에서 처럼 3월을 기점으로 하여 일시적으로 줄어들었던 악성코드 발견 수치가 다시 증가 추세에 있다고 한다.
이 외의 포티넷의 자세한 보안 위협 동향은 아래 웹 사이트에서 참고하기 바란다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/40
안철수연구소 일본 공중파 방송에서 보안 정보 제공 :: 2009/07/02 10:39
안철수연구소는 일본 후지TV의 인기 프로그램인 ‘와까루테레비(わかるテレビ)’에서 컴퓨터와 휴대전화에 감염될 수 있는 악성코드의 증상과 대응 방안을 설명하는 시간을 가졌었다.
자세한 사항은 아래 안철수연구소 보도자료와 국내 기사를 참고하기 바란다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/39
중국의 유해 차단 소프트웨어 그린 댐 유스 에스코트 분석 :: 2009/07/01 21:17
6월 12일, 중국 정부에서는 자국내에서 판매되는 모든 컴퓨터 시스템에 유해 차단 소프트웨어인 그린 댐 유스 에스코트(Green Dam Youth Escort)를 의무적으로 설치하도록 하고 있다는 내외신 기사가 알려지면서 많은 의견들이 발표되고 이야기 되었다.
기사에 따르면 문제가 된 부분은 유해 차단 소프트웨어인 그린 댐 유스 에스코트는 설치된 시스템의 사용자를 온라인 상에 존재하는 성인물과 폭력물들로부터 보호 한다는 기본 취지외에도 중국 정부에서 반국가적 사상으로 금지한 법륜공과 같은 단어들을 차단어에 포함시키고 컴퓨터 시스템 사용자의 감시를 위한 목적으로 악용될 수 있다는 것이다
이러한 문제가 존재하는 그린 댐 유스 에스코트 소프트웨어를 확보하여 테스트 및 분석을 통해 어떠한 부분이 문제가 되었는지 살펴 보았다.
그린 댐 유스 에스코트 소프트웨어의 설치 파일은 위 이미지와 같으며 크기는 9.63MB를 가지고 있다. 해당 프로그램을 설치하면 1번의 시스템 재부팅을 요구하며 재부팅이 완료되면 아래 이미지와 같은 아이콘에 바탕화면에 생성된다.
해당 아이콘을 클릭하면 아래 이미지와 같은 사용자 인터페이스 화면이 나타나며 중국내 각급 학교에 배포하여 설치하도록 하기 위해 상당히 직관적인 인터페이스를 가지고 있다. 그리고 설치된 시스템에서 사용자가 행하였던 모든 활동은 로그 형태로 기록이 되면 이는 최초 설치시 제공된 관리 암호를 알지 못하면 확인 할 수 없도록 되어 있다.
그린 댐 유스 에스코트는 컴퓨터 시스템의 부팅시 자동으로 실행 되도록 되어 있으며 실행 후에는 XNet2.exe 라는 프로세스가 생성 되어 있는 것을 알 수 있다.
그리고 해당 프로세스는 UDP 1234 포트를 오픈하여 대기 상태 인 것을 알 수가 있었다.
이렇게 실행되는 그랜 댐 유스 에스코트는 알려진 바와 같은 기본 기능인 유해 웹 사이트 차단 기능외에도 크게 다음과 같은 2가지의 추가적인 기능을 가지고 있다.
1. 컴퓨터 사용자가 접속하는 웹 사이트 주소에 대한 기록
그린 댐 유스 에스코트는 아래 이미지와 같이 컴퓨터 사용자가 웹 브라우저를 통해 접속하는 웹 사이트 주소들을 모두 별도의 로그로 모두 보관 하도록 되어 있다.
이러한 기능으로 인해 해당 컴퓨터 시스템의 사용자가 접속한 웹 사이트 주소를 모두 파악 할 수 있다.
2. 컴퓨터 사용자의 바탕화면을 3분 단위로 캡쳐하여 기록
해당 소프트웨어는 컴퓨터 사용자의 웹 방문 기록 뿐만이 아니라 아래 이미지와 같이 3분 단위로 시스템의 바탕화면을 캡쳐하여 보관하도록 되어 있다.
이를 통해 컴퓨터 사용자가 컴퓨터를 통해서 행하였던 모든 작업들을 확인 할 수 있도록 되어 있다.
3. 유해 웹 사이트 차단 기능
이러한 기능 외에 기본적인 기능인 유해 가능 사이트 차단 기능은 아래 이미지와 같이 5가지 종류의 웹 사이트들에 대한 접근을 차단하도록 되어 있다.
1) 성인/음란 웹 사이트
2) (엄중) 성인/음란 웹 사이트
3) 폭력적 온라인 게임
4) 동성애
5) 불법활동/독극물
해당 형태에 대한 웹 사이트 차단 기능은 아래 이미지와 같이 3개의 DAT 파일 내부에 존재하는 금지어와의 비교 검토를 통하여 유해한 웹 사이트 판단과 차단 기능을 수행하게 된다. 해당 3개의 DAT 파일은 모두 인코딩되어 일반 사용자가 쉽게 열어서 위/변조를 할 수 없도록 되어 있다.
해당 3개의 DAT 파일의 디코딩 하여 풀어보게 되면 아래 이미지와 같이“중국철혈당” 및 “법륜공제자”와 같이 중국 정부에서 지정한 반국가적인 단어들이 포함되어 있는 것을 알 수 있다.
그리고 아래 이미지와 같이 별도로 인코딩된 LIB 파일에 별도로 법륜공 관련 금지어들을 작성 해두어 관련 웹 사이트 접속을 차단하고자 하는 것을 알 수 있다.
앞서 살펴보았던 3가지 기능들을 정리 해보면 해당 소프트웨어는 유해 웹 사이트 차단이라는 기능을 수행함과 동시에 중국 정부에서 지정한 반국가적 웹 사이트 차단도 동시 이루어 지도록 되어 있다.
그리고 해당 소프트웨어가 설치된 컴퓨터 시스템에 대한 감시 기능은 원래 취지인 유해 웹 사이트 차단이라는 명목과는 일치하지 않는 부분이 존재함을 알 수가 있다.
이러한 부분들로 인해 많은 국내외 언론들에서 중국 정부의 정책에 대해 우려를 하였으며 미국의 보안 업체인 썬벨트(Sunbelt)는 그린 댐 유스 에스코트 소프트웨어를 스파이웨어로 규정하고 진단 하겠다는 글을 자사 블로그에 기재하기도 하였다.
그리고 일부 보안 업체에서는 해당 소프트웨어에 버퍼 오버플로우(Buffer Overflow) 취약점이 존재함으로 많은 컴퓨터 시스템에 설치 될 경우 해당 취약점이 악용당한다면 심각한 위협이 발생 할 수 있을 것이라고 한다.
결론적으로 6월 30일 시행 일시인 7월 1일 1시간 앞두고 중국 정부는 해당 소프트웨어로 인해 국제적인 관심이 집중된 점으로 인해 일시적으로 의무 설치 기간을 연기하였다.
당분간은 의무 설치가 적용되지 않겠지만 향후 중국 정부의 결정이 어떠한 방향으로 흐를지는 관심을 가지고 지켜 볼 필요가 있을 것이다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/38
-
중국 감시 프로그램 Green Dam-Youth Escort 진단과 정보
Tracked from 울지않는벌새 : Security, Movie & Society | 2009/07/02 11:05 | DEL미국에 위치한 해외 보안업체 Sunbelt Software 업체에서 최근 중국 정부에 의해 법으로 시행되는 컴퓨터 구입시 설치되는 Green Dam-Youth Escort 프로그램에 대해 스파이웨어(Spyware) 진단에 추가를 한다
-
중국 감시 프로그램 Green Dam-Youth Escort : Apple Mac 버전 준비
Tracked from 울지않는벌새 : Security, Movie & Society | 2009/07/04 15:54 | DEL최근 중국 뿐 아니라 전 세계적으로 이슈가 되는 감시 프로그램 Green Dam-Youth Escort 프로그램의 시행이 7월 1일부터 시작될 예정이었으나, 6월 30일에 갑자기 해당 계획을 무기한 연기하기로 발표
에프시큐어의 2009년 2분기 보안 위협 동향 분석 :: 2009/07/01 20:37
핀란드의 보안 업체인 에프시큐어(F-Secure)에서 2009년 2분기 동안 발생하였던 보안 위협들을 정리한 보안 위협 동향 분석 보고서를 발표하였다.
2009년 2분기에 발생한 다양한 보안 위협에 대해 에프시큐어에서 다음의 사항들을 주요 사항으로 보고 정리를 하였다.
1. 사이버 안보
- 미국의 사이버 안보 정책 리뷰와 사이버안보 정책 전담 부서 설립
- 미국 펜타곤의 사이버콘 수립
- 중국의 그린 댐 유스 에스코트(Green Dam Youth Escort) 소프트웨어 설치 요구
- 이란 대통령 선거에 항의하기 위한 소셜 네트워크 서비스(Social Network Service)활용
2. 컨피커(Conficker) 웜의 자기 업데이트 기능
3. 트위터(Twitter) 웹 페이지에 존재하는 크로스 사이트 스크립트(XSS, Cross-site Script) 취약점을 악용한 웜
4. 타켓 공격
- 2009년 2분기 동안 발생한 타켓 공격의 48%가 어도비 아크로뱃 리더(Adobe Acrobat Reader)의 취약한 PDF 파일을 악용
- 어도비(Adobe)의 년 4회의 주기적인 보안 패치 제공 진행
- 에프시큐어의 헬스 체크(Health Check) 통계에서 어도비 아크로뱃 리더(Adobe Acrobat Reader)가 가장 취약한 소프트웨어로 나타남
그 외 자세한 사항들은 아래 에프 시큐어의 웹 사이트를 참고하기 바란다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/37
계속되는 마이클 잭슨 사망을 악용한 악성코드 :: 2009/07/01 18:48
마이클 잭슨이 6월 26일 사망한 이후 악의적인 스팸 메일 및 악성코드의 유포가 지속적으로 이어지고 있다.
지속적으로 제작되는 마이클 잭슨 사망과 관련한 악의적인 스팸 메일과 악성코드는 7월 1일 현재에도 다양한 형태가 계속 발견 보고가 되고 있다.
시만텍(Symantec)에서는 아래 이미지와 같은 전자 메일이 유포되었으며 해당 전자 메일에 첨부된 압축 파일은 악성코드이며 W32.Ackantta.F@mm 로 진단한다고 밝히고 있다.
이 번에 유포된 마이클 잭슨 사망과 관련된 악성코드인 Ackantta은 사회적인 이슈가 될 가능성이 높은 소재들을 전자 메일에 사용하는 사례를 과거에도 몇 차례 보여주었다.
그 대표적인 사례가 가장 최근에 있었던 소셜 네트워크 서비스(SNS, Social Network Service)인 트위터(Twitter)의 초대 메일로 위장한 전자 메일을 유포하였었다.
V3 제품군에서는 해당 악성코드를 다음과 같이 진단하나 다수의 변형이 존재하는 것으로 보고 있다.
Win-Trojan/VBInject.544808
Win-Trojan/VBInject.258088
그 외에도 ASEC에서 추가적인 조사를 한 결과로는 마이클 잭슨 사망외에도 엘비스 프레슬리(Elvis Presley) 관련 내용을 파일명으로 악용한 악성코드들도 발견되고 있다.
해당 악성코드들은 웹 익스플로잇 툴 킷(Web Exploit Toolkit)과 전자 메일을 통해서 유포되는 것으로 추정되는 Zbot 변형 및 Acrobat Reader 파일에 존재하는 알려진 취약점을 악용하는 PDF 파일들이다.
현재까지 보고된 파일명들은 다음과 같으며 PDF 파일들의 경우에는 파일명만 다르고 모두 동일한 파일이다.
x-file-MJacksonsKiller.exe
Barack_Obama_is_dead.pdf
Barack_Obama_is_sick.pdf
Barack_Obama_killed.pdf
HOT_NEWS.pdf
Russia_attacks.pdf
What_hides_Google.pdf
Who_next.pdf
You_are_in_danger.pdf
You_have_a_new_message.pdf
Elvis_Presley_is_alive!!!.pdf
해당 악성코드들에 대해서는 V3 제품군에서는 다음과 같이 진단한다.
Win-Trojan/Zbot.88064.B
PDF/Exploit
이번과 같이 유명 연예인의 사망이라는 허위 사실을 유포한 사회 공학 기법을 이용한 악성코드의 감염을 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반듯이 설치한다.
3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.
Ackantta,
Acrobat,
ASEC,
Barack_Obama_is_dead.pdf,
Barack_Obama_is_sick.pdf,
Barack_Obama_killed.pdf,
Elvis_Presley_is_alive!!!.pdf,
exploit,
HOT_NEWS.pdf,
PDF,
Russia_attacks.pdf,
twitter,
V3,
VBInject,
What_hides_Google.pdf,
Who_next.pdf,
x-file-MJacksonsKiller.exe,
You_are_in_danger.pdf,
You_have_a_new_message.pdf,
Zbot,
마이클,
마이클잭슨,
백신,
사회공학,
사회공학기법,
아크로뱃,
악성코드,
안랩,
안철수연구소,
엘비스,
엘비스 프레슬리,
잭슨,
취약점,
트위터,
프레슬리
Trackback Address :: http://blog.ahnlab.com/asec/trackback/36