'Microsoft'에 해당되는 글 51건
- CVE-2010-0188 취약점 악용 PDF에 대한 상세 분석 | 2010/03/15
- 인터넷 익스플로러 제로 데이 악용 타켓 공격 상세 분석 (1) | 2010/03/11
- 마이크로소프트 2010년 3월 보안 패치 배포 (1) | 2010/03/10
- 인터넷 익스플로러 VBScript 코드 실행 취약점 (1) | 2010/03/02
- 2중 감염 기법을 사용하는 Zbot 변형 (1) | 2010/02/16
- 발렌타인 데이 그림으로 위장한 Bifrose 변형 (1) | 2010/02/12
- 마이크로소프트 2010년 2월 보안 패치 배포 (1) | 2010/02/10
- 허위 백신 유포에 악용되는 Papka 툴 킷 (1) | 2010/02/08
- 다국적 언어를 지원하도록 제작된 허위 백신 (2) | 2010/02/05
- 인터넷 익스플로러 정보 유출 취약점 (2) | 2010/02/04
CVE-2010-0188 취약점 악용 PDF에 대한 상세 분석 :: 2010/03/15 15:56
2010년 3월 8일 마이크로소프트(Microsoft)의 Malware Protection Center 블로그에 "CVE-2010-0188: Patched Adobe Reader Vulnerability is Actively Exploited in the Wild" 라는 글이 게시되었다.
해당 글의 요지는 지난 2월 16일 어도비(Adobe)사에서 공지한 아크로뱃 리더(Acrobat Reader) PDF에 존재하는 CVE-2010-0188 및 CVE-2010-0186 취약점에 대한 보안 패치 "Security updates available for Adobe Reader and Acrobat" 중에서 CVE-2010-0188 취약점을 악용하는 PDF 파일이 발견되었다는 것이다.
ASEC에서는 해당 PDF 파일이 악용한 CVE-2010-0188 취약점과 해당 파일에 대해 상세한 분석을 진행하였다.
해당 취약점에 대한 추가적인 정보는 아래 ASEC 보안 권고문을 통해 확인 할 수 있다.
Adobe Reader (PDF) 코드 실행 취약점 주의 (CVE-2010-0188)
해당 취약점은 2006년 아이폰(iPhone)의 Jailbreak 목적으로 사용되었던 CVE-2006-3459 취약점과 동일한 것이며 취약한 LibTiff 오프소스 라이브러리가 어도비 리더(Adobe Reader) 9.3.0 이하 버전에 포함되어 있어서 발생하는 취약점으로 분석되었다.
해당 취약점을 악용하는 것으로 알려진 PDF 파일의 압축을 풀면 위 이미지에서와 같이 특정 자바스크립트(JavaScript)가 나타나며 해당 자바스크립트 코드는 Heap_Spray 오버플로우(Overflow)를 발생하는 쉘코드(Shellcode)와 함께 exploit.tif 취약점을 악용하는 코드가 아래 이미지와 같이 포함되어 있다.
실제 포함된 취약한 exploit.tif 파일의 내부 구조를 아래 이미지와 같이 살펴보면, "DotRange" 태그가 보이고 그 Value 값에 특정 문자열이 포함되어 있는 것을 알 수 있다.
결국 취약한 PDF 파일 내부에는 자바스크립트를 통해 힙(Heap)을 쉘코드로 채우고 난 이후에 해당 파일의 Value 값으로 RET를 덮어써서 쉘코드로 점프하여 실행하도록 조작되어 있었다.
실제 디버깅 과정에서도 스택(Stack)의 경계를 넘어서는 RET 주소 번지를 "DotRange"의 특정 값을 주소 번지로 채우고 해당 주소로 점프(Jump)하도록 되어 있다.
실제 해당 주소 번지로 점프를 하게되면 해당 취약한 PDF 파일이 가지고 있는 쉘코드가 실행되고 아래 이미지에서와 같이 다른 악서코드를 생성하고 실행하도록 되어 있다.
이러한 방식으로 취약한 PDF 파일을 통해 다른 악성코드의 감염을 시도하는 악성코드는 V3 제품군에서 다음과 같이 진단한다.
PDF/CVE-2010-0188
이러한 어도비 아크로뱃 리더(Adobe Acrobat Reader)의 보안 취약점을 악용하는 악성코드의 감염을 예방하기 위해서는 아래 이미지와 같이 사용하는 제품의 업데이트 기능을 통해 보안 패치를 설치하는 것이 중요하다.
Acrobat,
Adobe,
Center,
CVE-2006-3459,
CVE-2010-0186,
CVE-2010-0188,
DotRange,
exploit.tif,
Exploited,
Heap_Spray,
iPhone,
JavaScript,
LibTiff,
Microsoft,
overflow,
PDF,
Protection,
reader,
V3,
리더,
마이크로소프트,
보안,
쉘코드,
아이폰,
아크로뱃,
악성코드,
오버플로우,
자바스크립트,
취약점,
패치
Trackback Address :: http://blog.ahnlab.com/asec/trackback/273
인터넷 익스플로러 제로 데이 악용 타켓 공격 상세 분석 :: 2010/03/11 14:48
2010년 3월 9일 마이크로소프트(Microsoft)의 인터넷 익스플로러(Internet Explorer)에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용한 타켓 공격(Targeted Attack)이 발생하였다.
현재까지 해당 타켓 공격에서 악용한 제로 데이 취약점은 미국과 일본으로 추정되는 지역을 대상으로 한 것으로 추정되고 있으며 이번 공격에 사용된 인터넷 익스플로러의 취약점은 마이크로소프트에서 보안 패치를 제공하지 않는 상황임으로 각별한 주의가 필요하다.
Vulnerability in Internet Explorer Could Allow Remote Code Execution
ASEC에서는 이 번 타켓 공격에 악용된 인터넷 익스플로러의 제로 데이 취약점과 관련 악성코드에 대해 상세한 분석을 진행하였다.
이 번에 제로 데이 취약점을 악용한 스크립트 악성코드는 위 이미지와 같은 형태를 가지고 있으며 현재까지 쉘코드(Shellcode)는 동일하나 다른 악성코드를 다운로드하는 웹 사이트 주소 부분만 변경되어 악용되고 있다.
그러므로 향후에도 동일한 형태의 스크립트 악성코드 변형이 계속해서 발견될 것으로 예측 된다.
이 번에 알려진 취약점은 인터넷 익스플로러에서 사용하는 iepeers.dll에서 발생하며 기존에 발견된 다른 인터넷익스플로러 취약점 악용 사례와 같이 쉘코드를 채우는 Heap_spray 코드로 구성되어 있다.
해당 쉘코드로 인해 위 이미지에서와 같이 최종적으로 다른 악성코드를 다운로드 하는 웹 사이트 주소를 실행하여 다운로드 한 후 실행하도록 설계 되어 있다.
해당 취약점과 관련한 추가적인 정보는 아래 ASEC 보안 권고문을 참고 하기 바란다.
MS 인터넷익스플로러 'iepeers.dll' 코드실행 취약점 주의(제로데이 취약점)
이 번에 발생한 공격의 전체적인 흐름을 도식화 한 이미지가 아래와 같다.
최초 공격자는 전자 메일에 특정 웹 사이트로 연결하는 웹 사이트 링크를 본문에 포함하여 특정 대상들에게 무작위로 발송하였다.
해당 메일의 수신자가 해당 링크를 클릭하게 될 경우, 미국에 위치한 특정 시스템으로 접속하여 인터넷 익스플로러의 취약점을 악용하는 스크립트 악성코드를 실행하게 된다. 그 후 다시 동일한 시스템에서 백도어 성격을 가지고 있는 다른 트로이목마들을 다운로드 한 후 실행하도록 하게 되어 있다.
해당 트로이목마들이 실행되면 DLL 파일 1개를 생성한다. 그리고 인터넷 익스플로러와 파이어 폭스(Firefox)와 같은 웹 브라우저(Web Browers)와 아웃룩(Outlook) 메일 클라이언트가 실행될 경우 해당 DLL 파일을 해당 프로세스에 스레드(Thread) 인젝션(Injection)을 시도하며 그 후 입력하는 키보드 입력값을 후킹하도록 되어 있다.
그 외에도 원격제어, 프록시(Proxy) 기능과 윈도우 로그인 암호 등을 외부로 유출하는 기능도 수행하게 되어 있다.
현재 V3 제품군에서는 이번 인터넷 익스플로러의 제로 데이 취약점을 악용하는 악성코드들을 다음과 같이 진단한다.
JS/CVE-2010-0806
Win-Trojan/Cosmu.32768.E
Win-Trojan/Mdrop.42496
Win-Trojan/Wisp.42496
Win-Trojan/Wisp.32768
그리고 네트워크 보안 장비인 트러스가드(TrusGuard)에서도 해당 취약점을 악용하는 네트워크 패킷(Network Packet)을 다음과 같이 탐지 및 차단 가능하다.
ms_ie_iepeers_code_exec_exploit
앞서 언급한 바와 같이 현재까지 해당 인터넷 익스플로러의 취약점을 제거할 수 있는 보안 패치를 마이크로소프트에서 제공하지 않음으로 각별한 주의가 필요하다.
마이크로소프트에서는 이에 대한 가장 빠른 해결 방안으로 사용하는 인터넷 익스플로러 8이 영향을 받지 않음으로 업데이트 할 것을 권고하고 있다.
0-day,
981374,
Advisory,
ASEC,
Browers,
Cosmu,
CVE-2010-0806,
exploit,
FireFox,
Heap Spray,
iepeers.dll,
Injection,
Internet Explorer,
JS/CVE-2010-0806,
McAfee,
Mdrop,
Microsoft,
ms_ie_iepeers_code_exec_exploit,
outlook,
Proxy,
SA-2010-004,
Security,
shellcode,
Targeted Attack,
Thread,
TrusGuard,
web,
Wisp,
zeroday,
권고문,
로그인,
마이크로소프트,
맥아피,
미국,
보안패치,
쉘코드,
스레드,
아웃룩,
악성코드,
암호,
원격제어,
윈도우,
인젝션,
인터넷 익스플로러,
일본,
전자메일,
제로데이,
취약점,
코드실행,
타켓공격,
트러스가드,
파이어폭스,
프록시
Trackback Address :: http://blog.ahnlab.com/asec/trackback/271
마이크로소프트 2010년 3월 보안 패치 배포 :: 2010/03/10 14:41
마이크로소프트(Microsoft)에서 2월 한달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 3월 10일 배포하였다.
이번에 마이크로소프트에서 배포된 보안 패치들은 총 2건으로 다음과 같다.
Windows Movie Maker의 취약점으로 인한 원격 코드 실행 문제점 (975561)
Microsoft Office Excel의 취약점으로 인한 원격 코드 실행 문제점 (980150)
다양한 악성코드들이 마이크로소프트의 윈도우 보안 취약점을 악용함으로 미리 보안 패치 설치를 통해 악성코드의 감염을 예방 하는 것이 좋다.
마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/270
인터넷 익스플로러 VBScript 코드 실행 취약점 :: 2010/03/02 15:27
2010년 2월 27일 해외에서 마이크로소프트(Microsoft)의 인터넷 익스플로러(Internet Explorer)에서 VBScript를 통한 Windows Help 파일 실행과정에서 코드 실행 가능한 취약점이 발견되었다.
해당 취약점은 PoC(Proof of Concept)인 개념 증명 형태의 코드로 알려졌으며 인터넷 상에서 실제 해당 취약점을 악용한 공격은 발견되지는 않았다.
현재 마이크로소프트에서는 해당 취약점에 대한 보안 권고문을 다음과 같이 작성하여 배포하고 있으며 실제 해당 취약점을 악용한 공격은 발생하지 않은 것으로 보고 있다.
Microsoft Security Advisory (981169)
현재 해당 취약점에 영향 받는 인터넷 익스플로러는 버전 6이상 모두 해당되나 마이크로소프트에서는 다음의 운영체제에 설치된 인터넷 익스플로러가 영향을 받는 것으로 공개하였다.
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Server 2003 x64 Edition Service Pack 2
해당 취약점에 대한 자세한 정보와 임시 해결 방안은 아래 ASEC 보안 권고문을 참고 하기 바란다.
ASEC Advisory SA-2010-003
Trackback Address :: http://blog.ahnlab.com/asec/trackback/262
2중 감염 기법을 사용하는 Zbot 변형 :: 2010/02/16 16:41
2009년 6월부터 다양한 사회적인 이슈들을 이용하는 사회 공학 기법을 통해 유포되었던 Zbot 변형이 최근에 와서는 악의적인 웹 사이트에 포함되어 있는 iFrame으로 어도비 아크로뱃 리더(Adobe AcroBat Reader)의 PDF 파일에 존재하는 취약점도 악성코드 유포에 악용되는 것이 확인 되었다.
이러한 2중 감염 기법은 최근에 발견된 허위 세금 고지 메일로 위장한 Zbot 변형들 중에서 사용하고 있는 것으로 알려져 있다.
이러한 기법은 최초 허위 세금 고지 메일로 위장한 전자 메일을 유포한 한 후 해당 전자 메일 본문에 포함되어 있는 링크를 클릭 할 경우 아래 이미지와 같은 웹 사이트로 연결된다.
악의적인 웹 사이트에서는 기존과 동일하게 해당 웹 사이트에서 제공하는 tax-statement.exe(130,560 바이트)를 다운로드하도록 유도하고 있으며 해당 파일은 Zbot 트로이목마 변형이다.
Zbot 트로이목마 제작자는 해당 웹 사이트의 접속자가 해당 트로이목마 변형을 다운로드 하지 않는 경우를 고려하여 아래 이미지와 같이 웹 사이트 내부에 iFrame 코드를 삽입하여 카자흐스탄(Kazakhstan)에 위치한 특정 서버에서 취약한 PDF 파일을 다운로드 하도록 되어 있다.
해당 서버에서 다운로드 된 취약한 PDF 파일은 다시 카자흐스탄에 위치한 다른 서버로 부터 Mufanom 트로이목마 변형을 다운로드 한 후 실행하도록 되어 있다. 이러한 전체적인 구조를 간략하게 도식화 한 이미지가 아래와 같다.
위 이미지와 같은 전체적인 구조를 가지고 있는 Zbot 변형을 유포하기 위한 전자 메일은 해당 악성코드 제작자가 악의적인 웹 사이트로 접속한 사용자가 해당 웹 사이트에 대한 의심으로 Zbot 변형을 정상적으로 다운로드 하지 않을 경우 생각한 2중 감염 기법으로 볼 수 있다.
이러한 2중 감염 기법을 사용하는 악성코드들은 V3 제품군에서 다음과 같이 진단한다.
Win32/Ircbot.worm.variant
PDF/Exploit
Win-Trojan/Mufanom.39424.AG
이러한 복합적인 공격 기법은 2009년 이전 부터 웹 사이트에 존재하는 악성 스크립트 파일에서 사용하는 감염 기법을 전자 메일을 통한 유포과 결합된 형태로 볼 수 있음으로 컴퓨터 사용자는 마이크로소프트(Microsoft) 보안 업데이트 뿐 만이 아니라 자신이 자주 사용하는 어플리케이션의 보안 업데이트도 많은 주의를 기울여야 한다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/251
발렌타인 데이 그림으로 위장한 Bifrose 변형 :: 2010/02/12 12:41
2010년 2월 10일, 마이크로소프트(Microsoft)의 멀웨어 프로텍션 센터(Malware Protection Center) 블로그에 발렌타인 데이(Valentine Day)와 관련된 "Cupid Struck"가 게시되었다.
해당 블로그에 따르면 해외에서 최근 발렌타인 데이 그림으로 위장한 악성코드인 Bifrose 변형이 발견되었다는 내용이다. 이와 관련해 ASEC에서 추가적인 정보를 수집하는 과정에서 해당 악성코드는 1월 28일 최초 발견된 것으로 확인 되었다.
이 번에 발견된 발렌타인 데이 그림으로 위장한 Bifrose 변형에 대해 ASEC에서는 상세한 분석을 진행 하였다.
이 번에 발견된 악성코드는 RARSfx로 압축이 되어 있으며 실행을 하게 되면 아래 이미지와 같이 실행된 해당 폴더에 이미지 파일들과 함께 숨김 속성을 가진 82.exe(160,213 바이트) 파일이 생성된다.
생성된 이미지 중에는 아래 이미지와 같이 발렌타인 데이와 관련된 이미지도 포함이 되어 있다.
이 외에 아래 이미지와 같은 피아노 이미지외에 장미꽃 이미지들도 같이 포함 되어 있어 감염된 시스템의 사용자에게 이미지 파일들이 압축되어 있는 파일들로 위장하고 있다.
그리고 감염된 사용자 모르게 백그라운드로 숨김 속성으로 생성된 82.exe(160,213 바이트)를 실행시켜 다음 경로에 다른 악성코드를 생성시킨다.
C:\Documents and Settings\Administrator\Local Settings\Temp\server.exe(57,917 바이트)
생성된 server.exe(57,917 바이트)은 윈도우 시스템에 존재하는 정상 파일인 Explorer.exe의 특정 메모리 영역에 자신의 코드를 덮어쓰고 다음의 경로에 자신의 복사본을 생성시킨다.
C:\WINDOWS\system32\Bifrost\server.exe(57,917 바이트)
그리고 윈도우의 특정 레지스트리 키들을 생성하여 감염된 시스템이 자동 실행 될 때 해당 악성코드가 다시 실행 되도록 한다.
자신의 코드를 덮어쓴 정상 프로세스인 Explorer.exe은 인터넷 익스플로러(Internet Explorer)를 백그라운드 실행 시켜 미국 서부에 위치한 특정 시스템으로 접속을 시도하게 된다.
해당 악성코드가 특정 시스템으로 접속을 성공하게 되면 다음의 악의적인 기능들을 수행 할 수 있게 된다.
사용자 키보드 입력 후킹
사용자 마우스 입력 후킹
메신저 사용자 정보 및 암호 후킹
클립보드 정보 후킹
특정 보안 제품 프로세스가 실행 중일 경우 강제 종료
가상 키보드 입력 후킹
원격 제어 기능
발렌타인 데이 시즌을 맞이하여 발렌타인 데이 그림으로 위장한 악성코드는 V3 제품군에서 다음과 같이 진단한다.
Dropper/Bifrose.693626
Win-Trojan/Midgare.32256
이 번에 발견된 악성코드는 발렌타이 시즌을 맞아 사회적인 관심이 높은 주제를 선정하여 이를 악용한 사례이다. 이러한 사례는 2009년 6월 마이클 잭슨 사망을 악용한 사례과 2009년 12월 연말 연시 사회적 분위기를 악용한 사례 등이 있음으로 이러한 사회적 이슈가 있을 때에는 특별히 악성코드 등의 보안 위협에 많은 주의가 필요하다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/248
-
발렌타인데이 관련 악성코드 주의
http://blogs.technet.com/mmpc/archive/2010/02/10/cupid-struck.aspx http://www.virustotal.com/analisis/3c09e686f069931f6c68c8ff99850e0ab7d659616995749d773f99ef8e689a8e-1265926937
마이크로소프트 2010년 2월 보안 패치 배포 :: 2010/02/10 14:20
마이크로소프트(Microsoft)에서 1월 한달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2월 10일 배포하였다.
이번에 마이크로소프트에서 배포된 보안 패치들은 총 15건으로 다음과 같다.
Microsoft Office(MSO)의 취약점으로 인한 원격 코드 실행 문제점 (978214)
Microsoft Office PowerPoint의 취약점으로 인한 원격 코드 실행 문제점 (975416)
Microsoft Paint의 취약점으로 인한 원격 코드 실행 문제점 (978706)
SMB 클라이언트의 취약점으로 인한 원격 코드 실행 문제점 (978251)
Windows 셸 처리기의 취약점으로 인한 원격 코드 실행 문제점 (975713)
ActiveX 킬(Kill) 비트 누적 보안 업데이트 (978262)
Windows TCP/IP의 취약점으로 인한 원격 코드 실행 문제점 (974145)
Windows Server 2008 Hyper-V의 취약점으로 인한 서비스 거부 문제점 (977894)
Windows Client/Server Run-time Subsystem의 취약점으로 인한 권한 상승 문제점 (978037)
SMB 서버의 취약점으로 인한 원격 코드 실행 문제점 (971468)
Microsoft DirectShow의 취약점으로 인한 원격 코드 실행 문제점 (977935)
Kerberos의 취약점으로 인한 서비스 거부 문제점 (977290)
Windows 커널의 취약점으로 인한 권한 상승 문제점 (977165)
다양한 악성코드들이 마이크로소프트의 윈도우 보안 취약점을 악용함으로 미리 보안 패치 설치를 통해 악성코드의 감염을 예방 하는 것이 좋다.
마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다.
ActiveX,
DirectShow,
explorer,
Hyper-V,
Internet,
Kerberos,
Microsoft,
MS10-003,
MS10-004,
MS10-005,
MS10-006,
MS10-007,
MS10-008,
MS10-009,
MS10-010,
MS10-011,
MS10-012,
MS10-013,
MS10-014,
MS10-015,
Office,
Paint,
PowerPoint,
SMB,
TCP/IP,
Window,
공지,
권한,
마이크로소프트,
보안,
보안패치,
상승,
서비스 거부,
셸 처리기,
소프트웨어,
악성코드,
업데이트,
엑티브엑스,
윈도우,
인터넷 익스플로러,
취약점,
커널,
코드실행,
클라이언트
Trackback Address :: http://blog.ahnlab.com/asec/trackback/242
허위 백신 유포에 악용되는 Papka 툴 킷 :: 2010/02/08 18:48
2010년 1월 말 해외 언더그라운드에서 허위 백신을 유포하는 방법으로 Papka 이라는 웹 익스플로잇 툴킷(Web Exploit Toolkit)이 사용된다는 일부 보안 업체의 보고가 있었다.
웹 익스플로잇 툴킷(Web Exploit Toolkit)은 2009년 이전 부터 웹 브라우저(Web Brower)의 다양한 취약점을 악용하여 악성코드 감염에 이용되는 툴킷 형태로 알려져 있으며 그 실제 악용 사례로 2009년 6월에 발생한 나인볼(NineBall)이라 명명된 대규모 웹 사이트 공격에서도 이러한 형태의 툴 킷이 사용되어 왔다.
ASEC에서는 이 번에 알려진 Papka라는 웹 익스플로잇 툴 킷을 확보하여 자세한 분석을 진행하였다.
이 번에 분석이 진행된 Papka 툴 킷의 메인 사용자 웹 페이지는 아래 이미지와 같이 간단한 형태를 가지고 있으며 별도의 데이터베이스(Database)를 필요하지 않다.
그리고 해당 툴 킷으로 유입된 피해 시스템에서 사용하는 운영체제, 사용하는 웹 브라우저와 IP 조회를 통한 위치 정보 등으로 해당 툴 킷을 설치한 공격자가 공격 대상이 되는 시스템들의 다양한 정보들을 취합 할 수 있도록 되어 있다.
해당 툴 킷에서 아래 이미지와 같이 총 7가지의 다양한 취약점들을 악용하여 공격에 사용되는 것을 알 수가 있다.
해당 Papka 툴 킷에서 사용하는 취약점이 어도비(Adobe)사의 아크로뱃 리더(Acrobat Reader)에서부터 마이크로소프트(Microsoft) 윈도우(Windows)와 인터넷 익스플로러(Internet Explorer)의 취약점까지 다양하게 악용되고 있다.
특히 공격자는 이러한 툴 킷을 통해 컴퓨터 사용자가 악의적인 웹 사이트로 접속하는 순간 해당 시스템에 존재하는 7가지의 취약점을 자동으로 선택하여 악용함으로 시스템이 악성코드에 감염된 것을 알아채기가 쉽지 않다.
그러므로 사용하는 시스템의 다양한 응용 프로그램들의 보안 패치까지 관심을 가지고 설치하는 것이 중요하다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/239
다국적 언어를 지원하도록 제작된 허위 백신 :: 2010/02/05 18:23
2010년 2월 2일을 즈음하여 인터넷 포털 사이트를 통해 사용하는 시스템이 허위 백신에 감염되었으며 해당 허위 백신이 한국어로 제작되어 있다는 문의가 게시되었다.
ASEC에서는 해당 허위 백신의 설치 파일을 확보하여 어떠한 형태이며 한국어로 어떻게 표기되는지 자세한 분석을 진행하였다.
해당 허위 백신이 시스템에서 실행이 되면 아래 이미지와 같이 마이크로소프트(Microsoft)의 보안 패치를 위해 실행되는 윈도우 업데이트(Windows Update)와 유사한 창이 생성되며 XP 인터넷 시큐리티(Internet Security)를 설치 중이라는 메시지를 보여주게 된다.
그리고 다음 경로의 폴더에 av.exe(344,064 바이트) 라는 파일명으로 자신의 복사본을 생성하게 된다.
C:\Documents and Settings\사용자 계정명\Local Settings\Application Data\av.exe
이 외에 윈도우 시스템이 재부팅 되더라도 해당 허위 백신이 실행 되도록 윈도우 레지스트리의 다양한 자동 실행 부분에 자신을 등록 시킨다.
복사본 생성이 완료되면 아래 이미지와 같은 창을 생성하여 사용자의 동의와 상관없이 시스템 전체를 검사하여 정상적인 파일들을 악성코드로 진단하고 있다. 그리고 검사와 함께 사용하는 시스템이 심각한 악성코드들에 감염된 것으로 사용자에게 허위 정보를 제공한다.
이와 동시에 윈도우 시스템 트레이(System Tray)에도 스파이웨어(Spyware)에 감염되어 신용카드 정보 등의 중요한 개인 정보들이 외부로 유출 될 수 있다는 허위 정보를 지속적으로 보여주고 있다.
그리고 마지막으로 시스템에 감염되었다는 악성코드들을 치료하기 위해서는 온라인을 통해 정상적인 결제하여 정상 사용 등록을 하도록 유도하고 있다.
해당 허위 백신의 설정을 살펴보면 한국어만을 지원하기 위해서 제작된 것은 아니며 영어와 일본어를 포함하여 다양한 언어들을 지원하기 위해 제작되어 있다. 이는 해당 허위 백신 제작자는 감염된 시스템의 언어를 확인하여 해당 시스템의 사용자에게 가장 친숙한 언어를 보여주기 위한 것으로 보여진다.
그리고 해당 허위 백신에 감염된 시스템에서 인터넷 익스플로러(Internet Explorer)를 실행시키자 해당 허위 백신에서 인터넷 익스플로러가 온라인 뱅킹 정보를 유출할 수 있는 트로이목마에 감염되었다라는 허위 메시지를 보여 주며 빨리 해당 허위 백신을 온라인 결제하라는 요구를 하게 된다.
해당 허위 백신은 V3 제품군에서 다음과 같이 진단한다.
Win-Trojan/Fakeav.344064
이 번에 한국어를 지원하는 것으로 알려진 허위 백신은 심각한 악성코드들에 시스템이 감염되어 중요 개인 정보들이 유출될 수 있다라는 심각한 정보를 허위로 제공하여 온라인 결제를 유도하는 형태이다. 이렇게 허위 백신에서 한국어를 지원하는 것은 한국인에게 친숙한 한국어를 사용하여 허위 정보의 전달이 정확하게 하려는 제작자의 의도로 보여진다.
이는 결국 심각한 상황을 연출하여 사용자의 금전적 피해를 입히기 위한 고도의 사회 공학 기법으로 볼 수 있으며 향후에도 이와 유사하게 한국어를 사용하는 타켓 공격(Targeted Attack) 등이 발생 할 수 있음으로 많은 주의가 필요하다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/238
-
한글판 외산 허위 Anti-Virus 제품 주의
■ 외산 허위 Anti-Virus 제품 한국어(다국어) 버전 주의 2010년 1월 28일경 부터 외산 허위 Anti-Virus 제품들이 한국어를 포함한 다국적 언어를 지원하는 형태로 지능화되어 국내에도 감염 피해 보고
인터넷 익스플로러 정보 유출 취약점 :: 2010/02/04 19:29
미국에서 진행되는 블랙햇(BlackHat) 보안 컨퍼런스에서 마이크로소프트(Microsoft)의 인터넷 익스플로러(Internet Explorer)에 알려지지 않은 정보 유출 취약점이 존재하는 것이 알려졌다.
현재 마이크로소프트에서는 해당 취약점에 대한 보안 권고문을 다음과 같이 작성하여 배포하고 있으며 실제 해당 취약점을 악용한 공격은 발생하지 않은 것으로 보고 있다.
Microsoft Security Advisory (980088)
해당 취약점은 모든 버전의 인터넷 익스플로러에 해당 되나 보호 모드(Protected Mode)가 활성화된 인터넷 익스플로러 버전 7과 8은 해당 되지 않는다.
공격자는 해당 취약점을 이용하여 웹페이지 접근을 통해 사용자의 로컬 컴퓨터 상에 존재하는 파일들의 정보를 획득하거나 스크립트 실행을 통해 임의의 명령을 수행할 수 있다.
해당 취약점에 대한 자세한 정보와 임시 해결 방안은 아래 ASEC 보안 권고문을 참고 하기 바란다.
ASEC Advisory SA-2010-002
네트워크 장비인 트러스가드(TrusGuard) 제품군에서는 해당 취약점을 다음의 탐지명으로 차단 가능하다.
ms_ie_dyanamic_object_security_bypass
ms_ie_dyanamic_object_file_read
Trackback Address :: http://blog.ahnlab.com/asec/trackback/237
-
Microsoft Internet Explorer 제로데이 취약점 : Microsoft Security Advisory (980088) - Vulnerability in Internet Explorer Could Allow Information Disclosure
Tracked from 울지않는벌새 : Security, Movie & Society | 2010/02/04 20:40 | DEL마이크로소프트(Microsoft) Internet Explorer의 정보 노출 허용과 관련된 제로데이(0-Day) 취약점이 공개가 되었습니다. 최근에 Internet Explorer 보안 취약점을 이용한 중국의 사이버 공격으로 미국 IT 업체