'인터넷익스플로러'에 해당되는 글 5건
중국 내 급속 확산 중인 Piloyd 웜 :: 2009/11/25 19:33
해외 시각 2009년 11월 25일 새벽 무렵 미국 보안 업체인 썬벨트(Sunbelt)와 외국 언론을 통해 중국 내에서 Piloyd 웜이 급속하게 확신 중이라는 소식이 전해 졌다.
해당 웜은 9월 말 경부터 발견되기 시작한 것으로 ASEC에서는 파악하고 있으며 해당 웜(Worm)은 다음 경로를 통해 네트워크에 인접한 컴퓨터 시스템으로 감염을 시도한다.
1. 관리목적 공유 폴더
ADMIN$, C$, D$과 IPC$의 관리 목적 공유 폴더에 자신의 복사본 생성을 시도한다.
2. 취약한 사용자 계정 암호에 대한 사전 대입
사용자 계정에 설정되어 있는 취약한 암호에 대해 사전 대입 기법을 통해 사용자 계정의 권한을 획득 한 후 컴퓨터 시스템 설정되어 있는 공유 폴더에 악성코드의 복사본 생성을 시도한다.
해당 웜에 감염되면 윈도우 시스템 폴더(c:\windows\system32)에 존재하는 정상 qmgr.dll(382,464 바이트)를 웜에 의해 생성되는 악의적인 코드로 덮어 쓰게 된다.
그리고 사용자 계정의 임시 폴더인 temp 폴더에 임의의 파일명인 bat 파일을 생성해 웜의 복사본을 lsasvc.dll 파일명으로 윈도우 시스템 폴더(c:\windows\system32)의 하위에 존재하는 dllcache 폴더에 복사를 시도한다.
또 윈도우 레지스트리의 "Image File Execution Options"에 특정 키를 생성하여 특정 프로세스가 실행될 때 자동 실행되도록 하며 윈도우 시스템의 안전모드(SafeBoot) 관련 레지스트리 키들을 모두 삭제하여 감염된 시스템이 안전 모드 부팅하지 못하도록 한다.
그리고 인터넷 익스플로러(iexplorer.exe)를 백그라운드(Backgroud)로 실행하여 외부의 특정 시스템들로부터 다수의 온라인 게임 사용자 정보를 유출하는 트로이목마를 다운로드하여 실행하게 된다.
해당 웜과 변형들은 V3 제품군에 다음과 같이 진단하고 있으나 다수의 변형들이 더 존재할 것으로 예측된다.
Win32/Piloyd.worm.43520
Win32/Piloyd.worm.43520.B
Dropper/Malware.26112.E
이러한 네트워크를 통해 감염되는 악성코드인 웜의 감염을 예방하기 위해서는 아래 사항들을 숙지해서 적용하기 바란다.
1. 사용하는 윈도우 시스템의 사용자 계정 암호를 영어 알파벳과 숫자 그리고 특수문자(!, @, #, $과 % 등)를 사용하여 7자리 이상 적용하도록 한다.
2. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
3. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.
4. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
5. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
6. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
7. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/195
트위터를 기반으로 한 봇넷 조정 발견 :: 2009/08/14 17:18
미국 시각 8월 13일 미국의 네트워크 보안 업체인 아르보(Arbor)에서 소셜 네트워크 서비스(Social Network Service)인 트위터(Twitter)를 이용하여 악성코드에 감염된 좀비(Zombie) 시스템들의 네트워크인 봇넷(Botnet)으로 조정 명령들을 송신하는 것이 발견되었다고 한다.
아르보에서 발견한 트위터를 이용한 봇넷 명령한 위 이미지에서와 같이 봇넷을 조정할 수 있는 명령어들을 베이스64(Base64)로 인코딩 한 후 이를 다시 아래 이미지와 같이 RSS(Really Simple Syndication)로 악성코드에 감염된 좀비 시스템들에게 명령을 송신하도록 되어 있었다.
ASEC에서 분석 당시 송신한 명령으로는 특정 도메인에서 다수의 특정 파일을 다운로드 하는 명령이 존재하였다. 해당 파일들을 다운로드 하여 확인 한 결과 아래 이미지와 같은 베이스64로 인코딩되어 있는 ZIP 압축 파일이었다
해당 파일들을 디코딩해서 압축을 풀면 UPX로 실행 압축되어 있는 gbpm.exe 파일이 생성된다.
생성된 실행 파일들은 모두 악성코드들로 V3 제품군에서 다음과 같이 진단한다.
Win-Trojan/Banc.104960
Win-Trojan/Banc.103936
Win-Trojan/Banc.33792
Win-Trojan/Banc.34304
Win-Trojan/Banc.71680
Win-Trojan/Banc.104448
해당 악성코드가 실행되면 DLL 파일 1개를 생성해서 웹 브라우저인 인터넷 익스플로러(Internet Explorer)와 파이어폭스(Firefox)가 특정 금융 관련 웹 사이트에 접속이 이루어지면 사용자가 입력하는 키보드 입력 값을 후킹하는 기능을 수행한다.
ASEC에서 현재까지 분석한 사항들을 종합 해보면 해당 악성코드 제작자는 트위터의 RSS 기능을 이용해 좀비 시스템에 다른 악성코드를 다운로드 하도록 하여 감염을 시도한 것으로 분석 된다.
마이크로소프트 7월 추가 보안 패치 제공 :: 2009/07/27 13:43
마이크로소프트(Microsoft)에서 지난 7월 15일 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점을 제거하기 위한 보안 패치들을 배포 한 바가 있었다.
그리고 ASEC에서는 7월에 배포된 보안 패치들에 대해 아래와 같이 정리한 바가 있었다.
7월 15일 배포된 보안 패치 중에는 악성코드에서 악용된 취약점에 대한 보안 패치가 제공되지 않아 마이크로소프트에서 7월 29일 추가 보안 패치를 제공하는 것으로 보여진다.
이번에 추가 제공되는 보안 패치는 인터넷 익스플로러(Internet Explorer)와 비주얼 스튜디오(Visual Studio) 관련 취약점이며 다음과 같다고 한다.
해당 보안 패치와 관련된 사항은 아래 국내 기사와 마이크로소프트 웹 사이트를 참고 하기 바란다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/70
-
마이크로소프트 추가 보안 업데이트 소식 (2009년 7월 29일)
Tracked from 울지않는벌새 : Security, Movie & Society | 2009/07/27 16:37 | DEL매월 정기적으로 이루어지는 마이크로소프트(Microsoft) 보안 업데이트 일정과 별개로 이번 달에는 7월 28일(한국 시간 7월 29일)에 추가적인 업데이트 2건이 발표가 되었습니다. Microsoft 2009년 7월
-
Microsoft 보안 공지 (MS09-034 ~ MS09-035)
Tracked from Welcome to the "HS" | 2009/07/29 16:03 | DELMS09-034 [긴급] - Internet Explorer 누적 보안 업데이트 (972260) MS09-035 [보통] - Visual Studio ATL(액티브 템플릿 라이브러리)의 취약점으로 인한 원격 코드 실행 문제점 (969706) 출처 : Microsoft TechNet 링크 : http
토렌토리엑터 웹 사이트 악성코드 유포 :: 2009/07/03 22:39
7월 1일 웹센스(WebSense)에서 많은 사람들이 사용하는 P2P(Peer to Peer) 프로그램인 토렌토(Torrent)의 검색 엔진 역할을 하는 토렌토리액터(Torrentreactor) 웹 사이트에서 악성코드를 유포 하였다고 한다.
웹센스의 보고에 따르면 이번에 발생한 악성코드 유포 사고는 기존에 알려진 취약점들인 인터넷 익스플로러에 존재하는 MS06-014 MDAC 코드 실행 취약점과 MS08-041 엑세스 스냅샷 뷰어 (Access Snapshot Viewer)의 코드 실행 취약점을 공격하는 스크립트 악성코드가 설치되어 있었다고 한다.
해당 스크립트 악성코드를 통해 취약점이 존재하는 웹 브라우저 사용자의 시스템으로 개인 정보를 유출 할 수 있는 트로이목마를 다운로드 한 후 실행 할 수 있도록 하였다고 한다.
조금 더 자세한 사항에 대해서는 아래 웹 사이트를 참고 하기 바란다.
이번에 토렌토리액터(Torrentreactor)를 통해 유포 되었던 트로이목마는 V3 제품군에서 다음과 같이 진단 한다.
Win-Trojan/Waledoc.22528
이번과 같이 취약점이 존재하는 웹 브라우저를 통한 악성코드의 감염을 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오피스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반듯이 설치한다.
3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/44
웹 익스플로잇 툴킷(Web Exploit Toolkit)에 의한 보안 위협 :: 2009/06/22 18:58
6월 18일 ASEC에서는 나인볼(NineBall)로 명명된 대규모 웹 사이트 공격 및 악성코드 유포 관련 보안 위협에 대해 다룬 적이 있었다.
이번 나인볼(NineBall) 보안 위협과 관련된 내용은 아래 ASEC 블로그 내용을 참고하면 좋을 것이다.
ASEC에서 추가적인 정보를 수집 및 분석하는 과정에서 이번 나인볼 보안 위협의 배후에는 YES Exploit System라는 웹 익스플로잇 툴킷(Web Exploit Toolkit)이 존재하고 있는 것으로 파악되었다.
YES Exploit System에 대해서는 이블핑거즈(EvilFingers) 블로그에 공개되어 있는 아래 글을 참고하면 좋을 것이다.
웹 익스플로잇 툴킷은 웹 사이트를 이용하여 악성코드 유포를 쉽고 강력하게 수행할 수 있도록 하는 도구이다.
이 웹 익스플로잇 툴킷은 다양한 취약점 공격, 공격 페이지 난독화 및 지능적인 은닉화 등의 여러 가지 악의적인 기법을 자동으로 수행하게 되어 있어 이번에 발생한 나인볼 보안 위협처럼 심각한 보안 위협을 발생할 수 있다.
이러한 웹 익스플로잇 툴킷들은 동유럽권에서 주로 제작되고 있는 것으로 파악되고 있으며 이 번에 알려진 YES Exploit System 웹 익스플로잇 툴킷 외에도 MPack, IcePack, FirePack 및 My Poly Sploits 등이 존재하고 있다.
MPack의 경우에는 최초로 알려진 웹 익스플로잇 툴 킷이며 현재까지 4가지 버전이 존재하고 있는 것으로 알려져 있다.
IcePack의 경우에도 역시 동유럽 권에서 제작된 것으로 알려져 있으며 현재까지 3가지 버전이 존재하고 있으며 2008년도에 들어서는 중국어 버전으로 제작된 것이 중국 언더그라운드에서 발견된 사례가 있었다.
2008년 10월에 알려진 My Poly Sploits가 비교적 가장 최근에 알려진 웹 익스플로잇 툴킷으로 ASEC에서 분석한 결과로는 다음과 같은 구조로 동작하며 악성코드를 유포하게 되어 있다.
위 이미지에서와 같은 구조를 가지고 있는 My Poly Sploits은 총 3단계 구조를 통해서 동작하게 되어 있다.
1단계
웹 익스플로잇 툴킷에서 사용하는 데이터베이스에 연결하고 각종 함수 정의 및 접근 로그를 생성한다.
2단계
웹 익스플로잇 툴킷이 설치된 웹 사이트에 접속한 컴퓨터 사용자의 브라우져 정보를 바탕으로 자동적으로 공격 코드를 생성하며 여기에서 사용되는 공격 코드들은 다음의 웹 브라우저들을 대상으로 하고 있다.
인터넷 익스플로러 6, 인터넷 익스플로러 7
파이어 폭스
오페라 8, 오페라 9
3단계
컴퓨터 사용자에게는 존재하지 않는 페이지에 접근했을 때와 동일한 에러 메시지를 보여줌으로써 별다른 의심을 하지 않도록 한다.
위 이미지와 같이 My Poly Sploits 설치된 웹 사이트에 컴퓨터 사용자가 접근하게 될 경우 컴퓨터 사용자의 웹 브라우저에는 존재하지 않는 웹 사이트 정보를 제공하게 된다.
그러나 해당 웹 페이지에는 아래 이미지와 같이 컴퓨터 사용자의 웹 브라우저에 적절한 공격 코드가 삽입되어 있는 것을 알 수 있다.
삽입되어 있는 웹 브라우저 공격 코드를은 다른 서버에 존재하는 악성코드들을 컴퓨터 사용자의 시스템으로 다운로드하고 실행 할 수 있도록 되어 있다.
이러한 형태로 웹 브라우저에 대한 공격이 진행되는 웹 익스플로잇 툴킷으로 인해 유포되는 악성코드의 감염을 예방하기 위해서는 다음과 같은 대응 방안을 들 수가 있다.
1. 자신이 사용하는 웹 브라우저에 존재하는 보안 취약점을 제거 할 수 있는 보안 패치를 설치하는 것이 중요 하다.
2. 윈도우 운영체제와 인터넷 익스플로러의 보안 패치를 모두 설치하는 것이 중요 할 것이다.
3, 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어를 백신과 더불어 설치하는 것이 좋을 것이다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/13