'스크립트'에 해당되는 글 13건

신개념 웹 보안관제 서비스 국내 첫 출시 :: 2010/08/04 10:08

-웹사이트 위협 모니터링 서비스 ‘사이트케어’
-기업/기관 웹사이트 해킹 및 악성코드 유포, 사용자 정보 유출 방지
-웹 서버 아닌 웹사이트 내 콘텐츠 검사로 사용자 보호에 초점
-기업 신뢰도 향상, 좀비 PC 확산 방지 효과

사용자 삽입 이미지

우리 회사 웹사이트가 악성코드 유포지로 악용된다면? 수많은 좀비 PC를 만드는 근원지가 된다. 웹사이트에 가입한 회원의 개인정보가 유출된다면? 기업 신뢰도 하락과 고객 이탈로 이어진다. 최근 웹사이트를 해킹해 악성코드를 심어놓거나 회원 정보를 빼내는 범죄가 적지 않게 발생하는 가운데 이를 실시간 감시해주는 신개념 보안관제 서비스가 국내에서 첫 출시돼 주목된다.
 
글로벌 통합보안 기업인 안철수연구소[대표 김홍선 www.ahnlab.com]는 3일 국내 최초 웹사이트 위협 모니터링 서비스인 ‘사이트케어’[AhnLab SiteCare]를 출시했다고 발표했다. ‘사이트케어’는 기업/기관 웹사이트의 해킹 및 악성코드 유포, 주민번호 같은 개인정보의 노출을 실시간 모니터링해 유사 시 빠르게 조치하도록 경고해주는 혁신적인 서비스이다.
 
‘사이트케어’의 출시로 기업/기관에서는 자사 웹사이트 및 사용자의 안전을 24시간 365일 유지할 수 있게 됐다. 또한 해킹 대응, 민원 대응 비용을 최소화하고 대외 신뢰도를 향상할 수 있으며 국가적 문제인 좀비 PC 확산 방지에도 기여할 수 있다.
 
‘사이트케어’는 안철수연구소가 자체 개발한 웹 콘텐츠 진단 엔진인 ‘안티 멀사이트 엔진’[Anti-MalSite Engine, 참고자료1]과 1천만 명 이상의 사용자를 확보한 위험 사이트 차단 서비스 ‘사이트가드’를 기반으로 다양하고 지능적인 공격을 신속히 진단한다. 또한 액세스[ACCESS, 참고자료2] 전략 하에 보안관제, 컨설팅, 어플라이언스 솔루션 등과 통합된 보안 서비스로 최신 위협에 입체적 대응이 가능하다. 즉, 웹 방화벽을 우회하는 공격, 동적인 스크립트를 통한 공격 등을 빠르게 진단하며, 주민번호 등 웹을 통해 노출되는 개인정보를 탐지하여 신속한 조치를 할 수 있다[참고자료3].
 
이제까지 웹 보안 솔루션은 웹 방화벽이 유일했다. 웹 방화벽은 웹 서버 관점에서 서버에 유입되는 공격만 탐지 및 필터링한다. 그에 비해 ‘사이트케어’는 사용자 관점에서 위협을 탐지하기 위해 웹 콘텐츠를 분석 및 모니터링한다. 즉, ‘사이트케어’는 웹 방화벽이 탐지할 수 없는 난독화 스크립트 및 위협을 비롯해 제휴 사이트 및 광고와 연계된 콘텐츠의 위협까지 분석/진단한다. 또한 PDF 리더, 플래쉬 플레이어 같은 웹 응용 프로그램의 취약점 공격까지 분석/탐지한다. 아울러 웹을 통해 사용자 모르게 다운로드 및 실행되는 프로그램을 탐지해 최신 기법의 해킹 공격을 모니터링할 수 있다. 이에 따라 웹 방화벽과 상호보완적으로 사용될 수 있다.

안철수연구소는 ‘사이트케어’ 출시에 이어 자체 관제센터를 구축한 대형 고객을 위한 서버 제품인 ‘사이트케어 엔터프라이즈’[AhnLab SiteCare Enterprise]와, 중소기업 대상 서비스인 ‘사이트케어 라이브’[AhnLab SiteCare Live]를 차례로 출시할 예정이다.
 
한편, 안철수연구소가 집계한 바에 따르면 2008년 8월부터 올 상반기까지 국내 웹사이트의 상위 300개 중 46%에 해당하는 138개 웹사이트가 악성코드를 유포한 이력이 있다. 또한 올 상반기 위험 요소가 발견된 URL 건수는 2만8215건이며 악성 URL에 접속한 사용자 수는 261만1383건이다[참고자료4].
 
안철수연구소 김홍선 대표는 “연초에 제품의 서비스화에 주력하겠다고 발표한 바 있다. ‘사이트케어’는 ‘트러스가드 DPX’에 이어 보안관제 서비스와 결합한 두 번째 사례이다. 앞으로도 지능적 보안 위협에 입체적이고 효과적으로 대응할 수 있는 종합적인 해법을 제시해나갈 것이다.”라고 강조했다.
 
<참고자료>------------------------------------------------------------
 
[1] 안티 멀사이트 엔진[Anti-MalSite Engine]
위협 웹사이트에 대응하기 위해 안철수연구소가 지난 3년간 자체 기술력으로 연구개발한 웹 콘텐츠 진단 전용 엔진이다. 파일을 검사하는 백신의 엔진과 달리, 웹페이지의 모든 콘텐츠 요소와 동적인 요소를 찾아서 웹브라우저와 동일한 가상 환경에서 분석한다. 이를 통해 실제 웹 사용자 입장에서 위협 요소들을 탐지할 수 있다. 또한 웹의 해킹 행위 자체를 진단하며, 각종 취약점을 공격하는 코드의 행위 자체를 분석하기 때문에 이를 통해 백신 프로그램으로 탐지할 수 없는 신종 악성코드의 삽입까지 탐지가 가능하다.
 
[2] 액세스[ACCESS; AhnLab Cloud Computing E-Security Service]
DDoS 공격을 비롯해 더욱 지능화 복합화한 보안 위협에 전방위 입체적으로 대응하기 위한 전략이다. ASEC[시큐리티대응센터]의 악성코드 수집 및 분석 능력과 CERT[침해사고대응팀]의 위협 모니터링 및 대응 서비스를 지능형 기술로 받쳐주는 플랫폼이다. 각종 보안 관리 데이터베이스[DB]와 유기적으로 결합해 위협의 근원인 악성코드와 해킹 기법을 실시간 수집/탐지/치료함은 물론 악성코드 시그니처 DB를 다이나믹하게 생성한다. 이 결과는 ASEC과 CERT, 안철수연구소 제품 및 서비스, 유관 전문 기관과 실시간 연계되어 신속하고 정확하게 일관된 종합 대응을 할 수 있다.

[3] 사이트케어가 탐지하는 보안 위협
-휴리스틱[해킹 행위 자체를 진단하는] 기반의 익스플로잇[Exploit Script Injection]
-HEX, Base64 등 기본 인코딩 및 악성 스크립트 자체 인코딩 로직, 복수 인코딩 로직
-스크립트에 의해 동적 생성[AJAX, DHTML] 및 인젝션된 링크, 프레임, 아이프레임, 옵젝트
-PDF 리더 등 액티브X 취약점 이용 스크립트 인젝션
-플래쉬 플레이어의 취약점 이용 SWF
-아이프레임, 프레임으로 제공되는 타 웹 서버 콘텐츠[제휴 콘텐츠, 광고배너 등] 인젝션
-링크 파일, 인클루드된 JS 파일, 액티브X, 동적 생성 링크 파일의 악성코드 감염
-주민번호, 신용카드번호 등 웹을 통한 개인정보 노출
 
[4] 웹 위협 현황
지난 2008년 8월부터 개인사용자 대상으로 무상 배포된 ‘사이트가드’는 현재 1천만 명 이상이 사용한다. 이를 통해 국내 웹의 위협 현황을 모니터링한 결과 지난 2년 간 총 149,957개의 도메인과 405,772개의 URL에서 악성코드가 국내에 유포됐다. 대부분 방문자가 많은 웹사이트이며, 특히 상위 100개 웹사이트 중 71개에서 악성코드가 유포되었다. 특히 상위 2000개의 웹사이트 중 499개의 웹사이트에서 악성코드가 유포됐는데, 이 중 포털 및 블로그 등 인터넷 서비스가 25.9%로 가장 비중이 높고, 그 다음으로 뉴스/미디어 사이트[14.4%], 직업정보 및 학교 등 교육 사이트[10.6%], 오픈마켓 등 전자상거래 사이트[8.8%] 순으로 나타났다. 특히 올해 들어 언론사, 방송사, 포털, 쇼핑몰 등 유명 사이트를 대상으로 한 해킹 시도가 증가했으며, 해킹에 의해 악성코드가 삽입된 경우 이를 제거 및 복구하는 데는 평균 12시간이 소요된 것으로 나타났다.
크리에이티브 커먼즈 라이센스
Creative Commons License
Writer profile
AhnLab ASEC님의 글입니다.

2010/08/04 10:08 2010/08/04 10:08
Trackback Address :: http://blog.ahnlab.com/asec/trackback/375
  • 비밀방문자 | 2010/08/06 10:16 | PERMALINK | EDIT/DEL | REPLY

    관리자만 볼 수 있는 댓글입니다.

[로그인][오픈아이디란?]
Name
Password
Homepage

Secret

계속되는 HTML이 첨부된 스팸 메일 유포 :: 2010/07/09 19:57

ASEC에서는 6월 중순 경부터 HTML 파일이 첨부된 스팸(Spam) 메일이 다양한 형태로 위장하여 유포되고 있음을 알려온 바가 있다. 이러한 HTML 파일이 첨부된 스팸 메일은 6월 15일에는 페이스북(Facebook)으로 위장하여 유포된 사례가 있으며 7월 5일에는 전송 실패 메일로 위장하여 유포된 사례 등과 함께 다양한 형태로 지속적으로 발견되고 있다.


지속적으로 유포되고 있는 HTML 파일이 첨부된 스팸 메일이 금일 다른 형태로 유포된 것을 ASEC에서 파악하였다.

금일 발견된 첫 번째 HTML 파일이 첨부된 스팸 메일은 다음 이미지와 같은 형태를 가지고 있으며 메일 제목으로는 "Returned mail: see transcript for details"이 사용되었다.

사용자 삽입 이미지

메일 본문에는 지난 7월 5일 발견되었던 전송 실패 메일로 위장하여 유포된 사례 유사하게 전달하는 메시지가 있으니 첨부된 HTML 파일을 확인 할 것을 유도 하고 있으며 첨부 파일로는 Returned mail see transcript for details.html (3,459 바이트)가 존재한다.

그리고 두번째로 발견된 형태는 다음과 같은 메일 제목과 본문을 가지고 있으며 메일 본문에는 동영사 웹 사이트인 유튜브(
YouTube)에서 보낸 메일인 것으로 위장하고 있다.

* 메일 제목
User <임의의 문자열> suggests you to become friends on YouTube

* 메일 본문
User <임의의 문자열> suggests you to become friends on YouTube. Offers and acceptance of offers on friendship simplify tracing of that your friends place in the selected works, add or estimate, and also simplifies video departure by all or to the selected users.

To accept or reject this invitation, pass in attach file.

* 첨부 파일
Youtube Message.html

첨부된 Youtube Message.html (93,561 바이트)을 가지고 있어 앞서 언급한 HTML 파일과 크기면에서는 차이가 발생하지 않고 있으며 2개의 HTML 파일 모두 아래 이미지와 같이 보안 업체의 분석을 지연시킴과 동시에 보안 제품의 탐지를 우회하고자 스크립트 전체가 난독화 되어 있다.

사용자 삽입 이미지

첨부된 HTML 파일들을 실행하게 되면 공통적으로 다음과 같은 웹 사이트로 접속을 시도하게 되며 접속이 성공적으로 이루어지면 아래 이미지와 같이 4초간 기다리는 메시지가 출력된다.

사용자 삽입 이미지

그러나 해당 웹 페이지의 소스보기를 하게 되면 아래 이미지와 같이 2중으로 특정 웹 사이트 주소를 리다이렉션(Redirection) 시키기 위한 코드와 아이프레임(iFrame)을 통해 특정 웹 사이트 주소를 연결하기 위한 코드가 공통적으로 존재하고 있다.

사용자 삽입 이미지

첫 번째 존재하는 코드는 아래 이미지와 같이 기존에 널리 알려져 있는 성인 약품 광고를 위한 웹 사이트로 연결되도록 되어 있다. 그리고 두 번째 코드는 현재 정상적으로 동작하지 않고 있으나 기존의 사례를 보았을 때는 악성코드를 다운로드 한 후 실행하기 위한 것으로 분석된다.

사용자 삽입 이미지

이러한 2중적인 코드를 구성하여 사용자가 단순 스팸성 메일인 것으로 오인하게 만드는 HTML 파일이 첨부된 스팸 메일의 전체적인 구조를 도식화 하게 되면 다음과 같은 구조를 가지고 있다.

사용자 삽입 이미지


이러한 2중 감염 기법을 이용하는 HTML 파일이 첨부된 악의적인 스팸 메일에 첨부되어 있는 HTML 파일은 V3 제품군에서 다음과 같이 진단한다.

HTML/Redirect

HTML 파일이 첨부된 악의적인 스팸 메일이 다양한 형태로 유포되고 있음으로 컴퓨터 사용자는 각별한 주의가 필요하다.

이렇게 다양한 방식으로 유포되는 악성코드들의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.
크리에이티브 커먼즈 라이센스
Creative Commons License
Writer profile
AhnLab ASEC님의 글입니다.

2010/07/09 19:57 2010/07/09 19:57
Trackback Address :: http://blog.ahnlab.com/asec/trackback/359
[로그인][오픈아이디란?]
Name
Password
Homepage

Secret

웹 보안 서비스 '사이트가드' 기술 특허 획득 :: 2010/05/27 15:56

- 위험 웹사이트 접속 차단해주는 ‘사이트가드’에 적용
- 사용자 신고 없이도 웹사이트 위험성 실시간 판단

사용자 삽입 이미지

글로벌 통합보안 기업인 안철수연구소[대표 김홍선 www.ahnlab.com]는 27일 악성 인터넷 사이트 접속을 차단해주는 보안 서비스인 ‘사이트가드’[개인용]와 ‘사이트가드 프로’[기업용]에 적용된 기술이 특허를 획득했다고 발표했다.
 
이 특허 기술의 명칭은 ‘악성 사이트 검사 방법, 악성 사이트 정보 수집 방법, 장치, 시스템 및 컴퓨터 프로그램이 기록된 기록매체’이며, 악성 웹사이트의 행위를 실시간으로 분석해 사용자에게 알려주는 기술이다.
 
특허 기술이 적용된 ‘사이트가드’[http://www.siteguard.co.kr] 시리즈는 포털을 비롯해 블로그, SNS[소셜 네트워크 서비스] 등 인터넷 환경이 백신이나 네트워크 보안 솔루션을 우회하는 공격에 이용되는 상황에서, 위험한 웹사이트 접속을 예방함으로써 사용자를 보호하고 안전한 인터넷 환경을 유도한다.
 
즉, 악성코드 유포 사이트나 의심되는 스크립트, 웹 애플리케이션의 취약점을 악용하는 프로세스의 실행, 피싱 사이트 접속 등을 사전 차단한다. 파일 다운로드 시 악성코드 유무를 검사해 감염된 파일을 삭제하며, 포털 사이트에서 검색 시 1차 검색 결과 화면에 해당 페이지의 안전 여부를 표시해준다. 국내 최초의 웹 플랫폼 보안 서비스로서 국내외 동종 서비스 중 유일하게 전사 관리, 실시간 대응이 가능하며, 신종 위험 요소의 즉각적 대응이 가능하다는 것이 강점이다.
 
이번 특허 기술의 차별점은 사용자가 방문하는 웹사이트와, 그 사이트에서 실행되는 코드를 인터넷 등의 데이터 통신 단말에서 검사한다는 것이다. ‘사이트가드’와 유사한 다른 서비스는 사람의 신고해 쌓인 DB를 기반으로 웹사이트의 위험 여부를 알려주지만, 본 기술은 신고 없이도 새로 만들어진 사이트의 악성 여부를 판단할 수 있다.

즉, 이번 특허 기술은 웹브라우저의 의심 행위를 실시간 감시하고, 방문하는 웹사이트에서 실행되려는 코드의 악성 여부를 검사한다. 악성이면 해당 코드의 실행을 차단하고, 악성코드를 실행하는 웹사이트를 악성 사이트로 판정한다. 따라서 모든 사이트, 심지어 새로 만들어진 웹페이지까지 악성 여부를 알 수 있어 사용자가 안전하게 웹사이트에 접속할 수 있게 해준다.
 
기존 방식에는 프록시 방식, 네트워크 필터링 방식이 있다. 프록시 방식은 웹 문서를 대신 받아서 분석 및 검사하는 것으로, 웹 문서를 대신 받고 분석한 후에 웹브라우저에 보내기 때문에 성능 저하가 심하고, 모든 웹 문서를 분석할 수 없다는 한계가 있다. 또한 네트워크 필터링 방식은 네트워크의 중간 레벨에서 모든 데이터를 분석하거나 패턴을 찾는 방식이다. 모든 데이터를 검사하기 때문에 성능 저하가 심하며, 새로 만들어진 패턴이나 변형된 패턴에서는 악성코드를 찾을 수 없다는 문제점이 있다.
 
한편, ‘사이트가드’ 개인용 무료 서비스는 현재 1000만 명 이상이 사용하며, 안전한 웹 환경을 유지하고 있다.
크리에이티브 커먼즈 라이센스
Creative Commons License
Writer profile
AhnLab ASEC님의 글입니다.

2010/05/27 15:56 2010/05/27 15:56
Trackback Address :: http://blog.ahnlab.com/asec/trackback/327
[로그인][오픈아이디란?]
Name
Password
Homepage

Secret

인터넷 익스플로러 제로 데이 취약점 보안 패치 배포 :: 2010/03/30 12:42

금일 마이크로소프트(Microsoft)에서는 현재 인터넷 익스플로러(Internet Explorer)에 존재하는 제로 데이(0-Day, Zero-Day) 취약점인 CVE-2010-0806에 대한 긴급 보안 패치를 배포 할 예정으로 MSRC(Microsfot Security Responce Center) 블로그의 "Internet Explorer Cumulative Update Releasing Out-of-Band"를 통해 밝혔다.


이 번에 배포 예정인 마이크로소프트의 인터넷 익스플로러 긴급 보안 패치는 현재까지 다양하게 악용되고 있는 보안 취약점으로 ASEC에서 분석한 해당 취약점을 악용한 공격 사례는 다음과 같다.


해당 취약점에 대한 보안 패치는 한국 시각으로 3월 31일 경에 배포 될 예정임으로 해당 보안 패치가 마이크로소프트의 윈도우 업데이트(Windows Update)를 통해 배포되면 즉시 해당 보안 패치를 설치하는 것이 중요하다.

그 이전까지는 해당 취약점에 영향을 받지 않는 인터넷 익스플로러 버전 8을 사용함으로 해당 취약점을 악용하는 악성코드나 보안 위협을 사전에 예방 할 수 있다.


크리에이티브 커먼즈 라이센스
Creative Commons License
Writer profile
AhnLab ASEC님의 글입니다.

2010/03/30 12:42 2010/03/30 12:42
Trackback Address :: http://blog.ahnlab.com/asec/trackback/286
[로그인][오픈아이디란?]
Name
Password
Homepage

Secret

천안함 침몰 관련 뉴스 기사로 위장한 악성 메일 유포 :: 2010/03/29 15:25

지난 주 금요일 26일 야간 서해안 앞바다에서 침몰한 천안함과 관련한 뉴스 기사를 위장하여 악의적인 웹 사이트로 연결하는 전자 메일이 3월 27일 해외에서 유포된 것이 보고 되었다.


이 번 천안함 침몰이 한국 뿐 만 아니라 국외에서도 많은 관심을 받고 있는 참사를 악성코드 유포에 악용한 전자 메일은 아래 이미지와 같은 전자 메일 형식로서 메일 제목으로는 "Dozens missing after ship sinks near North Korea"이며 별도의 첨부 파일이 존재 하지 않는다.

사용자 삽입 이미지

해당 전자 메일에는 북한 인근 해역에서 배가 침몰하였다는 내용과 함께 자세한 내용은 제공한 웹 사이트 링크를 통해 확인 할 것을 유도하고 있다.

그러나 해당 전자 메일에서 제공하고 있는 웹 사이트 링크는 3월 11일 ASEC 블로그를 통해 공개한 마이크로소프트 인터넷 익스플로러의 제로 데이(0-Day, Zero-Day) 취약점인 CVE-2010-0806을 악용하는 스크립트를 다운로드 하는 웹 사이트로 연결하도록 되어 있다.

사용자 삽입 이미지

위 이미지와 같이 CVE-2010-0806 취약점을 악용하는 자바 스크립트 파일은 현재까지 다수의 변형들이 발견되었으며 현재까지 마이크로소프트에 의해 공식적으로 취약점을 제거 할 수 있는 보안 패치는 제공되지 않은 상태이다.

해당 취약점을 악용하는 스크립트와 관련 악성코드는 V3 제품군에서 다음과 같이 진단한다.

JS/CVE-2010-0806
Win-Trojan/Tapaoux.357344

해당 취약점으로 인해 악성코드 감염을 예방하기 위해서는 해당 취약점으로 부터 영향을 받지 않는 인터넷 익스플로러 버전 8로 업그레이드 하는 것이 중요하다.
크리에이티브 커먼즈 라이센스
Creative Commons License
Writer profile
AhnLab ASEC님의 글입니다.

2010/03/29 15:25 2010/03/29 15:25
Trackback Address :: http://blog.ahnlab.com/asec/trackback/284
[로그인][오픈아이디란?]
Name
Password
Homepage

Secret

인터넷 익스플로러 제로 데이 취약점 악용 변형 스크립트 :: 2010/03/19 18:59

3월 11일 ASEC에서는 마이크로소프트(Microsoft)의 인터넷 익스플로러(Internet Explorer)에서 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용한 타켓 공격(Targeted Attack)이 발생하였다고 전한 바 있었다.


3월 18일 해외에서 이 번에 발견된 인터넷 익스플로러의 제로 데이 취약점을 악용하는 스크립트 변형이 발견되었다.

사용자 삽입 이미지

이 번에 발견된 해당 취약점을 악용하는 스크립트 악성코드는 위 이미지와 같이 기존과 동일한 쉘코드(Shellcode)를 사용하고 다운로드 받는 파일을 XOR로 디코딩하여 실행 시키는 특징이 있다.

실제 해당 스크립트 악성코드가 실행되면 중국에 위치한 특정 시스템으로 부터 2929.exe(30,532 바이트)를 사용자 계정의 Application Data 폴더에 a.exe 라는 파일명으로 다운로드 하게 된다. 다운로드 한 해당 파일은 다시 동일한 폴더에 b.exe 라는 파일명으로 복사를 하게 된다.

그러나 다운로드 한 파일은 아래 이미지에서와 같이 정상적인 PE 파일 형태가 아니나 해당 스크립트 악성코드에 의해 XOR 디코딩을 통해 정상적인 PE 파일 형태로 변경하여 실행 하도록 한다.

사용자 삽입 이미지

이 번에 발견된 인터넷 익스플로러의 제로 데이 취약점을 악용하는 스크립트 악성코드 변형과 해당 스크립트 파일에 의해 다운로드 악성코드는 V3 제품군에서 다음과 같이 진단 한다.

JS/CVE-2010-0806.B
Win-Trojan/Zpack.30532

현재 마이크로소프트에서는 해당 제로 데이 취약점을 제거하기 위한 보안 패치를 제작하고 있는 것으로 알려져 있으나 언제 정식으로 배포 될지는 알려지지 않았다.

그러므로 사용하는 웹 브라우저(Web Browser)가 인터넷 익스플로러인 사용자는 해당 취약점의 영향을 받지 않는 인터넷 익스플로러 8로 업그레이드 함으로 이러한 보안 위협을 예방 할 수 있다.
크리에이티브 커먼즈 라이센스
Creative Commons License
Writer profile
AhnLab ASEC님의 글입니다.

2010/03/19 18:59 2010/03/19 18:59
Trackback Address :: http://blog.ahnlab.com/asec/trackback/278
[로그인][오픈아이디란?]
Name
Password
Homepage

Secret

2중 감염 기법을 사용하는 Zbot 변형 :: 2010/02/16 16:41

2009년 6월부터 다양한 사회적인 이슈들을 이용하는 사회 공학 기법을 통해 유포되었던 Zbot 변형이 최근에 와서는 악의적인 웹 사이트에 포함되어 있는 iFrame으로 어도비 아크로뱃 리더(Adobe AcroBat Reader)의 PDF 파일에 존재하는 취약점도 악성코드 유포에 악용되는 것이 확인 되었다.


이러한 2중 감염 기법은 최근에 발견된 허위 세금 고지 메일로 위장한 Zbot 변형들 중에서 사용하고 있는 것으로 알려져 있다.

이러한 기법은 최초 허위 세금 고지 메일로 위장한 전자 메일을 유포한 한 후 해당 전자 메일 본문에 포함되어 있는 링크를 클릭 할 경우 아래 이미지와 같은 웹 사이트로 연결된다.

사용자 삽입 이미지

악의적인 웹 사이트에서는 기존과 동일하게 해당 웹 사이트에서 제공하는 tax-statement.exe(130,560 바이트)를 다운로드하도록 유도하고 있으며 해당 파일은 Zbot 트로이목마 변형이다.

Zbot 트로이목마 제작자는 해당 웹 사이트의 접속자가 해당 트로이목마 변형을 다운로드 하지 않는 경우를 고려하여 아래 이미지와 같이 웹 사이트 내부에 iFrame 코드를 삽입하여 카자흐스탄(Kazakhstan)에 위치한 특정 서버에서 취약한 PDF 파일을 다운로드 하도록 되어 있다.

사용자 삽입 이미지

해당 서버에서 다운로드 된 취약한 PDF 파일은 다시 카자흐스탄에 위치한 다른 서버로 부터 Mufanom 트로이목마 변형을 다운로드 한 후 실행하도록 되어 있다. 이러한 전체적인 구조를 간략하게 도식화 한 이미지가 아래와 같다.

사용자 삽입 이미지

위 이미지와 같은 전체적인 구조를 가지고 있는 Zbot 변형을 유포하기 위한 전자 메일은 해당 악성코드 제작자가 악의적인 웹 사이트로 접속한 사용자가 해당 웹 사이트에 대한 의심으로 Zbot 변형을 정상적으로 다운로드 하지 않을 경우 생각한 2중 감염 기법으로 볼 수 있다.

이러한 2중 감염 기법을 사용하는 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

Win32/Ircbot.worm.variant
PDF/Exploit
Win-Trojan/Mufanom.39424.AG

이러한 복합적인 공격 기법은 2009년 이전 부터 웹 사이트에 존재하는 악성 스크립트 파일에서 사용하는 감염 기법을 전자 메일을 통한 유포과 결합된 형태로 볼 수 있음으로 컴퓨터 사용자는 마이크로소프트(Microsoft) 보안 업데이트 뿐 만이 아니라 자신이 자주 사용하는 어플리케이션의 보안 업데이트도 많은 주의를 기울여야 한다.
크리에이티브 커먼즈 라이센스
Creative Commons License
Writer profile
AhnLab ASEC님의 글입니다.

2010/02/16 16:41 2010/02/16 16:41
Trackback Address :: http://blog.ahnlab.com/asec/trackback/251
[로그인][오픈아이디란?]
Name
Password
Homepage

Secret

MS10-002 취약점 악용 스크립트 생성기 :: 2010/01/27 17:55

2010년 1월 22일 ASEC에서는 1월 15일 발생한 마이크로소프트(Microsoft) 인터넷 익스플로러(Internet Explorer)의 알려지지 않은 취약점을 악용한 공격이 발생한 것을 알리고 이에 대한 상세한 분석을 진행하였다.

그리고 실제 공격이 활성화 되고 있음으로 마이크로소프트에서는 해당 취약점을 제거할 수 있는 보안 패치 MS10-002를 긴급으로 배포하여 해당 취약점으로 인한 피해 확산을 막고자 하였다.

ASEC TFT에서는 해당 취약점을 악용하는 보안 위협들에 대해 추가적인 정보 수집 및 분석을 진행하는 과정에서 중국 언더그라운드 웹 사이트들에서 1월 20일경 MS10-002 취약점을 악용하는 스크립트 악성코드를 자동으로 생성하는 공격 툴이 제작되고 유포 중인 것을 확인 하였다.

사용자 삽입 이미지

사용자 삽입 이미지

사용자 삽입 이미지

사용자 삽입 이미지

해당 MS10-002 취약점 악용하는 자동화 툴들은 모두 가운데 박스 부분에 악성코드가 위치할 웹 사이트 주소만 지정해주면 자동으로 해당 취약점을 악용하는 스크립트 파일이 다음 이미지와 같이 생성되도록 되어 있다.

사용자 삽입 이미지

이 번에 발견된 자동화 툴에서 생성된 악의적인 스크립트는 기존에 발견된 것들과 비교하여 버퍼(Buffer) 주소가 0x0c0d0c0d에서 0x0a0a0a0a 로 변경되었다.

사용자 삽입 이미지

제작된 쉘코드(Shellcode) 역시 특정 파일을 다운로드 할 수 있는 기능으로만 정리됨 함께 스크립트가 함수 단위로 더 정교하게 정리되었다. 그리고 인터넷 익스플로러로 로딩되었느지를 검사하는 루틴과 함께 보안 제품의 진단을 우회하기 위해 난독화가 추가된 특징들이 있다.

사용자 삽입 이미지

이렇게 자동으로 취약점을 악용하는 스크립트 악성코드를 생성하는 툴들은 2009년 7월에 발견된 중국산 MPEG2TuneRequest 취약점 악용 툴의 사례가 있었던 것 처럼 중국 언더그라운드에는 더 많이 존재할 것으로 추정된다.

그러므로 마이크로소프트의 인터넷 익스플로러 사용자는 마이크로소프트에서 제공하는 긴급 보안 패치인 MS10-002를 즉시 설치하여 추가적인 다른 보안 위협들에 의한 패해를 예방하기 바란다.
크리에이티브 커먼즈 라이센스
Creative Commons License
Writer profile
AhnLab ASEC님의 글입니다.

2010/01/27 17:55 2010/01/27 17:55
Trackback Address :: http://blog.ahnlab.com/asec/trackback/230
  • 요시 | 2010/01/27 20:28 | PERMALINK | EDIT/DEL | REPLY

    아직 못봐서 다행이에요...ㅎㅎ
    항상 감사드립니다^_^

    • AhnLab ASEC | 2010/01/27 21:37 | PERMALINK | EDIT/DEL

      보안 패치를 꼭 설치 해주세요 :)

[로그인][오픈아이디란?]
Name
Password
Homepage

Secret

검블러에서 악용된 악의적인 스크립트 파일 분석 :: 2009/10/22 19:16

ASEC에서는 10월 21일 아이비엠(IBM)과 맥아피(McAfee)에서 2009년 5월에 발생하였던 검블러(Gumblar) 보안 위협과 유사한 형태로 악성코드 유포가 다시 발생하고 있다는 소식을 전한 바가 있었다.


ASEC에서는 이 번에 발생한 검블러 보안 위협과 유사한 형태로 악성코드 유포에 사용된 악의적인 스크립트 파일을 확보하여 분석을 진행하였다.

해당 파일은 V3 제품군에서 JS/Gumblar로 진단하며 837 바이트의 크기로 PHP의 확장자를 가지고 있지만 실제 해당 스크립트를 텍스트 에디팅(Text Editing) 프로그램으로 열어보면 다음 이미지와 같이 사람이 읽을 수 없도록 난독화 되어 있는 자바 스크립트(Java Script)로 제작되어 있다.

사용자 삽입 이미지

이렇게 난독화 되어 있는 스크립트 파일을 Malzilla 유틸리티를 이용해 디코딩(Decoding)을 수행하면 다음 이미지와 같이 사람이 읽어 들일 수 있는 자바 스크립트 코드로 변환된다.

사용자 삽입 이미지

디코딩 된 자바 스크립트 코드는 위 이미지에서와 같이 특정 시스템에서 어도비 아크로뱃 리더(Adobe Acrobat Reader)파일에서 사용되는 PDF 파일을 다운로드 하여 실행하게 되어 있다.

사용자 삽입 이미지

해당 PDF 파일은 유럽 에스토니아(Estonia)에 위치하고 있는 시스템에서 다운로드 하도록 되어 있으나 분석을 진행하는 당시 해당 시스템으로 접속은 되지 않았다.

다운로드 후 실행되는 PDF 파일은 10월 8일 해외에서 발견된 어도비 아크로맷 리더 파일에 존재하는 알려지지 않은 코드 실행 취약점을 악용하는 파일이며 해당 PDF 파일은 다시 다른 시스템들에서 Daonol 트로이목마와 같은 악성코드를 다운로드 해서 실행 하도록 되어 있다.

결론적으로 요약을 하자면 이번 검블러 보안 위협과 유사한 형태의 악성코드 유포는 다음과 같은 순서로 진행 된 것을 알 수가 있다.

1. 웹 익스플로잇 툴킷(Web Exploit Toolkit)을 이용해 웹 브라우저의 취약점을 악용하는 악성 스크립트 유포

2. 취약한 웹 브라우저로 악의적인 웹 페이지에 접속 할 경우 악성 스크립트 파일은 자동으로 취약한 PDF 파일 다운로드 후 실행

3. 취약한 PDF 파일은 다시 제 3의 시스템에서 개인 정보 등을 유출 할 수 있는 트로이목마를 다운로드 한 후 실행

이러한 방식으로 유포되는 악성코드의 감염의 예방하기 위해서는 다음의 수칙들을 검토하고 지켜야 만 할 것이다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오피스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 사용하는 컴퓨터 시스템에 어도비 아크로뱃 리더가 설치되어 있다면 해당 프로그램을 실행 후 상단 메뉴에서 [도움말] –> [업데이트 확인]을 통해 취약점을 제거 할 수 있는 보안 패치를 설치 한다.

사용자 삽입 이미지

3. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반듯이 설치한다.

4. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

5. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

6. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

7. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.


크리에이티브 커먼즈 라이센스
Creative Commons License
Writer profile
AhnLab ASEC님의 글입니다.

2009/10/22 19:16 2009/10/22 19:16
Trackback Address :: http://blog.ahnlab.com/asec/trackback/162
[로그인][오픈아이디란?]
Name
Password
Homepage

Secret

어도비 플래쉬 플레이어 취약점 공격 악성코드 발견 :: 2009/07/24 12:00

7월 23일 해외 일부 지역에서 어도비(Adobe)의 아크로뱃 리더(Adobe Acrobat Reader)와 플래쉬 플레이어(Flash Player)의 알려지지 않은 취약점을 악용하여 악성코드 유포가 보고되었다.


해당 취약점은 현재 어도비에서 공식적으로 보안 패치를 제공하지 않는 제로 데이(Zero-Day, 0-Day) 취약점이며 이와 관련된 사항은 아래 ASEC 보안 권고문과 어도비사의 보안 권고문을 참고 하기 바란다.

Adobe Acrobat Reader/Flash Player 코드 실행 제로데이(0-Day) 취약점


ASEC에서 현재까지 파악된 해당 취약점을 악용하는 악성코드는 크게 2가지 형태로 유포되고 있는 것을 확인하였다.

1) 취약한 PDF 파일 유포
취약한 PDF 파일 유포를 통해 해당 PDF 파일 실행을 통한 트로이목마의 직접적인 감염

2) 악의적인 웹 사이트를 통한 유포
악의적인 웹 사이트 접속으로 아래 이미지와 같은 악의적인 자바스크립트를 이용해 취약한 SWF 파일을 플래쉬 플레이어에 의해 실행 되도록 유도.

사용자 삽입 이미지

현재 해당 취약점을 공격하는 악성코드인 PDF/CVE-2009-1862Exploit/CVE-2009-1862 유포 중에 있으며 해당 취약점을 통해 개인 정보를 유출할 수 있는 다른 악성코드들을 다운로드 하고 실행하도록 되어 있다

현재 V3 제품군에서는 해당 취약점과 관련한 악성코드들을 다음과 같이 진단 한다.

PDF/CVE-2009-1862
Exploit/CVE-2009-1862
Dropper/InfoStealer.143360
Win-Trojan/InfoStealer.98304

이러한 악성코드의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.

1. 현재 어도비에서는 7월 30일경 해당 취약점을 제거 할 수 있는 보안 패치를 공개 할 예정이라고 하며 해당 보안 패치가 공개되면 즉시 설치하는 것이 좋다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

크리에이티브 커먼즈 라이센스
Creative Commons License
Writer profile
AhnLab ASEC님의 글입니다.

2009/07/24 12:00 2009/07/24 12:00
Trackback Address :: http://blog.ahnlab.com/asec/trackback/68
  • [0x00] Adobe 취약점

    Tracked from SY 나누기 - 시원한 여름으로~~ | 2009/07/26 14:41 | DEL

    최근 지속적으로 보고되는 제로데이 취약점 때문에 MS사가 무지 바빠보인다.. ^^:;; MS 만큼이나 작년부터.... 그리고 앞으로 바빠질 것 같은 곳이 바로 Adobe 사~~~ 작년부터 본격적으로 Adobe PDF, F

[로그인][오픈아이디란?]
Name
Password
Homepage

Secret