'스크립트'에 해당되는 글 7건

2중 감염 기법을 사용하는 Zbot 변형 :: 2010/02/16 16:41

/보안 위협 분석

2009년 6월부터 다양한 사회적인 이슈들을 이용하는 사회 공학 기법을 통해 유포되었던 Zbot 변형이 최근에 와서는 악의적인 웹 사이트에 포함되어 있는 iFrame으로 어도비 아크로뱃 리더(Adobe AcroBat Reader)의 PDF 파일에 존재하는 취약점도 악성코드 유포에 악용되는 것이 확인 되었다.


이러한 2중 감염 기법은 최근에 발견된 허위 세금 고지 메일로 위장한 Zbot 변형들 중에서 사용하고 있는 것으로 알려져 있다.

이러한 기법은 최초 허위 세금 고지 메일로 위장한 전자 메일을 유포한 한 후 해당 전자 메일 본문에 포함되어 있는 링크를 클릭 할 경우 아래 이미지와 같은 웹 사이트로 연결된다.

사용자 삽입 이미지

악의적인 웹 사이트에서는 기존과 동일하게 해당 웹 사이트에서 제공하는 tax-statement.exe(130,560 바이트)를 다운로드하도록 유도하고 있으며 해당 파일은 Zbot 트로이목마 변형이다.

Zbot 트로이목마 제작자는 해당 웹 사이트의 접속자가 해당 트로이목마 변형을 다운로드 하지 않는 경우를 고려하여 아래 이미지와 같이 웹 사이트 내부에 iFrame 코드를 삽입하여 카자흐스탄(Kazakhstan)에 위치한 특정 서버에서 취약한 PDF 파일을 다운로드 하도록 되어 있다.

사용자 삽입 이미지

해당 서버에서 다운로드 된 취약한 PDF 파일은 다시 카자흐스탄에 위치한 다른 서버로 부터 Mufanom 트로이목마 변형을 다운로드 한 후 실행하도록 되어 있다. 이러한 전체적인 구조를 간략하게 도식화 한 이미지가 아래와 같다.

사용자 삽입 이미지

위 이미지와 같은 전체적인 구조를 가지고 있는 Zbot 변형을 유포하기 위한 전자 메일은 해당 악성코드 제작자가 악의적인 웹 사이트로 접속한 사용자가 해당 웹 사이트에 대한 의심으로 Zbot 변형을 정상적으로 다운로드 하지 않을 경우 생각한 2중 감염 기법으로 볼 수 있다.

이러한 2중 감염 기법을 사용하는 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

Win32/Ircbot.worm.variant
PDF/Exploit
Win-Trojan/Mufanom.39424.AG

이러한 복합적인 공격 기법은 2009년 이전 부터 웹 사이트에 존재하는 악성 스크립트 파일에서 사용하는 감염 기법을 전자 메일을 통한 유포과 결합된 형태로 볼 수 있음으로 컴퓨터 사용자는 마이크로소프트(Microsoft) 보안 업데이트 뿐 만이 아니라 자신이 자주 사용하는 어플리케이션의 보안 업데이트도 많은 주의를 기울여야 한다.
크리에이티브 커먼즈 라이센스
Creative Commons License
Writer profile
AhnLab ASEC님의 글입니다.

2010/02/16 16:41 2010/02/16 16:41
, , , , , , , , , , , , , , , , , ,
Trackback(0) : Comment(1)
Trackback Address :: http://blog.ahnlab.com/asec/trackback/251
[로그인][오픈아이디란?]
Name
Password
Homepage

Secret

MS10-002 취약점 악용 스크립트 생성기 :: 2010/01/27 17:55

/보안 위협 분석

2010년 1월 22일 ASEC에서는 1월 15일 발생한 마이크로소프트(Microsoft) 인터넷 익스플로러(Internet Explorer)의 알려지지 않은 취약점을 악용한 공격이 발생한 것을 알리고 이에 대한 상세한 분석을 진행하였다.

그리고 실제 공격이 활성화 되고 있음으로 마이크로소프트에서는 해당 취약점을 제거할 수 있는 보안 패치 MS10-002를 긴급으로 배포하여 해당 취약점으로 인한 피해 확산을 막고자 하였다.

ASEC TFT에서는 해당 취약점을 악용하는 보안 위협들에 대해 추가적인 정보 수집 및 분석을 진행하는 과정에서 중국 언더그라운드 웹 사이트들에서 1월 20일경 MS10-002 취약점을 악용하는 스크립트 악성코드를 자동으로 생성하는 공격 툴이 제작되고 유포 중인 것을 확인 하였다.

사용자 삽입 이미지

사용자 삽입 이미지

사용자 삽입 이미지

사용자 삽입 이미지

해당 MS10-002 취약점 악용하는 자동화 툴들은 모두 가운데 박스 부분에 악성코드가 위치할 웹 사이트 주소만 지정해주면 자동으로 해당 취약점을 악용하는 스크립트 파일이 다음 이미지와 같이 생성되도록 되어 있다.

사용자 삽입 이미지

이 번에 발견된 자동화 툴에서 생성된 악의적인 스크립트는 기존에 발견된 것들과 비교하여 버퍼(Buffer) 주소가 0x0c0d0c0d에서 0x0a0a0a0a 로 변경되었다.

사용자 삽입 이미지

제작된 쉘코드(Shellcode) 역시 특정 파일을 다운로드 할 수 있는 기능으로만 정리됨 함께 스크립트가 함수 단위로 더 정교하게 정리되었다. 그리고 인터넷 익스플로러로 로딩되었느지를 검사하는 루틴과 함께 보안 제품의 진단을 우회하기 위해 난독화가 추가된 특징들이 있다.

사용자 삽입 이미지

이렇게 자동으로 취약점을 악용하는 스크립트 악성코드를 생성하는 툴들은 2009년 7월에 발견된 중국산 MPEG2TuneRequest 취약점 악용 툴의 사례가 있었던 것 처럼 중국 언더그라운드에는 더 많이 존재할 것으로 추정된다.

그러므로 마이크로소프트의 인터넷 익스플로러 사용자는 마이크로소프트에서 제공하는 긴급 보안 패치인 MS10-002를 즉시 설치하여 추가적인 다른 보안 위협들에 의한 패해를 예방하기 바란다.
크리에이티브 커먼즈 라이센스
Creative Commons License
Writer profile
AhnLab ASEC님의 글입니다.

2010/01/27 17:55 2010/01/27 17:55
, , , , , , , , , , , , , , , , , , , ,
Trackback(0) : Comment(2)
Trackback Address :: http://blog.ahnlab.com/asec/trackback/230
  • 요시 | 2010/01/27 20:28 | PERMALINK | EDIT/DEL | REPLY

    아직 못봐서 다행이에요...ㅎㅎ
    항상 감사드립니다^_^

    • AhnLab ASEC | 2010/01/27 21:37 | PERMALINK | EDIT/DEL

      보안 패치를 꼭 설치 해주세요 :)

[로그인][오픈아이디란?]
Name
Password
Homepage

Secret

검블러에서 악용된 악의적인 스크립트 파일 분석 :: 2009/10/22 19:16

/보안 위협 분석

ASEC에서는 10월 21일 아이비엠(IBM)과 맥아피(McAfee)에서 2009년 5월에 발생하였던 검블러(Gumblar) 보안 위협과 유사한 형태로 악성코드 유포가 다시 발생하고 있다는 소식을 전한 바가 있었다.


ASEC에서는 이 번에 발생한 검블러 보안 위협과 유사한 형태로 악성코드 유포에 사용된 악의적인 스크립트 파일을 확보하여 분석을 진행하였다.

해당 파일은 V3 제품군에서 JS/Gumblar로 진단하며 837 바이트의 크기로 PHP의 확장자를 가지고 있지만 실제 해당 스크립트를 텍스트 에디팅(Text Editing) 프로그램으로 열어보면 다음 이미지와 같이 사람이 읽을 수 없도록 난독화 되어 있는 자바 스크립트(Java Script)로 제작되어 있다.

사용자 삽입 이미지

이렇게 난독화 되어 있는 스크립트 파일을 Malzilla 유틸리티를 이용해 디코딩(Decoding)을 수행하면 다음 이미지와 같이 사람이 읽어 들일 수 있는 자바 스크립트 코드로 변환된다.

사용자 삽입 이미지

디코딩 된 자바 스크립트 코드는 위 이미지에서와 같이 특정 시스템에서 어도비 아크로뱃 리더(Adobe Acrobat Reader)파일에서 사용되는 PDF 파일을 다운로드 하여 실행하게 되어 있다.

사용자 삽입 이미지

해당 PDF 파일은 유럽 에스토니아(Estonia)에 위치하고 있는 시스템에서 다운로드 하도록 되어 있으나 분석을 진행하는 당시 해당 시스템으로 접속은 되지 않았다.

다운로드 후 실행되는 PDF 파일은 10월 8일 해외에서 발견된 어도비 아크로맷 리더 파일에 존재하는 알려지지 않은 코드 실행 취약점을 악용하는 파일이며 해당 PDF 파일은 다시 다른 시스템들에서 Daonol 트로이목마와 같은 악성코드를 다운로드 해서 실행 하도록 되어 있다.

결론적으로 요약을 하자면 이번 검블러 보안 위협과 유사한 형태의 악성코드 유포는 다음과 같은 순서로 진행 된 것을 알 수가 있다.

1. 웹 익스플로잇 툴킷(Web Exploit Toolkit)을 이용해 웹 브라우저의 취약점을 악용하는 악성 스크립트 유포

2. 취약한 웹 브라우저로 악의적인 웹 페이지에 접속 할 경우 악성 스크립트 파일은 자동으로 취약한 PDF 파일 다운로드 후 실행

3. 취약한 PDF 파일은 다시 제 3의 시스템에서 개인 정보 등을 유출 할 수 있는 트로이목마를 다운로드 한 후 실행

이러한 방식으로 유포되는 악성코드의 감염의 예방하기 위해서는 다음의 수칙들을 검토하고 지켜야 만 할 것이다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오피스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 사용하는 컴퓨터 시스템에 어도비 아크로뱃 리더가 설치되어 있다면 해당 프로그램을 실행 후 상단 메뉴에서 [도움말] –> [업데이트 확인]을 통해 취약점을 제거 할 수 있는 보안 패치를 설치 한다.

사용자 삽입 이미지

3. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반듯이 설치한다.

4. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

5. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

6. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

7. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.

크리에이티브 커먼즈 라이센스
Creative Commons License
Writer profile
AhnLab ASEC님의 글입니다.

2009/10/22 19:16 2009/10/22 19:16
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
Trackback(0) : Comment(0)
Trackback Address :: http://blog.ahnlab.com/asec/trackback/162
[로그인][오픈아이디란?]
Name
Password
Homepage

Secret

어도비 플래쉬 플레이어 취약점 공격 악성코드 발견 :: 2009/07/24 12:00

/취약점 이슈

7월 23일 해외 일부 지역에서 어도비(Adobe)의 아크로뱃 리더(Adobe Acrobat Reader)와 플래쉬 플레이어(Flash Player)의 알려지지 않은 취약점을 악용하여 악성코드 유포가 보고되었다.


해당 취약점은 현재 어도비에서 공식적으로 보안 패치를 제공하지 않는 제로 데이(Zero-Day, 0-Day) 취약점이며 이와 관련된 사항은 아래 ASEC 보안 권고문과 어도비사의 보안 권고문을 참고 하기 바란다.

Adobe Acrobat Reader/Flash Player 코드 실행 제로데이(0-Day) 취약점


ASEC에서 현재까지 파악된 해당 취약점을 악용하는 악성코드는 크게 2가지 형태로 유포되고 있는 것을 확인하였다.

1) 취약한 PDF 파일 유포
취약한 PDF 파일 유포를 통해 해당 PDF 파일 실행을 통한 트로이목마의 직접적인 감염

2) 악의적인 웹 사이트를 통한 유포
악의적인 웹 사이트 접속으로 아래 이미지와 같은 악의적인 자바스크립트를 이용해 취약한 SWF 파일을 플래쉬 플레이어에 의해 실행 되도록 유도.

사용자 삽입 이미지

현재 해당 취약점을 공격하는 악성코드인 PDF/CVE-2009-1862Exploit/CVE-2009-1862 유포 중에 있으며 해당 취약점을 통해 개인 정보를 유출할 수 있는 다른 악성코드들을 다운로드 하고 실행하도록 되어 있다

현재 V3 제품군에서는 해당 취약점과 관련한 악성코드들을 다음과 같이 진단 한다.

PDF/CVE-2009-1862
Exploit/CVE-2009-1862
Dropper/InfoStealer.143360
Win-Trojan/InfoStealer.98304

이러한 악성코드의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.

1. 현재 어도비에서는 7월 30일경 해당 취약점을 제거 할 수 있는 보안 패치를 공개 할 예정이라고 하며 해당 보안 패치가 공개되면 즉시 설치하는 것이 좋다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

크리에이티브 커먼즈 라이센스
Creative Commons License
Writer profile
AhnLab ASEC님의 글입니다.

2009/07/24 12:00 2009/07/24 12:00
, , , , , , , , , , , , , , , , , , , , , , ,
Trackback(3) : Comment(0)
Trackback Address :: http://blog.ahnlab.com/asec/trackback/68

  • [0x00] Adobe 취약점

    Tracked from SY 나누기 - 시원한 여름으로~~ | 2009/07/26 14:41 | DEL

    최근 지속적으로 보고되는 제로데이 취약점 때문에 MS사가 무지 바빠보인다.. ^^:;; MS 만큼이나 작년부터.... 그리고 앞으로 바빠질 것 같은 곳이 바로 Adobe 사~~~ 작년부터 본격적으로 Adobe PDF, F

[로그인][오픈아이디란?]
Name
Password
Homepage

Secret

중국산 오피스 웹 컴포넌트 취약점 생성기 발견 :: 2009/07/15 18:28

/보안 위협 분석

ASEC에서는 7월 14일 아래와 같이 마이크로소프트(Microsoft) 오피스(Office) 제품군에 포함되어 있는 웹 컴포넌트(Web Components) 관련 OWC10.DLL과 OWC11.DLL 파일에 알려지지 않은 취약점을 공격하는 악성코드가 발견되었다는 글을 게시한 바가 있다.



해당 취약점을 악용하는 쉘코드(Shellcode) 역시 중국 언더그라운드 웹 사이트들에서 급속하게 공유되고 있어 해당 취약점을 악용하는 스크립트 악성코드의 다양한 변형들이 등장 할 것이라는 예측을 하였다.

사용자 삽입 이미지

ASEC에서는 중국산 MPEG2TuneRequest 취약점 생성기가 발견 된 사례가 있고 공격 코드가 급속하게 공유 되고 있음으로 해당 취약점 역시 자동화된 스크립트 악성코드 생성기가 존재 할 것으로 예측되었다.

이러한 상관 관계들을 바탕으로 중국 언더그라운드 웹 사이트들을 대상으로 조사를 진행한 결과 위 이미지와 같이 오피스의 웹 컴포넌트 관련 취약점을 악용하는 스크립트 악성코드 생성기가 발견되었다.

해당 생성기는 지난 발견 사례와 유사하게 가운데 텍스트 박스에 다른 악성코드를 다운로드 할 웹 사이트 주소를 지정해주고 "생성" 버튼을 클릭하면 자동으로 해당 취약점을 악용하는 HTML 파일이 생성된다.

중국 언더그라운드에서 위와 같은 자동화된 형태의 툴이 제작되었다는 것을 통해 더 많은 보안 위협들이 대량으로 양산 될 가능성이 높을 것으로 예측 할 수가 있다.
크리에이티브 커먼즈 라이센스
Creative Commons License
Writer profile
AhnLab ASEC님의 글입니다.

2009/07/15 18:28 2009/07/15 18:28
, , , , , , , , , , , , , , , , ,
Trackback(0) : Comment(0)
Trackback Address :: http://blog.ahnlab.com/asec/trackback/56
[로그인][오픈아이디란?]
Name
Password
Homepage

Secret

MS 오피스 웹 컴포넌트 제로 데이 취약점 공격 악성코드 발견 :: 2009/07/14 16:49

/취약점 이슈

한국 시각 2009년 7월 14일  03시경, 중국의 일부 웹 사이트들에서 마이크로소프트(Microsoft) 오피스(Office) 제품군에 포함되어 있는 웹 컴포넌트(Web Components) 관련 OWC10.DLLOWC11.DLL 파일에 알려지지 않은 취약점을 공격하는 악성코드가 발견되었다.


사용자 삽입 이미지

해당 취약점은 현재 마이크로소프트에서 공식적으로 보안 패치를 제공하지 않는 제로 데이(Zero-Day, 0-Day) 취약점이며 이와 관련된 사항은 아래 ASEC 보안 권고문과 마이크로소프트의 보안 권고문을 참고 하기 바란다.

마이크로소프트 OFFICE WEB Components(OWC) 제로데이(0-Day) 취약점 주의

Vulnerability in Microsoft Office Web Components Control Could Allow Remote Code Execution

현재 해당 취약점을 공격하는 악성 스크립트 파일인 Exploit/CVE-2009-1136이 유포 중에 있으며 해당 취약점을 통해 다른 악성코드들을 다운로드 하고 실행하도록 되어 있다

중국 언더그라운드에서는 해당 취약점을 악용하는 쉘코드(Shellcode)가 급속하게 유포 중에 있음으로 해당 스크립트 악성코드의 변형이 지속적으로 발견될 것으로 추정된다.

현재 V3 제품군에서는 해당 스크립트 악성코드 및 관련 악성코드들을 다음과 같이 진단 한다.

Exploit/CVE-2009-1136
Win-Trojan/MulDrop.32169
Win-Trojan/Dogrobot.45568
Win-Trojan/Agent.11904.C
Win-Trojan/AVKiller.38400

그리고 네트워크(Network) 장비인 트러스가드(TrusGuard)에서는 스크립트 악성코드 유포지와 악성 익스플로잇(Exploit) 패킷(Packet) 모두 차단이 가능하다.

이러한 악성코드의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

크리에이티브 커먼즈 라이센스
Creative Commons License
Writer profile
AhnLab ASEC님의 글입니다.

2009/07/14 16:49 2009/07/14 16:49
, , , , , , , , , , , , , , , , , , , , , , , , , ,
Trackback(2) : Comment(0)
Trackback Address :: http://blog.ahnlab.com/asec/trackback/54
[로그인][오픈아이디란?]
Name
Password
Homepage

Secret

토렌토리엑터 웹 사이트 악성코드 유포 :: 2009/07/03 22:39

/악성코드 이슈

7월 1일 웹센스(WebSense)에서 많은 사람들이 사용하는 P2P(Peer to Peer) 프로그램인 토렌토(Torrent)의 검색 엔진 역할을 하는 토렌토리액터(Torrentreactor) 웹 사이트에서 악성코드를 유포 하였다고 한다.


사용자 삽입 이미지

웹센스의 보고에 따르면 이번에 발생한 악성코드 유포 사고는 기존에 알려진 취약점들인 인터넷 익스플로러에 존재하는 MS06-014 MDAC 코드 실행 취약점MS08-041 엑세스 스냅샷 뷰어 (Access Snapshot Viewer)의 코드 실행 취약점을 공격하는 스크립트 악성코드가 설치되어 있었다고 한다.

해당 스크립트 악성코드를 통해 취약점이 존재하는 웹 브라우저 사용자의 시스템으로 개인 정보를 유출 할 수 있는 트로이목마를 다운로드 한 후 실행 할 수 있도록 하였다고 한다.

조금 더 자세한 사항에 대해서는 아래 웹 사이트를 참고 하기 바란다.


이번에 토렌토리액터(Torrentreactor)를 통해 유포 되었던 트로이목마는 V3 제품군에서 다음과 같이 진단 한다.

Win-Trojan/Waledoc.22528

이번과 같이 취약점이 존재하는 웹 브라우저를 통한 악성코드의 감염을 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오피스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반듯이 설치한다.

3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

크리에이티브 커먼즈 라이센스
Creative Commons License
Writer profile
AhnLab ASEC님의 글입니다.

2009/07/03 22:39 2009/07/03 22:39
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
Trackback(0) : Comment(0)
Trackback Address :: http://blog.ahnlab.com/asec/trackback/44
[로그인][오픈아이디란?]
Name
Password
Homepage

Secret
< PREV |  1  |  NEXT >