ASEC Threat Research -

« 2013/06 »
일	월	화	수	목	금	토
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30

'spass'에 해당되는 글 1건

클라우드 보안 제품을 우회하기 위한 악성코드 발견 (10) | 2011/01/25

클라우드 보안 제품을 우회하기 위한 악성코드 발견 :: 2011/01/25 20:04

미국 현지 시각으로 2011년 1월 18일 마이크로소프트(Microsoft)의 Microsoft Malware Protection Center에서는 블로그 "Bohu Takes Aim at the Cloud"을 통해 최근 많은 보안 업체에서 도입하고 있는 클라우드 안티 바이러스(Cloud Anti-Virus) 소프트웨어의 탐지를 회피하는 기능을 가진 악성코드가 발견되었음을 공개하였다.

이 번에 발견된 클라우드 안티 바이러스 소프트웨어의 탐지를 회피하기 위해 제작된 악성코드는 불법적인 광고와 중국에 위치한 특정 포털 웹 사이트의 사용자 정보 등을 탈취할 목적으로 제작되었다. 그 제작과정에서 중국 일부 보안 업체에서 제작한 클라우드 안티 바이러스 소프트웨어들을 대상으로 그 탐지를 우회하도록 제작되었다.

해당 악성코드는 Nullsoft PiMP로 제작된 인스톨(Install) 파일이며 실행되면 아래 이미지에서와 같이 "SUYU 고청영음"이라는 동영상 프로그램의 설치 파일로 되어 있다.

그러나 사용자가 인지하지 못하도록 백그라운드로 다음 파일들을 시스템에 생성하고 실행하도록 되어 있다.

C:\Program Files\baidu\msfsg.exe (369,664 바이트)

C:\Program Files\baidu\uninst18.exe

생성된 msfsg.exe (369,664 바이트) 파일은 실질적으로 악의적인 기능들과 클라우드 안티 바이러스 소프트웨어의 탐지를 우회하기 위한 다음 파일들을 생성하게 된다.

C:\Program Files\baidu\spass.dll (710,656 바이트)

C:\Program Files\baidu\siglow.sys (17,024 바이트)

C:\Program Files\baidu\siglow.dll (37,888 바이트)

생성된 해당 파일들은 msfsg.exe (369,664 바이트) 파일에 의해 메모리로 모두 로드한 이후에 로컬 시스템에서는 모두 삭제된다. 그리고 사용자에게는 아래와 같은 동영상 플레이어 프로그램을 보여주어 정상적으로 동영상 플레이어가 설치된 것으로 인지하도록 만든다.

생성된 파일들 중에서 실질적으로 클라우드 안티 바이러스 소프트웨어의 탐지를 우회하는 기능을 수행하는 파일은 siglow.sys (17,024 바이트)이다. 해당 드라이버 파일은 siglow 라는 서비스명으로 시스템에 로드되면 네트워크 패킷을 NDIS(Network Driver Interface Specification) 단계에서 후킹하게 된다.

그리고 외부로 전송되는 패킷 중 아래 이미지에서와 같이 드라이버 파일에서 정의한 중국 보안 업체에서 제작한 클라우드 안티 바이러스 소프트웨어의 네트워크 주소 문자열이 포함되어 있을 경우에는 이를 차단하게 된다.

결국 해당 악성코드는 클라우드 안티 바이러스 소프트웨어가 악성코드 탐지를 위해 네트워크로 진단과 관련한 정보들을 전송한다는 점을 악용하여 관련 서버들로 정보 전송을 차단하는 방식으로 탐지를 우회하고자 한 것으로 분석된다.

이 번에 발견된 클라우드 안티 바이러스 소프트웨어를 우회하기 위한 악성코드는 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Bohu.2229512

Win-Trojan/Bohu.17024

Win-Trojan/Bohu.37888

Win-Trojan/Bohu.710656

이 번에 발견된 해당 Bohu 트로이목마는 최초의 안티 클라우드(Anti-Cloud) 악성코드라는 점에서 큰 의미를 가지고 있으며 역사적으로 악성코드 제작자에 의해 새로운 감염 기법을 적용한 악성코드가 발견되면 이에 대응하기 위해 안티 바이러스(Anti-Virus) 업체에서는 새로운 탐지 및 대응 기법을 개발하는 순환적인 구조를 이루고 있었다.

그러므로 Bohu 트로이목마의 발견은 악성코드 제작자에 의해 클라우드 안티 바이러스 소프트웨어의 탐지 기법들이 파악 및 분석되고 있으며 이를 회피하기 위한 기법들을 적용하기 시작한 것으로 볼 수 있다. 이러한 탐지 회피 기법은 지속적으로 발전하여 새로운 안티 클라우드 기법들이 적용된 악성코드들이 지속적으로 제작될 것으로 예측된다.

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

Writer profile

AhnLab ASEC님의 글입니다.

Trackback(30) : Comment(10)

Trackback Address :: http://blog.ahnlab.com/asec/trackback/476

클라우드 기반의 Anti-Virus 백신 동작을 방해하는 악성파일 출현 보고!

Tracked from 잉카인터넷 대응팀 공식 블로그 | 2011/01/26 08:53 | DEL

1. 개 요 해외시각으로 2011년 1월 18일 Microsoft 블로그를 통해 클라우드 기반의 Anti-Virus 백신 동작을 방해할 수 있는 악성파일이 출현했다는 보고가 있었다. 이번에 보고된 해당 악성파일은 사용?

card recovery

Tracked from card recovery | 2013/05/09 16:30 | DEL

MicroSD card recovery Pro is file data recovery software designed to recover lost files including video, documents, pictures, audios, and videos from memory cards, CD-ROMs, and lost pictures from digital camera memory.

WiFKSBet

Tracked from WiFKSBet | 2013/05/09 17:39 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

整形美容

Tracked from 整形美容 | 2013/05/09 20:18 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

louis vuitton bags

Tracked from louis vuitton bags | 2013/05/11 00:26 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

mulberry outlet

Tracked from mulberry outlet | 2013/05/11 00:26 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

mulberry bags

Tracked from mulberry bags | 2013/05/11 00:26 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

mulberry sale

Tracked from mulberry sale | 2013/05/11 00:26 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

michael kors outlet

Tracked from michael kors outlet | 2013/05/11 00:26 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

prada bags

Tracked from prada bags | 2013/05/11 10:19 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

lacoste outlet

Tracked from lacoste outlet | 2013/05/11 10:20 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

miu miu bags

Tracked from miu miu bags | 2013/05/11 10:20 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

pig

Tracked from pig | 2013/05/11 10:20 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

seo tools

Tracked from seo tools | 2013/05/11 14:06 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

wow gold

Tracked from wow gold | 2013/05/11 14:06 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

coach bags

Tracked from coach bags | 2013/05/11 14:06 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

hermes bags

Tracked from hermes bags | 2013/05/11 18:05 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

longchamp bags

Tracked from longchamp bags | 2013/05/11 18:05 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

diablo 3 gold

Tracked from diablo 3 gold | 2013/05/11 18:05 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

cheap oakley sunglasses

Tracked from cheap oakley sunglasses | 2013/05/11 18:05 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

cheap ray ban sunglasses

Tracked from cheap ray ban sunglasses | 2013/05/11 18:05 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

nike lebron 10

Tracked from nike lebron 10 | 2013/05/11 18:05 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

celine bags

Tracked from celine bags | 2013/05/11 23:21 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

nike france

Tracked from nike france | 2013/05/11 23:21 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

prada handbags

Tracked from prada handbags | 2013/05/11 23:21 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

cheap louis vuitton bags

Tracked from cheap louis vuitton bags | 2013/05/11 23:21 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

louis vuitton bags

Tracked from louis vuitton bags | 2013/05/12 09:24 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

cheap prom dresses

Tracked from cheap prom dresses | 2013/05/12 09:24 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

cheap jordans

Tracked from cheap jordans | 2013/05/12 17:21 | DEL

ASEC Threat Research - 클라우드 보안 제품을 우회하기 위한 악성코드 발견

speed up my pc 2013

Tracked from speed up my pc 2013 | 2013/05/13 07:31 | DEL

preciso do numero de serie do speedupmypc2013

초록별 | 2011/01/26 13:23 | PERMALINK | EDIT/DEL | REPLY

방화벽...로그...아시는 분 답변 좀 ㅜㅜ...
...
1.fwpktlog.txt
...
21661 LogFileCreated
810765 Packet DROPPED: Proto: IP_TCP Flags: 0x00000005 Src: 192.168.10.53 Dest: 209.87.211.136 SrcPort: 1032 DstPort: 80
***-
3179201 Packet DROPPED: Proto: IP_UDP Flags: 0x00000012 Src: 192.168.10.27 Dest: 192.168.10.255 SrcPort: 138 DstPort: 138 -***
...
7397062 Packet DROPPED: Proto: IP_UDP Flags: 0x00000012 Src: 192.168.10.27 Dest: 192.168.10.255 SrcPort: 138 DstPort: 138
7751218 Packet DROPPED: Proto: IP_UDP Flags: 0x00000012 Src: 192.168.10.170 Dest: 239.192.152.143 SrcPort: 7566 DstPort: 6771
7751218 Packet DROPPED: Proto: IP_UDP Flags: 0x00000012 Src: 192.168.10.170 Dest: 239.192.152.143 SrcPort: 6771 DstPort: 6771
7751625 Packet DROPPED: Proto: Flags: 0x0000000a Src: 192.168.10.170 Dest: 239.192.152.143
7752625 Packet DROPPED: Proto: Flags: 0x0000000a Src: 192.168.10.170 Dest: 239.192.152.143
7753625 Packet DROPPED: Proto: Flags: 0x0000000a Src: 192.168.10.170 Dest: 239.192.152.143
7754625 Packet DROPPED: Proto: Flags: 0x0000000a Src: 192.168.10.170 Dest: 239.192.152.143
7754859 Packet DROPPED: Proto: IP_UDP Flags: 0x00000012 Src: 192.168.10.170 Dest: 239.255.255.250 SrcPort: 7564 DstPort: 1900
7754859 Packet DROPPED: Proto: IP_UDP Flags: 0x00000012 Src: 192.168.10.170 Dest: 239.255.255.250 SrcPort: 1900 DstPort: 1900
7755625 Packet DROPPED: Proto: Flags: 0x0000000a Src: 192.168.10.170 Dest: 239.255.255.250
7756625 Packet DROPPED: Proto: Flags: 0x0000000a Src: 192.168.10.170 Dest: 239.255.255.250
...
2.'Free-consumer-client-policy~' in 'Vsmon_on_demand_crt_term~?'...
...
참고로 제 컴퓨터에...저런 폴더는 없음...
그리고 naver.net 주소로 접속한 적도 없음...
...
내용{...
MDMP b GenuineIntel...a[VR_CLIENT] MonitorL...[VR_CLIENT] returning from Monit...
ystem32\zllictbl. ...
...
c:\builds\curacao_hfa3_client\curacao_hfa3_client_build\Release\vsmon.pdb
ntdll.pdb RSDS4 kernel32.pdb RSDS
c:\builds\curacao_hfa3_client\curacao_hfa3_client_build\Release\vsdata.pdb
c:\builds\curacao_hfa3_client\curacao_hfa3_client_build\Release\vsinit.pdb
advapi32.pdb rpcrt4.pdb crypt32.pdb msvcrt.pdb msasn1.pdb
c:\builds\curacao_hfa3_client\curacao_hfa3_client_build\Release\vsutil.pdb
MicrosoftWindowsCommon-Controls-6.0.2600.2982-comctl32.pdb
E:\ics-builder\lta-4_2_132_0-fiji_update\builds\lta\build\release\icslta.pdb
c:\builds\curacao_hfa3_client\curacao_hfa3_client_build\Release\SSLeay32.pdb
...
c:\builds\curacao_hfa3_client\curacao_hfa3_client_build\Release\ZLCommDB.pdb
...
Zone Labs self-generated dump (requested by calling code).
Thread times
tid User Kernel (hh:mm:ss.msec)
-----------------------------------
0x2bc 00:00:00.190 / 00:00:01.452
0x3a0 00:00:03.795 / 00:00:03.054
0x3b4 00:00:00.010 / 00:00:00.000
0x3b8 00:00:00.080 / 00:00:00.150
0x3bc 00:00:00.000 / 00:00:00.090
0x3c0 00:00:01.492 / 00:00:01.632
0x3c4 00:00:00.570 / 00:00:00.821
0x3c8 00:00:01.542 / 00:00:01.361
0x400 00:00:00.070 / 00:00:01.241
0x460 00:00:00.000 / 00:00:00.000
0x470 00:00:00.741 / 00:00:01.852
0x478 00:00:00.811 / 00:00:01.722
0x47c 00:00:00.010 / 00:00:00.701
0x484 00:00:00.010 / 00:00:00.230
0x48c 00:00:00.000 / 00:00:00.040
0x494 00:00:00.000 / 00:00:00.000
0x498 00:00:00.010 / 00:00:00.080
0x4c0 00:00:15.452 / 00:00:17.114
0x4f0 00:00:00.000 / 00:00:00.000
0x4fc 00:00:00.000 / 00:00:00.000
0x500 00:00:00.010 / 00:00:00.010
0x654 00:00:00.580 / 00:00:00.280
0x2d4 00:00:00.000 / 00:00:00.000
0x58c 00:00:00.000 / 00:00:00.000
0x590 00:00:00.000 / 00:00:00.010
0x164 00:00:00.180 / 00:00:00.210
0x298 00:00:00.070 / 00:00:00.050
...
VeriSign, Inc.1<0:U3Class 4 Public Primary Certification Authority - G21:08U1(c) 1998 VeriSign, Inc. - For authorized use only10UVeriSign Trust Network0
980518000000Z
280801235959Z0겵10 UUS10U
VeriSign, Inc.1<0:U3Class 4 Public Primary Certification Authority - G21:08U1(c) 1998 VeriSign, Inc. - For authorized use only10UVeriSign Trust Network0걼0
...
c:\builds\curacao_hfa3_client\curacao_hfa3_client_build\Release\Fbl.pdb
...
://static.me2metoo.naver.net/plugins/buttonPage.html?fId=_1296007834830&mid=1296007834824&tp=button_highlight&ht=36&cl=purple&tt=%5B%EB%B9%84%EC%A0%842011%2F%EC%A4%91%EA%B2%AC%20%EB%B2%A4%EC%B2%98%5D%EC%95%88%EC%B2%A0%EC%88%98%EC%97%B0%EA%B5%AC%EC%86%8C&tg=%EB%84%A4%EC%9D%B4%EB%B2%84%EB%89%B4%EC%8A%A4%20%EC%A0%84%EC%9E%90%EC%8B%A0%EB%AC%B8&cg1=%EC%A0%84%EC%9E%90%EC%8B%A0%EB%AC%B8&cg2=%EC%86%%EB%B3%B4&href=http%3A%2F%2Fnews.naver.com%2Fmain%2Fread.nhn%3Fmode%3DLSD%26mid%3Dsec%26sid1%3D001%26oid%3D030%26aid%3D0002105492
...
://static.me2metoo.naver.net/plugins/buttonPage.ada vez que el equipo se inicie." locale="es-ES" />
...
3. 방화벽 log viewer
type: unknown/ program: explorer.exe/ ? / ? / ? /

increase backlinks | 2012/01/01 03:17 | PERMALINK | EDIT/DEL | REPLY

whats up blog.ahnlab.com blogger found your site via yahoo but it was hard to find and I see you could have more visitors because there are not so many comments yet. I have found website which offer to dramatically increase traffic to your blog http://xrumerservice.org they claim they managed to get close to 1000 visitors/day using their services you could also get lot more targeted traffic from search engines as you have now. I used their services and got significantly more visitors to my website. Hope this helps They offer page rank seo article <a href=http://xrumerservice.org>backlinks</a> backlinking Take care. Jay

buy backlinks | 2012/02/05 22:52 | PERMALINK | EDIT/DEL | REPLY

hi blog.ahnlab.com blogger discovered your blog via Google but it was hard to find and I see you could have more visitors because there are not so many comments yet. I have discovered website which offer to dramatically increase traffic to your website http://xrumerservice.org they claim they managed to get close to 1000 visitors/day using their services you could also get lot more targeted traffic from search engines as you have now. I used their services and got significantly more visitors to my website. Hope this helps They offer most cost effective <a href=http://xrumerservice.org>backlinks</a> Take care. Jason

Michael Kors Store | 2012/07/26 00:18 | PERMALINK | EDIT/DEL | REPLY

michael kors sale Price means that you can contain the glamour can be will no longer May well six, 2012 Seeing that a number of are already hunting for cheaper Michael jordan Kors wallet

Michael Kors Satchel | 2012/09/02 02:21 | PERMALINK | EDIT/DEL | REPLY

How cool! I found a link showing how to get my puzzle ring back together that has been apart all of these years. We probably ought to list any and all great Turkish restaurants that we find. Thanks to a Turkish friend I had heard about the Istanbul Cafe igkozv Cheap Michael Kors Totes http://www.michaelkorsvipbags.com 466956

Beats by dre cheap | 2013/01/31 15:11 | PERMALINK | EDIT/DEL | REPLY

enrolled in the illustrious Balitomore School for the Arts

beats by dre headphones | 2013/02/04 17:06 | PERMALINK | EDIT/DEL | REPLY

Black Decker 18-volt cordless string trimmer features the company exclusive Automatic Feed Spool

bvahjgdce | 2013/02/11 09:31 | PERMALINK | EDIT/DEL | REPLY

z2XOG0 <a href="http://bdiretvbipbp.com/">bdiretvbipbp</a>, [url=http://zrrfswkwjvfo.com/]zrrfswkwjvfo[/url], [link=http://jewornvhgitp.com/]jewornvhgitp[/link], http://nbpwhkdahvvl.com/

michael kors | 2013/02/18 15:58 | PERMALINK | EDIT/DEL | REPLY

resulting in pain, numbness and tingling.

Beats By Dr Dre | 2013/02/19 16:53 | PERMALINK | EDIT/DEL | REPLY

We would just like to say how nice it was to see the young folk of today getting out in the fresh air and getting stuck into activities that they'd learnt from role models like our banking boys.

오픈아이디로 글쓰기 [로그인][오픈아이디란?]

이름/비밀번호로 글쓰기

Name
Password
Homepage

Secret

< PREV | 1 | NEXT >

Notice

Category

Tags

Recent Entries

Recent Comments

Recent Trackbacks

Calendar

Link Site

'spass'에 해당되는 글 1건

클라우드 보안 제품을 우회하기 위한 악성코드 발견 :: 2011/01/25 20:04