본문 바로가기
[SpamMail] "Nuclear Challenges and Responses in the Century" 제목으로 전파 되는 메일 주의!! 우리나라 외교안보연구원 연구원의 개인 명의로 보낸 스팸메일이 발견 되었다. CVE-2010-2883 PDF 취약점을 이용하는 악성코드 메일이며, JUN.Bong-Geun@ifans.go.kr 이라는 발송인을 이용한 점으로 봐서는 정부기관을 타겟으로 잡은 스팸메일인 듯 합니다. ifans.go.kr은 외교안보연구원(http://www.ifans.go.kr)의 도메인이다. 제목 : Nuclear Challenges and Responses in the Century 본문 : Dear all We inform you of an event and expect your kindly opinions. On October 4th-5th 2010, the IFANS Conference on Global Affairs .. 2010. 10. 15.
Adobe PDF 취약점으로 인한 주의(/Launch /Action 명령어) 보안전문가 Didier Stevens가 최근 업데이트 된 Adobe 업데이트에서 /Launch /Action 명령어를 패치하였지만, 다시 Bypass하는 방법이 나왔다고 기재하였다. 기존에 cmd.exe에 "(따옴표)를 붙이면 바로 패스된다는 것이다. cmd.exe -> "cmd.exe" 이런 형식인것이다. 자세한 내용은 아래 글을 참조.... - 원문보기 : http://blog.didierstevens.com/2010/07/04/quickpost-preventing-the-launch-action-cmd-exe-bypass/ Adobe has released a new Adobe Reader version that contains functionality to block my /Launch actio.. 2010. 7. 5.
PDF 프로그램 취약점으로 인한 파일생성(/Launch /Action 명령어 취약점) 지난 4월 15일 블로그에 포스팅이 있는 취약점이다. 2010/04/15 - [보안관련소식] - Adobe PDF 취약점으로 인한 주의(/Launch /Action 명령어) 위의 글을 보면 알겠지만, 이 문제는 패치가 없다(물론, 조치사항은 있다) 따라서 사용자는 무조건 조심, 조심, 또 조심해야 하는 수 밖에 없다. 해당 PDF파일은 E-Mail로 전파 되었으며, 수집 된 화면이 없어서 VirusLab 님의 블로그에 있는 화면을 잠시 빌려쓰겠음 사용자가 첨부된 파일을 모르고 바로 읽었을 경우, 해당 화면을 볼 수 있다. 대충살펴보면 vbs1.vbs와 vbs2.vbs를 이용하여 악의적인 행위를 하려고 하는것으로 보여진다. 이 화면에서 열지않음을 선택하면 악성파일이 동작하지 않고 해당 PDF만 읽을 수 있.. 2010. 6. 15.
[SpamMail] "New discounts daily" 제목으로 전파 되는 메일 주의!! "New discounts daily" 라는 제목으로 스팸메일이 전파되었다. 스팸메일에는 open.html 이라는 파일이 첨부 되어 있으며, 해당 파일은 JavaScript를 통해 악성 PDF를 다운로드 한다. 추가적으로 new.html 파일도 첨부 파일로 들어오고 있다고 한다. new.html의 접속 주소는 http://advancedwood****.com/x****j/z.htm 이며, 동일한 PDF를 다운로드 한다. 최근 Replace 함수를 사용하여 문자열을 치환하는 형식이 많이 발생하고 있으며, 이는 보안프로그램의 탐지를 우회하기 위한 방법으로 사용되는 것으로 추측되고 있다. 이번 open.html도 마찬가지로 Replace 를 이용하여 악성 URL에 접근을 시도한다. 빨간 박스가 악성 URL로 .. 2010. 6. 11.
사업제휴를 가장한 스팸메일(Adobe 0-Day PDF) 사업제휴를 위한 스팸메일이 수신되었다. 해당첨부에 있는 PDF는 Adobe 0-Day 취약점을 이용한 파일이므로, 해당 메일을 받은 사용자는 바로 삭제조치를 해야한다. 2010. 2. 1.
PDF 취약점으로 실행되는 악성코드 방지를 위한 Dll 인젝션 방법 PDF 취약점으로 동작하는 악성코드들은 보통 Shellcode를 이용하여 악성코드를 실행하는 경우가 많다. 이에 방어하는 좋은 방법이 인터넷에 소개되었다. 블로그 글을 요약하면, ShellCode를 동작하여 악성파일을 실행시킬때 Hook-createprocess.dll를 이용하여, 프로세스를 생성하지 못하게 만든다는 내용이다. 블로그 바로가기 : http://blog.didierstevens.com/2009/11/19/update-bpmtk-with-hook-createprocess-dll There are no real changes in this new version of bpmtk, only a new DLL (hook-createprocess.dll) was added. You can use th.. 2009. 12. 18.

티스토리툴바