본문 바로가기
IT 보안소식

카스퍼스키(Kaspersky), 스턱스넷 유사 신종 악성코드 "가우스(Gauss)" 발견!!

by 잡다한 처리 2012. 8. 10.
반응형


세계적인 보안회사 카스퍼스키(Kaspersky)에서 스턱스넷(Stuxnet), 플레임(Flame)과 유사한 신종 악성코드 발견하였다고
한다. 카스퍼스키는 해당 악성코드를 가우스(Gauss)라 명명하였다.

가우스(Gauss)악성코드는 중동국가의 브라우저 암호, 온라인뱅킹 계정, 쿠키 등 정보를 가로챈다고 하며,
재미있는 점은 가우스 악성코드는 기존의 인터넷뱅킹 정보를 가로채는 악성코드들과는 전혀 다른 코드를 가졌다고 한다.


(추가) 시만텍에서도 가우스에 대한 분석내용을 발표했다.
http://www.symantec.com/connect/ko/blogs/complex-cyber-espionage-malware-discovered-meet-w32gauss 


좀 더 자세한 사항은 카스퍼스키 홈페이지에서 확인 할 수 있다.

원문링크 
http://www.kaspersky.com/about/news/virus/2012/Kaspersky_Lab_and_ITU_Discover_Gauss_A_New_Complex_Cyber_Threat_Designed_to_Monitor_Online_Banking_Accounts

Kaspersky Lab Discovers ‘Gauss’ – A New Complex Cyber-Threat Designed to Monitor Online Banking Accounts

Kaspersky Lab announces the discovery of ‘Gauss’, a new cyber-threat targeting users in the Middle East. Gauss is a complex, nation-state sponsored cyber-espionage toolkit designed to steal sensitive data, with a specific focus on browser passwords, online banking account credentials, cookies, and specific configurations of infected machines.


The online banking Trojan functionality found in Gauss is a unique characteristic that was not found in any previously known cyber-weapons.


Gauss was discovered during the course of the ongoing effort initiated by the International Telecommunication Union (ITU), following the discovery of Flame. The effort is aimed at mitigating the risks posed by cyber-weapons, which is a key component in achieving the overall objective of global cyber-peace.


ITU, with expertise provided by Kaspersky Lab, is taking important steps to strengthen global cyber-security by actively collaborating with all relevant stakeholders such as governments, the private sector, international organizations and civil society, in addition to its key partners within the ITU-IMPACT initiative.


Kaspersky Lab’s experts discovered Gauss by identifying commonalities the malicious program share with Flame. These include similar architectural platforms, module structures, code bases and means of communication with command & control (C&C) servers.


Quick facts:


Analysis indicates that Gauss began operations in the September 2011 timeframe.

It was first discovered in June 2012, resulting from the knowledge gained by the in-depth analysis and research conducted on the Flame malware.

This discovery was made possible due to strong resemblances and correlations between Flame and Gauss.

The Gauss C&C infrastructure was shutdown in July 2012 shortly after its discovery. Currently the malware is in a dormant state, waiting for its C&C servers to become active.

Since late May 2012, more than 2,500 infections were recorded by Kaspersky Lab’s cloud-based security system, with the estimated total number of victims of Gauss probably being in the tens of thousands. This number is lower compared to the case of Stuxnet but it’s significantly higher than the number of attacks in Flame and Duqu.

Gauss steals detailed information about infected PCs including browser history, cookies, passwords, and system configurations. It is also capable of stealing access credentials for various online banking systems and payment methods.

Analysis of Gauss shows it was designed to steal data from several Lebanese banks including the Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank and Credit Libanais. In addition, it targets users of Citibank and PayPal.

The new malware was discovered by Kaspersky Lab’s experts in June 2012. Its main module was named by the unknown creators after the German mathematician Johann Carl Friedrich Gauss. Other components bear the names of famous mathematicians as well, including Joseph-Louis Lagrange and Kurt Gödel. The investigation revealed that the first incidents with Gauss date back as early as September 2011. In July 2012 the command and control servers of Gauss stopped functioning.


Multiple modules of Gauss serve the purpose of collecting information from browsers, which include the history of visited websites and passwords. Detailed data on the infected machine is also sent to the attackers, including specifics of network interfaces, the computer’s drives and BIOS information. The Gauss module is also capable of stealing data from the clients of several Lebanese banks including the Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank and Credit Libanais. It also targets users of Citibank and PayPal.


Another key feature of Gauss is the ability to infect USB thumb drives, using the same LNK vulnerability that was previously used in Stuxnet and Flame. At the same time, the process of infecting USB sticks is more intelligent. Gauss is capable of “disinfecting” the drive under certain circumstances, and uses the removable media to store collected information in a hidden file. Another activity of the Trojan is the installation of a special font called Palida Narrow, and the purpose of this action is still unknown.


While Gauss is similar to Flame in design, the geography of infections is noticeably different. The highest number of computers hit by Flame was recorded in Iran, while the majority of Gauss victims were located in Lebanon. The number of infections is also different. Based on telemetry reported from the Kaspersky Security Network (KSN), Gauss infected approximately 2,500 machines. In comparison, Flame was significantly lower, infecting closer to 700 machines.


Although the exact method used to infect the computers is not yet known, it is clear that Gauss propagates in a different manner to Flame or Duqu; however, similar to the two previous cyber-espionage weapons, Gauss’ spreading mechanisms are conducted in a controlled fashion, which emphasize stealth and secrecy for the operation.


Alexander Gostev, Chief Security Expert, Kaspersky Lab, commented: “Gauss bears striking resemblances to Flame, such as its design and code base, which enabled us to discover the malicious program. Similar to Flame and Duqu, Gauss is a complex cyber-espionage toolkit, with its design emphasizing stealth and secrecy; however, its purpose was different to Flame or Duqu. Gauss targets multiple users in select countries to steal large amounts of data, with a specific focus on banking and financial information.”


At the present time, the Gauss Trojan is successfully detected, blocked and remediated by Kaspersky Lab’s products, classified as Trojan-Spy.Win32.Gauss.


The company’s experts have published in-depth analysis of the malware at Securelist.com: http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution


A Gauss FAQ containing the essential information about the threat is also available:
http://www.securelist.com/en/blog?weblogid=208193767


Stay tuned for updates by following our Facebook page:
https://www.facebook.com/Kaspersky?ref=ts


영어 실력이 딸려서 구글 번역을 돌렸다.

카스 퍼 스키 랩은 '가우스'를 발견하다 - 온라인 뱅킹 계정을 모니터링하기 위해 설계된 새로운 복잡한 사이버 위협을


카스 퍼 스키 랩은 '가우스'의 발견, 중동에서 사용자를 타겟으로 새로운 사이버 위협을 발표했습니다. 가우스는 브라우저 암호, 온라인 뱅킹 계정 자격 증명, 쿠키, 그리고 감염된 기계의 특정 구성에 대한 특정 중심으로 민감한 데이터를 훔치기 위해 설계된 복잡한 민족 국가 후원하는 사이버 스파이 툴킷입니다.


가우스에서 발견된 온라인 뱅킹 트로이 목마 기능은 이전에 알려진 사이버 무기를 찾을 수 없습니다 독특한 특징입니다.


가우스는 시작한 지속적인 노력의 과정 동안 발견된 국제 전기 통신 연합 (EU) 화염의 발견에 따라, (ITU). 노력은 사이버 평화 세계의 전반적인 목표를 달성하는 핵심 구성 요소입니다 사이버 무기로 인한 위험을 완화 대상으로하고 있습니다.


ITU는 카스 퍼 스키 랩에서 제공하는 전문 지식과 함께 내에 적극적으로 자사의 핵심 파트너 이외에, 그러한 정부, 민간 부문, 국제기구, 시민 사회 등 모든 관련 이해 관계자들과 협력하여 사이버 보안 글로벌을 강화하는 데 중요한 단계를하고있다 ITU- 충격 이니셔티브.


카스 퍼 스키 랩의 전문가는 화염과 공통점에게 악성 프로그램 공유를 식별하여 가우스를 발견했다. 이들은 이와 유사한 건축 플랫폼, 모듈 구조, 코드베이스 및 명령 및 제어 (C & C) 서버와의 통신 수단을 포함합니다.


빠른 사실 :


분석 가우스가 2011년 9월 기간에 작업을 시작했음을 나타냅니다.

그것은 먼저 화염 악성 코드에 실시한 심층 분석과 연구에 의해 얻은 지식으로 인한 월 2012 년 발견되었다.

이 발견으로 인해 화염과 가우스 사이에 강한 유사성과 상관 관계에 가능하게되었다.

가우스 C & C 인프라는 곧 자사의 발견 이후 2012년 7월에 종료했습니다. 현재 악성 코드가 활성화되기 위해 자사의 C & C 서버를 기다리고, 휴면 상태에 있습니다.

늦은 2012년 5월 때문에, 이상 2,500 감염 아마도 수천만에 빠진 가우스의 피해자 중 예상되는 총 번호, 카스 퍼 스키 연구소의 클라우드 기반 보안 시스템에 의해 기록되었다. 이 숫자는 Stuxnet의 경우에 비해 낮습니다하지만 화염과 Duqu의 공격의 숫자보다 훨씬 높은거야.

가우스는 브라우저 역사, 쿠키, 암호 및 시스템 구성을 포함하여 감염된 PC에 대한 자세한 정보를 훔치고. 또한 다양한 온라인 뱅킹 시스템 및 지불 방법에 대한 액세스 자격 증명을 도용이 가능합니다.

가우스의 해석은 그것이 베이루트, EBLF, BlomBank, ByblosBank, FransaBank 및 신용 Libanais 은행 등 여러 레바논 은행에서 데이터를 훔치기 위해 설계되었습니다 보여줍니다. 또한, 씨티 은행과 페이팔의 사용자를 대상으로하고 있습니다.

새로운 악성 코드는 6 월 2012 카스 퍼 스키 랩의 전문가에 의해 발견됐다. 주요 모듈은 독일의 수학자 요한 칼 프리드리히 가우스 이후 미지의 창조자에 의해 선정되었습니다. 다른 구성 요소는 요셉 - 루이 LAGRANGE 및 커트 Gödel 포함한뿐만 아니라 유명한 수학자의 이름을 가졌어. 조사가 밝혀 그 뒤로 2011년 9월 빠르면 가우스 날짜와 첫 번째 사건. 2012년 7월 년 가우스의 명령 및 제어 서버는 작동을 중단되었습니다.


가우스의 여러 모듈 방문한 웹사이트 및 암호의 역사를 포함 브라우저에서 정보를 수집 목적을 제공하고 있습니다. 감염된 시스템에서 상세한 데이터는 또한 네트워크 인터페이스, 컴퓨터의 드라이브 및 BIOS 정보의 구체적인 내용을 포함하여 공격자에게 전송됩니다. 가우스 모듈도 베이루트, EBLF, BlomBank, ByblosBank, FransaBank 및 신용 Libanais 은행 등 여러 레바논 은행의 클라이언트에서 데이터를 훔치는이 가능합니다. 또한 씨티 은행과 페이팔의 사용자를 대상으로하고 있습니다.


가우스의 또 다른 주요 특징은 이전 Stuxnet과 화염에 사용된 것과 동일한 LNK 취약점을 사용하여,의 USB 엄지 드라이브를 감염시킬 수있는 능력입니다. 동시에, USB 스틱을 감염의 과정은 더욱 지능적이다. 가우스는 특정 상황에서 드라이브를 "소독"할 수 있으며, 숨겨진 파일에 수집된 정보를 저장하는 이동식 미디어를 사용합니다. 트로이의 또 다른 활동은 Palida 인색이라는 특수 글꼴의 설치이며,이 작업의 목적은 아직 알 수 없습니다.


가우스는 디자인 불꽃과 유사하지만, 감염의 지리가 눈에 띄게 다르다. 가우스 피해자의 대부분은 레바논에있는 동안 화염 치인 컴퓨터의 가장 높은 번호는,이란에 기록되었다. 감염의 숫자도 다릅니다. 카스 퍼 스키 보안 네트워크 (KSN)에서 보고된 원격 측정을 바탕으로 가우스는 약 2,500 머신을 감염. 비교에서, 불꽃 가까이 700 기계에 감염, 상당히 낮은했습니다.


컴퓨터를 감염하는 데 사용되는 정확한 방법은 아직 알려져 있지 않지만, 가우스는 화염이나 Duqu에 다른 방식으로 전파 것이 분명하지만, 이전의 두 사이버 스파이 무기와 마찬가지로, 가우스의 확산 메커니즘은 제어로 진행됩니다 작동 스텔스와 비밀을 강조 패션,.


알렉산더 Gostev, 수석 보안 전문가, 카스 퍼 스키 랩은, 댓글을 달았습니다 : "가우스 등 우리가 악성 프로그램을 발견 활성화의 설계와 코드베이스로, 화염에 눈에 띄는 유사성을 맺는다. 화염과 Duqu와 마찬가지로, 가우스는 디자인을 강조 스텔스와 비밀 함께 복잡한 사이버 스파이 툴킷 수 있지만 그 목적은 화염이나 Duqu에 달랐어요. 가우스는 금융 및 재정 정보의 특정 중심으로 대용량의 데이터를 훔치기 위해 선택한 국가에서 여러 사용자를 대상으로하고 있습니다. "


현재, 가우스의 트로이 목마가 성공적으로 차단하며 카스 퍼 스키 랩의 제품에 의해 remediated, 트로이 Spy.Win32.Gauss으로 분류, 감지된다.



댓글