1. Java 0-Day 취약점을 통한 악성파일 유포 중


2013년 01월 10일 새로운 Java 취약점이 악용되어 악성파일 유포에 이용되고 있는 사실이 해외에서 공식 보고되었다. 해당 취약점은 Common Vulnerabilities and Exposures ID가 [CVE-2013-0422] 값으로 부여되었으며, 2013년 01월 11일 현재 취약점이 해결된 보안 업데이트가 정식으로 제공되고 있지 않은 Zero-Day 취약점이다. 이 취약점은 악성파일 유포 전문조직들이 사용하는 Blackhole Exploit Kit(BHEK) 외 각종 Exploit Kit 기능에도 이미 공격기능이 탑재된 상태이고, 이미 다수의 웹 사이트를 통해서 유포된 정황이 확인된 상태이므로, 각별한 주의와 대비가 요구된다. Java 프로그램 설치 이용자들은 정식 보안패치가 배포되기 이전까지 사용에 큰 문제가 없다면 임시로 제거(제어판->프로그램 추가/제거->Java)하는 등 적절한 보안조치를 취하는 노력이 필요할 것으로 보인다.



2. CVE-2013-0422 관련 정보


Java Zero-Day 취약점은 해외 음란사이트 등 다수의 웹 사이트에서 배포되었고, 공격반경이 점차 광범위로 확대될 것으로 우려되고 있다. 보안이 취약한 Java 프로그램이 설치되어 있는 경우 해당 악성 스크립트가 포함되어 있는 특정 웹 사이트의 접근만으로 알려지지 않은 악성파일에 쉽게 노출될 수 있다. 아래는 실제 해외 사이트에서 유포되었던 악성 스크립트 코드의 한 예이다.

 
악성 Java 파일은 다양한 변종이 보고되고 있고, 다수의 웹 사이트를 통해서 유포됐던 사례가 보고된 상태이다. 더불어 마이크로 소프트사의 인터넷 익스플로러(IE)에 대한 Zero-Day 취약점[CVE-2012-4792]도 아직 공식적인 보안업데이트가 제공되지 않고 있고, 국내 사이트에서도 해당 취약점을 이용한 악성파일 유포가 발견된 상황이므로 인터넷 이용자들의 각별한 보안주의가 요구된다.

[주의]인터넷 익스플로러(IE) 0-Day 취약점 공격 증가(CVE-2012-4792)
http://erteam.nprotect.com/372

Java Zero-Day 취약점에 대한 공식 보안업데이트가 제공되기 전까지 특별한 문제가 없다면 일시적으로 Java 프로그램을 제어판에서 삭제하여 두는 것도 임시방편이다.

추후 정식 보안업데이트가 배포되면 자바 다운로드 사이트(http://www.java.com/ko/)를 통해서 재설치하여 사용하면 된다. 


3. 보안 관리 수칙 준수

악성파일들은 다양한 취약점과 기법을 이용해서 유포되므로 인터넷 이용자들은 아래과 같이 기본적인 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/

저작자 표시
신고
Posted by nProtect
1. 인터넷 익스플로러 Zero-Day 취약점 주의

마이크로 소프트(Microsoft)사에서 개발한 웹 브라우저 인터넷 익스플로러(Internet Explorer)의 몇몇 버전에서 2013년 01월 04일 현재 보안취약점이 해결되지 않은 Zero-Day 취약점(CVE-2012-4792)을 이용한 공격이 증가하고 있다. 해당 취약점은 미국 외교협회(Council on Foreign Relations/CFR) 웹 사이트가 해킹되었다는 소식을 통해서 처음 알려졌다. 이번 취약점은 아직 마이크로 소프트사를 통해서 공식적인 보안업데이트가 제공되고 있지 않기 때문에 해킹된 웹 사이트에 접근하는 것만으로도 악성파일에 감염될 수 있는 상황이므로, 인터넷 익스플로러 이용자들의 각별한 주의가 필요하다. 해당 Zero-Day 보안취약점은 인터넷 익스플로러의 6, 7, 8 등 총 3가지 버전을 사용하는 이용자에게 영향을 미치게 된다. 마이크로 소프트사에서는 다음 주중 보안업데이트를 제공할 예정이며, 현재 임시 보안패치 프로그램인 Fix-it 을 제공 중에 있다. 


해당 웹 브라우저 이용자들은 임시적이라도 Fix-it 프로그램을 설치하여 혹시 모를 보안위협에 대비하는 노력이 필요하다.



2. 보안 위협 관련 정보

마이크로 소프트사에는 이번 Zero-Day 공격의 심각성이 높다는 판단하에 신속히 보안 권고문을 등록하고, 임시 보안패치 프로그램(Fix-it)을 우선 제공하고 있다.

Vulnerability in Internet Explorer Could Allow Remote Code Execution
http://technet.microsoft.com/en-us/security/advisory/2794220
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4792
http://blogs.technet.com/b/srd/archive/2012/12/29/new-vulnerability-affecting-internet-explorer-8-users.aspx

악성파일은 "Helps.html" 이름의 스크립트를 이용해서 작동된다.

"Helps.html" 파일은 해당 스크립트가 특정 브라우저 버전과 중국어, 영어, 대만어, 일본어, 러시아어, 한국어 등의 웹 브라우저에서 작동하도록 언어를 설정하고, "today.swf" 라는 플래시 파일과 "news.html" 이라는 또 다른 스크립트 파일이 실행되도록 호출한다. "news.html" 파일은 다시 "robots.txt" 라는 파일을 오픈한다.


"Helps.html"  악성파일은 "xsainfo.jpg" 라는 XOR 기능으로 암호화된 악성파일을 다운로드하고 임시폴더(Temp)에 "flowertep.jpg" 라는 이름으로 생성한다. 그런 다음 다시 파일명을 "shiape.exe" 파일로 변환하고 실행한 후 스스로 삭제한다.


"today.swf" 파일 내부에는 아래 화면과 같이 Heap Spray 기법을 이용해서 Shellcode 를 삽입한다.


Shellcode 작동으로 인해서 "xsainfo.jpg" 이름의 악성파일이 다운로드 시도된다. 이 파일은 내부에 XOR 연산으로 HEX 코드가 암호화(Encode)되어 있고, 사용자의 컴퓨터에 설치될 때는 "flowertep.jpg" 이름의 파일로 복호화되어 생성된다. 이때 0x83(0x00 무시) 이라는 키를 통해서 복호화된다.


복호화된 "flowertep.jpg" 파일은 다시 임시폴더(Temp)에 "shiape.exe" 이름의 악성파일로 생성되고 실행된 후 스스로 삭제된다. 악성파일은 특정 호스트로 접속을 시도하며 공격자의 추가명령을 대기하며, 다양한 해킹시도를 할 수 있다.

악성파일의 등록 정보에는 중국어 설명이 포함되어 있어서 제작국가가 중국으로 의심된다는 논란이 있기도 하다.


3. IE Zero-Day 취약점 임시 보안 조치

마이크로 소프트사에는 2013년 01월 04일 현재 공식 보안업데이트를 제공하고 있지 않기 때문에 취약점에 노출될 가능성이 높다. 마이크로 소프트사에서는 정식 보안패치 이전에 임시로 제공 중인 Fix-it 프로그램을 제공하고 있다.

Microsoft Security Advisory: Vulnerability in Internet Explorer could allow remote code execution
http://support.microsoft.com/kb/2794220


Microsoft Fix it 50971 적용 : http://go.microsoft.com/?linkid=9823138
Microsoft Fix it 50972 해제 : http://go.microsoft.com/?linkid=9823140

인터넷 익스플로러 6, 7, 8 이용자분들은 반드시 마이크로 소프트사 Fix it 50971 을 적용하여, Zero-Day 취약점 공격에 노출되지 않도록 주의를 하시기 바랍니다. 인터넷 익스플로러 9, 10 사용자들은 해당 취약점으로 부터 영향을 받지 않으므로, 설치하실 필요는 없습니다.

정식 보안업데이트는 곧 발표될 예정이므로, 윈도우 업데이트를 통해서 패치를 적용하기 전에 "Microsoft Fix it 50971 해제" 프로그램을 실행하여 임시 보안 패치를 제거하시기 바랍니다.

Microsoft Security Bulletin Advance Notification for January 2013
http://technet.microsoft.com/en-us/security/bulletin/ms13-jan

nProtect AVS 3.0 제품에서는 현재 유포 중인 악성파일들은 모두 긴급 업데이트하여 진단/치료하고 있다.

악성파일들은 다양한 취약점과 기법을 이용해서 유포되므로 인터넷 이용자들은 아래과 같이 기본적인 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/


저작자 표시
신고
Posted by nProtect
1. HWP 취약점을 이용한 악성파일 변종 증가


잉카인터넷 대응팀은 한글과컴퓨터사(http://www.hancom.com)의 HWP 문서파일 취약점을 이용한 악성파일을 꾸준히 발견하여 대응하고 있다. 2012년 초부터 최근까지 HWP 문서파일의 취약점을 이용한 악성파일이 약 100 여개 가깝게 발견되고 있으며, 특히, 해당 프로그램이 한국의 기업, 학교, 정부기관 등에서 주로 많이 이용되고 있다는 점에서 국지적 표적형 공격에 은밀하게 사용되고 있는 상황이다. 따라서 HWP 문서파일을 이용하는 고객들은 항시 최신버전으로 업데이트하여 이미 알려져 있는 취약점을 적극적으로 패치하는 노력을 기울여야 하며, 의심스러운 파일이나 신뢰하기 어려운 파일의 경우 각별한 주의와 관심이 필요한 상황이다. 이런 와중에 2012년 11월 19일 HWP 취약점을 이용하는 2가지 형태의 악성파일이 추가 발견된 상태이다.



새롭게 발견된 악성파일은 중소기업청의  신제품 개발사업 및 해외수요처 연계 기술개발사업 과제 모집 공고문으로 위장한 형태와 2013년 대구 세계 에너지 총회와 관련된 문서 등으로 위장된 파일이 동일한 악성파일 공격에 사용되었다.

2. HWP 악성파일 관련 정보
 
[정보]국방 관련 문서파일로 위장한 한글 취약점 악성파일 발견 주의!
http://erteam.nprotect.com/357

[긴급]HWP 문서 0-Day 취약점 이용한 APT 공격발생
http://erteam.nprotect.com/297

탈북인 인적사항으로 유혹하는 HWP 악성파일 등장
http://erteam.nprotect.com/292

한국정보보호학회 HWP 논문 투고 규정 탈을 쓴 APT 공격
http://erteam.nprotect.com/284

악성 HWP 문서파일 호기심 자극으로 당신을 노린다.
http://erteam.nprotect.com/272

주소기업청 공고문으로 위장한 형태와 2013년 대구 세계 에너지 총회와 관련된 HWP 취약점 파일은 모두 실행시 임시폴더(Temp)에 "system32.dll" 이름의 악성파일을 생성하고, 시작프로그램 경로에는 마치 어도브 파일처럼 위장한 "AdobeARM.exe" 이름의 악성파일을 설치한다. 설치되는 악성파일이 동일한 것으로 보아 동일한 제작자에 의해서 만들어져 사용된 것으로 보여진다.




그런 다음 정상적인 문서파일(document.hwp)을 별도로 실행하여 사용자로 하여금 악성파일로 의심하지 않도록 하는 과정을

거친다. 발견된 문서파일은 2가지 형태이며, 중소기업청 공고문과 2013년 대구 세계 에너지 총회와 관련된 조사문서 내용을 담고 있는 형태이다.

또한, HWP 악성파일은 감염활동 과정에서 원래의 악성 HWP 문서파일의 일부 코드를 정상적인 코드로 변경한다.

 

  


[Update #01] - 2012. 11. 20
연구개발비 산정표 문서로 위장한 변종이 추가 발견


[Update #02] - 2012. 11. 21
HWP 보안취약점이 해결된 한컴오피스에서는 다음과 같은 또 다른 문서내용이 공통적으로 보여진다.


"AdobeARM.exe" 악성파일이 실행되면 약 10초 정도의 간격으로 IP주소 199.188.110.9 호스트로 접속을 지속적으로 시도한다. 해당 호스트의 일부 도메인은 국내 포털사의 웹메일 서비스 도메인처럼 위장하고 있다.


http://hanmail.kwik.to/index.html/KEEP0


악성파일은 특정 C&C 서버로 꾸준히 접속을 시도하고 컴퓨터이름, 사용자 계정명, 운영체제 버전, IP주소 등의 정보 수집활동을 하며, 공격자의 추가명령에 따라서 원격제어(Backdoor) 기능 등이 작동된다.


3. 마무리

현재 HWP 문서파일의 취약점을 이용한 악성파일이 끊이지 않고 발생하고 있다. 이용자들은 최신 버전으로 반드시 업데이트하도록 하고, 간혹 보안패치가 제공되지 않는 Zero-Day 공격도 보고되고 있으므로, 의심스러운 파일에 노출되지 않도록 각별한 주의가 필요한 상태이다. 

위와 같이 다양한 악성파일로 부터 안전한 PC사용을 유지하기 위해서 아래와 같은 기본적인 보안 관리 수칙을 준수하여 악성파일 감염을 사전에 예방할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com/


저작자 표시
신고
Posted by nProtect

1. 개 요


잉카인터넷 대응팀에서는 최근 한글 취약점을 악용하여 추가적인 악성파일의 유포를 시도하는 악성 한글 문서 파일을 발견하였다. 해당 악성 한글 문서 파일을 실행할 경우 내부에 포함된 정상적인 문서 파일이 함께 실행되므로 일반 사용자의 경우 악성코드가 실행되었는지 여부를 알 수 없어 잠재적 감염 위험성이 높다고 할 수 있다. 또한, 이러한 잠재적 감염 위험성을 가지는 악성파일에 감염되었을 경우 일반 사용자의 경우 감염 사실을 쉽게 알 수 없기 때문에 다양한 정보 유출 등 감염 이외의 2차적 피해를 입을 수 있어 각별한 주의가 요망되고 있다.

  

2. 유포 경로 및 감염 증상


해당 한글 문서 파일은 이메일 등의 첨부파일을 통해 주로 유포될 수 있으며, 다운로드 후 실행 시 아래와 같은 추가적인 악성파일을 생성할 수 있다.

※ 생성 파일

- (사용자 임시 폴더)\AAAA (25,088 바이트, 정상 한글 파일)
- (사용자 임시 폴더)\scvhost.exe (32,768 바이트)
- (시작프로그램 폴더)\AcroRd32Info(스페이스바 생략)数据的.exe (32,768 바이트, scvhost.exe와 동일한 파일)


☞ (사용자 임시 폴더)란 일반적으로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp" 을 말한다.
☞ (시작프로그램 폴더)란 일반적으로 "C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\시작프로그램" 을 말한다.


위 그림은 생성된 파일에 대한 아이콘을 보여주고 있다. 제일 상단의 "AAAA" 파일은 해당 악성 한글 문서 파일이 실행될때 함께 실행되는 정상적인 한글 문서 파일(.hwp 확장자가 없는 상태)이다. 악성 한글 문서 파일과 함께 실행되며 아래의 그림과 같은 내용을 담고 있다.


scvhost.exe 파일 또한, 해당 악성 한글 문서파일이 실행될 경우 생성되며 실행 시 아래의 그림과 같이 외부 특정 서버와 지속적인 통신을 시도한다. 파일명이 정상파일명(svchost.exe)과 유사한 것이 특징이며, 악성 동작의 특성상 Bot기능을 수행할 수 있다.


해당 IP는 아래의 그림과 같이 미국내에 소재하고 있으며, 현재는 통신이 정상적으로 이루어지지 않고 있다.


또한, scvhost.exe는 자신의 복사본을 생성하여 시작프로그램으로 등록하게 되는데 이때 복사본의 파일명 또한, 정상 프로그램명으로 위장하고 있으며, 스페이스바 입력을 통한 빈공간과 함께 파일명이 생성되어 있는것이 특징이다. 아래의 일부 코드를 통해 해당 파일명을 정의하고 있다.


3. 예방 조치 방법

위와 같이 특정 응용 프로그램의 취약점을 악용하는 악성파일의 경우 사전 방역이 어렵다는 특징을 가진다. 또한, 일반 사용자의 경우 해당 악성파일을 실행해도 내부에 포함되어 있는 정상적인 한글 문서 파일이 출력되므로 감염 여부에 대한 파악이 더욱 어려울 수 있다. 때문에 사용자들은 한글 등 사용중인 응용 프로그램에 대한 최신 보안 패치를 상시적으로 수행함과 동시에 아래의 "보안 관리 수칙"을 준수하는 것이 안전한 PC사용을 위한 최선의 방법이라 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단명 내역

- Trojan/W32.Agent.32768.CBC
- Trojan-Exploit/W32.Hwp_Exploit.189968





저작자 표시
신고
Posted by nProtect