개요
  • 트랜드마이크로, 권환 및 데이터 탈취, 모바일 랜섬웨어 등의 기능을 수행할 수 있는 안드로이드 악성코드(GhostCtrl) 발견
     

  

주요내용

 

  • GhostCtrl 악성코드는 유명 앱(whatsapp, Pokemon GO 등)을 가장하여 악성 APK 설치를 유도하며, 사용자가 설치를 취소해도 계속해서 팝업창 생성
  1. 설치 후 아이콘을 삭제하며, com.android.engine 이라는 명칭으로 백그라운드에서 실행 및 C&C 서버와 암호화 통신
  • GhostCtrl 악성코드는 관리자 권한 탈취, 모바일 랜섬웨어 기능, 난독화를 통한 악성 루틴 은닉 기능 등 세 가지 변종이 존재
  1. 그 외에 블루투스 연결 제어, 지정한 전화번호의 문자 메시지 탈취, 암호 삭제 및 재설정, 카메라/비디오 녹화 후 C&C 서버로 전송 등 다양한 기능 수행 가능

<그림1. 모바일 랜섬웨어와 유사한 기능을 수행하는 코드>
모바일 랜섬웨어와 유사한 기능을 수행하는 코드

 

시사점

 

  1. 모바일 OS 최신 업데이트 및 중요 데이터의 주기적인 백업 필요
  • 앱 다운로드 시 요구 권한을 확인하여야 하며, 리뷰를 참조한 후 설치하는 것을 권장
     


[출처]
1. TrendMICRO,, “Android Backdoor GhostCtrl can Silently Record Your Audio, Video, and More”, 2017.7.17.
2. BLEEPINGCOMPUTER “GhostCtrl Is an Android RAT That Also Doubles as Ransomware”, 2017.7.17.



작성 : 침해대응단 탐지1팀


--------------------------------------------------


출처 : 보호나라 http://boho.or.kr


랜섬웨어(Ransomeware) 란?


사용자의 피시의 주요 파일을 암호화 하여 해당 파일을 사용 불가하도록 한뒤 해당 파일을 인질로 삼아 돈을 요구하는 형태의 악성코드


중요한 파일을 보관하고 있는 상황에서 해당 공격을 받은경우 해당 파일을 사용할수 없는 심각한 상황을 맞게 된다.


돈을 지불하여도 암호화된 파일을 복구 해준다는 보장도 없고, 백신을 이용해 랜섬웨어를 제거한다고 해도 이미 암호화된 파일은 복원되지 않는다.


암호화된 파일을 복호화 하기 위해서는 암호화 시에 사용한 키가 필요한데 대부분 이 키를 공개하거나 비용을 지불하여도 받을 확률은 거의 없기 때문이다.


최근에는 심지어 한국 피시들을 노리는 번역된 비용 요구 까지 보이고 있어 주의가 필요 하겠다.


---------------------------------------------------------------------------------------------------------


랜섬웨어를 예방하기 위한 방법


- 운영체제 를 비롯한 모든 프로그램의 최신 업데이트

- 백신 은 필수로 사용하고 역시 최신 업데이트 상태를 유지 하며 주기적인 검색 스케쥴 필요

- 광고가 많거나 신뢰도가 떨어지는 사이트는 아예 방문하지 않는게 상책

- 3번의 경우가 불가피 하다면, 주요 공격 방법인 플래쉬 를 끄는것도 방법

- 이도저도 힘들다면 크롬을 사용 (알려진 악성코드는 사전에 차단하여 사이트 접속을 막아줌)

- 수신 메일 확인시 첨부파일 함부로 열어보지 않기 (열어볼필요가 있다면 다운로드후 백신을 통해 검사 한뒤에 확인

- 중요 문서는 수시로 백업하거나 일기전용 혹은 폴더를 보안 구역에 따로 배치( 백신/보안툴 에 기능이 있는 경우)


---------------------------------------------------------------------------------------------------------



여러 방법이 있지만 요즘 잘 안쓰는 플래쉬를 끄는 방법 만으로도 최근 클리앙, 뽐뿌 등 광고를 통한 랜섬웨어 유포에서 조금이나마 안심 할 수 있다.


1. 익스플로러 에서 플래쉬 끄기


- 우측 상단의 톱니바퀴 (익스11) 클릭

- 메뉴중 '추가기능 관리' 선택





-  추가기능 관리 에서 플래쉬 (Shockwave Flash Object) 항목을 클릭하여 선택한뒤 우측 하단의 '사용 안함' 클릭




- 이 후 플래쉬기 필요한경우 다시 플래쉬를 선택한뒤 사용함 클릭해주면 사용할수 있다.




2. 크롬 에서 플래쉬 플러그인 끄기


- 크롬 창을 연뒤에 주소창에 'chrome://plugins' 을 입력 하면 아래와 같은 크롬 플러그인 설정 페이지를 볼수있다.

- 플러그인 중 플래쉬 (Adobe Flash Player) 아래 사용 중지 를 클릭하면 플래쉬 플러그인 사용중지가 가능하다.



 

---------------------------------------------------------------------------------------------------------

3. 안랩 랜섬웨어 무료 복구툴

- CryptXXX 랜섬웨어 부분 복구툴 
: 다운로드 ( cryptxxx_decryptor_3.x.exe ) 


- CryptXXX 랜섬웨어 복구툴
:  다운로드  (cryptxxx_decryptor.exe )









광고창이 자꾸 뜰때


마이크로소프트사에서 제시한 해결 방법입니다.


출처 : http://answers.microsoft.com/ko-kr/ie/forum/ie8-windows_7/%EC%9D%B8%ED%84%B0%EB%84%B7/8f96ad0f-9811-4c88-9060-6e0426b6980d


작업 1. Malwarebyte 실행

 http://www.malwarebytes.org/mbam.php

바이러스트로이 목마루트킷,  스파이웨어 악성 프로그램을 제거   있는 Tool 으로Malwarebytes 사에서 제공  프로그램 입니다.

 

 

작업 2. Internet Explorer 기본 설정을 복구 (개인 설정 삭제 옵션을 사용)
http://support.microsoft.com/kb/923737/ko

 

 

작업 3. 시작 프로그램 서비스 내리기

1.     [시작 - 실행]  msconfig 입력  엔터 합니다.

2.     시스템 구성 에서 시작프로그램탭으로 이동 합니다.

3.     시작 프로그램 탭에 모두사용 안함”  클릭 합니다.  

4.     서비스 탭으로 이동, “모든 microsoft 서비스 숨기기 체크 합니다.

5.     후에 나타나는 서비스 목록은 “ 모두 사용 안함 “  클릭  적용 확인 합니다.

6.     컴퓨터 재시동 합니다.

 

 

작업 4. Internet Explorer 추가 기능 문제 해결

http://support.microsoft.com/mats/ie_freezes_or_crashes/ko

 

 

작업 5. 불필요한 프로그램 제거

[제어판 - 프로그램  추가 제거 ] 에서 불필요한 툴바나 Search 프로그램은 삭제 합니다.

 

 

작업 6.  Browser Helper Object 삭제

1.     시작 -> 프로그램  파일 검색 란에 regedit 입력 , Enter 누릅니다

2.     아래의 경로로 이동하여, Browser Helper Objects 폴더와 Post Platform 폴더 하위의 모든 항목을 삭제합니다.

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

·         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform

 

 

최근 미국 연방수사국(FBI)에서는 DNS 설정을 변경하는 DNS 체인저 악성코드에 감염된 PC가 접속하던 DNS 서버 대신, 한시적으로 운영해 왔던 Clean DNS 서버의 운영을 2012년 7월 9일부로 중단하기로 하였습니다. 따라서 DNS 체인저 악성코드에 감염된 PC는 2012년 7월 9일 이후 인터넷 접속 장애가 발생할 수 있습니다. 국내 인터넷 이용자는 해당 악성코드에 감염되어 DNS 설정이 변경되었는지 확인이 필요합니다.

 

<확인방법>

  • DNS 체인저 악성코드 감염여부 확인 하기 : http://www.dns-ok.us
    사이트 접속시 초록색으로 보일 시 안전, 빨간색이면 해당 악성코드에 감염 되었으므로 아래 조치절차(전용백신 치료 및 DNS설정 정상화) 실시
    확인방법

<조치방법>

  1. KISA DNS체인저 악성코드 맞춤형 전용백신 다운로드 및 실행

    전용백신 다운로드 제공 페이지
    ※ 백신으로 악성코드를 치료 후, DNS 설정이 정상화되지 않으므로 아래 DNS설정 정상화 조치 필요함


  2. DNS 설정 정상화

    위 확인방법을 통해 사이트 접속시, 빨간색으로 표시된 이용자에 한해 설정을 변경하시기 바랍니다.
  • 윈도우7
    윈도우 시작 버튼 -> 제어판 -> 네트워크 및 인터넷 -> 네트워크 및 공유센터 -> 어댑터 설정 변경 -> 로컬 영역 연결 더블클릭 -> 속성 클릭 -> Internet Protocol Version 4 (TCP/IPv4) 클릭 후 속성 -> DNS 주소 변경(자동으로 받기 또는 기존에 사용 중인 IP로 변경)
    ※ 일반적으로 가정용 인터넷 회선을 사용하시면, 자동으로 받기로 설정하시면 됩니다.
    ※ 이용자 중 수동으로 DNS주소를 설정하고자 하는 분은, 현재 가입중인 인터넷 회선 업체에서 제공하는 기본/보조 DNS 주소로 변경바랍니다. (아래 표 참고)

  • 윈도우XP
    윈도우 시작 버튼 -> 설정 -> 제어판 -> 네트워크 연결 -> 로컬 영역 연결 더블 클릭 -> 속성 -> 인터넷 프로토콜(TCP/IP) 클릭 후 속성 -> DNS 주소 변경(자동으로 받기 또는 기존에 사용 중인 IP로 변경)
    ※ 일반적으로 가정용 인터넷 회선을 사용하시면, 자동으로 받기로 설정하시면 됩니다.
    ※ 이용자 중 수동으로 DNS주소를 설정하고자 하는 분은, 현재 가입중인 인터넷 회선 업체에서 제공하는 기본/보조 DNS 주소로 변경바랍니다. (아래 표 참고)

    구 분 기본 DNS 주소 보조 DNS 주소 문의 연락처
    KT olleh(구 QOOK) 168.126.63.1 168.126.63.2 ☎ 100
    SK 브로드밴드 210.220.163.82 219.250.36.130 ☎ 106
    LG U+(구 XPEED 파워콤) 164.124.101.2 203.248.252.2 ☎ 1644-7000
    구글 Public DNS 8.8.8.8 8.8.4.4 -

출처 : KISA 보호나라 (http://www.boho.or.kr/kor/notice/noticeView.jsp?p_bulletin_writing_sequence=960)

 

출처 : 안철수연구소(http://www.ahnlab.com/kr/site/main/main.do)

안녕하십니까, 안철수연구소입니다.

최근 국내 웹사이트를 겨냥한 DDoS 공격 및 시스템 손상을 일으키는 악성코드가 발견되었습니다.


1. 안연구소 대응 현황

현재 DDoS 공격 및 시스템 손상을 일으키는 악성코드에 대해 V3 제품군에서는 아래와 같은 진단명으로 진단이 가능합니다.
 
Win-Trojan/Agent.131072.WL
Win-Trojan/Agent.11776.VJ
Win-Trojan/Agent.118784.AAU
Win-Trojan/Agent.40960.BOH
Win-Trojan/Agent.46432.D
Win-Trojan/Agent.71008
Win-Trojan/Npkon.10240
Trojan/Win32.Npkon
Trojan/Win32.Dllbot

2. 전용백신 제작 및 배포
현재 DDDoS 공격 예방 및 시스템 손상을 방지하기 위해 안철수연구소에서는 전용백신을 제작하여 배포하고 있습니다. 아래 링크에서 전용백신을 다운로드 하여 검사를 권장 드립니다. 추가로 V3 제품을 사용하시는 고객께서는 최신 엔진 버전으로 진단 및 치료할 수 있으며 새롭게 나오는 변형에 대해서도 예방이 가능합니다.

▶ 전용백신 다운로드 받기


 ◆ 개인 및 기업 일반 사용자분들은 좀비 PC 방지는 물론 안전한 컴퓨터 이용을 위해서는 사용자 환경에 맞는 백신을 설치하여 반드시 최신 엔진 업데이트를 실행하여 주시기 바랍니다.

 

- 개인용 무료 백신 : V3 Lite
- 방화벽과 백신이 통합된 유료 보안 서비스 : V3 365 클리닉
- 기업용 통합 보안 : V3 IS 8.0



안철수연구소는 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 지속 가동하는 한편 DDoS공격을 유발하는 악성코드에 대해 지속적인 대응을 하도록 하겠습니다.

감사합니다.


-----------------------------------------------------------------------------------------------------------

안철수연구소(대표 김홍선)는 분산서비스거부(DDoS) 공격이 국내 40개 웹사이트를 대상으로 4일 10시부터 발생하고 있으며, 같은 날 오후 6시 30분부터 재차 발생할 것이라고 예측했다.

이에 따라 안철수연구소는 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 가동하는 한편 DDoS공격을 유발하는 악성코드의 전용백신을 개발해 무료 제공한다.

이번 공격은 지난 2009년 7월 7일부터 9일까지 국내 17개 웹사이트를 겨냥한 7.7 디도스 대란 때와 유사하다.

공격 대상은 40개로 네이버, 다음, 옥션, 한게임, 디씨인사이드, 지마켓, 청와대, 외교통상부, 국가정보원, 통일부, 국회, 국가대표포털, 방위산업청, 경찰청, 국세청, 관세청, 국방부, 합동참모본부, 육군본부, 공군본부, 해군본부, 주한미군, 국방홍보원, 제8전투비행단, 방송통신위원회, 행정안전부, 한국인터넷진흥원, 안철수연구소, 금융위원회, 국민은행, 우리은행, 하나은행, 외환은행, 신한은행, 제일은행, 농협, 키움증권, 대신증권, 한국철도공사, 한국수력원자력이다.

디도스 공격을 유발하는 악성코드는 ntcm63.dll, SBUpdate.exe, ntds50.dll, watcsvc.dll, soetsvc.dll, mopxsvc.dll, SBUpdate.exe 등이다. 이들 악성코드가 설치된 PC는 이른바 ‘좀비 PC’가 되어 일제히 특정 웹사이트를 공격한다. 안철수연구소 보안전문가들은 지난 3일 첫 신고를 받아 분석한 결과, 공격 대상과 공격 시각을 파악했다. 동시에 좀비 PC를 최소화하기 위해 전용백신을 신속히 개발했다.

안철수연구소는 이들 악성코드를 진단/치료할 수 있는 긴급 전용백신(http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3removaltool.exe)을 개발해 개인은 물론 기업/기관에도 무료 제공 중이다. 개인용 무료백신 ‘V3 LIte’(http://www.V3Lite.com)를 비롯해 ‘V3 365 클리닉’(http://v3clinic.ahnlab.com/v365/nbMain.ahn), V3 Internet Security 8.0 등 모든 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료할 수 있다.

한편, 이들 악성코드는 디도스 공격 외에 V3 엔진 업데이트를 제공하는 인터넷 주소의 호스트 파일을 변조해 업데이트를 방해한다. 또한 PC내 문서 및 소스 파일을 임의로 압축하는 증상도 있다.

악성코드가 유포된 경로는 국내 P2P사이트인 셰어박스와 슈퍼다운인 것으로 밝혀졌다. 공격자는 이들 사이트를 해킹해 셰어박스 업데이트 파일과 슈퍼다운 사이트에 올려진 일부 파일에 악성코드를 삽입해 유포했다. 유포 시각은 3월 3일 07시~09시로 추정된다.

김홍선 안철수연구소 사장은 “운용체계의 보안 패치를 최신으로 유지하고, 백신 프로그램을 설치해 항상 최신 버전으로 상태에서 실시간 검사 기능을 켜두어야 한다”며 “이메일, 메신저의 첨부 파일이나 링크 URL을 함부로 열지 말고, P2P 사이트에서 파일을 내려받을 때 백신으로 검사하는 습관이 필요하다”고 강조했다.@

□ 개요

   o Internet Explorer mshtml.dll 라이브러리가 재귀적으로 CSS @import 규칙을 포함하는 웹 페이지를 처리하는 과정에서 원격코드실행 취약점이 발생 [1, 3, 4, 6]

   o 공격자는 웹 페이지 은닉, 스팸 메일, 메신저의 링크 등을 통해 특수하게 조작된 콘텐트로 구성된 악의적인 웹 사이트에 방문하도록 사용자를 유도하여 악성코드를 유포 가능

   o 해당 취약점의 개념증명코드[2, 7]가 공개되었으므로 인터넷 사용자의 주의가 요구됨

 

□ 해당 시스템

   o 영향 받는 소프트웨어 [1]

     - Internet Explorer 6

     - Internet Explorer 7

     - Internet Explorer 8

       모든 운영체제의 모든 Internet Explorer 버전이 취약할 것으로 추정

          (DEP ASLR 우회 가능[6])

 

□ 임시 권고 사항

   o 현재 해당 취약점에 대한 보안업데이트는 발표되지 않았음

   o KrCERT/CC MS 보안업데이트 사이트[5]를 주기적으로 확인하여 해당 취약점에 대한 보안업데이트 발표 시 신속히 최신 업데이트를 적용하거나 자동업데이트를 설정

     자동업데이트 설정 방법: 시작제어판보안센터자동업데이트자동(권장) 선택

   o 취약점에 의한 피해를 줄이기 위하여 사용자는 다음과 같은 사항을 준수해야함

     - 파일공유 기능 등을 사용하지 않으면 비활성화하고 개인방화벽을 반드시 사용

     - 사용하고 있는 백신프로그램의 최신 업데이트를 유지하고, 실시간 감시기능을 활성화

     - 신뢰되지 않는 웹 사이트의 방문 자제

     - 출처가 불분명한 이메일의 링크 클릭하거나 첨부파일 열어보기 자제

 

□ 용어 정리

   o CSS (Cascading Style Sheet) : 웹페이지에 포함된 여백이나 글자의 크기 및 색깔 등의 각종 스타일을 기술하는 언어

   o @import : 외부 CSS 파일을 참조하는 URL을 지정하는 규칙

   o mshtml.dll : Internet Explorer의 핵심 모듈로서 HTML, CSS 등을 처리함

   o DEP (Data Execution Prevention, 데이터 실행 방지) : 프로그램의 비실행영역 메모리에서 코드가 실행되지 않도록 함으로써 악성코드 및 다른 보안 위험으로부터 손상되지 않게 해주는 보안 기능

   o ASLR (Address Space Layout Randomization) : 주소 공간 레이아웃을 불규칙하게 배치하는 보안 기능

 

□ 기타 문의사항

   o 보안업데이트는 언제 발표되나요?

     - 해당 보안업데이트의 발표 일정은 미정이나, 발표 시 KrCERT/CC 홈페이지를 통해 신속히 공지할 예정입니다.

   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

 

[참고사이트]

[1] http://www.vupen.com/english/advisories/2010/3156

[2] http://www.exploit-db.com/exploits/15746/

[3] http://www.breakingpointsystems.com/community/blog/ie-vulnerability/

[4] http://www.wooyun.org/bugs/wooyun-2010-0885

[5] http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko

[6] http://www.offensive-security.com/offsec/internet-explorer-css-0day-on-windows-7/

[7] http://www.metasploit.com/modules/exploit/windows/browser/ms11_xxx_ie_css_import

----------------------------------------------------------------------------------------------------------

출처 : 보호나라  2010-12-22  (http://www.boho.or.kr/dataroom/data_05_dtl.jsp?u_id=118&page=0&TempNum=124&page_id=6)

  • 조치방안

    1. 고객님의 ftp 암호를 주기적으로 변경 합니다.

      블루웹 로그인 -> My page -> 호스팅관리 -> 호스팅관리툴 -> FTP Passw 변경

    2. 고객님의 ftp 접속이 있었던 PC를 주기적으로 백신프로그램으로 바이러스 점검 합니다.

      개인용 무료백신으로 개인 PC를 점검 할 수 있습니다.
      안랩 (http://home.ahnlab.com)
      알약 (http://alyac.altools.co.kr/)
      카스퍼스키 (http://www.kasperskylab.co.kr/ )
      (단, 감염이 의심되는 경우 OS 재설치를 재설치 하시는 것이 좋습니다.)

    3. ftp 계정 보안적용상태(lock)로 설정합니다. (ftp 사용시 해제 후 사용)

      블루웹 로그인 -> My page -> 호스팅관리 -> 호스팅관리툴 -> FTP lock 설정/해제
      http://고객도메인/119 접속 후 ftp lock 설정/해제

    4. SFTP 사용
      SFTP 프로그램 다운 및 사용법
    5. 악성스크립트 탐지 툴로 점검
      탐지 툴 신청
  • 한국인터넷진흥원 대응방안

    한국인터넷진흥원의 정보보호 사이트에서는 악성코드 감염을 진단할 수 있는 서비스를 제공하고 있으며, 그에 대한 대응책 및 신고센터를 운영하고 있습니다. 스스로 해결이 불가능한 분들을 위해 원격점검 서비스도 지원을 하고 있으니 악성코드에 감염되었는지에 대한 여부를 꼭 확인해 보시고, 감염되었다면 치료하시기 바랍니다. 아래는 한국인터넷진흥원에서 제공하고 있는 감염 진단 서비스 입니다.

    1. 온라인검사
      백신 홈페이지상에서 직접 바이러스/스파이웨어를 점검 할 수 있는 서비스이며 국내외 주요 백신 업체에서 제공하고 있습니다. 점검은 무료이나 치료는 유료인 경우가 많이 있습니다.
    2. 바이러스백신 프로그램 설치 감염 확인
    3. 악성 봇 감염 확인
      한국인터넷진흥원에서 확보된 악성 봇 감염 PC에 자신의 PC가 포함되어 있는지 확인해주는 서비스입니다.
    4. 원격점검 서비스
    5. PC자동보안 업데이트
  •  - 보호나라에서 제공하는 업데이트 툴은

  • 블루웹의 대응정책

    1. ftp 해외접속 차단 대부분의 경우 ftp를 통한 스크립트 삽입은 해외IP를 통해 이루어지고 있어 ftp해외 접속을 차단합니다.
      (단, 해외IP 에서 접속이 필요한 경우 허용 IP 등록 접속 가능)
    2. ftp lock 설정/해제 제공 (사용시만 해제 후 사용)
      http://고객도메인/119 접속 후 ftp lock 설정/해제
    3. 홈페이지 scan를 통해 악성스크립트 삽입여부 진단 및 제거
    4. ftp log 모니터링을 통한 의심 IP 접속제한

      출처 : 블루웹(http://blueweb.co.kr/)
      ------------------------------------------------------------------------------------------------

      사이트내에 해킹으로 인한  코드 삽입으로 해당 사이트에 접속한 사용자들에게 악성코드를 다운받게 하는 일이
      최근에 더 심해진듯 하다.

      블루웹에서는 119 서비스를 통해  호스팅 서비스를 받는 모든 고객에게
      http://자신의 도메인/119
      페이지에서 트래픽, ftp, 미납상태, 등등에 대한 진단을 받을수도 있고, 악성코드삽입에 대한 ftp 접속 로그, 블럭, sftp 설정등의 지원을 24시간 받을수 있다.

      호스팅되는 사이트를 방문하는 사람에 입장에서는 기본적으로 백신을 사용한다면 그나마의 문제를 해결할수도 있겠지만. 그렇지 못한경우라면 인터넷 옵션에서 창을 닫을때 임시폴더를 모드 지우게 설정해주는 것도 좋은 방법일듯 하다.(대부분의 악성코드는 해당 웹페이지를 여는 순간 임시폴더에 저장돼는 파일이 대부분이므로~ 물론 그이상의 경우도 있다.)
  • 온라인 게임사용자의 개인 정보를 노린 악성코드가 확산되고 있어 주의가 요구된다.

     잉카인터넷(대표 주영흠 www.nprotect.com)은 지난 26일께부터 국내외 불특정 다수의 웹 사이트가 자동화된 SQL인젝션(Injection) 공격 피해를 입었으며 이는 어도브 플래시플레이어의 액션 스크립트(Action Script)를 악용한 것이라고 28일 밝혔다.

     이번 공격에 사용된 악성 스크립트코드가 국내 많은 사이트에 삽입됐기 때문에 사이트 관리자와 해당 사이트에 방문하는 사용자들의 감염 피해가 우려된다. 스크립트에 의해 연결된 ‘1231.swf’ ‘1232.swf’ 등의 악성 플래시 파일이 실행되면 웹사이트에 숨겨져 있는 또 다른 악성 실행파일이 TEMP 폴더에 ‘orz.exe (42,268바이트)’라는 파일명으로 다운로드되고 자동으로 실행된다.

     잉카인터넷은 “컴퓨터를 보호받으려면 어도브 플래시플레이어 버전을 업데이트해야 한다”며 “플래시플레이어 버전이 ‘9.0.115.0’이거나 하위 버전이라면 신속한 업데이트가 필요하다”고 강조했다.

    상위 버전은 웹사이트(http://www.adobe.com/shockwave/download/flash/trigger/kr/2/index.html)에서 내려받을 수 있다.
    출처 : 전자신문 (2008.05.09)

    -------------------------------------------------------------------------------------------------------
    설치시에 구글 툴바 설치 하겠다는 체크표시는 없애구 진행하세요~

    '정보공유' 카테고리의 다른 글

    Microsoft Baseline Security Analyzer  (0) 2008.06.02
    게임사용자 정보 노린 악성코드 확산  (0) 2008.05.29
    메모리해킹  (0) 2008.05.07
    MS Windows XP Service Pack 3  (1) 2008.04.24
    이번 달 악성코드 이슈로는 먼저 윈도우 정품 인증을 가장한 트로이목마가 국외에서 보고 되었는데 일종의 사회공학기법을 이용한 형태였다. 그리고 새로운 형태의 SSDT 후킹을 시도하여 자신의 은폐 모듈을 숨기는 악성코드가 국, 내외에서 보고 되었다. 이 새로운 시도로 기존의 은폐형 악성코드 탐지툴로부터 자신을 우회하기 때문에 이목이 집중 되었다. 또한 최근 들어 가장 큰 이슈가 집중 되는 플래쉬 메모리에 생성 되는 autorun.inf 파일의 정체에 대해서 알아본다.

    ▶ 윈도우 정품 인증을 가장한 트로이목마
    Win-Trojan/Kardphisher는 윈도우 정품 인증을 가장하여 사용자로 하여금 신용카드 정보를 입력 하도록 유도하는 트로이목마이다. 이 트로이목마는 마치 윈도우 정식 인증을 위하여 그럴듯한 메시지와 절차로 사용자로 하여금 신용카드 정보를 입력 받고 이것을 탈취한다. 무엇보다도 이 트로이목마는 실행 된 후 자신을 가장 상위로 활성화 하기 때문에 다른 응용 프로그램이나 화면으로 전환 할 수가 없게 된다. 개인정보와 카드입력을 받는 방법은 특별한 기법이 아닌 단지 Fake 된 화면을 보여주는 일종 사회공학기법에 불과 한다. 최근 MS 는 윈도우와 IE 7 에 대하여 정품 인증을 강화 하면서 이것을 노리고 사용자의 민감한 개인정보를 갈취하는 트로이목마가 출현 한 것으로 보인다.


    [그림 2-1] Win-Trojan/Kardphisher 실행화면 1



    [그림 2-2] Win-Trojan/Kardphisher 실행화면 2


    ▶ 새로운 형태의 SSDT 후킹을 시도하는 트로이목마
    Win-Trojan/Almanahe 이라고 명명된 이 악성코드는 기존과 다른 SSDT (System Service Descriptor Table) 후킹을 이용하여 기존의 알려진 루트킷 진단 프로그램에서 진단되지 못하도록 자신을 숨긴다. 이 트로이목마가 사용한 SDT 후킹 기법은 후킹 주체가 악성코드 모듈이 아닌 정상 ntoskrnl.exe를 가르킨다. 즉, 서비스 함수 포인터의 위치에 대해서 해당 트로이목마는 서비스 주체인 ntoskrnl.exe를 가르키도록 했다.

    후킹 주체인 은폐된 커널 드라이버가 악성코드 자신이 아닌 ntoskrnl.exe를 보이도록 해서 우회한다. 그러나 후킹된 함수까지 숨기지는 못하므로 이를 통하여 SSDT 후킹 여부는 확인 될 수 있다.


    [그림 2-3] Win-Trojan/Almanahe 의 SSDT 후킹 함수 및 주체


    이 트로이목마는 실행 파일을 감염시키는 바이러스 증상도 가지고 있으며, 또한 일부 온라인 게임의 사용자 계정을 훔쳐내는 증상도 있다. V3 는 이 또한 Win32/Alman 이라고 명명했고 진단 / 치료가 가능하다.

    ▶ 플래쉬 메모리에 생성된 Autorun.inf 의 정체는?
    근래 들어 이동식 드라이브 (대부분 USB 방식의 플래쉬 메모리 스틱)에 생성된 Autorun.inf 의 정체에 대한 문의가 다수 접수되고 있다.. 매체에 대한 단가 하락과 대량 생산은 자연스럽게 이러한 미디어에 대한 접근을 쉽게하므로 요즘 플래쉬 메모리 스틱을 한 개 이상은 보유하고 있다고 해도 과언이 아니다. 따라서 이러한 미디어를 대상으로 악성코드를 감염시키려는 악성코드 제작자들의 노력이 계속되고 있다.

    그렇다면 왜? 이동식 드라이브를 감염 대상으로 하는 것일까? 이는 예전에 플로피 디스켓에 부트 바이러스나 파일 바이러스를 감염시켰던 것과 같이 좀 더 확산력을 높이기 위해서이다. 또한 그 당시에는 없었던 Autorun.inf 파일을 이용하여 자동으로 실행할 대상을 지정하여 악성코드를 사용자 의도와는 관계없이 실행 및 감염 그리고 확산 시키려는데 목적이다.

    VBS/Solow는 Autorun.inf 파일을 생성하는 대표적인 악성코드이다. 이외에도 스크립트 형태가 아닌 *.EXE 확장자를 갖는 실행 파일 형태의 악성코드도 있다. VBS/Solow는 각 드라이브 루트 폴더 비롯하여 이동식 드라이브 루트 폴더에 Autorun.inf 파일을 생성한다. 이러한 활동을 200초 마다 반복적으로 실행 하기 때문에 사용자가 Autorun.inf 파일을 삭제해도 다시 생성된다.

    생성된 Autorun.inf 파일은 특정 드라이브 또는 이동식 드라이브에 생성된 악성코드 복사본을 실행하도록 하는 명령이 포함되어 있다. 예를 들어 플래쉬 메모리 스틱에 Autorun.inf 파일이 있다면 해당 플래쉬 메모리를 USB 포트에 연결한 후 바탕화면의 내 컴퓨터를 선택하여 플래쉬 메모리 스틱이 연결된 이동식 드라이브를 클릭 할 경우 Autorun.inf 에 의해서 악성코드가 자동으로 실행된다.

    고객들이 많이 질문하는 내용은 크게 2 가지로 다음과 같다.


    - Autorun.inf 파일의 삭제후 재생성
    - Autorun.inf 파일과 악성코드 파일을 수동으로 삭제한 경우 바탕화면에서 내 컴
    퓨터를 이용하여 각 드라이브 접근불가


    먼저 Autorun.inf 파일의 재생성은 위에서 언급 한 것처럼 VBS/Solow 는 200초 마다 반복적으로 각 드라이브에 대한 Autorun.inf 파일을 생성한다. 또한 해당 악성코드는 스크립트 웜으로 자신이 실행되기 위해서 일종의 인터프리터인 WScript.exe 라는 파일을 실행 함으로써 자신의 스크립트를 실행한다. 그러므로 프로세스에서 실행중인 WScript.exe를 종료하지 않으면 Autorun.inf파일이 재생성되는 원인이 된다. 중요한 것은 WScript.exe는 정상적인 윈도우 파일이므로 삭제해서는 안된다. 두 번째로 Autorun.inf 파일과 악성코드를 사용자가 직접 삭제한 경우 내 컴퓨터를 이용한 각 드라이브 접근시 다음 [그림 2-4]와 같은 에러 메시지가 나오고 드라이브 열기가 불가능한 경우가 발생할 수 있다.


    [그림 2-4] VBS/Solow 레지스트리 미치료시 나오는 에러 메시지


    이는 자동 실행 되기 위해서 각 드라이브에 대한 클래스 ID가 저장된 레지스트리 키를 변경 해주지 않았기 때문이다. 이 키는 각 드라이브의 클래스 ID 가 저장된 하위 키에 Autorun.inf 에 의해서 자동 실행되도록 대상 파일이 기록되어 있다. 따라서 이 하위 키를 변경 또는 삭제하지 않으면 드라이브 열기를 시도할 때마다 레지스트리 키 값에 명시된 파일이 존재하지 않는다는 메시지를 출력하고 열기가 불가능 해진다. 물론 탐색기를 통해서나 다른 파일 관리자를 이용해서는 각 드라이브 탐색은 가능하다.

    ▶구글 Adsense 의 부정 클릭 유도한 사건

    5월 중순 MSN 메신저로 다음과 같은 메시지가 국내외 퍼졌다.

    www.whoadmit(제거됨).com <- Find out who deleted and blocked you from the MSN

    위 링크를 클릭하여 자신의 MSN 메신저 아이디와 비밀번호를 입력하면 자신을 버디 리스트에서 차단하거나 삭제한 것을 알려준다고 한다. 하지는 이는 사용자를 속이는 것이고, 입력 받은 계정과 비밀번호를 이용하여 MSN 서버로부터 버디 리스트를 받아와 위 링크를 현재 온라인된 모든 사용자에게 발송하는 사건이 있었다. 초기에는 이 링크를 보내는 별도의 악성코드가 있다고 추정하였지만, 실제로는 그렇지 않고, 위 링크의 주소로 들어가 MSN 계정을 입력하면 현재 로그인 된 자신의 MSN 메신저는 로그아웃이 되고, 입력 받은 계정으로 MSN 서버로 로그인하여 버디 리스트를 가져와 위 링크를 보내는 것으로 최종분석 되었다.

    또한 해당 링크의 페이지는 구글의 Adsense 광고가 다수 노출되어 있었다. 이러한 점을 종합해 보면 위 링크의 방문자들로 하여금 구글 Adsense 의 부정 클릭을 유도하여 돈을 벌어 드리려는 것으로 위와 같은 웹 페이지와 호스트를 운영하는 것으로 추정된다. 만약 위 링크에서 자신의 MSN 계정을 입력 했다면 혹시 있을지 모르는 개인 정보 도용을 예방하기 위해서라도 MSN 계정의 비밀번호를 지금 변경할 것을 권장한다.
    악성코드 제거 프로그램 사용후 갑자기 인터넷이 안돼는 경우!!
    winsock 설정을 변경시켜 먹통으로 만들어버리는 어처구니 없는 경우였다...

    1. LSPFix 파일을 받아서 변경된 winsock 설정을 복구
       LSPFix를 실행시키시고 오른쪽 창(Remove 항목)에 나타나는 항목이 있다면 왼쪽으로 돌려두고, 오른쪽 창이 비어있고 왼쪽 창(Keep 항목)에 나타나는 항목들은 네트워크를 구성하는데 필요한 중요한 항목이므로 돈텃치~ 그리고 reboot~

    2. winsockXPFix 실행시켜 fix 하여 winsock 설정을 초기화 시키신 후에 reboot~
     이 프로그램은 95/98/Me/2000/XP 모두 사용가능 하다고 함.

    '정보공유' 카테고리의 다른 글

    악성코드 scrun.exe !!!  (0) 2007.04.18
    악성코드 제거후 인터넷이 안될때!!  (0) 2007.04.12
    ASUS V60  (2) 2007.04.11
    3D Floating System  (0) 2007.04.04

    + Recent posts

    티스토리 툴바