MBR(Master Boot Record)에 은닉 기술을 이용하여 기생하는 Sinowal 악성 코드에 대한 새로운 변종(Backdoor.Win32.Sinowal)이 발견되어 이에 대한 정보가 공개되었습니다.

Sinowal 악성코드는 2008년도에 이미 초기 버전과 변형 버전에 대한 자료가 발표되었습니다.
  • http://www.viruslist.com/en/analysis?pubid=204792002
  • http://www.viruslist.com/en/analysis?pubid=204792044

2009년 3월 말 경에 발견된 Sinowal의 최신 변형 버전은 하드 디스크의 MBR 영역을 감염시키면서 감염 자체를 숨기는 루트킷 기술을 탑재하고 있습니다. 최신 변형 버전은 보안 전문가에게 충격을 주고 있는데 기존 버전과는 달리 감염여부를 보안 제품이 진단하지 못하도록 보다 시스템 내부에 숨깁니다. 특히 은닉(Stealth) 기술은 운영체제의 최하위 수준의 디바이스 객체를 후킹하는 것으로 사이버 범죄에서 이렇게 복잡한 기술을 사용한 첫번째 사례입니다.

물론 Backdoor.Win32.Sinowal이 처음 출현했을 때에는 이 악성코드를 치료하는 안티 바이러스 제품이 없었으며 심지어 진단 자체도 거의 불가능하였습니다. 일단 Backdoor.Win32.Sinowal 악성코드가 시스템에서 루트킷을 동작한 후에는 사용자의 데이터와 기타 계정 정보를 훔치기 위해 설계된 일련의 활동을 벌이게 됩니다.

Backdoor.Win32.Sinowal 악성코드는 Neosploit  취약점을 이용하는 것으로 수많은 악성 사이트를 통해 광범위하게 퍼뜨려지고 있습니다. 특히, 악성 PDF 문서를 사용자 모르게 다운로드할 수 있는 아크로뱃 리더의 취약점을 이용하여 시스템을 감염시킵니다.

이 악성코드에 감염되지 않기 위해서는 아래의 링크에서 아크로뱃 리더의 패치 버전을 반드시 설치해야 합니다.

http://www.adobe.com/support/security/bulletins/apsb09-04.html

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    2009년 2월 19일, 전세계적으로 전자 문서의 표준으로 널리 사용되는 PDF 형식의 프로그램인 아크로뱃(PDF 생성 프로그램)과 아크로뱃 리더(읽기 전용 프로그램)에서 제로데이(0-Day) 취약점이 발표되었습니다.

    취약점은 아크로뱃/리더의 전 제품에 걸쳐 나타나고 있으며 자세한 제품은 아래와 같습니다.
    • 아크로뱃 7 프로페셔널
    • 아크로뱃 7.x
    • 아크로뱃 8 프로페셔널
    • 아크로뱃 8.x
    • 아크로뱃 9.x
    • 아크로뱃 리더 7.x
    • 아크로뱃 리더 8.x
    • 아크로뱃 리더 9.x
    이 취약점은 아주 치명적인(Extremely Critical) 것으로 분류되어 있으며, 아크로뱃/리더를 설치하여 운영할 수 있는 모든 운영체제에서 발생합니다. 

    취약점은 교묘하게 조작한 PDF 문서를 사용자가 열어 봄으로써 발생합니다. 조작된 PDF 문서에는 크래커가 삽입한 객체를 파싱하는 과정에서 메모리에 쓰여진 데이터를 의도적으로 조작한 코드로 덮어쓰기 하는 즉, 버퍼 오버플로 오류를 통해 이루어집니다.

    취약점은 heapspray라고 하는 자바 스크립트 메소드를 사용하여 진행됩니다.


    위의 그림에서 EAX 레지스터에 트로이 목마를 설치하는 악성 쉘 코드를 실행하는 메모리 주소를 가리키도록 조작합니다. 성공적으로 공격이 이루어지는 과정에서 원격 제어 및 감염된 시스템을 모니터링하기 위한 백도어가 설치됩니다.
     
    현재 이 취약점을 해결할 수 있는 패치나 대안이 없는 상태입니다. 또한 이 취약점을 이용하는 공격 코드가 인터넷 상에 출현한 상태입니다. 백도어의 특징 및 진단에 세부 사항은 아래 링크를 참고하십시오.

    http://vil.nai.com/vil/content/v_153842.htm

    더욱 우려되는 상황은 이 악성 코드의 출현으로 인해 새로운 다수의 변종이 출현할 수 있는 가능성이 존재합니다.

    따라서, 사용자는 컴퓨터에 설치된 안티 바이러스 제품의 업데이트를 반드시 확인하여 최신으로 유지해야 하며, 출처가 불분명한 PDF 문서는 열어 보아서는 안됩니다.

    출처:

    아도브 사는 3월 11일 경에 이 취약점에 대한 패치를 제공할 예정이라고 합니다.




     



    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      자세한 전모는 밝혀지지 않았지만, 아크로뱃에 대한 공격 코드가 발견되어 사용자의 주의가 요구됩니다. 특히, 윈도우의 보안 취약점은 업데이트를 강조하지만 다른 애플리케이션에 경우에는 간과하는 편입니다.
      가급적 아크로뱃/아크로뱃리더를 최신 버전으로 즉시 업데이트하시기 바랍니다. 이에 대한 소식을 정리해서 알려 드립니다.


      최근 보안 전문가들은 아도브 아크로뱃에 관련된 취약점을 타겟으로 하는 새로운 익스플로잇을 감지했다고 발표했습니다.

      베리사인의 iDefense에 근무하는 긴급 대응팀의 매트 리차드는 이 익스플로잇을 추적한 결과 이 팀이 발견한 최근 1주일 전부터 지난 1월달까지 나타났다고 합니다. 발견이 늦은 이유는 이 익스플로잇이 사용자에게 미치는 영향이 적었기 때문입니다.

      이러한 감염 현상은 대부분의 안티 바이러스에서 진단하지 못하였지만 지난 주에 iDefense 팀이 통보한 이후에 진단이 이루어지고 있습니다. 감염 경로는 정상적인 웹사이트에 악성 코드가 포함된 광고 배너를 게재하고 이를 통해 사용자들에게 널리 감염됩니다.

      이 트로이 목마는 Zonebac으로 명명되었으며 분석한 결과 다행이도 정보를 훔쳐 내는 그러한 요소는 포함되지 않았다고 합니다. 대신에 특정한 광고를 대신하여 다른 광고를 보여 준다고 합니다. 이러한 취약점을 사용하는 방법이 공개된 이후에는 다른 인터넷 범죄단(criminal group)에서 개인 정보나 금융 정보를 빼내는 악성 코드를 작성할 수 있다는 점에서 앞으로도 문제가 될 것입니다.

      한 편, 아도브 사는 최근에 발생한 다양한 보안 취약점을 해결하기 위한 최신 업데이트 버전을 발표하였으며 이에 대한 자세한 사항을 자사 웹사이트에서 언급하고 있습니다. 아크로뱃 한글판을 업데이트하고 난 버전은 8.1.1입니다.

      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus


        Web Analytics Blogs Directory