[Issue] 2013년도 핫 이슈 모음

Malware 2013. 1. 14. 09:35
※ 2013년도에 발생한 악성코드/해킹 관련 핫 이슈에 대해서 정리해 봅니다.


2013.01.10 
파이오 전자신문 : 우리은행 고객 마이너스 통장서 순식간에 털어간 5000만원....
- 내용상으로는 공인인증서 정보, 비밀번호, 보안카드등의 정보가 모두 털린 것으로 추정된다. 이는 몇년간 이슈가
  되어 오던 국내 인터넷뱅킹을 대상으로 하는 악성코드에 의한 개인 정보 탈취 문제와도 연관될 것으로 추정된다.

2013.01.28
데일리시큐 : Malware Virut 봇넷 운용 도메인, 국제협력으로 다운!

2013.02.06
처리의 블로그 : 웅진 코웨이, 고객정보 198만건 개인정보 유출 사건
- 내부직원에 의해 타사 ( LG전자 정수기 위탁 판매업자 ) 에 판매

2013.03.20
울지않는 벌새님 블로그 : 방송사, 금융 사이트 사이버 공격에 따른 전용백신 배포
- 방송사 ( MBC, KBS, YTN )에 악성코드에 의한 PC 파괴 문제 발생 ( 피해량 : 32,000대 추정 )
머니투데이 : "해골사진" 뜬 LGU+도 해킹 당했다 - KISA
- LGU+ 사내 그룹웨어가 해킹 그룹 "Whois Team"에 의해 변조된 사건 발생
- 두 사건이 동일한 날에 발생함에 따라 정부측에서는 연관이 있는 것으로 조사가 이뤄졌으나 연결고리를 찾지 못했
   으며 2013.03.21 현재 별개의 악성코드로 판단되고 있다. 
   또한 벌새님 블로그에서와 같이 방송사를 제외한 금융 사이트에 대한 언급도 있으나 현재까지 확인된 바로는 무관
   한 것으로 판단된다. 
   ( 신한은행 : DB장애, 농협 : Self-망장애 로 최종 확인됨 )
Eric Romang Blog : Dark South Korea Total War Review


저작자표시

'Malware' 카테고리의 다른 글

[Issue] 2012년도 핫 이슈 모음  (0) 2012.03.16
[Issue] 2011년도 핫 이슈 모음  (0) 2011.11.28
Posted by GhostKei
,

[Issue] 2012년도 핫 이슈 모음

Malware 2012. 3. 16. 09:30
※ 2012년도에 발생한 악성코드/해킹 관련 핫 이슈에 대해서 정리해 봅니다. 

[ 2012년 보안 위협 결산 및 2013년 전망 ]
* Kaspersky
* Symantec :: [NewsWire] 시만텍, 2013년 주목해야 할 "Top 5 보안 트렌드" 선정 및 발표

안티 바이러스로 유명한 굴지의 두 기업이 설명한 2013년 전망에서 가장 큰 이슈는 타겟형 악성코드와 모바일 위협의 증가를 꼽고 있다. 
타겟형 악성코드는 개인, 기업 뿐만 아니라 국가를 타겟으로 하는 경우까지 방대해지고 있으며 이를 통한 국가간의 보안 위협 또한 증가할 것이라 언급하고 있다. 국내 대다수의 핵심 기관들 (한국전력, 수력발전공사, 원자력 발전등) 
국내의 기간산업을 담당하는 분야에서 보안에 대한 자각이 필요한 시점이다. 아마 내년엔 이 분야의 보안에 대해 새롭게 환기되는 시기가 되지 않을까 생각된다. 
모바일 위협은 어제 오늘의 위협이 아니다. 특히 안드로이드 계열은 엄청난 양의 악성코드로 인해 PC에서 동작하는 악성코드 시장보다 더 빠른 추세로 증가하고 있다. 더욱이 안전하다고 알려진 Mac OS용 악성코드의 증가는 더욱 눈여겨 볼만 하다. 따라서 모바일을 이용한 경제 부분에 대해 다시 한번 생각해 볼 시점이다. 

[ 참고자료 ]
Infographic : Where Malware Comes From

[ 정리 자료 ]
Deepers : 악성코드, 금융을 위협하다
디지털데일리 : 올해 보안업계를 뒤흔든 세가지 키워드는?
Microsoft Security Blog : A Very Active Place - The Threat Landscape in the Republic of Korea
DarkReading : Top 10 Malware Advances In 2012

2012.03.14
Exploit : MS12-020 ( RDP 패킷 전송을 통해 RCE 취약점 )

2012.03.21 
Anti-Virus 제품에서 File Parsing 과정에서 발생하는 취약점으로 악성코드 탐지 우회가능
http://seclists.org/bugtraq/2012/Mar/88 
- 자사 제품의 경우 Bitdefender Engine에 의해 발생하는 것으로 최종확인됨

[Kaspersky] 2012년 1/4분기 악성코드 위협 보고서

2012.05월경
Exploit : MS12-043 ( MSXML Core Service 취약점으로 인한 RCE )
MS Advisory : Microsofot 보안 권고 ( 2719615 ) ( 06.12 )
MS Fix It : MS XML Core Service의 취약성으로 인한 원격코드 실행 문제 ( 06.12 )
MS Bulletin : MS Security Bulletin MS12-043 - Critical ( 07.11 )

2012.06.01
W32.Stuxnet과 같은 SCADA 시스템에서 발견된 W32.Flame 악성코드

2012.06.06
LinkedIn 해킹으로 약 600만명 계정 해킹
LinkedIn Blog : LinkedIn 회원 정보보안 업데이트

2012.06.08
FBI측에서 7월 9일부로 W32.DNSChanger 서버 서비스를 더 이상하지 않겠다는 발표로 7월 9일에
Black Day의 가능성에 대해 국내에서 이슈화됨

2012.07.11
Yahoo Voice 해킹으로 45만3492명 계정 해킹
Hacker  Site : D33Ds.Co 

Yahoo.zip

2012.07.12
Nvidia 개발자존 온라인 포럼 해킹으로 40만 계정 유출
데일리시큐 : NVIDIA 개발자존 포럼 해킹... 40만 계정 유출!

2012.07.29
한국경제 : KT 870만 개인정보 유출

2012.08.01
보안뉴스 : DropBox, 해킹 당해 사용자 이메일 주소 유출


[Kaspersky] 2012년 2/4분기 악성코드 위협 보고서


2012.08.24
Bloter : VMware 가상머신 노리는 악성코드 등장

2012.09.27
SBS : "안심클릭 결제창" 피싱! 카드번호 입력했더니...

[Kaspersky] 2012년 3/4분기 악성코드 위협 보고서

2012.11.20
보안뉴스 : 한국전자인증 홈피 해킹... 악성코드 유포정황 포착
바다란 : 악성코드와 금융 그리고 한국 ( 간단한 반박 )



'Malware' 카테고리의 다른 글

[Issue] 2013년도 핫 이슈 모음  (0) 2013.01.14
[Issue] 2011년도 핫 이슈 모음  (0) 2011.11.28
Posted by GhostKei
,

[Issue] 2011년도 핫 이슈 모음

Malware 2011. 11. 28. 01:10
※ 2011년에 발생한 악성코드/해킹 관련 핫 이슈에 대해서 정리해 봅니다 .

잉카인터넷 공식 블로그 : [보고] 2011년 주요 보안 이슈 정리 및 2012년 보안 이슈 전망

3월
3월 3일 : 3.3 DDoS 공격


4월
4월 8일 : 현대 캐피탈 고객정보 해킹 사고 - 42만명
     - 벌새님의 블로그 : 현대캐피탈 고객정보 해킹 사고 (2011.4.8)
     - 보안닷컴 : 현대캐피탈, 고객정보 42만건 해킹당했다.  
          - 인지 및 공개 : 4월 7일, 해커의 협박을 통해 해킹 사실 인지
     - 네이버뉴스 : 현대캐피탈 해킹범 검거..."정보 빼내는데 90분" ( 2012.12.26 )

5월
5월 4일 : 농협 전산망 해킹 사고
5월 24일 : x64 환경에서 동작하는 금융권 타겟 악성코드 

5월 30일 : 국내 금융권 타겟 신종 악성코드 ( W32.KRBanker )


7월
7월 28일 : SK컴즈(네이트온) 개인정보 해킹 사고 - 3,500만명
     - 벌새님의 블로그 : 네이트닷컴 3,500만명 개인정보 해킹사고 발생(2011.7.28)
          - 발생 : 7월 26일 
          - 인지 및 공개 : 7월 28일

8월
8월 15일 : GOMTV.net 개인정보 해킹 사고 - ?????
     - 벌새님의 블로그 : GOMTV.net 개인정보 해킹 사고(2011.8.15)
          - 발생 : 8월 12일 오전
          - 공개 : 8월 14일
8월 20일 : 한국 엡손 개인정보 해킹 사고 - ?????
     - 벌새님의 블로그 : 한국 엡손(Epson) 개인정보 해킹 사고 (2011.8.20)

9월
9월 6일 : 삼성카드 개인정보 유출 사고 - 20만명
     - 벌새님의 블로그 : 삼성카드 20만명 개인정보 유출 사고 발생 (2011.9.6) 
     - 머니투데이 : 삼성카드 내부통제시스템 엉망... 대형사고 잇따라
     - 뉴스핌 ( NewsPIM ) : 삼성카드, 고객에 늑장 공지 "비난"
          - 발생 : ?????
          - 인지 : 7월 자제 내부 감사
          - 공개 : 8월 30일, 경찰서에 정식 고발조치를 통해 공개됨
9월 14일 : BIOS Rootkit
9월 19일 : 하나SK카드 개인정보 유출 사고 - 9만건
     - 벌새님의 블로그 : 하나SK카드 개인정보 유출 사고 발생 (2011.9.19)
     - 프라임경제 : "간 큰"하나 SK직원, 회원정보 5만건 유출
     - 뉴스핌 ( NewsPIM ) : 하나SK카드, 고객정보 9만건 유출... 축소의혹(종합)
          - 발생 : ?????
          - 인지 : 9월 16일 내부직원의 고객정보 유출협의 포착, 내부감찰이 아닌 제3자의 연락에 의한 것임
          - 공지 : 9월 19일
10월
10월 19일 : Stuxnet II ( W32.Duqu )

11월 
11월 25일 : 넥슨, 메이플 스토리 개인정보 유출 사고 - 1,320만건
     - 처리님의 블로그 : 넥슨(Nexon), 메이플스토리(MapleStory) 고객정보 1320만 여건 개인정보유출 해킹사건
     - 동아닷컴 : 넥슨 해킹피해, 당장 피해볼 가능성 없다더니 "아이템 50만원어치 털렸다."
     > 2012.08.03
      머니투데이 : 1320만명 정보유출, "메이플 스토리" 넥슨 무협의 처분

12월
보안뉴스 : 넥슨-NHN-이스트소프트, 전자서명 위조한 악성코드 발견


참고 사이트
[바제2] 보안-금융 사례와 최근 트렌드



'Malware' 카테고리의 다른 글

[Issue] 2013년도 핫 이슈 모음  (0) 2013.01.14
[Issue] 2012년도 핫 이슈 모음  (0) 2012.03.16
Posted by GhostKei
,

[Analysis] 변조된 KMPlayer 3.0.0.1442 버전으로 인한 DDoS 공격

Malware/Windows 2011. 11. 27. 23:40
※ 2011년 11월 27일 알려진 KMPlayer 3.0.0.1442 버전에 대한 분석 정보를 게시합니다.

[ 관련 정보 ] 
처리의 블로그 : 케이엠플레이어( KMPlayer ), 변조된 셋업파일 실행시 "백도어(Backdoor) 설치" 주의
nProtect 대응팀 공식 블로그 : [긴급] 동영상 재상 플레이어 변조를 통한 DDoS 악성파일 유포
VirusLab : 국내에 악성파일에 감염된 좀비 PC 현황?

[ 정상 파일 정보 ]
=== 파일정보 ===
파일명 : KMPlayer_KR_3.0.0.1441_R2.exe
대상 버전 : 3.0.0.1441 R2
파일 크기 : 13,038,983 Bytes
해쉬 ( MD5 ) : 4e1e9102914ccc05f83074fb6e94a34a
목적 : 정상 KMPlayer의 동작과정을 알고 이를 바탕으로 악성파일에 의한 동작과 구분하기 위함
         개별 파일의 Hash는 Update를 통해 변경될 가능성이 크기 때문에 파일에 대한 개별확인은 큰 의미가 없을 것
         으로 판단되어 생성 파일에 대한 세부 정보는 기재하지 않는다. 

=== 동적분석 ===
1. 레지스트리
   -  HKEY_LOCAL_MACHINE\SOFTWARE\KMPlayer
   -  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
     \The KMPlayer
2. 네트워크

   - log.kmplayer.com ( 61.111.8.189 )
     :: 사용자가 설치한 KMPlayer 버전 정보와 설치 여부 Flag를 전달하는 정상적인 동작으로 추정됨

   

[ 악성 파일 정보 ]
=== 파일정보 ===
파일명 : KMPlayer_KR_3.0.0.1442_R2.exe
대상 버전 : 3.0.0.1442 R2
파일 크기 : 13,606,912 Bytes
해쉬 ( MD5 ) : df09ccc1c473aae3e2cc4b0cfb37dd2f
특이 사항 : 실행 압축된 파일내부의 일부 파일만 악성파일로 의심되며 KMPlayer_KR_3_0.0.1442_R2.exe 파일을
                Package 시점에 정상 파일내에 악성파일이 추가된 형태로 추정됨 
                zlib로 내부에 압축된 부분이 존재함 ( Package 과정에서 사용한 것일 수 있음 )

=== 동적분석 ===
1. 파일
   - c:\documents and settings\(User)\Local Settings\Temp\ebaylee.exe
     :: 해당 파일만 별도로 확인해 본 결과 1441 R2 버전과 설치과정에서 생성되는 파일등이 동일한 것을 바탕으로
        정상 KMPlayer 3.0.0.1442 R2 설치 Package로 추정됨

   - c:\documents and settings\(User)\Local Settings\Temp\Iyanlcr.exe
     :: 별도로 확인해 본 결과 악성파일로 최종확인 됨
   처리님의 보안 블로그에서 위와 같이 IDA를 통해 3.0.0.1442 R2 버전의 설치 파일에서 악성 파일이
   드랍되는 과정을 코드레벨에서 분석 정보가 정리되어 있다. 참고하기 바란다. ^^

2. 레지스트리 
   - 서비스 동작   
      HKEY_LOCAL_MACHINE\SOFTWARE\KMPlayer
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
     \The KMPlayer
     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MedialCentero x38
     "ImagePath" = "c:\windows\system32\svchost.exe -k krnlsrvs"
     "ServiceDll" = "c:\windows\system32\TwmpteID.dll"

     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MEDIALCENTERO_X38


3. 네트워크
   - 원겨지 연결 시도
     ■ In.v-y.l.v-y.v-y.k-r.v-y.in:8080 ( 60.191.196.82 )
     :: 개인정보를 수집하고 수집된 개인정보를 바탕으로 추가 동작을 발생시킬 목적으로 추정되는 C&C서버로 연결
        을 시도하며 분석중인 현재에도 정상적으로 연결됨을 아래와 같이 확인할 수 있다. 


4. 기타
   :: KMPlayer의 정식 배포사이트에서 해당 Download Link는 끊어진 상태이다. 



Update 2011.12.05

데일리시큐 : KMPlayer, 변조 통한 DDoS 악성파일 유포



'Malware > Windows' 카테고리의 다른 글

[Exploit/Analysis] Exploit/KEditor  (0) 2011.11.21
Posted by GhostKei
,

[Exploit/Analysis] Exploit/KEditor

Malware/Windows 2011. 11. 21. 09:46
※ 아래아 한글 ( HWP ) 프로그램의 취약점을 이용한 악성코드에 대한 분석 정보를 게시합니다.

[ 관련 정보 ]
- [KISA_보호나라] 한글 스택 버퍼 오버플로우 취약점 보안 업데이트 공고

[ 패치 정보 ]
- 한글과 컴퓨터 패치/업데이트

[ 무료백신 ]
- [KISA_보호나라] Exploit/KEditor ( HWP 한글 취약점 이용 )  치료용 전용백신 

[ 전체 동작 시나리오 ]

   :: 메일/P2P/웹사이트/블로그 등을 통해 전달된 Exploit Code를 갖는 한글 파일이 취약점이 존재하는 아래아 한글
      프로그램으로 실행되면 위의 그림과 같이 "개인 정보 보호법" 관련 문서를 사용자에게 보여주고 백그라운드로 
      악성파일 Hwpeq9x.dll를 생성한다. 해당 파일내부의 Resource Section에서는 암호화되어 있는 PE파일이 존재
      한다. 하지만 시그니쳐는 PDF 파일 형태로 되어 있지만 복호화가 완료되면 PE 파일 Mvcert.dll이 생성된다. 
      또한 동일 Resouce Section에서 원격지 서버 목록 ( IP주소 ) 와 연결 포트 번호를 갖고 있는 Krpfs.dat를 생성
      ( Drop ) 해 Mvcert.dll 파일이 원격지 연결을 시도할 때 사용하는 방식을 띈다. 

[ 파일 정보 ]
파일명 : UnKnown HWP 파일 ( 추정 : 개인정보 보호법.hwp )
파일크기 : 322.296 Bytes
해쉬 ( MD5 ) : 3e23194afb2bb39a729721ca16d17e2f
특이 사항 : 생성된 파일은 정상 파일의 Resource 정보를 이용해 정상처럼 존재한다. 
     - Hwpeq9x.dll : Windows Movie Maker FX
     - Mvcert.dll : 7z Standalone Extracting Plugin




'Malware > Windows' 카테고리의 다른 글

[Analysis] 변조된 KMPlayer 3.0.0.1442 버전으로 인한 DDoS 공격  (0) 2011.11.27
Posted by GhostKei
,

[통계] 2011년도 안드로이드 악성코드 수집/업데이트 통계 정보

Malware/Android 2011. 11. 18. 11:28
※ 2011년도 자사에서 수집/업데이트한 안드로이드 악성코드에 대한 통계 정보입니다. 

[ 관련 정보 ]
- [nProtect 대응팀 블로그] [정보] 안드로이드 기반 모바일 악성 파일 집계 현황

[Android] 2011년(1월-11월)진단통계내역.7z








Posted by GhostKei
,

티스토리툴바