Bitdefender

Test the Bitdefender products

이동

Ransomware는 어떻게 작동하는가? Ransomware에 대한 이해 - 2부

2015-05-28
Ransomware가 무엇인지에 대해 알아봤으니 이제는 그것이 어떻게 퍼지고 컴퓨터를 감염시키게 되는지 보도록 하겠습니다.

Ransomware는 어떻게 작동하는가? Ransomware에 대한 이해 - 2부

2015-05-28

어떻게 시스템 안으로 들어가는가?

일반적인 침투 방법은 아래와 같습니다.

·         스팸, 사회공학적 방법

·         직접적인drive-by-download 또는 악성 광고(배너 등)

·         멀웨어 설치 도구, botnets

몇 년 전에 처음 ransomware라는 것이 나타났을 때는 사용자들이 멀웨어가 포함된 이메일 첨부를 열거나, 속임수 이메일이나 팝업 창을 통해 감염된 사이트로 이동하면서 컴퓨터들이 대부분 감염됐었습니다. 최근 변종들의 payload는 이미지 형태를 띄고 이동식 USB 드라이브나 야후 메신저 등을 통해 퍼져나가는 것이 목격되었습니다.





CTB Locker ransomware는 공격적인 스팸 활동을 통해 피해자들을 양산하면서 언론에 자주 등장하고 있습니다. 이메일은 첨부에 .zip 아카이브를 동반한 팩스 메시지 형태를 하고 있습니다. 그리고, 첨부의 zip 파일 안에 있는 실행 파일에 접근하게 되면 시스템 안에 있는 데이터가 암호화되고 피해자는 해독키를 받으려면 돈을 내라는 요청을 받게 됩니다.

하지만 최근의 변종들은 사람의 행위가 없어도 전파하도록 재설계될 수 있습니다. 최근 소위 “drive-by” ransomware가 개입된 수많은 사건들을 보게 되었는데 drive-by 다운로드 공격은 감염된 사이트나 악성 광고를 통해 시작해 보통은 Flash Player, Java, Adobe Reader 또는 Silverlight같은 브라우저 플러그인의 취약점을 파고 듭니다. 이런 공격에 사용되는 도구들은 권한 상승을 받을 수 있는 기능들이 있는데 이러한 권한 상승을 통해 공격자들은 권한이 제한적인 피해자의 사용자 계정을 사용하는 대신 어드민이나 시스템 수준의 권한을 가지고 멀웨어 프로그램을 실행하게 되는 겁니다.

수법

각각의 ransomware 변종들은 서로 다르게 작동하도록 설계될 수 있습니다. 하지만, 전통적인 안티바이러스 탐지를 피하기 위해 공통적으로 복잡한 난독화, 은밀한 설치 기재를 공통적으로 가지고 있습니다. 이것이 의미하는 바는 멀웨어는 숨어 있기를 바라며 그렇기 때문에 모호한 파일이름, 속성 변조, 합법적 프로그램이나 서비스를 핑계삼아 동작하는 등 탐지와 분석을 회피하는 기술을 사용한다는 겁니다. 멀웨어는 코드 난독화 같은 분석 방어 기법을 통해 데이터를 해독하기 불가능하게 제작되어 리버스 엔지니어링을 하기가 무척 어렵게 되어 있습니다.





Ransomware의 통신 프로토콜이 평이한 텍스트(HTTP)에서 Tor HTTPS로 발전하면서 C&C 서버로의 호출을 암호화하기 때문에 네트워크 트래픽 모니터링을 통해서는 추적하기가 불가능해졌다는 것도 덧붙여 언급해야 할 필요가 있습니다. 파일 암호화는 짧은 키나 하드코드 키를 사용하는 대신 강력한 비대칭 암호기술을 발휘하는 crypto-library를 사용하도록 새로워 졌습니다. Cryptolocker Cryptowall 같은 이전의 샘플들은, 예를 들면, 서버를 먼저 접속하고 그 다음에 암호화를 진행했었습니다.

Ransomware가 어떻게 동작하는지 더 자세히 알기 위해 Cryptolocker를 들여다보도록 하겠습니다. Cryptolocker ransomwareZbot 변종(악성 행위를 실행하도록 사용되는 트로이잔)에 의해 설치됩니다. 설치 후에는 랜덤 이름으로 Startup에 들어가 command and control 서버와 교신을 시도합니다. 그것이 성공하면, 서버는 공용키와 거기에 상응하는 비트코인 주소를 보내줍니다. 비대칭암호화(공용키는 암호화를 하고 개인키는 해독을 함)를 이용하여 Cryptolocker는 피해자 컴퓨터에 존재하는 70여 종 이상의 파일을 암호화하기 시작합니다.





여기에 암호화가 어떻게 진행되는지 간단히 보여드리겠습니다:





그렇지만, 사용자의 홈 화면에는, 보통 사용자에게 맞춤 형태로, 수많은 메시지와 지시사항들이 보여지게 됩니다.





감염 피해자들은 자신들의 서버에 보관된 개인키를 받기 위해서 돈을 내야 하는데 그 키 없이는 해독이 불가능합니다. 몸값이 지불되면 해독이 시작되고 지불 확인 화면이 나타납니다. 해독이 끝나면 Cryptolocker은 삭제됩니다.

주의: 해커의 말을 믿지 마십시오. 돈을 낸다고 파일이 복구된다는 보장은 없습니다.

피해자들은 누구인가?

Ransomware가 가정용 컴퓨터만을 타겟팅하여 노리지는 않습니다. 기업, 금융단체, 정부기관, 교육기관과 여타 단체들이 ransomware에 감염된 사례가 많이 있습니다. 이런 일들은 민감한 단체 소유의 정보들을 파괴하고, 일상 업무를 어렵게 만들며 재정적 손실도 물론 일으킵니다. 단체나 기관의 명성에도 치명적일뿐 아니라, 해커들은 정해진 목표의 파일, 데이터베이스, CAD 파일, 금융 정보 까지도 노립니다. Cryptolocker는 예를 들면, .doc, .img, .av, .src, .cad 등을 포함한 70여 가지 이상의 확장명을 목표로 사용되었습니다. .

비트디펜더의 수석 보안전략관인 카탈린 코소이에 따르면, “성능이 엄청나게 향상되고 있으며 피해자들로부터 돈을 뜯어내는 데 전례없는 성공을 거두고 있는 ransomware는 사용자와 안티멀웨어 벤더 모두에게 심각한 위협이라고 합니다.

계속해서 3부에서는 랜섬웨어 예방법에 대해 알아보도록 하겠습니다.


Close
read more

돈? 데이터? Ransomware에 대한 이해 - 1부

2015-05-18
최근 랜섬웨어에 대한 피해 사례와 문의가 많아 게시판 1면에 다시 공지 드립니다.

돈? 데이터? Ransomware에 대한 이해 - 1부

2015-05-18

최근 랜섬웨어에 대한 피해 사례와 문의가 많아 게시판 1면에 다시 공지 드립니다.

그리 오래된 이야기도 아닙니다. 몸값으로 수천 달러를 내지 않으면 감옥에 보내겠다는 협박성 문자를 컴퓨터 바이러스에 의해 받은 남자가 자살을 하는 일이 생겼습니다. 
2014년의 일입니다. 믿기지 않은 이야기처럼 보이지만 그 일은 컴퓨터 바이러스가 사람을 죽이는 첫 번째 사건으로 기록되었습니다.  

그 다음 세대들은 전세계에서 수십만 사용자들의 데이터를 볼모로 잡아 Cryptolocker를 이용해 현금을 긁어 모으고 있습니다. 그리 오래되지도 않아 금새 멀웨어가 CTB(Curve-Tor-Bitcoin) Locker로 다시 돌아왔습니다.


이런 멀웨어들은 여전히 증가하고 있으며, PC뿐만아니라, 스마트폰과 테블릿이 중요한 개인정보 및 회사의 중요한 문서들을 저장하는 경우가 더욱 많아지면서 새로운 복잡한 단계에 이르게 됐습니다.

안티멀웨어 솔루션 개발회사인 비트디펜더는 이 문제에 주목하여 이런 종류의 바이러스가 어떻게 동작하는지를 보여주고 사용자들의 컴퓨터 및 모바일 디바이스가 잠겨서 돈을 빼앗기는 일을 예방할 수 있는 방법을 알려드리고자 합니다.

ransomware란 무엇인가
                                     

Ransomware란 시스템을 감염시킨 다음, 사용자가 돈을 준 후, 데이터에 접근할 수 있게 될 때까지 시스템을 잠궈 놓는 멀웨어의 일종입니다. 서버측의 다형성과 산업용 수준의 배포 기반시설과 함께  멀웨어는 네트워크 시스템의 취약점인 악성 다운로드 파일 또는 심지어 텍스트 메시지를 통해서 시스템 안으로 들어갈 수 있습니다. Ramsomware가 어떻게 사용자의 컴퓨터를 감염시키는지에 대한 좀 더 자세한 글들을 계속 읽어보도록 하십시오.





전통적인 멀웨어와 왜 다른가?

·         피해자의 정보를 훔쳐내는 것이 아니라 암호화 해버립니다.

·         몸값을 요구합니다. 보통은 비트코인으로 요구합니다.

·         만들기가 상대적으로 쉽습니다-정리가 잘 된 crypto-library가 많이 있으며, 거래도 쉽습니다.

 

ransomware의 종류

디바이스를 잠금하는 종류

이런 종류의 ransomware는 기기의 화면을 잠궈 놓거나 기기 접근을 방해할 목적으로 전체화면을 전면에 띄어 놓기도 합니다. 돈을 요구하는 메시지가 오지만 개인적인 파일들을 아직 암호화해 놓지는 않습니다.





파일에 암호를 걸어두는 종류

파일에 암호를 걸어두는 악명 높은 ransomware 종류로는 Cryptowall, Critroni, TorLocker 등이 있습니다.

Cryptolocker같은 파일에 암호를 걸어두는 것들은 문서, 엑셀파일, 사진, 동영상과 같은 개인적인 파일들에 암호를 걸어두는데 이것들은 일단 컴퓨터에 잠입한 후에는 command-and-control center 접속 후 복잡한 암호화 알고리즘을 사용하여 각각의 컴퓨터 파일들에 암호화 키를 생성합니다. 그러면 이제 컴퓨터의 데이터를 사용할 수 없게 되는 겁니다.

그 다음 멀웨어는 메시지를 보내는데 주로 사법 집행기관에서 보내는 것처럼 하여 언급한 날짜까지 돈을 내고(비트코인이나 선불 현금 상품권으로 결제를 요구함) 암호를 풀지 않으면 벌을 받거나 감옥에 간다고 피해자들을 협박하곤 합니다. 사이버 범죄자들은 사용자의 컴퓨터 IP정보를 도용하여 피해자에게 맞춤 화면 잠금 메시지를 보냅니다. 기한 내에 입금을 하지 않으면 개인 해독키를 삭제하겠다는 협박을 하기도 합니다.





일부 사이버 범죄 집단은 TOR를 통해 통신을 익명으로 진행함으로써 새로운 차원으로 변화시키고 있습니다. TorLocker는 지하 포럼에서 제휴 프로그램으로 판매하는 상업용 ransomware toolkit입니다. Tor 기반의 통신은 이 작업을 중단시키는 것이 거의 불가능하지만, 재생가능한 빌트인 키를 이용하면 피해자의 PC가 온라인이 아니더라도TorLocker을 이용해 파일을 암호화 할 수 있습니다.





비트디펜더의 E-threat 수석 분석관인 보그단 보테자투에 따르면, “상황이 더욱 나빠지고 있으며, 이런 종류의 감염들이 더 많이 발견된다고 합니다. “일단 피해자가 되고 나면, 돈을 내지 않고 데이터를 되찾기란 불가능에 가깝습니다. 하지만, 돈을 낸다는 것은 이런 범죄를 부추기는 것이고 그런 연구, 개발에 자금을 대는 꼴이지요. 이런 범죄자들 중에는 돈을 받고도 데이터를 돌려주지 않아 돈도 데이터도 모두 잃게 반드는 자들도 있습니다.”

계속해서 랜섬웨어의 종류와 피해 예방에 대해 2부와 3부가 준비되어 있습니다~


Close
read more

FBI 포르노 경고 뒤에 숨어 있는 새로운 경향의 안드로이드 Ransomware

2015-06-02
수많은 안드로이드 사용자들...트디펜더에 따르면, 500$를 주면 스마트폰을 다시 풀어주는 무자비한 ransomware에 의해 자신들의 모바일 기기와 사적인 컨텐츠가 묶여버리는 위험에 처해 있습니다.

FBI 포르노 경고 뒤에 숨어 있는 새로운 경향의 안드로이드 Ransomware

2015-06-02

수많은 안드로이드 사용자들비트디펜더에 따르면, 500$를 주면 스마트폰을 다시 풀어주는 무자비한 ransomware에 의해 자신들의 모바일 기기와 사적인 컨텐츠가 묶여버리는 위험에 처해 있습니다.

며칠 사이에 악의적인 .apk 파일을 포함한 스팸메일이 안드로이드 사용자들에게 대량으로 발송되었습니다. 비트디펜더는 압축 파일을 포함하고 우크라이나에 있는 서버에서 발송된 15,000 개의 스팸 메일을 탐지해 냈습니다.






Adobe Flash Player update로 가장한 멀웨어가 순수한 비디오 플레이어인 것처럼 다운로드 후 설치되는데 사용자가 설치하려고 하면 가짜 메시지가 표시됩니다.





“OK” 버튼을 누르고 계속하면, 사용자는 FBI 경고 메시지를 보게 되고 다른 곳으로 나갈 수도 없게 됩니다. 스마트폰의 홈 스크린에는 포르노 사이트를 방문하여 사용자가 연방법을 위반했다는 FBI의 가짜 경고 메시지가 나타납니다. 이런 메시지를 좀 더 강압적으로 하기 위해 해커들이 소위 말하는 방문 이력 스크린샷을 더하기도 합니다.

피해자의 얼굴과 사는 곳까지 알고 있다고 하여 더욱 공포스럽게 만들기도 합니다.





스마트폰 기기를 복구하는데 필요한 해독키를 제공해 줄테니 대신 500$를 달라고 했는데 사용자가 기기를 개인적으로 풀려고하면 몸값이 그 세 배인 1,500$로 뜁니다. 돈을 지불하려면 사용자한테 Money Pak이나 PayPal My Cash transfers를 이용하라고 합니다.

비트디펜더는 Android.Trojan.SLocker.DZ라는 위협을 탐지했습니다. 새로운 변종들이 계속 만들어지지만 이것이 가장 널리 퍼져있는 안드로이드 ransomware 군입니다. 비트디펜더의 자체 측정 자료에 의하면, .edu, .com, .org 그리고 .net 도메인 서버에서 발송되는 스팸 메시지와 함께 포함된 수많은 변종들이 있는 것으로 보입니다.

안전한 사용을 위한 권고 사항

감염된 단말기에 파일을 암호화하지는 않지만, 불행하게도 ransomware에 감염이 되면 할 수 있는 것이 많지 않습니다. 스마트폰의 홈 버튼과 뒤로가기 기능이 작동하지 않으며 운영체제가 부팅을 할 때 멀웨어가 동작하기 때문에 기기를 껐다/켜기를 해도 별 도움이 되지 않습니다.

어떤 경우에는 안드로이드 사용자가 스마트폰을 다시 통제할 수 있게 되기도 합니다. 만약 감염된 스마트폰에 ADB(Android Data Bridge)가 사용가능으로 되어 있다면 프로그램 상으로 악성 프로그램을 삭제할 수도 있습니다.

그리고, 지원이 된다면, 스마트폰을 Safe Boot에서 시작하십시오. 이 옵션을 선택하면 안드로이드가 최소한의 설정만 로딩하게 되고 멀웨어가 동작하는 것을 막아주게 되고 그러는 사이에 그 멀웨어를 수동으로 삭제하면 됩니다.

그렇지만, 사전에 막는 것이 중요합니다. 아래는 사용자들에게 유용한 권고사항입니다:

·         신뢰할 수 없는 사이트로부터는 응용프로그램을 설치하지 마십시오. 안드로이드는 Play Store 밖에서는 응용프로그램을 다운받아 설치하지 못하도록 기본으로 설정돼 있지만 가끔은 이런 설정을 변경해야 할 경우( 3의 안드로이드 앱시장의 경우 등)가 생기기도 합니다만 가능하면, 이 기능은 기본으로 놔 두십시오.

·         클라우드 또는 외장 드라이브에 데이터를 주기적으로 백업하십시오.

·         안드로이드 기기에 맞는 안티-멀웨어 솔루션을 사용하시고 항상 업데이트 상태를 유지하며 검사를 진행하도록 하십시오.

·         좋은 인터넷 사용습관을 갖도록 하십시오; 의심이 가는 사이트나 링크, 그리고 불명확한 출처의 이메일 첨부는 피하십시오.

·         감염된 스팸 메일을 줄일 수 있는 스팸 필터를 사용하십시오.

This article is based on the technical information provided courtesy of Bitdefender Senior Antispam Researcher Adrian MIRON, Malware Researchers Alin BARBATEI and Vlad ILIE.






Close
read more

자주 사용되는 7가지의 Exploit 코드를 비트디펜더가 알려드립니다

2015-05-27
Heartbleed, Shellshock 그리고 Poodle로 인해 2014년에 전세계가 충격에 빠졌습니다 - 그것들이 끼친 광범위한 영향과 심각성으로 인해 수백만 명의 사람들이 안전에 대해 불안해 하게 되었는데요. 사이버공격이라는 것이 정말 마른 하늘에 날벼락과 같은 것일까요?

자주 사용되는 7가지의 Exploit 코드를 비트디펜더가 알려드립니다

2015-05-27

Heartbleed, Shellshock 그리고 Poodle로 인해 2014년에 전세계가 충격에 빠졌습니다 - 그것들이 끼친 광범위한 영향과 심각성으로 인해 수백만 명의 사람들이 안전에 대해 불안해 하게 되었는데요. 사이버공격이라는 것이 정말 마른 하늘에 날벼락과 같은 것일까요?

지난 몇 해는exploit kits의 등장으로 특징지어질 수 있습니다. 이 악성 툴은 보통 면역력이 약한 서버에 존재하면서 보통의 페이지처럼 서비스를 해 줍니다. 그러다가 사용자가 어느 페이지에 들르게 되면 사용자 브라우저가 감염되게 되고 특정한 형태의 웹 컨텐츠가 해킹 역할을 하게 되는 겁니다. 해킹 후에는 payload가 자동 실행되고 그 컴퓨터는 이제 천천히 감염되게 되는 것이죠.

그 다음부터 이 감염된 PC에 복제 botnet이 들러붙어서 금융 사기, DDoS 공격, 멀웨어 호스팅, 스팸 발송, 익명 접속 등의 기능을 주기적으로 하게 되거나 아니면 어떤 특정한 멀웨어(crypto-ransomware 또는 bitcoin miners)에 감염되거나 하게 됩니다.

비트디펜더가 지난 6개월 동안 수많은 컴퓨터들을 감염시켰던 가장 흔하게 사용되는 exploit 몇 개를 들여다 봤더니 굉장히 위험하고 위협적이라고 합니다.

대부분의 사용자들이 소프트웨어 업데이트를 잘 하지 않기 때문에 해커들은 업데이트가 돼 있지 않은 OS나 소프트웨어의 약점을 목표로 공격을 합니다. Exploit는 예상하듯이 이메일의 첨부 형태나 웹사이트, 기타 다른 사회공학적 방법 등을 가장하고 등장했다가 사용자에 의해 실행이 되는 순간 사이버 범죄자들이 시스템을 완전히 장악하도록 하거나 데이터를 훔쳐가거나 소프트웨어가 전혀 작동하지 않게 만들기도 합니다.

여전히 어떠한 소프트웨어일지라도 해커가 뚫지 못하는 것은 없다는 것이 엄연한 사실입니다. 최근, 2015 Pwn2Own 해킹 대회에서 보면, 윈도우와 어도비 플래쉬, 어도비 리더를 포함해 4 개의 주요 브라우저에서 중요한 버그가 21개나 발견되었습니다.

내부 조사에 따라, 지난 6개월 동안 가장 극심했던 유형의 취약점 7 를 소개합니다:

1.    
CVE-2013-2551

마이크로소프트 인터넷 익스플로러 6부터 10 버전에서 발견되는 Use-after-free 취약점으로 2013년 해킹대회에서 보여졌듯이 이 취약점은 해커가 특수 제작된 웹사이트를 통해 원격에서 임의로 코드를 실행하도록 해서 삭제된 오브젝트에 접속할 수 있도록 해줍니다. 해킹된 마이크로소프트 IE10은 윈도우 8 IE의 모든 보안 단계를 우회하여 브라우저를 망가뜨리지 않고도 코드를 실행할 수 있도록 해 줍니다.

시사하는 바: 사용자가 취약한 버전의 인터넷 익스플로러를 통해 감염된 웹페이지를 방문할 경우, 브라우저가 컨텐츠를 건드리게 됩니다. 브라우저가 악의적으로 변형됐기 때문에 컨텐츠는 브라우저의 서브-콤포넌트를 망가뜨리게 되고 payload(감염된 PC에 설치해야 되는 멀웨어) control하게 됩니다.

Kits가 포함된 것: Neutrino Exploit Kit, Fiesta Exploit Kit, Hitman Exploit Kit, Styx, Magnitude EK, Nuclear Pack, Sweet Orange EK, FlashPack and Angler.

2.     CVE-2014-6352

Microsoft Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold and R2, and Windows RT Gold and 8.1을 포함하여 광범위한 소프트웨어에 영향을 끼치는 취약점으로 2014 10월에 처음 모습을 드러냈습니다. 이 취약점은 원격으로 해커가 특수 제작된 OLE(Object Linking and Embedding) 오브젝트를 통해 임의 코드를 실행하도록 해 줍니다. OLE는 마이크로소프트에서 개발한 것으로 임베딩과 다큐먼트와 다른 오브젝트로의 링크를 하도록 해주는 기술입니다.

공격이 성공하려면 피해자가 악성 payload를 포함한 특수 제작된 PowerPoint 문서를 열어줘야 합니다. 파워포인트 문서가 열리는 순간 .ppt 문서가 사용자 권한으로 실행하게 되는 코드를 가동합니다. 그 다음에는 공격자가 또 다른 exploit을 연쇄적으로 하여 그 권한을 로컬 어드민 단계까지 높이게 됩니다.

이 취약점을 포함한 소비자 등급의 exploit pack은 존재하지 않습니다. 이 위협은 대부분 스팸 이메일을 통해 전파됩니다.

3.     CVE-2011-3544.R

Oracle Java SE JDK, JRE 7, 6 Update 27과 그 이전 버전의Java Runtime Environment 콤포넌트에 존재하는 불특정 취약점으로 신뢰할 수 없는 Java Web Start 응용프로그램과 Java applets이 원격으로 시스템을 감염시키게 됩니다.

Java Web Start는 사용자로 하여금 웹사이트에서 Java 응용프로그램을 다운로드하여 실행하게 하는데 Java 5.0 부터는 Java Runtime Environment (JRE)에 포함되어 있습니다.

작동 방법: 감염된 웹사이트는 악의적으로 변형된 Java applet을 로딩하게 되며 그 내부의 코드는 등급이 향상된 권한을 획득하여 샌드박스 밖에서 작동할 수 있게 됩니다.

exploit kits에 최근 포함된 것: Bleeding life, CK VIP, CritXpack.

4.     CVE-2014-0515.C

Windows, Linux 그리고 OS X Abode Flash Player 일부 버전에서 버퍼 오버플로우를 일으키며, 2014 4월에 보여졌듯이 불특정 벡터를 통해 해커가 임의의 코드를 원격에서 실행하게 합니다.

작동 방법: 브라우저가 감염된 사이트에 들어가게 되면 Adobe Player browser plugin이 파일을 실행시키게 됩니다. 내부의 ActionScript code가 악성 payload로 가도록 프로그램의 원래 진행과정을 변조하게 됩니다.

이 취약점이 포함된 익스플로우잇 키트: Angler Exploit Kit, Archie, Astrum Exploit Kit, Blackhole, Flash exploit kit, Hanjuan, Neutrino, Niteris, Nuclear Exploit Kit, Null Hole, Rig, Sweet Orange.

5.     CVE-2014-1776.A

마이크로소프트 Internet Explorer 6부터 11에서 발견되는 use-after-free 취약점으로 해커가 원격에서 임의 코드를 실행하게 하거나 CMarkup::IsConnectedToPrimaryMarkup function에 관련된 벡터를 통해 denial of service(메모리 영역 감염)를 일으킵니다.

사용자가 악성 페이지를 열게 되면 브라우저가Flash SWF file을 로딩하게 되는데 만들어지는 방법으로 인해 이 SWF file은 특정 영역을 덮어쓰는 방법으로 프로그램의 메모리를 조작합니다. SWF 파일을 렌더링하는 대신 Flash Player는 시스템을 감염시키는 악성 코드를 실행시키게 됩니다.

이것이 포함된 키트: Infinity / Redkit / Goon, Sednit, Angler.

6.     CVE-2010-0840.AU

Oracle Java SE, Java for BusinessJava Runtime Environment 콤포넌트에 존재하는 불특정 취약점으로 미확인 벡터를 통해 원격으로 해커가 confidentiality, integrity and availability에 영향을 미칠 수 있도록 합니다.

Nuclear Pack v 2.6, Dragon Pack, Hierarchy Exploit Kit, Blackhole에 포함되어 있음.

7.     CVE-2012-0158.A

Microsoft Office 2003 SP3, 2007 SP2/SP3, 2010 Gold/SP1; Office 2003 Web Components SP3; SQL Server 2000 SP4, 2005 SP4, 2008 SP2, SP3, R2; Visual FoxPro 8.0 SP1/9.0 SP2; Visual Basic 6.0 Runtime에 영향을 주는 것으로, “MSCOMCTL.OCX RCE Vulnerability”라는 이름으로 2012 4월에 등장했던 것처럼, 특수 제작된 웹사이트, 오피스 문서, .rtf 파일를 통해 해커가 원격으로 임의 코드를 실행하여 “system state” 감염을 유발할 수 있도록 합니다.

작동 방법: 이것은 다단계 공격으로 스팸 메시지의 첨부파일 형태로 도착하여 피해자가 악성 RTF 파일을 열게 하는 것부터 시작합니다. 문서를 여는 순간 특수하게 제작된 코드가Data Execution Protection subsystem을 우회하여 오브퍼스케이트 payload를 해독하여 메모리에 올리게 됩니다. 복합 코드가 그 다음에 payload가 존재하는 메모리 위치에서 실행하게 됩니다.

ransomware를 심어두기 위해 가장 많이 이용됩니다.

 

이것을 포함한 상업적인exploit kits는 아직 없는 상태임.




Close
read more