태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

보안관련소식2011.01.17 08:50


뉴욕타임스가 15일 보도했네요.

http://m.chosun.com/article.html?contid=2011011700132

http://www.nytimes.com/2011/01/16/world/middleeast/16stuxnet.html?_r=1&hp

이스라엘과 미국에서 이런 악성파일을 국가적으로 제작하고 있고, 특히 Zero-Day 취약점과 정식 디지털 서명 등을 사용했다는 점에서 공식적인 입장 표명을 해야 할 부분이 아닐까 싶네요.

사용자 삽입 이미지



Posted by viruslab
보안관련소식2010.08.10 10:02


그동안 허위 디지털 서명을 가지고 있는 악성코드는 매우 다양하게 존재하였지만 Stuxnet 악성파일은 실제 디지털 서명을 가진 악성코드로 논란이 되고 있지요.

Anti-Virus 업체들은 정식 디지털 서명이 있는 파일은 악성코드가 아닐 것이다라는 것을 하나의 평판(reputation) 시스템에 적용하기도 하였지만, 앞으로는 많은 생각을 해야 할 부분이 아니겠나 싶습니다.


Malicious software using valid digital signatures is something that our Jarno Niemelä recently predicted in his Caro 2010 Workshop presentation: It's Signed, therefore it's Clean, right?
 
Stuxnet 악성코드는 Lnk 취약점을 통해서 유포되었던 대표적인 악성코드의 이름입니다.

악성코드의 디지털 서명은 다음과 같습니다.

Realtek Semiconductor Corp 이름의 서명자를 가지고 있는 악성코드입니다.

http://www.virustotal.com/analisis/0d8c2bcb575378f6a88d17b5f6ce70e794a264cdc8556c8e812f0b5f9c709198-1281038695
사용자 삽입 이미지

사용자 삽입 이미지

사용자 삽입 이미지

다음으로 JMicron Technology Corp 서명자를 가지고 있는 악성코드 입니다.

JMicro 인증서는 악성코드에 의해서 악용되는게 알려지면서 현재는 인증기관에 의해서 인증서가 해지된 것으로 보여집니다.

http://www.virustotal.com/analisis/63e6b8136058d7a06dfff4034b4ab17a261cdf398e63868a601f77ddd1b32802-1280959026

사용자 삽입 이미지

사용자 삽입 이미지

사용자 삽입 이미지


악성코드가 이처럼 정식 디지털 서명을 악용하지 못하게 하기 위해선 관계자들은 전자서명 파일이 외부로 유출되지 않도록 관리를 잘 해야 겠지요?



Posted by viruslab
신종악성코드정보2010.07.18 12:37


마이크로 소프트사의 윈도우 운영체제에서 자동으로 악성코드에 감염되도록 유도를 하기 위한 LNK(바로가기, 단축아이콘, ShortCut) 취약점이 발견되었으며, 실제 악성코드에 적용되어 유포 중에 있습니다.

http://www.microsoft.com/technet/security/advisory/2286198.mspx


http://www.symantec.com/security_response/writeup.jsp?docid=2010-071400-3123-99&tabid=2

http://www.sophos.com/security/analyses/viruses-and-spyware/trojstuxneta.html

http://www.avira.de/en/threats/section/fulldetails/id_vir/5318/rkit_stuxnet.a.html

http://www.securelist.com/en/blog/269/Myrtus_and_Guava_Episode_1

http://hauri.co.kr/customer/security/alert_view.html?intSeq=56&page=1

□ 임시 대응방안

- 취약점 공격에 사용될 수 있는 레지스트리 키 값을 공백으로 변경하거나, WebClient 서비스를 정지함.

 

1. 레지스트리 편집기를 이용한 방법

- 시작-> 실행에 regedit를 입력하여 레지스트리 편집기를 실행함

- 레지스트리 편집기를 열어 다음의 레지스트리 키 경로로 이동

HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler

- 레지스트리 편집기에서 파일->내보내기 선택

- 파일 이름을 LNK_Icon_Backup.reg로 지정하고 레지스트리 키 백업

- 해당 레지스트리 레지스트리 키 데이터 값을 제거하여 공백으로 설정

- 인터넷 익스플로러 또는 윈도우 재시작

 

2. WebClient 서비스를 정지하는 방법

- 시작-> 실행에 Services.msc 를 입력하여 서비스 관리 프로그램 실행

- WebClient 서비스를 선택하고 마우스 오른쪽 버튼을 눌러 속성 메뉴를 선택

- 일반 탭에서 WebClient 시작 유형을 "자동"에서 "사용안함"으로 변경

  (서비스가 동작 중일 경우 "중지" 버튼 클릭으로 서비스 중지)

- 서비스 관리 프로그램 종료


출처 : 하우리



사용자 삽입 이미지

주요 공격 타겟은 USB 드라이브와 같은 이동식 저장 매체가 될 것으로 보여집니다.

현재 변종 악성코드가 지속적으로 발견되고 있사오니, Anti-Virus 제품을 항상 최신 버전으로 업데이트하시는 것이 필요할 듯 싶습니다.

다수의 보안 제품이 최근 발견되고 있는 악성코드를 다음과 같이 진단하고 있습니다.

http://www.virustotal.com/analisis/728efa79d178f6873893a00ff3e935f600ed396f7567f24f6d3f6f982dd97445-1279405320

Antivirus Version Last Update Result
a-squared 5.0.0.31 2010.07.17 Trojan-Dropper.Win32.Stuxnet!IK
AhnLab-V3 2010.07.17.00 2010.07.16 Win-Trojan/Stuxnet.517632
AntiVir 8.2.4.12 2010.07.16 -
Antiy-AVL 2.0.3.7 2010.07.15 -
Authentium 5.2.0.5 2010.07.17 -
Avast 4.8.1351.0 2010.07.17 Win32:Malware-gen
Avast5 5.0.332.0 2010.07.17 Win32:Malware-gen
AVG 9.0.0.836 2010.07.17 Dropper.Generic2.YQQ
BitDefender 7.2 2010.07.18 Win32.Worm.Stuxnet.A
CAT-QuickHeal 11.00 2010.07.16 -
ClamAV 0.96.0.3-git 2010.07.17 Trojan.Stuxnet
Comodo 5460 2010.07.17 -
DrWeb 5.0.2.03300 2010.07.17 Trojan.Stuxnet.1
eSafe 7.0.17.0 2010.07.15 -
eTrust-Vet 36.1.7715 2010.07.16 Win32/Stuxnet.A
F-Prot 4.6.1.107 2010.07.17 -
F-Secure 9.0.15370.0 2010.07.17 Trojan-Dropper:W32/Stuxnet.A
Fortinet 4.1.143.0 2010.07.17 -
GData 21 2010.07.17 Win32.Worm.Stuxnet.A
Ikarus T3.1.1.84.0 2010.07.17 Trojan-Dropper.Win32.Stuxnet
Jiangmin 13.0.900 2010.07.17 TrojanDropper.Stuxnet.a
Kaspersky 7.0.0.125 2010.07.17 Trojan-Dropper.Win32.Stuxnet.a
McAfee 5.400.0.1158 2010.07.17 Stuxnet
McAfee-GW-Edition 2010.1 2010.07.16 -
Microsoft 1.6004 2010.07.17 TrojanDropper:Win32/Stuxnet.A
NOD32 5287 2010.07.17 a variant of Win32/Stuxnet.A
Norman 6.05.11 2010.07.17 W32/Stuxnet.A
nProtect 2010-07-17.02 2010.07.17 Win32.Worm.Stuxnet.A
Panda 10.0.2.7 2010.07.17 Rootkit/Inject.IW
PCTools 7.0.3.5 2010.07.17 Malware.Temphid
Prevx 3.0 2010.07.18 -
Rising 22.56.04.04 2010.07.16 -
Sophos 4.55.0 2010.07.17 Troj/Stuxnet-A
Sunbelt 6598 2010.07.17 -
SUPERAntiSpyware 4.40.0.1006 2010.07.17 Trojan.Agent/Gen-NumTemp
Symantec 20101.1.1.7 2010.07.17 W32.Temphid
TheHacker 6.5.2.1.318 2010.07.16 -
TrendMicro 9.120.0.1004 2010.07.17 WORM_STUXNET.SM
TrendMicro-HouseCall 9.120.0.1004 2010.07.18 WORM_STUXNET.SM
VBA32 3.12.12.6 2010.07.16 Trojan-Spy.0485
ViRobot 2010.7.12.3932 2010.07.17 -
VirusBuster 5.0.27.0 2010.07.17 -
Additional information
File size: 517632 bytes
MD5   : a0737a3d621409ebfb48ae07c51995a8




Posted by viruslab