태터데스크 관리자

적용하기   첫페이지 만들기

태터데스크 메시지


Targeted attacks (watering hole) against S.Korea national security institutes are emerged in 16 May.


We worried about wrong information at this article: http://threatpost.com/ie-8-zero-day-pops-up-in-targeted-attacks-against-korean-military-sites/


A word 'Watering hole' means the infection attempts on the sites where the visitors are specific. In other words, the attacks lead to infect not normal peoples, but peoples are in specific stratum. In Korea, attacks against the game users are already detected since 2005. And the attack called 'Drive-by Download' that allows people infected just by visiting is widely issued globally. More broad and anonymous attacks are detected in Korea every week.

16 May 2013, the day before the national holiday, the attacks targeted against national security institutes are emerged and more several issues are detected. This attack can be defined as a watering hole because normal users are rarely visiting the national security institute's web sites.

Until these days, at least four national security institutes are detected as victims and more victims may exist. But four victims are founded based on the PCDS(Pre Crime Detect Satellite) until now and attacks are covertly and persistently made up.

There are two types of malicious links injected by the alteration of the compromised web site's source codes. The one uses the shorten URL that redirect to the same malicious link. Usage of shorten URL for the malicious purpose is pointed out because of the security problems, but it is pregnant that shorten URL for the malicious link is used in PC environment, not mobile area for the malicious application installation, because it is used for avoid the detection.

The victims are KIMA(Korea Institute for Military Affairs), KINSA(Korea Institute for National Security Affairs), KRIS(Korea Research Institute for Strategy) and KIMS(Korea Institute for Maritime Strategy). These are specific purpose institutes that normal peoples are rarely visited.

The attackers have the privileges to change the web site's source codes and inject malicious link for drive-by downloads. There attacks have purpose of malware infection for targeted victims, not just change the web site's front page.

There are two Oracle Java vulnerabilities CVE-2013-1493 and CVE-2013-2423 are used to attack. Details of vulnerabilities are founded in http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1493 and http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2423.)

The malicious link used is already detected from PCDS in April, but the link is registered as an abnormal link because there are no exploit codes at that time. But the exploit codes are added and it may have more unrevealed attacks prior to 16 May.

The first detected malicious link in April is 'www.sunshop.com.tw/images/header.js'. This link is founded some of the four national security institutes issued now. The attackers remain that the malicious link have no exploit codes and they inject exploit codes to header.js file in 16 May to attack. More attacks are expected prior to April because PCDS already detected. The binary that executed after exploit is estimated as a backdoor.

Some parts of exploit codes used for Oracle Java vulnerability is as follows.

<html><head></head><body><applet archive="OS7aOmC5UPE2iQDJ.jar" code="Init.class" width="1" height="1"></applet><applet archive="0DUIOMCiPZUXfBvE.jar" code="Xxploit.class" width="1" height="1"></applet></body></html>


At least four national security institutes and the malicious link which related to Taiwan is blocked and additional actions are made up.

Form this case, the targeted attack not only e-mail attached attacks targeted major agencies, but also targeted specific visitors like watering hole is on the rise seriously. The problem is more complicated because there are rarely had the protection systems compared to e-mail attacks.

Also this type of attack is advanced that they add exploit codes when decided to attack and they use shorten URL to avoid detection.

The persistent attacks targeted major agency and corporations are covertly on going. Moreover follow attacks after 20 March incident raise the concerns about reaction plans.

The scalable infection mechanisms are started from the injection of malicious link to the compromised web site. If we can't block the entrance path of compromised web sites, the same incidents are going on and on. Also the information which leaks contains professional ones because the attack is targeted.

The attacks through the injection of malicious link to compromised web sites are widely used and it is difficult to detect that the shorten URL is malicious or not. Most people have no idea that they can be infected just by visiting compromised web sites.

The malicious link that redirected from the normal web site uses several application vulnerabilities of victim environment to download and execute automatically. And it is hard to react because the malware executed is made to avoid major anti-virus protections.

The attacks are valid to every people who visit the compromised web sites and they can be infected if they have just one of vulnerabilities. The additional losses are expected because attacks have all privileges after infection.

From the aspects of reaction, they have to solve this problem through the cooperation of the professional agency or corporation if they can't find the solution themselves. If the fundamental causes are not fixed, continuous malicious distribution and information leakage have to be considered.


Posted by 바다란

IE 8 노린 제로데이 공격, 국내서 발생

*기사제공된 원문입니다.



최근 해외에서는 국가 및 공공 기관을 전문적으로 노리는 워터링 홀 공격(표적 공격)이 자주 발생하고 있다. 더욱이 이 공격에서는 제로데이 취약점(보안 취약점이 해결되지 않은 상태에서 공격 코드가 사용되어 실제적인 대응이 불가능한 취약점)을 활용하는 사례가 증가하고 있으며, 대표적인 예가 노동부(Department of Labor)이다.


지난 5월 3일, Internet Explorer 8 버전에서만 동작하는 새로운 제로데이 취약점(CVE-2013-1347)을 활용한 공격이 미 노동부 웹사이트에서 발견되었으며, 이후 추가적으로 8개의 다른 웹사이트에서도 동일한 공격이 있었다는 뉴스를 통해 전방위적인 공격이 있었음을 알 수 있었다. 실제 관련된 보안 패치가 발표된 시점이 5월 15일이었기 때문에, 그 기간 사이에는 보안 업체 및 관련 기관에서 이에 대해 효과적으로 대응할 수 있는 방법이 거의 전무한 상황이었다. 다만, 이러한 사례는 국내가 아닌 해외 사례이기 때문에 국내에는 그리 큰 영행을 미치지 않은 상황이었다.


황금연휴이던 5월 18일 새벽에 YTN 웹사이트에서 IE 8 제로데이(CVE-2013-1347)을 활용하는 드라이브바이다운로드 공격이 진행되었으며, 추가적인 분석을 통해 국내에서 최초로 발생하였음을 공식적으로 확인되었다.


[사진 1. YTN 웹사이트에서 발견된 IE 8 제로데이 공격 링크]


참고로, 드라이브바이다운로드(Drive-by-download) 공격은 사용자가 파일을 다운로드하거나, Active-X 컨트롤을 실행하는 과정 없이, 웹사이트 방문만으로도 악성코드에 감염될 수 있는 공격자로서는 효율이 꽤 좋은 웹 공격 방식이다.

[사진 2. CVE-2013-1347 취약점을 활용하는 실제 코드]


게다가, YTN 웹사이트에서만 발생한 것이 아니라 인벤, 한경닷컴 등 국내에서 사용자의 방문이 많은 사이트에서도 동일한 공격이 확인되었으며, 일부 사이트에 대한 공격은 5월 20일까지 지속적으로 발생했다.

인벤: www.inven.co.kr/common/*/*.js

한경: www.hankyung.com/news/*/*.html


제로데이 취약점을 활용한 공격을 해외와 국내로 나눠서 비교 분석하면 다음과 같다.


1. 대상: 해외에서는 특정한 사용자를 대상으로 하는 공격인 반면에, 국내에서는 방문자 수가 많은 일반적인 웹사이트를 대상으로 한 공격으로 목적이 전혀 다르다고 추정할 수 있다. 국내에서는 대부분 게임 사용자를 노린 공격이 다수를 차지하였다.


2. 출현 시기: 해외에서는 제로데이 취약점과 관련된 보안패치가 나오기 훨씬 이 전에 발생하였다. 앞에서 언급한 바와 같이 특정한 사용자를 대상으로 한 공격으로 꽤 높은 공격성공율을 보였을 가능성이 높다. 국내에서는 보안 패치가 발표된 이후에 공격이 출현하였기 때문에 공격 성공률은 높지 않았을 가능성이 많지만, 오히려 방문자 수가 상대적으로 많기 때문에 실제적인 공격이 성공한 사례를 훨씬 많았을 것으로 추정된다.


다행이도 5월 15일에 발표된 MS 월간 보안 업데이트에서 이 제로데이 취약점에 대한 보안 패치가 발표된 이후이기 때문에 보안 패치를 한 사용자들은 별 문제가 없었을 수도 있다. 하지만, 실제적으로 보안 패치를 충실히 하지 않은 경우, PC 방과 같이 이미지 복구 방식을 통해 사용하는 PC 등에서는 여전히 보안 취약점이 남아 있을 가능성이 높으므로, Windows Update 등을 이용하여 최신 보안 업데이트를 적용해야 한다.


최근에 제로데이 공격은 지난해 말 IE 제로데이(CVE-2012-4792), 올해 초 JAVA 제로데이(CVE-2013-0422), 그리고 지난 5월 18일 IE 제로데이(CVE-2013-1347)까지 모두 3번 발생했다. 대부분의 제로데이 공격은 패치가 없는 경우가 많으며, 실제 다운로드되어 감염되는 악성코드 또한 기존 보안 솔루션인 백신(안티바이러스)에서 진단되지 않도록 우회하는 경우가 대부분으로, 실제 이러한 문제점을 해결하기 위해서는 공격이 처음 유포되는 웹사이트에 대한 모니터링 강화, 그리고 발생시 빠른 대응이 필수적이라고 할 수 있다.


참고로, 당사가 탐지 및 분석한 악성코드 유포지 DB를 활용하는 큐브디펜스 장비의 경우 탐지 직후 20분 이내에 차단할 수 있도록 동작하며, 로그를 분석한 결과 동일한 공격 확인 및 차단 여부를 확인할 수 있었다.



MS 자료: MS13-038 (http://technet.microsoft.com/ko-kr/security/advisory/2847140)

PASTEBIN 자료: http://pastebin.com/ceDiip55


Posted by 바다란

IE 제로데이 공격 ( CVE 2012-4792, IE 6,7,8 대상) 국내 인터넷 대상 공격 발견

  * 본 내용은 이미 언론에 노출된 내용이나, 금주차에도 관련 공격이 계속 되고 있어서 주의 환기 차원에서 언론사 제공 원문을 공개합니다.

IE 브라우저 6,7,8 모든 버전에 영향을 미치는 공격이 국내에도 직접 발생한 정황이 빛스캔㈜의 PCDS를 통해 탐지되었다. 해당 취약성은 CVE 2012-4792로 취약성 번호가 명명 되었으며 해외에서는 타켓화된 공격에 이용된 정황이 연말에 발견된 바가 있다. 해당 취약성은 원격코드 실행 취약성이며 IE 브라우저에서 사용되는 CDwnBindInfo 오브젝트가 사용된 이후 FollowHyperlink2 메소드에 의해 해제될 때 발생되는 취약성이다. 또한 해당 취약성은 주로 중국/대만/ 미국을 대상으로 하여 공격이 발생 되고 있다고 보고 되고 있지만 국내 사례는 Fireeye 발표시점에 발견된 최초의 사례가 존재한다.


본 취약성은 최초 웹사이트를 통해 직접 감염이 가능한 형태로 해외에서 보고가 되었으며 미국 외교자문위원회 홈페이지를 해킹하여 모든 방문자들에게 IE 취약성 공격이 발생된 사례가 12.27일 Fireeye 사의 블로그를 통해 공개된 바가 있다. 국내에서 발견된 사례는 12.26일 발견된 사례이며, 대규모 공격에 활용되지는 않았으나 화상회의 솔루션 제공 업체의 홈페이지에 IE 제로데이 취약성을 이용하는 악성링크가 추가되어 모든 방문자들에게 감염 시도를 한 정황이 최초 발견이 된 상황이다. 현재는 해당 취약성에 대해 전문분석이 진행 중이며 빠른 시일 내에 빛스캔의 정보제공 서비스 구독 고객사에 전달될 것이며 Exploit-db 게재도 진행될 예정이다.



국제적인 사이버전 및 정보 유출에나 사용될 것으로 예상되는 제로데이 공격들은 현재 한국 인터넷을 대상으로 하여 계속 발생되고 있는 상황이다. 해외에서 최초 발견된 공격은 중요 인사들이 회원으로 가입해 있는 미국 외교자문 위원회 홈페이지를 대상으로 하여 발생 되었지만 국내에서는 그 보다 비중이 낮다고 할 수 있는 화상 회의 솔루션 제공 업체에서만 발견이 되었는데, 화상회의 솔루션을 운영중인 기업과 기관이 국내 굴지의 대기업들과 경제 관련 단체, 기관들이 이용하고 있어서 정보 유출의 목적으로 사용되었을 정황이 높은 것으로 판단 되고 있다.


IE 제로데이 취약성은 현재 Metasploit에 POC 코드가 공개 되어 있으며 국내를 대상으로한 공격에는 아직 대규모 공격으로 전이된 정황은 포착 되지 않았다. 해당 제로데이 취약성만을 이용한 공격이 발견 된 상황이며, 곧 국내를 대상으로한 공격킷에 포함되어 적극적으로 활용 될 것으로 예상된다.

<IE 제로데이 공격코드 연결 구조- 국내발견 링크>


<26일부터 발견된 IE 제로데이 난독화된 공격 코드 (국내 발견)>


<26일 발견된 공격 코드 Decode 결과>

국내 발견된 사례를 통해 공격코드를 Decode 해보면 Metasploit의 PoC 코드와 유사한 형태를 띄는 것을 확인 할 수 있다.


빠른 대응이 필요한 시점이며, 현재 2013.1.1일 MS에서는 긴급하게 해당 취약성 공격을 발생 되지 않게 하는 Fix-it을 발표하였다. 그러나 정식적인 패치가 아니므로 앞으로도 정식 업데이트가 이뤄지기 이전에는 심각성은 매우 높은 상황이라 할 수 있다. Fix-it은 직접 방문하여 설치하여야 함으로 당연히 설치 비율은 매우 낮을 것으로 예상된다.


국내 주요 전자상거래 환경은 IE 6,7,8 버전이 주 대상으로 되어 있어서 현재 시점에서 피해를 예방하기 위해서는 IE 9 이상의 버전으로 업데이트가 강력하게 요구된다. IE 9 이상의 업데이트 이외에 반드시 하위 버전을 사용해야 할 기업이나 기관의 경우는 MS에서 발표된 Fix-it을 긴급하게 적용할 것을 권고한다.


2012년 6월에도 MS XML Core Service의 취약성을 이용한 제로데이가 국내에서 대규모로 활용된 사례가 있으며 CVE 2012-1889 취약성은 7월초 MS의 Fix-it이 발표 되었으나 정식 해결책이 아닌 임시방안이라 공격은 계속된 사례가 있다. 7월의 MS 정기패치가 발표된 이후 지금까지도 XML 취약성을 이용한 공격은 계속되고 있어서 본 IE 제로데이 취약성의 경우도 대규모로 활용될 가능성이 상당히 높은 상태라 할 수 있다.

<CVE 2012-1889 MS XML 취약성 대응 타임라인>


*국내 사례인 화상회의 솔루션 업체의 홈페이지의 악성링크는 여전히 live한 상태이며 빠른 시일 내에 대규모 공격에 이용될 것으로 판단되어 긴급 대응이 요구된다. 빛스캔의 탐지 DB를 이용한 차단 장비 (TriCubeLab)를 이용한 경우 국내의 제로데이 공격 악성링크는 즉시 차단된 상태를 유지하고 있다. 또한 국내 업체에서 개발한 화상회의 솔루션을 사용하는 기업 및 기관은 IE 브라우저 사용 및 솔루션내의 해당 회사 링크가 있을 경우 감염 위험이 극도로 높으므로 대응을 권고한다. 현재 화상회의 솔루션은 국내 수출 관련 대기업과 기관이 다수 사용하고 있는 상태이다. 화상회의 솔루션 제공 업체에 대한 문의는 info@bitscan.co.kr로 문의 시에 제한적으로 제공한다.


관련 내용:

파이어아이측에서 발표한 외교자문위원회 홈페이지 해킹을 통한 제로데이 공격 발생



exploit-db에 공개된 Metasploit IE 제로데이 PoC 코드



IE CVE-2012-4792 긴급 대응을 위한 MS Fix-it




현재 빛스캔은 국내 120만개의 웹서비스와 해외 10만 여 개의 웹서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 특히 전세계적으로 공격이 매우 극심한 국내의 상황에서 특화된 기술과 역량을 통해 집중적인 노력을 기울이고 있으며 매주 수요일 한주간의 한국 인터넷 위협현황에 대해 카이스트와 공동으로 정보를 제공 하고 있다.

문의는 info@bitscan.co.kr로 하면 된다.

Posted by 바다란