malwareL4B

[출처 : Symantec]
 
2010년 9월 15일(이하 GMT), RamzAfzar는 최근에 공개된 Adobe Reader에 영향을 주는 'CoolType.dll' TTF (TrueType Font) 취약성에 대한 서드 파티 바이너리 패치를 발표했다. Adobe가 해당 취약성을 인정했으며 2010년 9월 20일에 패치를 발표할 예정이기는 하지만, 현재 해당 취약성에 대한 아무런 공식 패치도 존재하지 않는다. 이 취약성에 대한 공개 공격 코드가 존재하며, 해당 취약성을 겨냥한 실제 네트워크상에서의 제한적인 공격이 보고되었다.
 
RamzAfzar는 이 패치 개발에 관련된 단계적인 설명을 제공한다. 이 바이너리 파일을 간략히 살펴본 결과, 해당 파일에 대한 두 가지의 수정이 이루어 졌음을 확인했다. 우선, jump를 사용해 설명된 바와 같이 해당 취약성을 발생시키는 'strcat()' 함수 호출을 회피하고 있다(그림 1을 확인한다):
 
이 jump는 관련 스택을 지정하고 'strncat()'을 호출하는 데이터 세그먼트의 위치로 이동시킨다. 이후에, 예전 'strcat()' 뒤의 원래 코드로 되돌아 간다(그림 2를 확인한다):
 
이 패치의 특성을 테스트하거나 원래 취약성에 대한 공격을 차단하는지에 대한 검증은 이루어지지 않았으나, 이러한 접근 법은 타당해 보이며 해당 바이너리는 예기치 않은 어떤 변경도 포함하고 있지 않다. 참고로, 수행된 테스트에서는 새로운 코드가 포함된 세그먼트가 실행 가능으로 설정되지 않았다; 이는, DEP로 보호되는 일부 시스템에서는 해당 패치가 정상적으로 동작하는 것을 막을 수 있을 것이다. 또한, Microsoft의 EMET 예방 도구도 해당 취약성을 겨냥한 공격에 대한 보호를 제공하는 것으로 보고되었다.
 
임시 해결방안으로 서드 파티 바이너리를 적용하는 것을 일반적으로 권하진 않지만, 관리자들은 해당 패치를 어느 정도 유용하게 사용할 수 있을 것이다. 이 패치에 대한 상세 정보 및 해당 바이너리에 대한 링크는 RamzAfzar 웹 사이트에서 확인할 수 있다:
 
[Unofficial] 0-Day Acrobat SING Table Vulnerability Patch
https://www.rafzar.com/node/22
 
Use EMET 2.0 to block Adobe Reader and Acrobat 0-day exploit
http://blogs.technet.com/b/srd/archive/2010/09/10/use-emet-2-0-to-block-the-adobe-0-day-exploit.aspx

[출처: Symantec]
 
Samba에 존재하는 원격 버퍼 오버플로우 취약성이 공개되었습니다. Samba 3.5.4 버전에 대해 해당 취약성에 대한 분석을 수행한 결과, 취약한 두 개의 주요 함수가 확인되었습니다. 이 함수들은 dom_sid_parse()와 sid_parse()며, 신뢰되지 않은 데이터에서 Windows Security ID (SID)를 파싱하도록 설계되었습니다.
 
sid_parse() 함수는 "sid->num_auths = CVAL(inbuf, 1);" 구문을 사용해 신뢰되지 않은 데이터에서 값을 읽어 온 후, 해당 값을 검사하지 않고 다음과 같은 for 루프의 제어 값으로 사용합니다:
 
for (i=0;i<sid->num_auths;i++)
sid->sub_auths[i] = IVAL(inbuf, 8+i*4);
 
CVAL 매크로는 버퍼에서 부호 없는 char를 읽은 후, 부호 있는 char "sid->num_auths"로 할당합니다. 이로 인해, 15만 저장하도록 의도된 버퍼에 총 127의 32비트 정수 값이 쓰여지게 할 수 있습니다. 이는, 취약한 버퍼의 근접 메모리를 손상시키는 데 이용될 수 있습니다. dom_sid_parse() 함수도 유사하게 취약합니다. SID를 포함한 데이터가 다수의 '-' 문자를 포함하도록 조작될 경우, num_sub_auths로 불리는 카운터가 증가할 수 있습니다:
 
num_sub_auths = 0;
for (i=0;sidstr[i];i++) {
if (sidstr[i] == '-') num_sub_auths++;
}
 
num_sub_auths가 sub_auths의 최대 값(15)보다 크지 않도록 하기 위한 아무런 경계 검사가 이루어지지 않기 때문에, 다음과 같은 for 루프가 메모리 손상을 발생시킬 수 있습니다:
 
for (i=0;i<num_sub_auths;i++) {
if (sidstr[0] != '-') {
return false;
}
sidstr++;
ret->sub_auths[i] = strtoul(sidstr, &p, 10);
if (p == sidstr) {
return false;
}
sidstr = p;
}
 
해당 취약성들을 이용하기 위한 어떤 공격 경로가 존재할지를 알아내기 위해 어느 정도의 시간을 투자한 후, 우선적으로는 해당 취약성은 SMB_COM_NT_TRANSACT (NT_TRANS) SMB 요청의 하위 명령 NT_TRANSACT_IOCTL을 통해 원격에서 이용할 수 있는 것으로 드러났습니다(이는, 정적 분석만을 통한 결과입니다). 하지만, 다수의 외부 보고서에 따르면, 이러한 메소드를 이용해 해당 취약성을 이용하는 것은 불가능하다고 합니다. 또 다른 공격 경로는 인증 정보를 필요로 하거나 악성 LDAP 서버를 사용해야 하는 것으로 보입니다. 이로 인해, 해당 취약성은 긴급한 위협으로 보이지는 않습니다. 하지만, 취약한 해당 함수에 대한 모든 경로에 대한 조사가 이루어진 것이 아니라는 것을 알아두어야 할 것입니다.
 
취약한 버전의 Samba를 실행 중인 사용자들은 가능한 빨리 벤더가 제공하는 패치를 적용할 것을 권장합니다. Samba 서버들에 대한 액세스가 제어되어야 할 것이며, 신뢰할 수 있는 사용자들에 대한 액세스만이 허용되어야 할 것입니다. 권한 분리 및 chroot jail과 같은 추가적인 종심 방어 기법의 사용도 해당 취약성과 같은 취약성에 대한 성공적인 공격으로 공격자가 입힐 수 있는 피해를 제한하는 데 도움이 될 수 있을 것입니다. 해당 취약성에 대한 추가적인 정보는 다음 참조들에서 확인할 수 있습니다.
 

Buffer Overrun Vulnerability
http://us1.samba.org/samba/security/CVE-2010-3069.html
 
Samba 3.5.5 Available for Download
http://us1.samba.org/samba/history/samba-3.5.5.html

얼마전 손가락 조직도에 대해서 알게 되었습니다.

와~ 라는 감탄사가 절로 나오더군요..

다들 캡쳐해서 퍼날랐던데 전 원저작자의 사이트로 링크를 걸겠습니다.

Handbook (1) 사장
Handbook (2) 임원
Handbook (3) 업무강도
Handbook (4) 발란스
Handbook (5) 순리
Handbook (6) 관심
Handbook (7) 협력
Handbook (8) 리더십
Handbook (9) 사장 II
Handbook (10) 실적
Handbook (11) 지속
Handbook (12) 책임
Handbook (13) 합산
Handbook (14) fire !!

원작자가 작년말에 쓰셨던 글 하나도 링크를 같이 걸겠습니다.

홍길동 철학
http://prain.com/hunt/bbs/zboard.php?id=diary&page=1&sn1=&divpage=1&sn=off&ss=on&sc=on&select_arrange=headnum&desc=asc&no=775

내용인 즉슨 SK에너지 사장이라는 분이 엄지경영론에 대해서 인터뷰했던 기사에 대해서 이야기를 하시더군요..
위 Handbook 시리즈의 시작이 2009년 7월입니다.
물론 그 전부터 구상을 하고 있었을지도 모르겠지만요..

어쨋든 글의 요지는
대기업 사장이라는 사람의 남의걸 도용하고 해외 글을 자신이 나름대로의 해석으로 재구성했다고 거짓말까지 했다는 것.

부끄러운줄 알아야지..
대기업이면 다냐..쳇...
이래서 우리나라가 발전이 제대로 안되는거야..
재벌기업 대가리들은 지들이 최고인줄로만 알고 있으니..
쓰레기 같은 것들이..


추가로 이분의 포스팅 중 맘에 드는게 하나 있어서 이것도 링크

http://prain.com/hunt/bbs/zboard.php?desc=asc&divpage=1&id=news&no=53&page=1&sc=on&select_arrange=headnum&sn=off&sn1=&ss=on

제발 우리나라 청년들 정신 차리시길..

대한민국을 짊어질 사람들이 헛바람만 들어서야 쓰겠나..




여준영
PCG(Prain Consulting Group)그룹 대표
1970년생



인터넷 검색하다 맘에 드는 사진 하나...
아악~ 저 피규어들~

11. Incident Response Tool Suites for Windows

침해사고 분석에 사용되는 툴킷은 여러가지 종류가 있습니다. 이런 툴 중 어떤 툴들은 침해당한 시스템에서 명령을 실행하고 침해당한 시스템 라이브러리를 사용하기도 합니다. 물론 침해당한 시스템 라이브러리를 사용하는 것이 증거 확보에 있어서 좋지 않다는 것은 다들 아실겁니다. 예를 들어 시스템콜을 후킹해서 자신의 흔적을 삭제하는 루트킷을 찾는 경우 침해당한 시스템 라이브러리를 사용하게 되면 못찾을 가능성이 99% 정도 됩니다.(1%는 재수 좋을 경우를 대비해서...-_-;;)

Helix Live CD는 휘발성 데이터를 수집하는데 유용한 툴입니다. 물론 윈도우 계열이나 유닉스 계열 시스템에서 모두 사용 가능합니다. Helix는 Chapter 1. #1에서 간단히 언급했었고 (http://malwarelab.tistory.com/4) Helix CD는 WFT를 포함하고 있습니다.


11.1 Windows Forensic Toolchest

WFT는 여러가지 툴들을 이용해서 일관된 정보를 수집하기 위한 프레임웍을 제공한다. 프로그램들은 자동으로 정해진 순서대로 실행됩니다. 그리고 MD5 해쉬값이나 감사 정보를 지원하기 위한 프로세스 정보 수집이나 원하는 데이터의 무결성 정보들을  문서화해줍니다. 하지만 삭제된 파일을 찾지 못합니다.

하지만 WFT의 가장 큰 단점은 침해당한 시스템의 운영체제에 의존적이라는 것입니다. 일부 악성코드들은 운영체제에 의존적인 침해사고 분석 툴로부터 자신들의 정보를 숨깁니다. 즉, 특정 프로그램이 실행될 때 사용되는 라이브러리(dll)들을 이미 침해당한 시스템의 것들을 사용한다는 것이죠..

예를 들어, HackerDefender와 같은 루트킷은 운영체제로부터 루트킷 파일들을 숨깁니다. 만약 루트킷이 설치되어 있다면 WFT에서 사용하는 명령어가 신뢰할 수 있는 명령어라 할지라도 잘못된 결과를 가져올 수 있습니다.


ProDiscoverIR

http://www.techpathways.com/ProDiscoverIR.htm

상용프로그램입니다. 비트 레벨에서 동작하기 때문에 숨겨진 파일들도 찾아낼 수 있습니다.
아래 그림은 ProDiscoverIR으로 HackerDefender 루트킷을 확인한 모습입니다.

하지만 몇몇 루트킷이나 안티포렌식 기법을 사용하면 ProDiscoverIR과 같은 원격 포렌식툴로부터 몇몇 정보나 숨겨진 프로세스들을 숨길 수 있습니다.

운영중인 시스템에서 분석툴을 사용하는 것은 중요한 증거들을 덮어쓰거나 프로그램 오류를 발생시킬 수 있습니다. 이런 프로그램 오류가 발생할 경우 디스크에 덤프파일을 생성하는데 이렇게 생성된 덤프파일에 의해 기존에 존재하던 덤프파일이나 악성코드와 관련 있는 다른 중요한 정보들을 덮어써버릴 가능성고 있습니다.

이러한 이유로 전체 메모리 덤프(full memory dump)를 떠서 분석하는 방법이 중요시되고 있습니다.


OnlineDFS/LiveWire

http://www.cyberstc.com/products_dfs.asp 
(책에 있는 링크가 바뀐걸 보니 다른 회사와 합병된 듯...)

OnlineDFS는 원격 윈도우 컴퓨터에서 휘발성 데이터를 수집하는 것이 가능하고 전체 메모리 덤프도 가능합니다.
이 툴은 원격 시스템에서 명령을 실행하기 위해 SMB 프로토콜을 이용합니다.

EnCase Enterprise로 전체 메모리 덤프를 뜰 수 있습니다. 그리고 원격 컴퓨터에서 휘발성 데이터를 점검하는데도 사용될 수 있습고 실행중인 프로세스나 네트워크 연결, 열인 포트, 열린 파일과 같은 중요한 정보를 보호하는데에도 사용될 수 있습니다.


Regimented Potential Incident Examination Report (RPIER)

http://sourceforge.net/projects/rpier/

RPIER은 분석 대상 시스템에서 휘발성 및 비휘발성 데이터를 자동으로 수집하는 프레임웍이나 엔진으로 제공됩니다.
특별한 경우에는 RPIER 프레임웍을 운영중인 시스템의 외장 저장장치(USB와 같은)에서 실행하는 것을 고려해봐야 합니다. RPIER이 실행되는 동안에 여러가지 모듈들이 실행되고 분석 대상 시스템에서 정보를 수집한다. 수집된 정보는 중앙 저장소에  업로드되거나 로컬에 있는 외부 저장장치에 저장됩니다. RPIER은 .NET framework 1.1 이상이 설치되어 있어야 합니다.

RPIER은 3가지 스캐닝 모드를 가지고 있습니다. Fast, Slow, Special.
3가지 모드에 대한 자세한 사항은 아래 URL을 참고하시기 바랍니다.

http://www.first.org/conference/2006/papers/mancini-steve-papers.pdf
http://www.first.org/conference/2006/papers/mancini-steve-slides.pdf
http://www.first.org/conference/2006/program/rapier_-_a_1st_responders_info_collection_tool.html
http://code.google.com/p/rapier/downloads/list

제 시스템이 이상한건지 아니면 환경이 잘못된건지 프로그램 종료시 정상 종료가 안됩니다. -_-;;
깜박깜박이다가 멈추도 CPU 사용량로 50%까지 올라가길래 강제로 종료를 했습니다. 일단 참고만 하시는게 좋을듯 합니다.


Nigilant32

이 툴은 GUI 기반 툴로 운영중인 윈도우 시스템에서(Windows 2000, XP, 2003) 휘발성 정보를 수집합니다. Nigilant32는 Helix CD에 포함되어 있습니다. 이 툴이 제공하는 정보는 다음과 같습니다.

• System Snapshot : 실행중인 프로세스, 서비스, 사용자 계정, 스케줄 작업, 네트워크 연결 등등
• Filesystem Review : 숨겨진 파일 및 폴더, 최근에 삭제된 컨텐츠
• Active Memory Imaging

그 밖에 Live Response Tool Suites

• Forensic Server Project (FSP) / First Responder Utility (FRU)
• http://sourceforge.net/projects/windowsir/files/
• http://windowsir.blogspot.com/2005/02/forensic-server-project.html
• FirstResponse : http://www.mandiant.com/firstresponse.htm (없어진것 같습니다 -_-)
• Helix Incident CD : http://www.e-fense.com/h3-enterprise.php 
• 책에 제공된 링크가 안열립니다. 다행히 Helix2008R1.iso 받아 놓은게 있어서 링크걸겠습니다.
• Helix2008R1.part1.rar
  Helix2008R1.part2.rar
  Helix2008R1.part3.rar
  Helix2008R1.part4.rar
  Helix2008R1.part5.rar
  Helix2008R1.part6.rar
  Helix2008R1.part7.rar
• SecCheck : http://www.mynetwatchman.com/tools/sc/
• IRCR (The Incident Response Collection Report) : http://ircr.sourceforge.net/
• WinAudit : http://www.pxserver.com/WinAudit.htm
• SIW (System Information for Windows) : http://www.gtopala.com/
• FRISK : http://sourceforge.net/projects/frisk/
• http://www.educause.edu/ir/library/powerpoint/SPC0559.pps
• DUMPWIN : http://www.niiconsulting.com/innovation/tools.html#sysinfo
• FRED (First Responder's Evidence Disk) : http://www.csa.syr.edu/Jesse_Kornblum.pdf

정말 오랜만에 Malware Forensic 요약 글 씁니다..(1년 넘었다...어쩔꺼냐...-_-;;)

게으른탓에 Chapter 1이 1년이 넘어선 후에야 끝나게 됐군요..

앞으로 더 열심히하겠다는 약속은 드리겠지만...ㅜ.ㅜ

나태해져가는 제 모습이 저도 안타깝습니다.


마지막은 툴에 대한 언급이 많아 일단 적당히 적었습니다.

나중에 기회가 된다면 여러가지 툴 사용법이나 활용법(요게 더 낫겠네요)에 대해서 포스팅하는게 나을 듯 합니다.


Chapter 10까지 있는데...

 

http://www.readwriteweb.com/archives/first_trojan_for_android_phones_goes_wild.php
http://www.securelist.com/en/blog/2254/First_SMS_Trojan_for_Android
http://blog.trendmicro.com/first-android-trojan-in-the-wild/
http://www.boannews.com/media/view.asp?idx=22311&kind=0

   


제 안드로이드폰에 설치하기는 좀 그래서 에뮬레이터에 설치했습니다.

E:\02.tools\android\android-sdk-windows\tools> adb install RU.apk

설치 후에는 위 오른쪽 화면처럼 Movie Player 아이콘을 확인하실 수 있습니다.


adb shell로 에뮬레이터에 접속해서 확인해봤습니다.

E:\02.tools\android\android-sdk-windows\tools> adb shell
# ls -l
ls -l
drwxrwxrwt root     root              2010-08-11 02:45 sqlite_stmt_journals
dr-x------ root     root              2010-08-11 02:42 config
drwxrwx--- system   cache             2010-08-11 02:42 cache
d---rwxr-x system   sdcard_rw          2010-08-11 02:45 sdcard
lrwxrwxrwx root     root              2010-08-11 02:42 d -> /sys/kernel/debug
lrwxrwxrwx root     root              2010-08-11 02:42 etc -> /system/etc
drwxr-xr-x root     root              2010-05-06 16:16 system
drwxr-xr-x root     root              1970-01-01 00:00 sys
drwxr-x--- root     root              1970-01-01 00:00 sbin
dr-xr-xr-x root     root              1970-01-01 00:00 proc
-rwxr-x--- root     root        12215 1970-01-01 00:00 init.rc
-rwxr-x--- root     root         1677 1970-01-01 00:00 init.goldfish.rc
-rwxr-x--- root     root       103112 1970-01-01 00:00 init
-rw-r--r-- root     root          118 1970-01-01 00:00 default.prop
drwxrwx--x system   system            2010-08-11 02:44 data
drwx------ root     root              2010-01-28 00:59 root
drwxr-xr-x root     root              2010-08-11 02:43 dev
# cd /data
cd /data
# ls -l
ls -l
drwx------ system   system            2010-08-11 02:44 backup
drwxrwxr-x system   system            2010-08-11 03:42 system
drwxrwx--x system   system            2010-08-11 02:43 anr
drwxrwx--x system   system            2010-08-11 03:42 dalvik-cache
drwx------ root     root              2010-08-11 02:45 property
drwxrwx--x system   system            2010-08-11 03:42 app
drwxrwx--x system   system            2010-08-11 02:42 app-private
drwxrwx--x system   system            2010-08-11 03:42 data
drwxrwx--x shell    shell             2010-08-11 02:42 local
drwxrwx--t system   misc              2010-08-11 02:42 misc
drwxr-x--- root     log               2010-08-11 02:42 dontpanic
drwxrwx--- root     root              2010-08-11 02:42 lost+found

붉은색으로 된 부분이 RU.apk가 설치된 후에 변경된 부분입니다.
즉, 안드로이드 앱이 설치되면 위 디렉토리들을 건드린다는 말이 되겠죠..

시간이 좀 이상하게 표시되었는데 02:42분경이 제가 AVD(Android Virtual Device)를 생성한 시간이고 03:42분이 RU.apk를 설치한 시간입니다. (실제로는 저 시간이 아닌데 말이죠...별로 신경 안씁니다...-_-)

# cd system
cd system
# ls -l
ls -l
-rw------- system   system         64 2010-08-11 03:42 appwidgets.xml
-rw-rw-r-- system   system      38987 2010-08-11 03:42 packages.xml
-rw------- system   system       5520 2010-08-11 03:42 batterystats.bin
-rw------- system   system        171 2010-08-11 02:45 wallpaper_info.xml
-rw------- system   system          8 2010-08-11 02:45 syncmanager.prefs
-rw-rw---- system   system      16384 2010-08-11 02:45 accounts.db
drwxrwx--x system   system            2010-08-11 02:44 registered_services
drwx------ system   system            2010-08-11 03:43 usagestats
-rw------- system   system       4096 2010-08-11 02:43 entropy.dat

다른 파일들은 잘 모르겠고 packages.xml에 설치된 앱들에 대한 정보들이 들어 있습니다.

<package name="org.me.androidapplication1" codePath="/data/app/org.me.androidapplication1.apk" system="false" ts="1281498173000" version="0" userId="10024"> <sigs count="1"> <cert index="1" key="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"/> </sigs> <perms> <item name="android.permission.READ_PHONE_STATE" /> <item name="android.permission.SEND_SMS" /> <item name="android.permission.WRITE_EXTERNAL_STORAGE" /> </perms> </package>

상단의 뉴스기사를 보면 해당 악성코드가 유료 서비스 번호로 SMS를 발송한다고 했는데 <perms>에 SEND_SMS가 있군요..
문자를 보내기 위한 설정이라고 볼 수 있습니다.
흔히 앱 설치시 어떤 리소스에 접근하고 데이터를 사용한다라는 문구를 볼 수 있습니다. 이런 내용들인 셈이죠..

변경된 파일들을 나열해 보면

/data/system/packages.xml
/data/dalvik-cache/data@app@org.me.androidapplication1.apk@classes.dex
/data/app/org.me.androidapplication1.apk
/data/data/org.me.androidapplication1/databases/movieplayer.db
/data/data/org.me.androidapplication1/lib/


아직은 여기까지가 전부입니다.

일단 사용자들은 MoviePlayer가 설치되어 있는지 확인을 해보셔야 할 것으로 보입니다.



아래 분석들에서는 러시아 premium rate number로 SMS를 보내는 일반적인 자바 악성코드라고 이야기하고 있습니다.

premium rate number가 3353, 3354 등이 보이고 있습니다.

http://www.inreverse.net/?p=1272



국제전화 안되게 일단 막아야겠습니다!!



thnx to contagio :)






 

드디어 잡혔군요..

하지만 아직 C&C를 제어하고 있는 제3자가 있을 듯 합니다.


http://www.google.com/hostednews/afp/article/ALeqM5h1GekN0Al-s5kjF5NMnAfhmomGkg
http://www.guide2slovenia.com/news/171/Mariposa-Botnet-Hackers-from-Slovenia-Arrested
http://news.mk.co.kr/outside/view.php?year=2010&no=399610



[관련글]

2010/06/20 - [0x04 reference&tools] - Mariposa Still Alive