'adobe 0-day'에 해당되는 글 4건
- 2010.09.15 Adobe 0-day 취약점 정리(2009~2010) 2
- 2010.01.27 신종(?) 해킹메일 대량 유포 2
- 2009.12.23 Adobe 0-day Metasploit exploit
- 2009.12.22 Adobe 0-day 추가 악성코드 3
드디어 국내에 adobe 0-day 취약점을 공격하는 메일이 상륙한 듯 합니다.
해외에서 돌던 메일과 다른점이라면 메일 제목을 클릭해서 메일을 열람하는 것만으로도 악성 pdf 다운로드 후 감염이 된다는거겠지요.. 해외에서 돌던 메일은 첨부파일을 따로 다운로드하는 형식이었습니다.
해외에서 돌던 악성 pdf들 몇개 확인해서 도메인/IP를 차단했는데 몇개 더 확인해봐야겠습니다.
이번 사건과 관련된 샘플이 있다면 더 좋겠지만요..
hotmail 메일함 뒤져봐야겠습니다. ㅋㅋ
메일 제목 클릭만으로 PC를 감염시키는 해킹메일이 대량으로 유포되고 있어, 자료유출 등의 피해가 예상됨에 따라 사이버 위기 '관심'경보가 발령(국정원 국가사이버안전센터, 1.25(월) 17시)
■ 주요 특징
o 해커는 주로 해외의 Gmail, Yahoo, Hotmail 계정을 이용하여 발신자 명의만 국내인(지인 또는 공공단체 · 기업)으로 가장, 해킹메일 발송
o 메일 제목을 클릭하면 로그아웃된 것처럼 다시 로그인 화면을 표시하여메일 수신자로 하여금 ID/PW를 再입력토록 유도
o 메일 수신자가 ID/PW를 입력하면 입력내용이 해커에게 유출
o 로그인 화면이 표시됨과 동시에 ID/PW 입력여부와 상관없이 iFrame 태그 등을 이용, 은밀히 악성 PDF파일을 다운로드 ·실행시켜 해당 PC에 자료유출형 악성코드 설치
* 기타
■ 메일 예시 (보낸이 한글이름)
- 국회 금융정책 연구원 안내문입니다.
■ 의심스러운 이메일 사례 (과거)
[사례1] OO기관 행정관 명의 도용 해킹메일 => 메일제목 : 외교안보수석실 참고자료
[사례2] 외교통상부 OOO대사 명의도용 해킹메일 => 메일제목 : 2010년 한반도정세전망관련
[사례3] 첨부파일 열람유도 해킹메일 => 메일제목 : 김정일 방중일정
[사례4] 군 동기 사칭 해킹메일 => 메일제목 : 새해 2010년 건승을 기원합니다
Adobe 0-day 추가 악성코드 샘플을 구했습니다.
그리고 지난번 글에서 다운로드되지 않았던 ab.exe 파일도 확보를 했습니다.
E:\04.analysis\binary\20091216_adobe reader\malware> md5sum *.*
686738eb5bb8027c524303751117e8a9 *ab.exe
8950bbedf4a7f1d518e859f9800f9347 *crazyphoto.pdf
955bade419a9ba9e5650ccb3dda88844 *merry_christmas.pdf
61baabd6fc12e01ff73ceacc07c84f9a *note200911.pdf
61baabd6fc12e01ff73ceacc07c84f9a *note_20091210.pdf
35e8eeee2b94cbe87e3d3f843ec857f6 *outline of interview.pdf
0ab2fd3b6c385049f9eb4a559dbdc8a6 *海基會協商代表團預備性磋商名單.pdf
E:\04.analysis\binary\20091216_adobe reader\malware> ssdeep *.*
ssdeep,1.0--blocksize:hash:hash,filename
6144:53Gcbn2gnsuwtasAlbkdIiXb8K/hYcZVnHIbNwJBBp5:JbwtasAV+xffZ5X5,"E:\04.analysis\binary\20091216_adobe reader\malware\ab.exe"
768:bsg8fN3eX7k3GHsF90azVWqaYXCqntyhovHhv/MVsMepOF:bTYN3z3UscazpXM25EZepG,"E:\04.analysis\binary\20091216_adobe reader\malware\crazyphoto.pdf"
24576:hX+rECBhOc3cZUJe3xcxzV78/g4b3PlD4A8C0u2IcwrjefQM8rkAC:hOrHOcaye3x+V8Y4zH8C1XaoMIc,"E:\04.analysis\binary\20091216_adobe reader\malware\merry_christmas.pdf"
1536:p0AAH2KthGBjcdBj8VETeePxsT65ZZ3pdx/ves/aQR/875+:prahGV6Bj8VE9sT6BpfneilR/8k,"E:\04.analysis\binary\20091216_adobe reader\malware\note200911.pdf"
1536:p0AAH2KthGBjcdBj8VETeePxsT65ZZ3pdx/ves/aQR/875+:prahGV6Bj8VE9sT6BpfneilR/8k,"E:\04.analysis\binary\20091216_adobe reader\malware\note_20091210.pdf"
3072:prahGV6Bj8VE9sT6BpfneiL0jbupQ1S8ZTW5RxSDeF87OiE53a0WYtjdMJokl:pYBj8V7yaRSQTWX8Deu36SmxMJ3,"E:\04.analysis\binary\20091216_adobe reader\malware\outline of interview.pdf"
3072:k36u5/nLzdqJdVmK6pM8qffaRlOxpKs3i1AE:iLzdqJdMfphqfCRlOxpK2i1D,"E:\04.analysis\binary\20091216_adobe reader\malware\???????????????.pdf"
Virustal 검사 결과는 아래를 참조하시기 바랍니다.
note200911.pdf - 11월 30일
http://www.virustotal.com/ko/analisis/27cced58a0fcbb0bbe3894f74d3014611039fefdf3bd2b0ba7ad85b18194cffa-1261453238
note_20091210.pdf - 12월 11일
http://www.virustotal.com/ko/analisis/27cced58a0fcbb0bbe3894f74d3014611039fefdf3bd2b0ba7ad85b18194cffa-1261453573
ab.exe - note_20091210.pdf를 통해 다운로드하는 파일(foruminspace.com)
http://www.virustotal.com/ko/analisis/d6afb2a2e7f2afe6ca150c1fade0ea87d9b18a8e77edd7784986df55a93db985-1261453471
outline of interview.pdf - 12월 13일
http://www.virustotal.com/ko/analisis/cd508c488bb3b0234ff480cc455761f8003ea584c4ddcc6901f2f5eea66cd25a-1261453917
merry_christmas.pdf - 12월 18일
http://www.virustotal.com/ko/analisis/8ccc882c18d927b57a33f8c6bae4d0eec3290ac7ab1d1157725918feab76ec01-1261453597
crazyphoto.pdf - 12월 18일
http://www.virustotal.com/ko/analisis/55227b229a113d8a93d823466ebdd7a94c77fa37126b330818b41d49bd9a73de-1261453598
海基會協商代表團預備性磋商名單.pdf - 12월 21일
http://www.virustotal.com/ko/analisis/0c148cfceccea8f0988021d266cfb0668b577bf77a9271bc47cfa7c93305ccc5-1261453673
국산 엔진들은 12월 18일 이후에 발견된 악성코드에 대해서 탐지를 못하고 있었습니다. 단, 21일 발견된 파일을 nProtect만 Exploit.PDF-JS.Gen.C02으로 탐지하고 있었습니다.