보안의 대상 영역에 안전지대는 존재하지 않는 것 같다. 문서상의 안전 등의이유로 업계에서 PDF 포맷을 많이 사용하고 있는데, 이 또한 단순히 심리적인 안전 불감증이 아닐까 한다.
==========================================================================================
어도비시스템즈가 어도비 리더와 아크로뱃 같은 자사제품의 소프트웨어에 내재하는 보안 취약성을 수정한 지 24시간도 안돼 악성코드를 첨부한 PDF 파일이 스팸메일 필터에 걸렸다.
이 적극적인 공격이 발견된 현재, 윈도우 유저는 즉시 자신의 컴퓨터를 검사해 악성 소프트웨어가 있는지 확인하고 모든 필요한 패치를 적용해야 한다.
시만텍의 딥사이트 위협 관리 시스템(DeepSight Threat Management System) 팀 소속 애널리스트인 에릭 캐멀링에 의하면, 이처럼 메일을 매개로 한 공격은 ‘mailto’ 옵션의 취약성이 이용된다고 한다. 이것은 페트코 D. 페트코프가 지난9월 지적한 것이며 어도비도 10월초 이를 인정했다.
시만텍은 이 악성코드 파일을 ‘.Trojan.Pidief.A라고 이름 붙였다. 이 파일은 컴퓨터 보안 설정을 바꾸거나 감염된 컴퓨터로 악질적인 실행 파일을 다운로드하는 데 이용된다. 이 파일은 스팸메일로 인식되고 ‘BILL.pdf’나 ‘INVOICE.pdf’ 등의 이름이 붙은 파일이 첨부돼 있다.
캐멀링에 의하면, 이 파일이 실행되면 악성 코드가 ‘netsh firewall set opmode mode=DISABLE’ 커맨드를 사용해 윈도우 방화벽을 무효화하며 81.95.146.130 서버로부터 FTP 경유로 리모트 파일을 다운로드한다(그 리모트 파일은 ‘ldr.exe’이고 내용은 Downloader.Trojan다).
23일오후(미국시간) 현재 호스트 81.95.146.130은 가동하고 있어 FTP 경유로 ‘ldr.exe’ 파일을 계속 공급하고 있다. 이 서버는 악성 소프트웨어의 공급원으로 알려져 있다고 캐멀링은 경고했다.
시만텍 딥사이트 팀은 네트워크 관리자에게 아래의 조치를 권고하고 있다.
• 전자 메일에 의한 PDF 파일 전달을 저지한다
• 믿을 수 없는 발신원이 보낸 PDF 파일을 열지 않도록 직원에게 권고한다
• 이 공격에 관련된 네트워크나 IP주소로의 액세스를 차단한다
• 어도비 Advisory APSB07-18에 열거돼 있는 패치를 즉시 적용한다
아이사이트 파트너스(iSIGHT Partners)의 켄 던햄에 따르면 공격자들은 2종류의 루트킷 파일을 사용해 빼앗은 컴퓨터 내의 귀중한 데이터를 찾아 훔친다. 이러한 루트킷은 윈도우 디렉토리 내에 ‘9129837.exe’나 ‘new_drv.sys’라는 이름으로 설치된다.
“바이러스 검출 프로그램은 이 공격에 너무 무력하다. 공격 중에 테스트한 39개의 업데이트가 끝난 프로그램 가운데 (검출할 수 있던 것은) 불과 26%였다”고 던햄은 말했다. 또 그 2개의 공격 서버가 악명 높은 러시안 비즈니스 네트워크(RBN)로 연결되어 있다고 그는 지적했다.
던햄은 이번 공격과 지난해 9월 발생한 벡터 마크업 언어(VML)의 취약성을 노린 제로 데이 공격의 관련성을 발견했다. 그는 “이번 공격에서 사용된 서버는 과거에 발생한 애니메이션 커서의 취약성을 악용했고 Snifula나 쿨웹서치(CoolWebSearch)라는 악성코드 설치에 관련하는 다른 악의 있는 공격에도 관여하고 있다”고 지적했다. @
출처 : ZDNet Korea
==========================================================================================
어도비시스템즈가 어도비 리더와 아크로뱃 같은 자사제품의 소프트웨어에 내재하는 보안 취약성을 수정한 지 24시간도 안돼 악성코드를 첨부한 PDF 파일이 스팸메일 필터에 걸렸다.
이 적극적인 공격이 발견된 현재, 윈도우 유저는 즉시 자신의 컴퓨터를 검사해 악성 소프트웨어가 있는지 확인하고 모든 필요한 패치를 적용해야 한다.
시만텍의 딥사이트 위협 관리 시스템(DeepSight Threat Management System) 팀 소속 애널리스트인 에릭 캐멀링에 의하면, 이처럼 메일을 매개로 한 공격은 ‘mailto’ 옵션의 취약성이 이용된다고 한다. 이것은 페트코 D. 페트코프가 지난9월 지적한 것이며 어도비도 10월초 이를 인정했다.
시만텍은 이 악성코드 파일을 ‘.Trojan.Pidief.A라고 이름 붙였다. 이 파일은 컴퓨터 보안 설정을 바꾸거나 감염된 컴퓨터로 악질적인 실행 파일을 다운로드하는 데 이용된다. 이 파일은 스팸메일로 인식되고 ‘BILL.pdf’나 ‘INVOICE.pdf’ 등의 이름이 붙은 파일이 첨부돼 있다.
캐멀링에 의하면, 이 파일이 실행되면 악성 코드가 ‘netsh firewall set opmode mode=DISABLE’ 커맨드를 사용해 윈도우 방화벽을 무효화하며 81.95.146.130 서버로부터 FTP 경유로 리모트 파일을 다운로드한다(그 리모트 파일은 ‘ldr.exe’이고 내용은 Downloader.Trojan다).
23일오후(미국시간) 현재 호스트 81.95.146.130은 가동하고 있어 FTP 경유로 ‘ldr.exe’ 파일을 계속 공급하고 있다. 이 서버는 악성 소프트웨어의 공급원으로 알려져 있다고 캐멀링은 경고했다.
시만텍 딥사이트 팀은 네트워크 관리자에게 아래의 조치를 권고하고 있다.
• 전자 메일에 의한 PDF 파일 전달을 저지한다
• 믿을 수 없는 발신원이 보낸 PDF 파일을 열지 않도록 직원에게 권고한다
• 이 공격에 관련된 네트워크나 IP주소로의 액세스를 차단한다
• 어도비 Advisory APSB07-18에 열거돼 있는 패치를 즉시 적용한다
아이사이트 파트너스(iSIGHT Partners)의 켄 던햄에 따르면 공격자들은 2종류의 루트킷 파일을 사용해 빼앗은 컴퓨터 내의 귀중한 데이터를 찾아 훔친다. 이러한 루트킷은 윈도우 디렉토리 내에 ‘9129837.exe’나 ‘new_drv.sys’라는 이름으로 설치된다.
“바이러스 검출 프로그램은 이 공격에 너무 무력하다. 공격 중에 테스트한 39개의 업데이트가 끝난 프로그램 가운데 (검출할 수 있던 것은) 불과 26%였다”고 던햄은 말했다. 또 그 2개의 공격 서버가 악명 높은 러시안 비즈니스 네트워크(RBN)로 연결되어 있다고 그는 지적했다.
던햄은 이번 공격과 지난해 9월 발생한 벡터 마크업 언어(VML)의 취약성을 노린 제로 데이 공격의 관련성을 발견했다. 그는 “이번 공격에서 사용된 서버는 과거에 발생한 애니메이션 커서의 취약성을 악용했고 Snifula나 쿨웹서치(CoolWebSearch)라는 악성코드 설치에 관련하는 다른 악의 있는 공격에도 관여하고 있다”고 지적했다. @
출처 : ZDNet Korea
'Security_Space' 카테고리의 다른 글
| 패스워드 안전성 검토 체크리스트 (1) | 2007.10.31 |
|---|---|
| Threat Modeling (3) | 2007.10.30 |
| MS, 금융권 안티피싱 사업「초읽기」전용 사이트 구축해 보안패치 배포키로 (0) | 2007.10.24 |
| Acunetix WVS V5 Review -2 (2) | 2007.10.23 |
| Acunetix WVS V5 Review -1 (1) | 2007.10.23 |