ZeuS crimeware variant targets Symbian and BlackBerry users


A ZeuS
crimeware variant known as ZeuS Mitmo, has began targeting the two-factor authentication solution offered by the Polish ING bank.
제우스 바이러스의 변종으로 알려진 제우스 Mitmo가 폴란드 ING 은행의 두 인증시스템을 목표로 삼았다.

UPDATE: Devices running Windows Mobile are also targeted.
추가로, 윈도우 모바일 기기또한 타겟이다.


The variant, currently targeting Symbian and BlackBerry users works as follows. Upon successful infection, the crimeware injects a legitimately looking field into the web page. The aim is to trick end users into giving out their mTANs, which stands for mobile transaction authentication numbers. Now that the gang has obtained access to their cell phone number, including the type of the device, a SMS is sent back to the victim with a link to a mobile application targeting either Symbian or BlackBerry devices.
제우스 변종은 현재 심비안과 블랙베리 유저를 목표로 하고 있다. 성공적으로 감염된 바이러스는 웹페이지의 정상적인 필드에 삽입된다. 주된 목표는 "거래 인증번호인 mTANs"를 사용하는 유저를 속이는 일이다.


See also:

According to the security researcher Piotr Konieczny, the reason why Apple’s iPhone was excluded is due to the fact that Apple has more control over the Apple Store, compared to Symbian or RIM (Research in Motion).
보안 연구원 Plotr Konjeczny 에 따르면, 애플 아이폰은 "애플은 효율적인 관리기능을 가지고 있어" 위협대상에서 제외되었다.

These relatively sophisticated attempts on behalf of cybercriminals, wouldn’t be possible to execute if the user didn’t get infected in the first place.
이것은 유저의 감염을 막기 위한 훌륭한 대처 입니다. 

As always, users are advised to use least privilege accounts, browse the web in isolated environment, and ensure their hosts are free of outdated 3rd party software, browser plugins or OS-specific flaws.
항상 유저는 최소권한의 계정과 깨끗한 브라우저를 사용해야 한다. 또한 불법 프로그램과 브라우저 플러그인과 OS 결함을 항상 신경써야 한다. 



이미 해당 유형은 상당히 오래되었습니다. 이것이 네이트온으로 옮겨 붙은 것이라고 저는 생각되는데요.

흔히 보던 네이트온 관련 악성코드와 같이 JPG 그림으로 위장한 SCR(화면보호기 파일) 이 다운로드 되고 실행하게 될 경우에는 악성코드가 감염되는 형식입니다.

감염이 되게 되면 MSN 을 통해서 악성코드가 포함된 주소를 퍼트리는 유형까지 모두 네이트온 과 비슷한 유형을 가지고 있습니다. 네이트온도 지금은 EXE 형태로 유포되었으나 초기에는 SCR 형태로 유포되었습니다.

항상 조심해야 할 확장자가 SCR 이라고 해도 과언이 아닙니다. SCR도 EXE와 같이 응용프로그램으로써 명령을 수행할 수가 있습니다.

http://mcaf.ee/b3f48
백신회사가 가장 혁신적인 기업에 올라다니, 믿을 수가 없습니다.

항상 경제 부분에서는 후발주자였던 백신회사가 다른 인기종목 회사 사이에서 뚜렷한 두각을 보인 것인데요. 아마도 카스퍼스키의 최근 백신 TOP 1위 탈환과 바이러스로 손상된 부분을 복구해 주는 혁신적인 기술때문인 것 같습니다.

날로 카스퍼스키는 발전해 나가는데, 우리나라 백신 상황은 어떤가요...?

http://mcaf.ee/67fc9

CERT fielded 187 'cyber incidents' in 2010


The Computer Emergency Response Team (CERT) Australia has detected some 187 "cyber incidents" since September last year, ranging from trivial threats to attacks requiring military oversight.

오스트레일리아 컴퓨터 응급 대응팀 (CERT) 은 작년 9월부터 일어난 사소한 사건까지 총 187개를 밝혀냈습니다.

 

(Red alert image by Rykerstribe, CC2.0)

The group is a linchpin in the Federal Government's cybersecurity strategy, responsible for information sharing between the state and the nation's critical infrastructure, such as power, water and transport.
CERT는 정부와 사회 기반 시설 사이에 "전력, 수도, 운송수단" 정보 공유 의 가장 중심적인 역할을 합니다. 

It issues threat advisories to government and public organisations, and liaises with overseas CERTs to coordinate international cybersecurity strategies.
이번 사건은 정부와 공공 기관의 경고이고, 국제 사이버보안에 대해 다시 생각해볼 수 있는 기회였습니다.

Federal Attorney-General Robert McClelland told the audience at the Internet Industry Association last night that CERT Australia had also identified some 50,000 stolen credentials, including online banking and credit card credentials last year.
연방 변호사 Robert McClelland 는 지난밤 인터넷 산업 연맹에서 'CERT는 작년, 50000개의 도난당한 계좌와 신용카드  정보에 대해 확인했다.' 라고 언급했습니다.


"CERT Australia produced and disseminated 47 sensitive advisories on cyber vulnerabilities affecting systems of national interest," McClelland said. "Three advisories have already been produced and disseminated this year."
"CERT는 시스템에 영향을 주는 취약점 47개에 대해 보고하고 제공하였다." 라고 말하였다.


Details on the 189 incidents including how many were referred to the Department of Defence were not immediately available. Officials from the Attorney-General's Department told ZDNet Australia that some were "serious".
자세하게는, 얼마나 국가가 책임을 져야 하는지까지 포함된 189개의 사건들은 직접적으로 공개하지는 않습니다.
변호사 협회는 공식적으로 ZDNET을 통해 "일부는 심각한 수준이다" 라고만 응답했습니다.

McClelland praised CERT Australia for its acceptance as a member into the Asia-Pacific CERT last year, from which it will help develop security awareness in the region.
McClelland 는 "오스트레일리아 CERT은 작년 아시아태평양 CERT로 부터 허가를 받고 지역의 보안에 공을 세울 것" 이라고 칭찬한 바 있습니다.



원문 : http://www.zdnet.com.au/cert-fielded-187-cyber-incidents-in-2010-339309712.htm

Google Chrome 10 beta - Faster JavaScript, GPU acceleration, and more!

Google has just released Chrome 10 beta (10.0.648.82 for all you perfectionists) and it brings with it a whole slew of new things to play with.
구글은 크롬 브라우저 10 beta (10.0.648.82) 을 발표했습니다. 보안에 장난칠 만한 것들을 모두 배제하였습니다.

First off, there’s a significant JavaScript performance boost thanks to the updated V8 engine. According to Google, this version of the V8 engine offers a 66% performance advantage over the current stable release. That alone is pretty impressive.
먼저, V8 엔진을 업데이트 함으로써 자바스크립트의 속도를 높였습니다. 구글에 따르면 이번 V8 엔진은 기존보다 66% 향상되었으며, 매우 획기적이라고 합니다.


This beta also adds GPU acceleration for video. For those running video in full-screen mode this can mean a decrease in CPU usage of as much as 80%. A good thing for those living off battery.
이번 베타버전은 GPU 비디오 가속기를 추가하였습니다. 최대화면으로 비디오를 재생할 때 CPU 사용량이 80% 정도 감소하게 됩니다. 이것은 배터리 부족에도 획기적인 부분입니다.

Another new feature is that the browser setting page now opens in a tab of its own rather than in a separate window. A small change but one that makes a lot of sense. There’s also a handy search box to allow you to find the specific setting you are looking for. Might not be needed by geeks, but dead handy for everyone else (Hey, Microsoft! Here’s a setting that would be really handy for IE users … fire up those photocopiers!).
다른 새로운 특징으로는 분리된 창을 하나로 통합할 수 있습니다. 작은 변화지만 이것은 많은 편리함을 가져다 줄것입니다. 또한 편리한 검색 박스를 추가하여 찾고있는 부분을 쉽게 찾을 수 있습니다. (MS !! 여기에 IE 사용자들에게 가장 편리한 기능이 있어! 이 기능도 따라하지 그래!)

Syncing now includes saved passwords, along with bookmarks, preferences, themes and extensions. Synced passwords can be encrypted with a separate passphrase.
북마크 기능과 암호 저장기능, 속성, 테마, 확장기능이 업데이트 되었다. 분리된 Passphrase 방식으로 암호화 되어 암호가 저장된다.

Download Google Chrome beta 10 here.
구글 크롬 베타 10 버젼은 이곳으로


 Microsoft confirms Windows BROWSER protocol zero-day

A security researcher has released proof-of-concept code for an unpatched security vulnerability affecting all versions of Windows, prompting a warning from Microsoft that remote code execution attacks are theoretically possible.
보안 연구원은 윈도우의 모든 버젼에 문제가 있는 패치되지 않은 취약점에 대해 증명(POC)한 코드를 공개하였습니다.  이론적으로 원격코드 실행 공격이 가능한 위험한 취약점 입니다.

Details on the vulnerability were released on the Full Disclosure mailing list earlier this week and Microsoft followed up with two separate blog posts discussing the ramifications of the problem and suggesting workarounds until a patch can be created and released.
자세하게 설명하자면, 이번주에 Full Disclosure Malling list 에 대해 발표하고 "문제와 권고" 2개의 부분으로 나누어 마이크로소프트 블로그를 통해 설명 및 공개하였습니다.

According to Microsoft’s Mark Wodrich, the vulnerability was identified in the BROWSER protocol  and although all versions of Windows are vulnerable, the issue is more likely to affect server systems running as the Primary Domain Controller (PDC).
마이크로소프트의 Mark Wodrich 에 따르면 취약점은 브라우저의 프로토콜임을 확인하였고, 모든 윈도우 버젼이 취약합니다. 이번 사건은 PDC가 구동하는 과정에서 서버 시스템에 문제를 이르킬 수 있습니다.


“In environments following best practices, the BROWSER protocol should be blocked at the edge firewalls thus limiting attacks to the local network,”
Wodrich said.
"브라우저의 프로토콜을 방화벽으로 막는 방법을 통해, 로컬 네트워크의 공격을 막는 것이 최선에 방법이다" 라고 Wodrich는 언급했습니다.

Wodrich provided technical confirmation of the buffer overrun vulnerability and explained that a malformed BROWSER message would cause the Master Browser to hit a portion of vulnerable code to trigger the vulnerability.
Wodrich는 버퍼 오버런 취약점의 기술문서를 제공하고, "패치되지 않은 브라우저 메세지는 취약점의 실행과 코드 취약점을 아용해 Master 브라우저가 공격받을 수 있는 원인을 제공할 수 있습니다." 라고 덧붙였습니다.


He warned that remote code execution (highest severity) may be possible in certain circumstances.
Wodrich 는 위험한 원격코드 실행 취약점은 아마도 정황상 가능할 수 있다고 경고했습니다.

“While [remote code execution] is theoretically possible, we feel it is not likely in practice,” Wodrich said, noting that a more risk attack scenario would be denial-of-service attacks.
"원격코드 실행 취약점은 이론적으로 가능하지만 아직 테스트해보지는 않았다." "최악의 시나리오는 DOS 공격으로 이어질 수 있다"고 Wodrich는 이야기 했습니다.

Microsoft has not yet issued a formal security advisory with mitigation guidance or workarounds.
MS는 아직 제 2의 해결책이나 권고사항을 공식적으로 발표할 계획이 없다고 밝혔습니다.

원문 : http://www.zdnet.com/blog/security/microsoft-confirms-windows-browser-protocol-zero-day/8219?tag=content;search-results-rivers

Bogus Android apps lead to malware

Security researchers have detected a
new trojan horse targeting Android users.
보안 연구원은 안드로이드 유저를 타겟으로 하는 새로운 트로이잔을 발견하였습니다.

Using bogus Anroid apps, HongTouTou (also known as ADRD trojan) is using Android app marketplaces and forums to spread. The campaign is localized to Chinese; namely, it attempts to trick only Chinese speaking users.
보거스 안드로이드 웹을 사용할 때 HongTouTou (ADRD Trojan) 이 안드로이드 마켓과 포럼을 통해 퍼지고 있다. 이것은 중국에서만 퍼지고 있습니다. 다시 말하면 중국어 유저에게만 공격이 일어날 수 있다는 것입니다.

Upon execution, the malware requests additional capabilities, next to sending the device’s IMEI and IMSI to a remote host.
실행구조는 말웨어가 기기의 IMEI 와 IMSI 조종 호스트를 보내는 추가적인 기능을 수행합니다.

More info:
HongTouTou is included in repackaged apps made available through a variety of alternative app markets and forums targeting Chinese-speaking users.  To date Lookout security researchers have identified fourteen separate instances of the HongTouTou Trojan repackaged in Android apps including RoboDefense (a well known game) and a variety of wallpaper apps.
HongTouTou 는 다양한 중국어 유저를 대상으로 하는 앱마켓과 포럼을 통해서 이용할수 있는 재압축 앱이다. HongTouTou의 경우 14가지 경우로 나누어 지는 것을 보안 연구원들이 확인했다.
RoboDefence(Game)과 다양한 월페이퍼 앱을 포함한 안드로이드앱으로 트로이잔이 재압축되었다.

 

See also:
보아야 할 것.

What do you think is the biggest problem from a security perspective when it comes to mobile malware? The flawed efficiency-driven Symbian OS model? New trust-chains relying on already authenticated user base, or plain simple social engineering attacks.
보안의 관점에서 모바일 Malware 의 큰 문제로 다가올 때 이에대해 어떻게 생각하는가? 심비안 OS만의 문제일까? 비밀번호 무력화일까? 아니면 간단한 사회공학적 공격일까?

원문 : http://www.zdnet.com/blog/security/bogus-android-apps-lead-to-malware/8212?tag=content;search-results-river

McAfee: Malware going mobile


New mobile malware threats increased 46 percent in the fourth quarter compared to a year ago, according to McAfee’s quarterly report on emerging threats.
McAfee 에 새로운 보고서에 따르면 "새로운 모바일 Malware"가 2009년 4분기에 비해 2010 4분기에는 46%나 올랐습니다.

In a nutshell, hackers are following popular platforms. For instance, email spam continues to decline as usage drops. Only 80 percent of email traffic was spam in the fourth quarter, the lowest mark since the first quarter of 2007. Yes, folks 80 percent of all email is spam and that’s good news.
해커는 유행하는 플랫폼으로 이동합니다. 예를들면 이메일 스팸이 계속해서 감소하고 있습니다. 4분기에는 이메일 트래픽의 80% 정도가 스팸이였습니다. 2007년 1분기에 비하면 상당히 적습니다. 이는, 모든 메일의 80%는 스팸이라는 것이고, 줄어든다는 것은 좋은 소식입니다.

Instead of focusing on email, cybercriminals are moving to mobile devices and platforms. McAfee notes “a steady growth in the number of threats to mobile devices.” Key targeted platforms include Android. SymbOS/Zitmo.A and Android/Geinimi were the two headliner malware threats for mobile. Symbian remains the most targeted for malware—largely due to market share.
이메일 문제 보다는 사이버범죄자들의 모바일 장치로의 이동을 눈여겨 봐야 합니다. McAfee는 "여전히 모바일 장치의 숫자가 늘고 있다" 라고 발표하였습니다. 중요한 것은 안드로이드를 포함한 플랫폼입니다. 심비안 바이러스 Zitmo.A 와 안드로이드 바이러스 Geinimi 는 유명한 두개의 모바일 Malware 였습니다. 심비안의 바이러스는 대부분 마켓에 의한 것이였습니다.

McAfee said:

This quarter presented some of the most interesting changes of the year. In the past three months we saw the lowest spam volumes since 2007, but at the same time we identified attacks on new devices such as smartphones using the Android operating system. Mobile malware and threats have been around for years, but we must now accept them as part of the mobile landscape, both in awareness and deployment.
2010 4분기는 몇몇 변화가 흥미로웠습니다. 과거 3달동안 우리는 2007 이래로 스팸이 줄어드는 것을 보았습니다. 하지만 동시에 안드로이드와 같은 스마트폰 사용량과 같이 새로운 공격이 증가함을 보았습니다. 우리는 몇년간 증가할 스마트폰 Malware를 당연한 것으로 받아들이는 동시에 Malware 해결에 힘쓸 것입니다.



Other key odds and ends from the McAfee report:
McAfee 보고서의 특이점.

  • Auto run malware, banking Trojans and downloaders are the most favored malware in the fourth quarter.
    Autorun Malware, 은행을 타겟으로한 트로이잔, Downloader 는 4분기에 가장 많았습니다.
  • Botnets delivered via spam appear to be dormant for now, but that could change.
    스팸을 통해 전송되는 Botnet 은 소강상태이지만, 언제든지 바뀔수 있습니다.
  • 51 percent of the top 100 daily search terms lead to malicious sites. These search engine attacks are likely to target mobile devices in 2011.
    조사 결과의 상위 100개 중 51%는 악의적인 사이트가 원인입니다. 이러한 검색엔진을 통한 공격은 2011년에 모바일 장치가 주 타겟이 될 수 있습니다.
  • Adobe’s Acrobat is the most favored software to exploit.
    Adobe의 아크로뱃은 조사결과에서 취약점이 가장 많습니다.



원문 : http://www.zdnet.com/blog/btl/mcafee-malware-going-mobile/44549?tag=must-read


다들 흥미로운 주제가 아닐까 생각됩니다. 백신 무력화를 위해서 각종 기법이 나오고 있는데, 그 중 하나가 실행압축 (UPX 등등) 입니다.

이 압축기술이 날로 새롭다보니 백신에서도 분석하는데 고생합니다. 백신탐지를 막기위해 네이트온 관련 악성코드는 40KB 밖에 되지 않는 간단한 소스, 압축하는 놀라운 기술력을 보여줍니다.

KISA 에서 공개한 만큼 기술자료 공개는 법적으로 아무 문제가 없습니다.

최적화 프로그램이라는 형태로 유포되는 것 상당히 많이 볼 수 있습니다. 이러한 프로그램을 설치하면 다른 광고프로그램도 우수수 깔리는 것을 많이 보았구요.

타 백신과 디자인을 비슷하게 해서 악용하는 경우도 있고, 아예 파일이름을 다르게 하여 블로그에 속여서 올리는 경우도 있습니다.

이런 프로그램은 결국 몇개월뒤 망하게 되고 다른 이름으로 사업자 등록 내고 다시 유포하죠. 사업자등록 안해줬으면 하는데...

http://mcaf.ee/c56da

 


 

+ Recent posts