Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

플래시백

"플래시백 감염 맥 줄지 않았다"···통계를 둘러싼 논란

여러 보안 기업들의 보고서와는 반대로, 플래시백(Flashback) 봇넷은 3주전에 러시아의 안티바이러스 업체가 처음으로 보고한 대규모 감염보다 줄어들지 않고 있는 것으로 나타났다. 이달 초에 애플의 OS X에 대한 최대 규모의 악성 코드 공격을 가장 먼저 보고한 닥터 웹(Dr. Web)은 플래시백에 감염된 맥은 여전히 65만 대 정도가 되고, 감염은 계속되고 있다고 밝혔다. 금요일, 시만텍 보안 응답 센터의 책임자인 리암 오 머추는 닥터 웹이 내놓은 숫자가 정확하다는 것을 재차 확인했다. 반박에 직면한 낙관론 닥터 웹과 다른 안티바이러스 업체들 모두 감염의 진행중이라는 의견을 내놓고 있다. 캐스퍼스카이 랩(Kaspersky Lab)과 시만텍은 ‘sinkholed’ 선택 도메인을 가지고 악성 코드의 C&C(command-and-control) 센터와 통신하려고 맥을 집계해, 그 도메인을 사용하고 있다.   이번주 초에 시만텍은 플래시백 봇넷이 60% 감소하고, 14만 2,000대 이하로 떨어졌다고 밝혔다. 카스퍼스키는 3만 대의 감염된 맥이 등록됐다고 주장했다. 닥터 웹은 블로그를 통해 비슷하지도 않다며, 감염 기기수가 여전히 65만개 정도라고 밝혔다. 4월 16일 닥터 웹은 59만 5,000대의 맥이 봇넷에 감염됐다고 말했고, 다음날인 4월 17일에는 58만 2,000대로 집계했다.   시만텍의 오 머추는 닥터 웹이 맞다고 말했다. 오 머추는 “우리는 시만텍의 숫자와 닥터 웹의 숫자가 일치하지 않는 것에 대해 이야기를 했다”며, “우리는 이제 그들의 분석이 정확하고 그것이 불일치되는 것에 대해 설명한 것을 믿는다”고 말했다. 설명을 요청했을 때, 카스퍼스카이 랩은 현재 조사를 진행 중이라고 답했다. 모니터보다 더 똑똑한 맬웨어 닥터 웹에 따르면, 다른 업체에 의해 집계한 것은 ...

감염 보안 2012.04.23

플래시백 맥봇, 현재 27만 대로 줄어 … 시만텍 보고

4월 5일 플래시백 맥봇에 감염됐다는 맥 60만대가 4월 11일 27만 대로 줄었다. 시만텍은 4월 11일 24시간동안 맥봇에 감염된 맥이 38만 대서 27만 대로 줄어들었다고 밝혔다.    플래시백 악성코드는 애플이 4월 4일에 패치한 자바의 취약점에 의존한다. 이 악성코드는 지난해 보안업체인 인테고에 의해 처음으로 확인됐다. 애플은 현재 플레시백 악성코드를 제거하기 위한 소프트웨어를 개발하고 있지만 플래시백 보안 침해에 대해 3개월이나 늦은 대응에 비난이 쏟아지고 있다.    본래 플래시백은 'hence'라는 이름의 어도비 플래시 플레이어를 위한 인스톨러로 가장했다. 그러나 최근 이 악성코드는 방향을 바꿔 맥 소프트웨어 업데이트 또는 자바 업데이트로 가장하고 있다. editor@itworld.co.kr 

애플 플래시백 2012.04.13

애플 플래시백 악성코드 제거 툴 개발 중

애플은 맥을 감염시킨 플래시백 바이러스를 탐지하고 제거할 수 있는 도구를 개발중이라고 화요일에 발표했다.   850만 대의 PC와 맞먹는 약 60만대의 맥이 지난해 발견된 플래시백 트로이 봇넷에 감염됐다. 봇넷은 사용자가 프로그램을 실행할 때 원래 어도비 플래시로 업데이트하는 것을 가장하면서 기기를 감염시킨다. 그러나 기존 악성 코드는 사용자의 실행을 필요로 하지만, 현재 버전은 사용자의 반응이나 암호를 요구하지 않는다.     애플은 사용자의 컴퓨터에서 플래시백을 제거하기 위한 목적으로 불과 며칠전에 보안 업데이트를 발표했지만, 이미 감염된 시스템에서 사용할 수 있는 툴은 현재 개발중이다.    애플은 자사 웹사이트에 “자바 취약점 이외에도 플래시백 악성코드는 악성코드 작성자에 의해 중요한 기능을 실행하는 호스팅되는 컴퓨터 서버에 의존하고 있다”며, “애플은 C&C(command and control) 네트워크를 사용하지 않도록 전세계 ISP와 함께 작업중”이라고 말했다.   하지만 애플은 언제 도구를 사용할 수 있을지 언급하지 않았다. 애플은 사용자가 애플의 업데이트를 기다리는 동안, 맥 OS X v10.5 또는 이전 버전들이 웹 브라우저에서 자바를 사용하지 않도록 맥 사용자에게 제안한다. 보안 업체인 카스퍼스카이(Kaspersky)는 플래시백을 감지하고 제거할 수 있는 무료 도구를 개발했다. editor@itworld.co.kr

악성코드 애플 2012.04.12

맥 악성코드 감염...무료 플래시백 검사 도구 등장

한 맥 개발자가 애플의 컴퓨터에 플래시백(Flashback) 악성코드가 감염된 것을 감지하는 도구를 등록했다.   이 도구는 38KB의 작은 소프트웨어로, 캔자스에 위치한 GPS 기기 업체인 가민 인터내셔널(Garmin International)의 소프트웨어 엔지니어인 후안 리온이 만들었다. ARS 테크니카(Technica)가 처음으로 리온의 플래시백 검사기를 보도했다. 이 툴은 지난달 보안 업체인 F-시큐어가 설명한 악성 코드 탐지를 위한 지루한 과정을 자동화해 악성 프로그램을 찾아낸다. F-시큐어가 설명한  프로세스는  맥 OS X의 명령어 유틸리티인 터미널에서 여러 가지 명령을 입력해야만 하는 것이었다. 플래시백 검사기가 실행되면, ‘감염 흔적을 찾을 수 없다’를 보여주거나 악성코드가 맥에서 일으킨 변경 사항을 감지하면 추가 정보를 제공한다. 운이 안좋은 사용자들은 프랑스 업체인 인티고(Intego)와 핀란드 업체인 F-시큐어의 맥 안티바이러스 무료 30일 평가판인 상용 보안 소프트웨어를 사용해 플래시백을 제거하거나 F시큐어가 제시하는 수동 제거 방법을 사용해야 한다. 러시아 보안 업체인 닥터웹은 플래시백 감염 상태을 보여준 첫 번째 업체로, 2% 정도의 맥이 악성코드에 감염됐다고 밝혔다.   닥터 웹은 플래시백을 감지하는 데 다른 기법을 이용했다. 닥터 웹의 툴은  맥 자체를 검사하기 보다는 해커 C&C(Command-and-Control) 서버를 징발한 후, 감염된 맥의 UUID(Universally Unique Identifiers) 목록에 기계의 UUID를 비교한다.   플래시백은 지난 해 9월 이후에 모습을 나타내고 있다. 하지만 지난 몇주동안 악성코드는 오라클 자바에서 패치의 취약점을 악용한 ‘드라이브 바이’ 공격를 통해 은밀하게 확산됐다.  ...

악성코드 플래시백 2012.04.10

봇 감염된 맥 60만 대 발견···닥터웹 주장에 "반신반의"

지난 해 보안 애널리스트들에 의해 발견된 맥 트로이 목마 프로그램이 무려 60만 대의 애플 컴퓨터를 감염시켰다고 러시아의 안티바이러스 업체 닥터웹(DR.Web)이 밝혔다. 애플은 이번 주 들어 해커들이 BackDoor.Flashback.39 trojan을 본격적으로 확산시키지 시작하자 취약점 패치를 내놓았으며, 대부분의 감염된 맥은 미국과 캐나다에 있는 것으로 알려졌다.   전체 중 56%의 감염된 맥 컴퓨터는 미국에 있고, 캐나다에 20%, 그리고 영국에 13%가 있으며, 일본과 호주, 그리고 다른 유럽국가의 비율은 1% 이하인 것으로 나타났다.   닥터웹은 “시스템은 감염된 자원이나 트래픽 분산 시스템에 이해 가짜 사이트로 재연결되면서 감염되고 있다”며, “악성 코드를 담은 자바 애플릿을 로드하는데 자바스크립트 코드가 사용되고 있다. 닥터웹의 바이러스 애널리스트가 이 코드가 있는 많은 수의 웹 사이트를 발견했다”고 밝혔다.   감염된 웹사이트 목록의 대부분은 도메인이 .nu로 태평양 중남부의 섬나라 니우에(Niue)의 것이다.    지난 2월부터 해커는 악성 프로그램 배포를 위해  취약점을 악용하기 시작한 것으로 나타났으며, 3월 16일에는 다른 파헤치기 시작했으며, 3월 16일 이후에는 다른 코드를 사용하기 시작했다. 애플은 이 취약점을 4월 3일에 없앴으며, 감염되지 않은 사용자들은 운영체제를 업데이트할 것을 권고받았다.   닥터웹은 악성 코드는 실행 가능한 파일을 감염된 맥의 하드디스크에 저장하고, 이 파일이 원격지 서버에서 악성 프로그램을 다운로드해 실행시킨다고 설명했다. 닥터웹은 싱크홀 기술을 사용해 봇넷 트래픽을 자사의 서버로 유도해 감염된 호스트의 수를 계산했는데, 미국으로부터 30만 대 이상이 나왔고, 274곳은 애플 본사가 있는 쿠퍼티노였다.   ...

트로이목마 감염 2012.04.06

애플 맥 노린 플래시 트로이목마 위협 증가

애플 맥 사용자들은 플래시백(Flashback) 자바 트로이목마의 새로운 변종에 주의하라는 경고를 받아왔다. 이 변종 트로이목마 프로그램은 이미 맥 OS X 10.6 스노우 레오파드를 구동하는 시스템 상당수를 감연시킨 것으로 알려져 있다.   맥 보안 전문업체인 인테고(Intego)에 따르면, 새로운 변종인 Flashback.G는 소셜 엔지니어링 기법의 정교함에서 흥미로운 발전 과정을 보여준다.   Flachback.G는 우선 한두 개의 공통적인 취약점을 가진 자바 버전을 구동하는 맥을 노린다. 하지만 자바를  패치했거나 자바를 설치하지 않은 맥인 경우에는 애플로부터 디지털 인증을 수락할 것을 요청하는 대화창을 띄운다.   이런 가짜 메시지에 속아 넘어가면 브라우저 로그인 과정을 가로채는 악성 프로그램 설치가 진행된다. 이 프로그램은 은행 사이트나 페이팔, 웹메일 등 패스워드로 보호되는 웹 사이트에 심각한 위험을 초래한다.   인테고에 따르면, 맥의 감염 여부는 사파리나 스카이프와 충돌이 잦아지는 것으로 확인할 수 있으며, ~/Library/Caches에서 자바 애플릿으로 확인할 수도 있다.   물론 윈도우 플랫폼과 비교할 때 맥은 여전히 악성 프로그램 감염 위험도가 매우 낮지만, 애플은 이제 정교한 자바 악성 프로그램을 실제적인 위협으로 파악하고 있는 것으로 보인다.   지난 주 애플은 맥 OS X의 새로운 버저인 마운틴 라이온의 프리뷰 버전을 공개하면서 ‘게이트키퍼(Gatekeeper)’ 보안 기능을 소개했는데, 이 기능은 애플리케이션 공급업체가 운영체제 상에 특정 형식의 앱을 설치하는 것을 차단하는 역할을 한다.   플래시백은 2011년 중반 어도비 플래시 플레이어를 가장한 가짜 앱으로 처음 등장했다.  editor@itworld.co.kr

트로이목마 OSX 2012.02.27

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.