Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

봇넷

노조미 네트웍스, ‘OT/IoT 보안 트렌드 및 예측 동향’ 보고서 발표 "악성 IoT 봇넷 활동 증가"

노조미 네트웍스는 노조미 네트웍스 연구소의 최신 ‘OT/IoT 보안 보고서’를 발표했다. 이 보고서에 의하면 와이퍼 악성코드, IoT 봇넷 활동 및 러시아/우크라이나 전쟁이 2022년 상반기에 위협 환경에 가장 큰 영향을 미친 것으로 나타났다.   러시아가 2022년 2월 우크라이나 침공을 시작한 이후, 노조미 네트웍스 연구소 연구원들은 핵티비스트, 국가 APT, 사이버 범죄자를 포함한 여러 유형의 위협 행위자들의 활동을 탐지했다. 그들은 또한 와이퍼 악성코드의 강력한 사용을 관찰했으며, 산업 환경에서 일반적으로 사용되는 IEC-104 프로토콜을 악용하기 위해 개발된 ‘Industroyer2’라는 Industroyer 변종의 출현을 목격했다.   또한 2022년 상반기에는 악성 IoT 봇넷 활동이 증가하고 정교해졌다. 노조미 네트웍스 연구소는 위협 행위자가 IoT를 표적으로 삼는 방법에 대한 추가 통찰력을 제공하기 위해 이러한 악성 봇넷을 유인하고 활동을 캡처하기 위해 일련의 허니팟을 설정했다. 이 연구에서 노조미 네트웍스 연구소 분석가는 최종 사용자 자격 증명을 위한 하드 코딩된 암호와 인터넷 인터페이스 모두에 대해 증가하는 보안 문제를 발견했다.  2022년 1월부터 6월까지 노조미 네트웍스 허니팟은 ▲3월은 5,000개에 가까운 고유한 공격자 IP 주소가 수집된 가장 활동적인 달로 꼽혀 ▲상위 공격자 IP 주소는 중국 및 미국과 연결되고 ▲"root" 및 "admin" 자격 증명은 위협 행위자가 모든 시스템 명령 및 사용자 계정에 액세스하는 방법으로 가장 자주 표적이 되고 다양한 변형으로 사용되었다는 사항들을 발견했. 취약성 측면에서 보면 제조 및 에너지 산업이 가장 취약한 산업이고, 그 다음으로 의료 및 상업 시설을 꼽을 수 있다.  2022년 첫 6개월 동안은 ▲CISA는 2021년 하반기보다 14% 감소한 560개의 CVE(Common Vulnerabilities and Exposures)를 발표했고 ▲영...

노조미 네트웍스 봇넷 보고서 2022.09.07

리눅스 악성코드 ‘판찬’ 등장 “아시아 지역과 교육 업계 피해 증가”

SSH 무차별 대입 공격으로 리눅스 서버를 감염시키는 새로운 악성코드 ‘판찬(Panchan)’이 등장했다. 아카마이 연구원에 따르면 판찬은 고 언어로 작성됐으며 지난 3월 말 처음 발견됐다. 현재까지 다양한 국가의 서버를 마비시키고 있는데, 그중에서도 아시아 지역과 교육 업계의 피해가 가장 큰 상황이다.    아카마이는 “패스워드가 허술하게 설정된 곳이나 훔친 SSH 키를 활용해 내부망을 이동하는 식의 공격에 취약한 곳에서 피해를 입고 있다”라며 “대학은 일반 회사보다 서로 협업할 기회가 많은데, 특정 기기의 접근권한을 주기 위해 정보를 넘겨주는 과정에서 문제가 발생했 수 있다”라고 설명했다.  실제로 아카마이가 피해 상황을 조사한 결과, 피해 학교는 같은 지역에 소속돼 있는 경우가 많았다. 스페인에 있는 대학이 서로 감염되거나, 대만이나 홍콩 등 같은 언어권 내 학교가 피해를 입는 식이다. 판찬은 악성코드 중에서도 웜에 해당해서 스스로 복제해 다른 컴퓨터로 자동으로 옮겨가는 특징이 있다. 공격 방식은 SSH 원격 액세스 서비스에 무차별 대입 공격을 시작해 사용자 이름 및 암호 조합을 추측하거나, 감염된 시스템에서 인증된 SSH 키를 찾아 탈취하는 식으로 진행된다. 아카마이는 “판찬은 홈 디렉토리를 통해 SSH 정보와 키를 찾는다. ~HOME/.ssh/id_rsaand 주소에 있는 프라이빗 키를 찾고 ~HOME/.ssh/known_host 주소 아래에 있는 IP 주소를 통해 침투한다. 다른 악성코드에서는 시도하지 않았던 새로운 계정 탈취 방식이다”라고 밝혔다.  판찬은 새로운 기기에 접근한 이후 루트 디렉토리 아래 새로운 폴더를 생성한다. 폴더명은 임의로 정해지며 xinetd라는 이름의 악성 파일을 해당 폴더 안에 복제해둔다. 이후 연결된 다른 컴퓨터에서 악성코드가 실행되며, 감염된 기기들은 서로 통신하며 필요한 지시를 내리거나 설정을 바꾼다. 통신 채널은 TCP 포트 1919로, 악성코드는 iptables 명령어...

봇넷 판찬 악성코드 2022.06.16

아시아 태평양 위협 보고서 2022 : 한국을 중심으로

지난 2년 동안 IBM Security X-Force 연구소 분석에 따르면, 전세계적으로 기업을 위협하고 있는 랜섬웨어 (Ransomware) 와 IoT(Internet-of-Things) 봇넷은 한국을 비롯하여 아시아 지역에 대표적으로 조직에 영향을 미치는 주요 보안 위협 중 하나로 꼽히고 있습니다. 이와 더불어 정부 기관 뿐 아니라 상업 기업의 지적 재산을 훔치기 위해 활발하게 활동하고 있는 여러 국가주도 사이버 공격 그룹도 추가로 확인되고 있습니다. 이러한 아시아 태평양 지역을 주요 목표로 설정하는 공격그룹들의 관심과 시도가 한국 기업들에게 지속적인 위험이 될 것입니다. X-Force 연구진은 아시아 태평양 지역에 대한 위협을 관찰하면서 최근 3년의 기간 (2019년 1월~2021년 12월) 에 대한 위협 정보를 분석했습니다. 수집 정보는 X-Force 침해사고대응팀에서 수행된 침해 대응 활동 뿐 아니라, 관제팀에서 모니터링된 서비스 및 엔드포인트 등 다양한 정보를 기반하고 있습니다. 이 수집 정보를 기반으로 IBM X-Force연구소는 사이버 위협 현황을 평가하고, 기업이 진화하는 위협, 연관된 위험 및 사이버 보안 과제에 대한 우선순위를 결정하는 방법을 이해할 수 있도록 지원합니다. <19p> 주요 내용 - 아시아 태평양 지역 대상 주요 공격 유형 - 초기 침입 경로 - 운영 기술(OT)에 대한 위협 - 한국을 겨냥한 주요 위협 그룹

랜섬웨어 봇넷 위협그룹 2022.05.26

"악명 높은 '이모텟' 봇넷, 새로운 공격 전술 테스트 중" 프루프포인트 조사

보안 업체 프루프포인트(Proofpoint)에 따르면, 악명 높은 사이버 위협 이모텟(Emotet)의 운영진이 대규모 공격 캠페인이나 선별적이고 제한된 공격에 대비한 새로운 형태의 공격 기법을 테스트하고 있는 것으로 나타났다. 프루프포인트는 이모텟 운영진이 활동을 쉬면서 대규모 캠페인을 벌이지 않는 동안 이런 테스트를 진행했다고 밝혔다.    그간 이모텟은 윈도우 플랫폼을 악용해 악성 프로그램을 배포했다. 2021년 1월 여러 국가의 법 집행기관의 협력으로 작동을 중단하기 전까지 이모텟은 가장 활발히 활동하던 대표적인 사이버 위협이었다. 10개월간 자취를 감춘 이모텟은 2021년 11월 다시 등장했으며, 지금까지 여러 국가에서 수천 명의 사용자를 공격 목표로 삼았다. 프루프포인트에 따르면 일부 캠페인에 사용된 악성 메시지의 양이 100만 건을 넘는 경우도 있었지만, 2022년 4월 4일부터 19일 사이 감지된 활동은 이모텟의 전형적인 공격 행위에서 상당히 이탈한 형태였다. 과거 이모텟을 운영한 것으로 알려진 사이버 위협 집단 TA524의 행위로 추정된다. 프루프포인트는 이모텟을 배포하려는 적은 양의 이메일을 감지했다. 해당 발신자 이메일은 손상된 것으로 파악됐으며 이모텟 스팸 모듈에서 발송된 이메일이 아니었다. 프루프포인트는 “이메일 본문에는 원드라이브 URL 외에 다른 내용은 없었다. 원드라이브 URL은 XLL 파일이 포함된 zip 파일로 호스팅되며, zip 아카이브와 XLL 파일은 이메일 제목인 ‘Salary_new.zip’과 동일했다. 이 아카이브에는 “Salary_and_bonuss-04.01.2022.xll”라는 이름의 동일한 XLL 파일의 복사본 4개가 포함되어 있었다. 해당 XLL 파일을 실행하면 Epoch 4 봇넷을 활용해 이모텟을 설치 및 실행된다”라고 설명했다. 프루프포인트는 과거 이모텟 캠페인에서 관찰된 전술과 최근 감지한 활동의 차이점을 다음과 같이 설명했다.   규모가 적음. 일반적으로 이모...

이모텟 봇넷 TA542 2022.04.27

"봇넷의 API 공격에 대비하라" 대부분 기업이 대비하지 못한 이유

기업들이 애플리케이션을 클라우드로 이전하면서 API(Application Programming Interfaces)를 통해 제반 컴퓨팅 기능이 노출되고 범죄자는 새롭게 노출된 공격 표면을 신속히 악용했다. 공격자는 봇넷을 이용해 공격 범위와 효율을 극적으로 증가시킬 수 있다. 새로운 기술이 나올 때마다 그랬듯이 보안은 뒤쳐져있다.    경영컨설팅 업체인 에이릿(AArete)의 기술 사업부 총괄인 존 캐리는 "기업은 보안 비용을 전략적으로 사용해야 한다"며, "안티-봇(anti-bot) 기술에 대한 투자는 기업에게 익숙하지 않은 것이 보통이다. 도구와 스킬의 수요가 높고 갈수록 비싸지고 있다. 마찬가지로 위협 지형도 확장되고 있다. 수익성이 높은 범죄 분야이기 때문이다”라고 설명했다.   악화되는 봇넷 API 공격   올해 초 보안업체인 라드웨어(Radware)와 오스터만 리서치(Osterman Research)가 발행한 보고서에 따르면, 98%의 기업이 2020년 자사 애플리케이션에 대한 공격을 경험했고, 82%는 봇에 의한 공격이 있었다. 대표적인 봇 공격 유형은 86%의 기업이 경험한 DoS(Denial of Service) 공격을 비롯해, 웹 스크래핑(web scraping, 84%), 계정 탈취(account takeover, 75%) 등이 있다.  API 보안은 설문에 응한 기업 가운데 55%가 ‘최고 우선순위’였고, 59%는 2021년에 ‘크게 투자할 것’이라고 응답했다. 봇 관리 도구를 이용한다고 밝힌 기업은 25%에 불과했다.  2022년에 걸쳐 59%의 기업이 API에 크게 투자할 계획이고, 51%가 웹 애플리케이션 방화벽에 투자할 계획이라고 말했지만, 봇 관리 도구에 투자할 계획이 있다고 말한 기업은 32%에 불과했다. 아울러 52%의 기업이 API 지속 배포(Continuous Delivery, CD)에 보안을 완전히 통합했고, 63%의 기업이 웹 애플리케이션에 보안을 통합했다. ...

API 봇넷 2021.07.05

법률 및 보험업종을 표적으로 한 ‘트릭봇의 귀환‘

류크(Ryuk) 등 랜섬웨어 공격을 가능케 했던 트릭봇(TrickBot) 봇넷의 새로운 방식은 악성 이메일 첨부파일이 아닌 이메일에 악성링크를 사용한다는 게 특징이다.   트릭봇 봇넷을 파괴하려는 보안업계의 노력에도 불구하고 봇넷 운영자는 새로운 감염 캠페인을 통해 트릭봇넷을 되살리고 있다. 연구진이 관찰한 가장 최근의 캠페인은 법률 및 보험 회사를 표적으로 삼았다.  보안업체인 멘로 시큐리티(Menlo Security)는 1월 29일 보고서에서 “전 세계 멘로 시큐리티 클라우드 플랫폼에서 관찰한 가장 최근의 캠페인에서 공격자는 사용자가 트릭봇 악성코드를 클릭해 엔드포인트에 설치하도록 유도하는 흥미로운 유인책을 사용했다. 현재도 진행중인 이 캠페인은 북미 지역의 법률 및 보험 분야를 표적으로 하고 있다”라고 밝혔다.  뱅킹 트로이목마에서 크라임웨어 플랫폼으로 성장한 트릭봇  트릭봇은 2016년 기업과 소비자를 대상으로 100만 대 이상의 컴퓨터를 감염시켰다. 이 봇넷은 최근 몇 년 동안 전 세계 많은 기관과 기업을 강타한 고도로 정교한 랜섬웨어 작업인 류크와의 연관성으로 인해 종종 주목을 받았다.  트릭봇은 뱅킹 트로이목마로 시작했지만, 운영자가 감염된 컴퓨터에 대한 접근 권한을 자신의 악성코드를 배포하려는 다른 해커 그룹에 판매하는 크라임웨어 플랫폼(crimeware platform)으로 발전했다. 트릭봇의 가장 큰 고객은 바로 류크 조직으로, 류크에 감염되기 전에 종종 트릭봇 감염이 선행되는 이유가 바로 이 때문이다.   지난 10월 마이크로소프트는 법적 조치를 통해 트릭봇 명령 및 제어 서버를 운영하는 데 사용된 도메인을 압수한 다음, 다른 보안 공급업체 및 ISP와 협력해 서버를 장악했다. 11월 초까지 트릭봇 명령 및 제어 서버가 활성화되지 않았지만, 연구원들은 이 공격자가 수완이 좋아 봇넷을 재구축하려고 시도할 수 있다고 경고했다. 최신 트릭봇 캠페인, 악성 URL로 감염   ...

트릭봇 TrickBot 류크 2021.02.01

세계 최대의 봇넷 이모텟, 여러 국가의 협력으로 붕괴

몇몇 국가의 법 집행기관들이 공동작전을 펼쳐 세계 최대의 봇넷 가운데 하나인 이모텟(Emotet)의 명령 제어 인프라를 장악했다. 이 봇넷의 붕괴가 영구적일지는 아직 지켜봐야 하지만 보안 전문가에 따르면 긍정적인 신호임은 틀림없다.      유럽형사경찰기구(Europol, 유로폴)는 27일 “이번 작전은 네덜란드, 독일, 미국, 영국, 프랑스, 리투아니아, 캐나다, 우크라이나 간 협력의 결과이고, 국제적 활동은 유로폴과 유럽사법기구(Eurojust, 유로저스트)가 조율했다. 이 작전은 범죄 위협에 대한 유럽 다학제 플랫폼(European Multidisciplinary Platform Against Criminal Threats, EMPACT) 프레임워크 내에서 수행됐다”라고 밝혔다.  이모텟, 무엇인가?  이모텟(Emotet)은 2014년부터 운영을 시작했는데, 지난 수개월 동안 보안 제품에 의해 가장 흔하게 검출되던 악성코드 계열이었다. 이는 온라인 뱅킹 인증정보를 탈취하려는 데 주력하는 트로이목마 프로그램으로 시작했지만, 시간이 지나면서 다른 사이버 범죄 집단이 자체 악성코드를 전개하거나 감염된 컴퓨터에 접근하는 데 이용하는 악성코드 서비스 플랫폼(malware-as-service platform)으로 진화했다.   이모텟은 보안 업계가 TA542로 추적하는 집단에 의해 운영되고, 주요 고객 가운데 한곳은 트릭봇(TrickBot)의 배후에 있는 집단이다. 트릭봇은 악명높은 류크(Ryuk) 랜섬웨어를 유포하는 것으로 알려진 봇넷이다. 이모텟/ 트릭봇/ 류크의 관계는 보안 업계에서 잘 알려져 있고, 기업들은 네트워크 상의 이모텟과 트릭봇 감염을 심각하게 취급하라고 반복적으로 경고를 받았다. 랜섬웨어의 전조가 되는 봇넷이기 때문이다.   트릭봇 명령 제어 서버는 지난해 10월 마이크로소프트가 개별적으로 주도해 섬멸 작전을 펼쳤지만, 이 봇넷은 완전히 괴멸되지 않았다. 마이크로소프트의 작전 이후에...

이모텟 봇넷 악성코드 2021.01.29

이셋, 암호화 봇넷 ‘빅토리게이트’ 발견 

이셋의 국내 법인 이셋코리아(www.estc.co.kr)는 최근 이셋 연구원이 빅토리게이트(VictoryGate)라는 새로운 봇넷을 발견했으며, 이 봇넷의 일부를 중단시켰다고 밝혔다. 빅토리게이트는 2019년 5월부터 활동해 왔으며 감염된 장치의 90% 이상이 페루에 위치해 있다.  이 봇넷의 주요 활동은 모네로(Monero) 암호화폐 채굴이다. 피해자 중에는 금융 기관을 포함하여 공공 및 민간 부문 조직을 포함돼 있다. 이 연구 과정에서 입수된 데이터와 비영리 셰도우서버 파운데이션(Shadowserver Foundation)과 공유한 데이터 덕분에 봇넷 작업의 최소 일부가 중단됐다.  이셋 연구원들은 봇넷의 동작을 제어하는 여러 도메인 이름을 ‘싱크홀링’해 봇넷의 슬레이브 컴퓨터가 원하는 명령을 전송하지 않고 단순히 봇넷 활동을 모니터링하는 시스템으로 대체시켰다. 이 데이터와 이셋 원격 분석을 기반으로 이셋은 이 캠페인 기간 동안 적어도 3만 5,000개의 장치가 빅토리케이트에 감염된 것으로 추정하고 있다. 빅토리게이트를 전파하는 데 사용되는 유일한 감염 매개체는 이동식 장치이다.  이셋 연구원 아란 와버튼은 “피해자는 어느 시점에서 감염된 컴퓨터에 연결된 USB 드라이브를 받고, 감염되기 이전 포함된 이름과 아이콘이 동일한 모든 파일이 있는 것 같다”며, “이 때문에 내용은 언뜻 보기에 거의 똑같아 보이지만, 모든 원본 파일은 악성코드의 복사본으로 대체되었고, 이를 예상하지 않은 사용자가 이 파일 중 하나를 열려고 하면 스크립트는 의도한 파일과 악성 페이로드를 모두 연다”고 말했다.  이셋은 봇넷의 리소스 사용량이 매우 높아서 CPU 부하가 90%에서 99%로 일정하게 발생하며, 이로 인해 장치 속도가 느려지고 과열 및 손상이 발생할 수 있다고 경고했다.  이셋 조사에 따르면 빅토리게이트는 라틴아메리카 지역에서 관찰된 이전의 유사한 캠페인보다 탐지를 피하기 위해 많은 노력을 기울였다. 또한 봇마스터가 감...

봇넷 이셋 2020.04.29

빠르게 진화하면서 다양한 장치를 공격하는 신종 IoT 봇넷, "다크 넥서스"

한 보안 연구진이 지난 몇 개월 사이 빠르게 발전한 신종 봇넷을 추적하고 있다. 이 봇넷은 임베디드 장치를 공격 대상으로 하며 12가지 CPU 아키텍처에 따라 크로스 컴파일되는 바이너리를 사용한다.   보안업체 비트디펜더(Bitdefender)가 발행한 새 보고서에 따르면, 다크 넥서스(Dark Nexus) 봇넷은 Q봇(Qbot), 미라이(Mirai)와 같은 과거에 악명을 떨친 IoT 위협 요소에서 일부 아이디어와 기능을 차용했지만 대체로 한 악성코드 개발자가 새로 만든 봇넷으로 분류된다. 이 개발자는 유튜브를 비롯한 기타 소셜 미디어 웹사이트에서 분산 서비스 거부(DDoS) 서비스를 광고하는 것으로 유명하다. 다크 넥서스는 12가지 CPU 아키텍처에 따라 크로스 컴파일된다. 즉, 공유기, 디지털 비디오 레코더(DVR), 감시 카메라를 포함한 광범위한 장치를 감염시킬 수 있다. 최근 버전은 감염된 시스템에 SOCKSv5 프록시까지 배포해 해커가 DDoS 공격에 시스템을 악용하는 것 외에 악성 트래픽도 터널링할 수 있도록 한다. 빠르게 진화하는 다크 넥서스 비트디펜더는 지난해 12월부터 다크 넥서스 봇을 추적하기 시작했는데, 그 시점에 이미 버전 4였다. 이후 3개월 동안 다크 넥서스는 30회 이상 업데이트됐으며 최신 버전은 8.6이다. 개발자는 이 기간 동안 맞춤설정이 가능한 DDoS 공격 기법, 개선된 스캔 및 감염 루틴과 지속 메커니즘 등 계속해서 기존 기능을 개선하고 새로운 기능을 추가했다. 다크 넥서스 봇넷은 현재 규모가 작은 편으로 전 세계에 분산된 약 1,400개의 장치로 구성되지만 개발 속도가 워낙 빠르고 제작자의 경험도 풍부한 만큼(연구진은 이 개발자가 예전의 Q봇 기반 봇넷인 호호(hoho)를 개발한 것으로 추정함) 향후 심각한 위협이 될 수 있다. 비트디펜더의 위협 연구 및 보고 책임자인 보그단 보테자투는 “여전히 유지 관리될 뿐만 아니라 새로운 장치로 활발하게 확산되는 중”이라면서, “현재 사용되는 IoT 장치의 수가 2...

봇넷 Dark Nexus 다크넥서스 2020.04.10

새로운 공격에서 드러난 최신 스모민루 봇넷 변종의 비밀

웜처럼 작동하는 크립토재킹 봇넷 스모민루(Smominru)가 최근 8월에만 전세계적으로 4,900개가 넘는 기업 네트워크가 피해를 입었다. 피해 컴퓨터의 대다수는 소형 서버였으며 윈도우 서버 2008 또는 윈도우 7을 실행 중이었다.   스모민루는 2017년 처음 등장한 봇넷이다. 스모민루의 변종들은 헥스멘(Hexmen), 마이킹즈(Mykings) 등의 다른 이름으로도 알려져 왔다. 스모민루는 인증정보 탈취 스크립트, 백도어, 트로이 목마, 암호화폐 채굴기 등의 페이로드를 다수 전송하는 것으로 유명하다. 카본 블랙(Carbon Black) 소속 연구진이 8월에 기록한 스모민루의 최신 변종은 다양한 전파 방법을 사용한다. 이 가운데 이터널블루(EternalBlue )라는 악용 방식은 과거에 낫페트야, 워너크라이와 같은 랜섬웨어 웜들에 의해 사용되었고 2017년 이후부터 알려져 보안 패치가 적용된 바 있다. 스모민루 봇넷은 새로운 컴퓨터에 접근하기 위해 MS-SQL, RDP, 텔넷과 같은 다양한 프로토콜에 인증정보를 무차별 대입(brute-force)하는 공격도 사용한다.  최근 보안업체 가디코어(Guardicore)의 연구진은 피해자의 상세 기밀정보가 저장된 스노민루의 핵심 명령제어 서버 가운데 한 곳에 액세스했다. 그 결과, 피해를 입은 컴퓨터와 네트워크에 대한 정보를 수집하고 스모민루가 끼친 피해 정도를 가늠할 수 있었다. 스모민루는 전세계적으로 4,900개가 넘는 네트워크의 컴퓨터를 하루 4,700대 꼴로 약 9만 대를 감염시킨 것으로 드러났다. 이들 네트워크 중 다수는 수십 대의 컴퓨터가 피해를 입었다. 감염된 컴퓨터가 가장 많은 국가는 중국, 대만, 러시아, 브라질, 미국이었다. 스모민루 공격은 특정 조직이나 업계를 표적으로 삼지는 않지만, 미국에서는 고등 교육기관, 의료업체, 심지어는 사이버보안 업체까지 피해를 입었다고 가디코어는 밝혔다. 피해 컴퓨터의 절반 이상(55%)은 윈도우 서버 2008을 실행 중이었고 약 1/3...

봇넷 크립토재킹 Hexmen 2019.09.20

제네시스 스토어, 지문인식과 카드정보 묶어 파는 다크넷 시장

연구진들이 초대장을 받아야만 이용할 수 있는 토르(Tor)로 감춰진 마켓플레이스를 찾아냈다. 이 마켓플레이스에서는 도난 신용카드의 세부정보를 도난 피해자의 기기 지문과 묶어서 제공해 구매자는 이를 이용하여 수많은 이상금융거래 탐지 시스템을 피해갈 수 있게 되었다.   제네시스 스토어는 현재 6만 개에 달하는 도난 프로필 패키지를 미화 5~2,000달러에 판매하고 있다. 여기에는 브라우저 지문인식, 웹사이트 사용자의 로그인 정보와 비밀번호, 쿠키 정보, 신용카드 정보 등이 포함되어 있다.  구매자는 특정 웹 사이트, 피해자의 국가, 운영체제, 또는 프로필이 다크넷 마켓에 처음 올라간 날짜의 로그인 정보 및 비밀번호를 필터링할 수 있게 해주는 검색 패널을 통해 프로필을 쇼핑할 수 있다.  카스퍼스키의 세르게이 로즈킨 선임 보안연구원은 최근 싱가포르에서 열린 보안 애널리스트 서밋에서 “악당들이 구매하는 작은 패키지인데 이제 당신도 그 악당이 될 수 있다”고 밝혔다.  이로 인한 잠재적인 피해는 상당할 것으로 우려된다. 합법적인 온라인 쇼핑객과 사기범을 구별하기 위해 사기 방지 시스템은 통상 쇼핑객의 디지털 지문을 인증하는 메커니즘을 사용한다. 이 '지문'에는 사용자의 기기에 저장된 100개가 넘는 속성들이 들어있을 수 있다. 예를 들어, IP주소(외부 및 로컬), 화면 정보(화면 해상도나 창 크기 등), 펌웨어 버전, 운영체제 버전, 설치된 브라우저 플러그인, 시간대 등이 전부 담겨있을 수 있다.   카드가 과거에 사용했던 기기와 동일한 기기에서(그리고 동일한 지문으로) 사용된다면 결제에는 아무런 문제도 없다.  로즈킨은 “마스크 뒤에 숨어있는 사용자는 합법적인 사용자로 인식되고 제공된 은행 카드를 이용한 구매 시도와 같이 그 사용자의 쿼리도 승인될 것이다“고 말했다.  로즈킨에 따르면, 기기를 모방한 도용이 더욱더 쉽게 이뤄지도록 ...

봇넷 토르 크리덴셜 2019.04.16

트위터, 사우디 정부 옹호하는 봇넷 대규모 적발 후 사용 중지해

NBC 뉴스는 지난주 트위터가 사우디 아라비아 언론인 자말 카쇼기 살인 사건과 관련해 사우디 아라비아 정부를 지지하는 메시지를 트위터로 내보내는 활동을 벌이는 수백 개의 계정을 발견해 사용을 중지했다고 보도했다. 봇넷은 개인이나 단체가 내보내는 명령을 따르는 봇 집단이다. 트위터에서는 보통 수백 개의 위조 계정 그룹으로 특정 사안에 대한 메시지를 대중에 전파하는 역할을 담당한다. 미국 대통령 선거에서는 도널드 트럼프 당시 후보를 지지하는 내용을 업로드하고, 최근에는 사우디 아라비아 정부를 지지하는 내용의 트윗을 발행한 것이 발견됐다. 트위터 가이드를 참고해서 최대한 가이드를 준수하고 있는지 살펴보는 것도 좋은 기회가 될 것이다. 이번에 발견된 트위터 봇넷은 트위터 ToS를 위반했지만, 최근 네트워크 봇은 더욱 교묘하게 신원을 감추고 있다. 보통은 특정 주제에 대해 활발히 활동하는 봇을 찾아낼 수 있다. 트위터에서는 일반적인 해시태그로 많은 노출을 꾀하고 여론이 흘러가는 방향을 제어하는 경향이 있다. 이 특정 봇은 얼마간 트위터에서 활동하며 사용자들 눈에 띄었다. 봇 운영자들이 더욱 정교하고 실용적이며 효율적으로 변화하는 양상을 보여준다. editor@itworld.co.kr 

봇넷 트위터 2018.10.23

"CCTV, 공유기가 인터넷을 다운시켰다"…'미라이 봇넷' 설명

2016년 10월 12일, 대규모 DDoS(Distributed Denial of Service) 공격으로 인해 미국 동부 해안 지역은 인터넷에 접속할 수 없었다. 사건 초기 미국 당국은 이것이 적대적 국가의 소행이 아닐까 우려했지만, 사실 이는 미라이(Mirai) 봇넷의 소행이었다. 초기에는 아주 소소하게 시작된 이 공격은 자체 제작자가 이루려고 했던 것보다 훨씬 강력한 공격력을 발휘했다. 결국 미라이 봇넷 사건은 의도하지 않은 결과와 예상치 못한 보안 위협에 대한 이야기이며, 이는 현재에도 많은 것을 시사한다. 이를 이해하기 위해서는 약간의 배경 지식이 필요하다. 봇넷의 작동 방식 이에 대한 세부 정보를 얻으려면 배경 기사부터 우선 읽어보자. 간단히 말해 봇넷은 외부의 원격 제어 하에 있는 인터넷에 연결된 컴퓨터, 봇(bots)의 모음이다. 일반적으로 공격자는 해킹한 이 컴퓨터를 소유자가 알지 못하는 사이에 외부에서 기능의 일부를 제어하는 것이다. 많은 봇이 연결되어 있는 봇넷은 기본적으로 컨트롤러(controllers)를 통해 접근해 범죄 목적으로 사용할 수 있으며, 이 봇들은 인터넷에 다양하게 분산되어 있기 때문에 이를 멈추기가 어렵다. 첫 번째 봇넷은 2001년에 만들어졌는데, 스팸을 보내는 용도로 쓰였다. 스팸 보내기는 지금까지도 봇넷의 일반적인 사용법이다. 원치 않는 메시지가 너무 많은 컴퓨터에서 전송되기 때문에 스팸 필터로 차단하기가 어렵다. 또다른 봇넷의 사용처는 DDoS 공격에서 병사로 쓰이는 것이다(미라이 봇넷이 바로 그 예다). 표적이 된 서버가 오프라인이 될 때까지 웹 트래픽으로 폭격하는 것이다. 봇넷 만드는 법 전통적으로 봇넷은 여러가지 취약점이 있는 가정용 PC를 해킹함으로써 만들어졌다. PC는 보호되지 않은 네트워크 포트를 통해, 또는 트로이 목마나 스팸으로 확산되는 악성코드를 통해 해킹당할 수 있다. 이를 통해 백도어를 열어 공격자가 접속할 수 있게 한다. PC가 해킹당하면 ...

봇넷 DDos 미라이 2018.03.13

“봇넷 없는 세상은 불가능한가” 봇넷의 정의와 단시일 내의 근절이 어려운 이유

봇넷은 목표 시스템을 교란시키거나 침입하려는 국가, 사이버 범죄 조직, 또는 개인에게 일종의 전력 승수(force multiplier) 역할을 한다. 봇넷은 해커에게 잠식당한 상태로 인터넷에 연결된 모든 기기들의 집합이다. 주로 DDoS(distributed denial of service) 공격에 사용되지만, 그 밖에도 집합적 컴퓨팅 역량을 악용해 대규모 스팸 정송, 개인 정보 탈취, 그리고 개인 및 기관에 대한 스파이 행위에도 이용되기도 한다. 봇넷이 생성되는 절차는 단순하다. 연결 기기를 악성코드에 감염시켜 C&C(command and control) 서버를 통해 이를 제어하는 것이다. 일단 네트워크 상의 특정 기기를 감염시키는 데 성공하고 나면, 동일 네트워크상에 있는 취약성을 가진 모든 기기를 감염시킬 수 있게 된다. 봇넷 공격의 피해는 그야말로 막심하다. 지난해 미라이(Mirai) 봇넷 공격으로 트위터, 넷플릭스, CNN을 비롯한 주요 웹사이트가 전부 차단되고, 러시아는 주요 은행들이, 라이베리아는 국가 전체가 영향을 받았다. 미라이 봇넷은 보안 카메라 등 보안이 허술한 사물 인터넷 기기에 악성코드를 설치하고 인터넷 트래픽을 라우팅하는 DYN 서버를 공격하는 방식으로 이루어졌다. 이 사건으로 봇넷의 위험성을 인지하게 된 산업체, 기기 제조사들, 규제 당국, 통신사들, 그리고 인터넷 인프라 공급기관들은 일제히 감염된 기기를 식별하고 분리해서 제거하거나 패치했으며, 미라이 봇넷과 같은 봇넷이 다시는 생성될 수 없도록 신속하게 조치를 취했다…. ...라고 쓸 수 있으면 좋겠지만, 그런 일은 일어나지 않았다. 현실은 그 후에도 봇넷 공격이 수 차례 지속됐다. 지난 주 공개된 아카마이 인터넷 보안 보고서에 따르면, 봇넷은 여전히 건재할뿐 아니라 갈수록 더 영리하고, 끈질기게 진화하고 있다. 일례로 오늘날 해커들은 패스트 플럭스 DNS(Fast Flux DNS)를 사용해서 피해자가 추적할 시간조차 주지 않고...

봇넷 악성코드 DDos 2017.12.11

봇넷의 이해와 사이버범죄의 공범이 되지 않는 방법

보안 인텔리전스 플랫폼 체크포인트 리서치(Check Point Research)는 전 세계의 인터넷 서비스를 파괴할 수 있는 사이버 태풍으로 확산될 수 있는 리퍼(Reaper)라는 새로운 봇넷에 대한 심각한 경고를 발표했다. 리퍼의 가장 무서운 점은 사용자가 알지 못하게 PC, 스마트폰, 공유기, 또는 기타 인터넷 지원 기기들을 이미 제어하고 있을 지 모른다는 것이다. 이 기사에서는 봇넷의 위험성을 설명하고 새롭게 등장한 봇넷인 리퍼의 진정한 위협으로부터 자신의 기기를 보호할 수 있는 방법을 제시한다. 간단히 요약한다면 포르노 사이트를 멀리하고 인기 미국 드라마 왕좌의 게임의 해적판을 다운로드하지마라는 것이다. 봇넷의 이해 봇넷은 하나의 PC로 제어되는 대규모 온라인 기기 모음이다. 일반적으로 봇넷은 PC, 공유기, 스마트폰, 웹캠, 태블릿 등을 악성코드에 감염시켜 이를 함께 사용하는 것이다. 봇넷의 가장 악랄한 부분은 악성코드가 뒤에서 조용히 실행되어 악의적인 활동에 이용하기 때문에 사용자 본인은 자신의 기기가 봇넷의 일부인지조차도 모르는 데 있다. 봇넷은 DDoS(Distributed Denial of Service) 공격이라고 하는 특정 온라인 서버를 표적으로 다운시키거나 대규모 스팸 캠페인을 전달하는 데 사용할 수 있다. 또한 사용자는 자신의 기기에 있는 악성코드를 인식하지 못하기 때문에 사생활 침해 사기에 사용할 수 있는 개인정보를 쉽게 도용당할 수 있다. 최악의 경우, 사이버범죄자는 봇넷을 만든 다음, 가장 높은 입찰자에게 판매할 수도 있다. 그러면 가장 높은 가격을 부른 입찰자가 이 네트워크를 사용해 전 세계에 심각한 범죄를 저지른다. 지난해 미라이 봇넷(Mirai botnet)이 엄청난 수의 공유기를 동원해 합동 공격을 펼쳐 미국에서 대규모 혼란을 초래해 무력화시켰을 때, 봇넷에 의한 위협의 윤곽이 드러났다. 미라이는 이런 기기의 보안 설정에 있는 간단한 취약점을 악용했지만, 이 리퍼는 현재 훨씬 ...

봇넷 공유기 사이버범죄 2017.11.01

미라이 백신, 취약한 IoT 디바이스 보호…전염병 접근 방식 AntibIoTic 프로젝트

지난 해 100만 대의 봇이 동원된 미라이 DDoS 공격이 일어나면서 정교하지 않고 제대로 보안도 되지 않은 IoT 디바이스의 위험성이 현실로 떠올랐다. 그리고 이들 디바이스의 많은 수가 여전히 위협으로 남아 있다. 보안 연구원들은 이 문제에 대한 원조 솔루션을 제시했다. 이들 디바이스의 취약점을 이용해 디바이스를 보호하는 화이트 웜(White Worm)을 주입하는 것이다. 전염병학의 접근 방식으로, 약한 질병에 면역 체계를 노출해 백신으로 면역을 키우는 것이다. 이들 디바이스가 여전히 위협으로 남아 있는 이유는 일부 디바이스는 하드코딩된 백도어 때문에 수정할 수 없기 때문이다. 어떤 제품은 소프트웨어 업데이트 메커니즘 자체가 없어서 소프트웨어나 펌웨어의 취약점을 수정할 수 없다. 덴마크 기술대학과 스웨덴 오레브로 대학, 러시아 이노폴리스 대학의 연구팀은 미라이 웜과 그 C&C 시스템의 소스코드를 연구해 이런 예상치 못한 아이디어를 보고서로 제시했다. 미라이 소스코드는 처음 해크포럼에 발표된 이후 현재는 깃허브에도 올라와 있다. 소스 코드가 공개된 후 업계 전문가들은 이를 이용한 사이버 범죄자가 증가하지 않을까 우려하기도 했다. 하지만 반면에 소스 코드가 공개됐기 때문에 이를 막을 수 있는 화이트 웜도 만들 수 있었다. 새로운 접근 방법은 이들 IoT 디바이스가 안고 있는 위험성을 완화할 방법이 별로 없다는 점에서 설득력이 있다. 출시 일정에 쫓기는 개발자는 항상 컴퓨터 공학 보안 교과서에 나오는 대로 보안 기능을 만들지 않는다. 이 때문에 수십만 대의 디바이스가 보호 받지 못하는 상태로 방치되는 것이다. AntibIoTic란 이름의 화이트 웜 프로젝트는 미라이 봇 설계를 이용해 보안이 약한 디바이스에 대한 액세스와 제어권을 확보하고, 여기에 항생물질(antibiotic)에 해당하는 코드를 주입한다. AntibIoTic은 미라이 악성코드의 효율적인 확산 역량을 적극 이용하는 것이다. 일단 제어권을 확보하면, 화이트...

봇넷 취약점 백신 2017.08.29

모바일 기기를 공격하는 5대 신종 위협

사이버 범죄자들은 신형 무기와 구형 무기의 변종을 동원해 모바일 기기에 대한 공격을 강화하고 있다. 10년 전만 해도 모바일 악성코드는 있을 법하지 않은 신종 위협으로 간주됐다. 이런 위협으로부터 자신은 안전하다고 여기는 모바일 기기 사용자들도 많았다. 시간이 흘러 2017년이 된 지금 총 1,600만 건이 넘는 모바일 악성코드 사례 가운데 맥아피 연구소(McAfee Labs)에서 올해 1분기에만 발견한 신종 사례가 150만 건이 넘는다. 오늘날 모바일 기기에 대한 공격은 증가 일로에 있으며 누구도 안전하지 않다. 체크 포인트 소프트웨어(Check Point Software)의 디멘셔널 리서치(Dimensional Research)에서 실시한 설문 조사에서 모바일 기기 침해를 겪은 적이 있다고 응답한 회사의 비율은 20%에 달했다. 응답자 가운데 1/4은 공격을 겪었는지 여부조차 몰랐다. 거의 모든 응답자(94 %)가 모바일 공격의 빈도가 증가할 것으로 예상했으며, 79%는 모바일 기기를 안전하게 보호하는 것이 점점 어려워지고 있음을 인정했다. 체크 포인트의 모바일 위협 연구원 대니얼 파돈(Daniel Padon)은 "모바일 위협으로 입을 수 있는 타격에 대해 기업들의 인식이 점점 커지기 시작하고 있다"고 전제하고, "굴리건(Gooligan), 허밍배드(Hummingbad)와 같이 수많은 기기에 피해를 입히는 국가 수준의 실질적인 대규모 악성코드 공격과 이런 악성코드의 능력은 빙산의 일각에 불과하다"고 덧붙였다. 애플(Apple) 및 안드로이드(Android) 운영체제의 보안이 강화된 반면, 더욱 교묘하게 사용자를 현혹하는 신종 악성코드 역시 끊임없이 쏟아지고 있다. 게다가, 앱 설계 시 보안은 여전히 최우선 순위에서 밀려나 있다. 사용자로 하여금 인증 정보를 보이는 곳에 또는 약하게 암호화해서 저장하거나 전달할 수 있게 허용하는 앱들도 있다. 영국 보안업체 소포스(Sophos)의 수석 보안 ...

모바일 봇넷 스파이웨어 2017.08.04

성공적인 이커머스를 위한 CDN의 조건 : 글로벌, 비디오, 보안 - IDG Summary

끊임없이 성장하는 전자상거래 시장은 규모가 커지면서 기업 간의 경쟁도 치열해지고 새로운 시장과 서비스를 개척하려는 움직임도 끊임없이 일어나고 있다. 최근에는 국내 전자상거래 기업의 해외 진출과 비디오 커머스가 전자상거래 업계의 주요 관심사로 떠올랐으며, 보안 공격에 대한 우려는 점점 더 커지고 있다. 2017년 국내 전자상거래 시장의 주요 변화를 짚어보고 이에 동반되는 기술 및 서비스의 변화와 전자상거래 기업이 전략적으로 고려해야 할 사항을 살펴본다. 주요 내용 현실로 다가온 글로벌 경쟁과 비디오 전성시대의 개막 매출 감소로 직결되는 보안 공격 태생이 다른 슈퍼 POP 기반 CDN 원스톱 솔루션으로 비디오 커머스도 한번에 “공격 원천 봉쇄” 클라우드 기반 보안 서비스

봇넷 전자상거래 DDos 2017.03.30

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.