Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

악성코드

‘바자로더’ 가고 ‘범블비’ 왔다…새로운 악성코드 로더 주의보

일부 랜섬웨어 공격 집단의 초기 접근 조력자로 여겨지는 여러 위협 집단이 종전에 사용하던 1단계 악성코드 다운로더인 바자로더(BazaLoader), 아이스드아이디(IcedID) 대신 새로운 로더 ‘범블비(Bumblebee)’를 사용하고 있는 것으로 나타났다.   보안 업체 프루프포인트(Proofpoint) 연구팀에 따르면, 최소한 3곳의 랜섬웨어 공격 집단과 연관된 범블비 이메일 기반 배포 작전이 지난 3월 개시됐다. 코발트 스트라이크(Cobalt Striker), 실버(Silver), 미터프리터(Meterpreter)와 같은 침투 테스트 구성요소를 배포하는 데 사용됐다. 최근 몇 년간 공격자들은 수동 해킹이나 피해 네트워크를 통한 횡적 이동에 비슷한 종류의 공격 프레임워크와 이중 용도의 오픈소스 툴을 사용해왔다. 프루프포인트 연구팀은 보고서에서 “범블비는 정교한 다운로더다. 개발 극초기 단계임에도 불구하고 일반 다운로드 기능이 특별히 구현되어 있고 안티 가상화 검사 기능이 들어 있다. 위협 환경에서 범블비가 증가한 시기는 후속 해킹을 가능하게 하는 인기 페이로드 바자로더가 최근 프루프포인트 위협 데이터에서 사라진 시기와 일치한다”라고 말했다. 범블비 배포 방식 지금까지 범블비는 스피어 피싱 이메일을 통해 배포됐다. 온갖 미끼를 동원한 메시지를 사용해 피해자가 IOS 파일을 다운로드 후 실행하게 하면, 해당 파일에 심어진 범블비가 열리는 방식이다. IOS 파일은 광학 디스크의 파일 시스템 복사본을 디스크 이미지로 저장하기 위해 사용되지만 사실상 아카이브 형식이다.  지난 3월 TA579라는 위협 행위자의 소행으로 밝혀진 한 작전에서는 기업이 이용하는 온라인 문서 서명 서비스 도큐사인(DocuSign)의 알림으로 가장한 악의적인 이메일이 발송됐다. 메일에 포함된 ‘문서 검토(REVIEW THE DOCUMENT)’ 하이퍼링크를 클릭하면 마이크로소프트 원드라이브에서 압축 파일을 다운로드하게 된다. 이 압축 파일에는 ISO 파일이 들어 있었...

바자로더 아이스드아이디 범블비 2022.05.02

“악성 애드온을 막아라” 구글, 크롬 브라우저에 새 배지 적용

현실 세계에서와 마찬가지로 컴퓨터 보안 역시 끊임없는 경계와 감시가 필요하다. 그럼에도 너무나 많은 사용자가 다운로드할 수 있는 브라우저 확장 프로그램이 악성코드의 새로운 인자가 될 수 있다는 사실을 알지 못한다. 크롬 확장 프로그램에서 당황스러운 사고가 연이어 발생하자 구글은 자사의 공식 크롬 웹스토어에 새로운 툴을 추가했다.   4월 20일부터 크롬 웹스토어에는 확장 프로그램의 ‘선의’를 확인할 수 있는 두 가지 지표가 추가됐다. 웹사이트 주소 옆의 배지(Established Publisher)는 확장 프로그램 개발사가 구글에 의해 검증되었음을 보여준다. 프로파일에 있는 웹사이트의 소유자가 크롬의 개발자 프로그램 정책을 준수한다는 의미이다.  “추천” 배치는 확장 프로그램이 크롬 웹스토어의 권장 지침을 따르며, 웹스토어의 소개 페이지에서 적절한 이미지와 설명을 제공한다는 것을 보여준다. 이들 배지를 부여하는 과정은 크롬 웹스토어를 위한 공식 리뷰 프로세스를 보강한다. 구글은 웹스토어에 올라온 각 확장 프로그램을 검토하고, 주기적으로 점검 작업을 수행해 확장 프로그램의 업데이트에 사악한 것이 끼어들지 못하도록 한다.  PC에 무엇인가 새로운 것을 설치할 때는 주의를 기울이는 것이 좋다. 그것이 크롬 같은 중요 애플리케이션을 위한 작은 확장 프로그램이라도 마찬가지이다. 크롬 확장 프로그램을 설치하기 전에 두 가지 배지를 반드시 확인하기 바란다. editor@itworld.co.kr

크롬 웹스토어 확장프로그램 2022.04.22

“다음 먹잇감은 서버리스” AWS 람다 노리는 암호화폐 채굴 악성코드 등장

악성코드 제작자는 서버 지향적인 악성코드에 있어서는 시대의 변화를 놓치지 않는다. 특히 공격자는 자신이 노리는 기업이나 기관이 사용하는 기술을 적극적으로 도입한다. 최근 AWS 람다에서 동작하도록 만들어진 암호화폐 채굴 악성코드가 발견된 것도 이런 맥락에서 볼 수 있다. AWS 람다는 서버리스 컴퓨팅 플랫폼으로, 사용자가 제공하는 애플리케이션 코드를 온디맨드 방식으로 실행한다.   카도 시큐리티(Cado Security)의 연구팀은 보고서를 통해 “첫 샘플은 암호화폐 채굴 소프트웨어를 실행할 뿐이라 비교적 무해한 편이지만, 공격자가 첨단 클라우드 전문 지식을 사용해 복잡한 클라우드 인프라를 어떻게 악용하는지를 잘 보여준다. 미래에 일어날 수 있는 더 사악한 공격의 신호가 될 수 있다”고 설명했다. 이번에 발견된 데노니아(Denonia)라는 악성 코드는 구글의 고 언어로 작성되었으며, 리눅스용 64비트 ELF 실행 파일을 전달한다. 카도의 연구팀은 악성코드가 전달되는 방식에 대해서는 아직 정보가 없지만, 손상된 AWS 접근 인증서와 비밀키가 이용되었을 것으로 추측한다. 고 언어로 작성된 악성코드는 최근 몇 년 동안 증가 추세인데, 크로스 플랫폼 특성과 자체 실행 특성을 가진 악성코드를 만들기 쉽기 때문이다. 단점이라면 프로그램 실행에 필요한 모든 라이브러리를 포함해야 하기 때문에 바이너리 파일이 제법 크다.  또한 서버리스 컴퓨팅 플랫폼 자체도 여러 프로그램 언어로 작성된 코드를 지원하도록 만들어지기 때문에 악성코드를 배치하기 쉽다. AWS 람다는 자바, 고, 파워셸, Node.js, C#, 파이썬, 루비를 기본적으로 지원한다.  데노니아는 확실히 AWS 람다를 염두에 두고 만들어진 것으로, AWS가 자체적으로 만든 서드파티 오픈소스 고 라이브러리인 aws-sdk-go와 aws-lambda-go가 포함되어 있다. 더구나 실행될 때 LAMBDA_SERVER_PORT나 AWS_LAMBDA_RUNTIME_API 같은 특정 람다 환...

악성코드 맬웨어 암호화폐 2022.04.08

“또 하나의 바이러스” 팬데믹 속 악성코드 급증

사이버 보안 소프트웨어 업체 멀웨어바이트(Malwarebytes)가 지난 주 공개한 보고서에 따르면, 2020년 팬데믹이 잠잠해진 이후, 2021년에 개인과 조직을 겨냥한 악성코드가 급증했다. 보고서에서 전체 악성코드가 2020년보다 77% 증가한 것으로 나타났다. 기업과 소비자를 겨냥한 위협은 각각 143%, 65% 늘어 총 1억 5,200만 건 이상을 기록했다.   또한, 이번 보고서는 팬데믹 초기 안드로이드폰의 스파이웨어 탐지율이 1,600% 올랐지만 2021년에는 수치가 점점 감소했다고 밝혔다. 작년 동안 안드로이드 모니터링 앱 탐지 수는 7.2% 증가한 54,677건이었으며, 스파이웨어 앱 탐지 수는 1,106건으로 4.2% 올랐다. 전체 모니터링 및 스파이웨어 앱 수는 증가했지만 탐지 수는 2021년 정점을 찍은 이후 감소했다. 보고서에 따르면, 스토커웨어에 대한 우려는 안드로이드폰에만 국한된 것이 아니다. 작년 페가수스(Pegasus) 스파이웨어는 언론인과 정부 관리의 아이폰을 감염시켜 이들의 위치와 데이터를 감시했다. 또한, 일반 사용자는 위협 행위자가 자신을 감시할 수 있는 애플 위치 추적기인 에어태그(AirTag)의 장단점으로 고심하기 시작했다.   장치를 손상시키는 정교한 애드웨어 애드웨어는 안드로이드 악성코드의 판도를 지배한다. 탐지된 악성코드의 80%가 애드웨어와 관련이 있다. 애드웨어는 위협보다는 골칫거리로 간주되는 경우가 많지만 항상 그렇지는 않다. 멀웨어바이트 연구소의 사고 리더십(Thought Leadership) 대표 아담 쿠와자는 “애드웨어는 휴대폰에 위협을 추가하는 촉매제로 작용할 수 있다”라고 경고했다. 모바일 보안 업체 룩아웃(Lookout)의 선임 위협 연구원 크리스티나 발람은 "애드웨어는 정교할수록 장치를 더욱 크게 손상시킬 수 있으며, 전체 장치 공장을 초기화하거나 사용자가 기업 계정과 애플리케이션에 액세스할 수 없도록 해야 한다. 일부 애드웨어는 캠페인의 일환으로서 사용자와 이들의 장치에 ...

악성코드 멀웨어 애드웨어 2022.03.29

우크라이나 노린 와이퍼 악성코드, "군사 충돌이 사이버공간으로 확대"

우크라이나에 대한 러시아 군의 침공이 계속되는 가운데, 적법한 드라이버를 도용해 액티브 디렉터리 서버를 표적으로 한 공격, 와이퍼 악성코드(Wiper malware)가 탐지됐다. 이 캠페인은 지정학적 위기 동안 위험 완화를 촉구하는 조직과 악성코드 사용이 함께 증가하는 추세를 그대로 반영하고 있다.   2월 23일 이셋 연구진이 발견한 허메틱와이퍼(HermeticWiper)는 우크라이나 내 수백 대의 컴퓨터에 설치됐으며, 전쟁 상황에서 사이버보안과 국제적 안보는 더 이상 구분이 없음을 보여준다.  이는 최근 우크라이나 웹사이트에 대한 DDoS 공격, 사이버 공격으로부터 우크라이나를 방어하는 데 도움을 주고자 하는 EU 사이버 신속 대응팀의 배치, 미국 바이든 대통령의 러시아 은행 및 지도자에 대한 새로운 제재 조치 이후, 미국 조직에 대한 잠재적 랜섬웨어 공격에 대한 경고에 따른 것이다.  와이퍼, 적법한 드라이버를 도용해 액티브 디렉터리 서버 공격  이셋은 최근에 이 악성코드의 첫 번째 샘플을 관찰했지만, 샘플 가운데 하나는 PE 컴파일 타임스팸프가 2021년 12월 28일이었다. 이는 이번 공격이 거의 2개월 이상 준비됐음을 시사한다.  이 연구진은 데이터를 파괴하는 와이퍼 바이너리는 허메티카 디지털(Hermetica Digital Ltd)이 발급한 코드 서명 인증서를 사용, 서명하는 파티션 관리 프로그램인 '이지어스 파티션 마스터(EaseUS Partition Master Free)'를 악용한다고 설명했다.  마지막 단계에서 이 와이퍼 악성코드는 컴퓨터를 재부팅한다. 이셋 측은 표적 조직 가운데 하나에서 기본 도메인 정책 GPO를 통해 와이퍼가 들어왔는데, 이는 공격자가 액티브 디렉터리 서버를 제어했을 가능성이 높다고 덧붙였다.  미국 신시내티 대학교 정치학 조교수이자 사이버전략 정책센터 초빙 연구원인 그레고리 H. 윙어는 본지와의 인터뷰에서 “우크라이나 정부 내에서 데이...

우크라이나 와이퍼 악성코드 2022.03.02

크롬 브라우저, 위험한 취약점 발견 “즉시 최신 업데이트 적용 권고”

웹 브라우저는 기존 독립형 데스크톱 애플리케이션의 자리를 하나씩 대체하면서 스스로 점점 복잡해지고 있다. 그리고 이렇게 증가한 복잡성은 그대로 취약점의 증가로 이어진다. 게다가 크롬을 비롯한 주요 브라우저는 이미 모든 악성코드의 최우선 공격 벡터이다. 같은 맥락에서 자신의 컴퓨터를 최대한 안전하게 유지하고 싶다면, 지금 당장 크롬를 최신 버전으로 업데이트하기 바란다.   구글은 가능한 빨리 크롬 98.0.4758.102버전을 설치할 것으로 권장한다. 자세한 정보를 밝히지 않았지만, 인터넷에서 활발하게 사용되고 있는 제로데이 취약점 때문이다. 구글은 “버그 세부정보와 링크에 대한 액세스는 대다수 사용자가 업데이트를 완료할 때까지 금지될 수 있다”고 밝혔다. 최신 업데이트에는 11건의 다른 패치도 포함되어 있는데, 일부는 보안 연구원들이 발견한 기존에 알려지지 않았고 해커가 사용하지도 않은 것으로 보이는 취약점에 대응한 것이다. 크롬을 최신 버전으로 업데이트하는 것은 간단하다. 오른쯕 상단의 삼점 메뉴를 열어 도움말 > 크롬 정보를 클릭하면, 최신 업데이트를 자동으로 다운로드하기 시작한다. 이제 사용자가 할 일은 잠시 기다린 후 재시작 버튼을 클릭해 업데이트를 적용하는 것이다.  editor@itworld.co.kr

크롬 업데이트 취약점 2022.02.16

“홍콩서 발견된 맥OS용 악성코드 대즐스파이, 웹킷 취약점 악용”

보안업체 에셋(Eset)의 연구팀이 맥 컴퓨터를 감시할 수 있는 악성코드 ‘대즐스파이(DazzleSpy)’에 대한 조사 결과를 공개했다. 맥OS용 악성 소프트웨어인 대즐스파이는 홍콩의 민주주의와 관련한 웹사이트 방문 사용자를 감염시켰을 가능성이 높다.    대즐스파이는 워터링 홀(Watering Hole) 공격 방법을 사용했다. 워터링 홀은 웹사이트를 통해 악성코드를 퍼뜨리는 방법으로, 사이버 공격자가 특정 그룹을 표적으로 할 때 사용하는 방식이다. 대즐스파이는 공통 취약점 및 노출 데이터베이스에 CVE-2021-30869로 문서화되었다. 애플은 지난 2021년 9월 맥OS 카탈리나 및 빅 서 업데이트에서 대즐스파이 취약점을 패치했다.  지난 11월 구글 TAG(Threat Analysis Group)이 대즐스파이의 기술적 측면에 대한 연구 결과를 공개했으며, 에셋이 이번에 공개한 대즐스파이에 대한 보고서에는 대즐스파이가 맥 사용자의 컴퓨터에 침입한 방식이 자세하게 담겼다.    에셋에 따르면, 대즐스파이는 홍콩의 민주화 운동을 지지하는 내용이 포함된 가짜 웹사이트를 통해 맥 사용자에게 처음으로 배포됐다. 그 후에는 홍콩의 인터넷 라디오 방송국 D100 라디오(D100 Radio)의 합법적인 홈페이지가 해킹돼 대즐스파이 배포에 활용됐다. 대즐스파이는 사용자의 맥OS의 버전을 검사하고 맥OS 버전이 10.15.2(카탈리나) 이상인 경우 익스플로잇을 설치한다. 대즐스파이가 설치되면 공격자는 감염된 맥에서 터미널 명령어 실행, 오디오 녹음, 키로깅, 화면 캡처와 같은 작업을 할 수 있다.   에셋의 연구원 마크 에티엔 M.레베예는 “대즐스파이 공격은 맥 사용자를 대상으로 했으며, 자원이 풍부하고 정부의 지원을 받는 단체에서 실시한 것으로 보인다. 패치하지 않은 시스템이 악성코드에 감염되면 관리자 권한부터 실행된다”라고 말했다. 대즐스파이 공격은 홍콩 활동가에게 국한됐지만, 맥 PC를 공격 목표로 삼은 해...

대즐스파이 악성코드 맥OS 악성코드 2022.01.27

안드로이드 루팅 트로이 목마 발견…정식 앱 스토어 배포에 광고까지

구글 플레이 스토어는 최근 몇 년간 악성코드를 더욱 잘 감시하고 공격에 대한 장벽을 높이며 과거보다 잘 대처했다. 하지만 정교하게 제작된 트로이 목마가 계속해서 구글 플레이 스토어에 침입하고 있다. 최근 발견된 앱스트랙에뮤(AbstractEmu)가 대표적이다. 유틸리티 앱으로 가장한 앱스트랙에뮤는 루트 취약점 공격으로 피해자의 장치를 완전히 통제할 수 있다.   보안 업체 룩아웃(Lookout) 연구진은 최근 발표한 보고서에서 “지난 5년 동안 루팅 악성코드 배포가 줄었기 때문에 앱스트랙에뮤는 아주 중요한 발견이다. 그동안 안드로이드 생태계가 성숙해지면서 여러 기기에 영향을 미치는 취약점 공격이 줄었고, 이로 인해 악성코드의 유용성도 줄어든 상황이다”라고 설명했다. 앱스트랙에뮤는 구글 플레이 스토어, 아마존 앱스토어, 삼성 갤럭시 스토어와 상대적으로 덜 알려진 앱토이드(Aptoide), APK퓨어(APKPure)에서도 발견됐다. 신뢰하는 앱 스토어에서 앱을 다운로드하면 모바일 장치의 공격 확률을 낮출 수 있지만, 절대적인 해법은 아니며 추가 보호 방안과 모니터링이 필요하다는 점을 일깨운다. 정기 OS 보안 패치가 적시에 배포되는 기기를 선택하고, 장치에 사용하는 앱 수를 제한하고, 불필요한 앱을 제거하는 것이 아주 중요하다.  자금 탈취 목적의 글로벌 작전일 가능성 있어 룩아웃에 따르면, 앱스트랙에뮤는 비밀번호 관리 도구, 앱 런처, 데이터 세이버, 주변 조명 관련 도구, 광고 차단 도구, 기타 유틸리티 앱으로 가장한 19개 앱에서 발견됐다. 구체적인 앱 명칭은 안티 애드 브라우저(Anti-ads Browser), 데이터 세이버(Data Saver), 라이트 런처(Lite Launcher), 마이 폰(My Phone), 나이트 라이트(Night Light), 올 패스워드(All Passwords), 폰 플러스(Phone Plus)다. 라이트 런처는 구글 플레이 스토어에서 1만 회 이상 다운로드된 앱이다. 앱스트랙에뮤에 감염된 앱은 모...

트로이목마 악성코드 2021.11.04

에어태그를 '악성코드 배포기'로 만든 치명적인 코딩 오류

2021년 모바일 IT의 무서운 진실 가운데 하나는 애플 워치, 에어태그, 건강 상태를 추적하는 링, 스마트 헤드폰 등 소형 기기의 단순성과 편의가 지나치게 유혹적이라는 점이다. 노트북이나 데스크톱과 비교했을 때 이들 기기에서는 URL에 문제가 없는지, 스팸, 악성코드 문자, 이메일이 열리지는 않는지, 직원이 IT 부서가 요청한 최소한의 사이버보안 예방 조치를 따르고 있는지 확인하기가 지극히 어렵다. 에를 들어 데스크톱 이메일에는 극도의 주의를 기울이는 사람이 애플 워치를 통해 유입되는 메시지에는 별 생각 없이 경계를 푸는 경우가 많다.   더구나 사소한 프로그래밍 오류는 쉽게 일어나고 그냥 지나치는 경우가 많다. 하지만 이 사소한 오류가 거대한 보안 허점이 될 수 있다. 애플과 에어태그의 사례를 살펴보자. 한 보안 연구자가 전화번호를 입력하는 필드가 의도치 않게 에어태그를 악성 코드 범죄자를 위한 '신의 선물'로 만들었음을 발견했다.   아스 테크니카(Ars Technica)는 "보안 컨설턴트이자 침투 테스터인 보비 로치가 애플의 에어태크, 즉 노트북, 전화기, 자동차 열쇠 등 자주 분실하는 물품에 부착될 수 있는 소형 기기를 분석한 결과 이용자가 입력한 정보를 삭제하지 않는다는 사실을 알아냈다. 이는 에어태그가 드롭 공격에 이용될 여지를 있음을 의미한다. 노리는 사람의 차가 주차된 곳에 악성코드가 담긴 USB 드라이브를 뿌리는 대신, 준비된 에어태그를 투하할 수 있게 됐다"라고 보도했다.   보도에 따르면, 이런 종류의 공격은 고도의 전문 지식이 필요 없다. 공격자는 단순히 에어태그의 전화번호 필드에 정당한 XSS를 입력한 후 에어태그를 ‘분실’ 모드에 두고 표적이 이를 발견한만한 장소에 두면 된다. 이론적으로, 분실된 에어태그를 스캔하는 일은 안전한 행동이다. https://found.apple.com 웹페이지를 열도록 되어 있을 뿐이다. 문제는 found.apple.com 웹사이트가 피해자의 브라우저에 표시된 대로 ...

에어태그 악성코드 코딩 2021.10.07

“OT 보안, 통합의 접점을 찾아라” 최적화된 OT 융합 보안 체계 구축 전략 - IDG Summary

폐쇄망으로 알려져 있는 OT 환경이 침해 사고에 시달리고 있다. 사고 원인의 대부분은 외부 유입 악성코드이다. 이 때문에 OT 환경을 외부와 연결하는 산업용 DMZ 계층의 안전에 관심이 쏠리고 있다. 해법으로 제시되는 것은 IT와 OT를 아우르는 통합적인 분석 및 가시성 확보이다. OT 보안의 현황과 주요 문제점을 짚어보고, 최적의 OT 보안 대책을 위한 조건과 고려사항, 솔루션을 살펴본다. 주요 내용 OT 침해사고의 65%는 외부 유입 악성코드 레벨 3.5 DMZ 계층을 보호하라 OT 보안, 빙산 아래를 보는 가시성이 관건 OT 환경을 위한 보안 체계의 조건 OT와 IT를 아우르는 위협 분석 및 가시성 제공하는 스파이더 OT 최적의 OT 보안 대책을 위한 고려사항

OT 침해사고 악성코드 2021.09.03

미 FBI, ‘원퍼센트’ 랜섬웨어 공격 주의보 “한달 전부터 네트워크 암약”

미국 연방수사국(FBI)이 원퍼센트(OnePercent, 혹은 1Percent)라고 불리는 랜섬웨어 공격 단체에 대해 주의하라고 23일(현지시간) 경고했다.   이 단체는 아이스드아이디(IcedID) 트로이안과 모의 해킹 툴 코발트 스트라이크(Cobalt Strike)를 이용해 기업 네트워크에 침투한다. 이미 유명한 다른 랜섬웨어 공격 단체처럼 원퍼센트는 기업 데이터를 암호화해 탈취한 뒤, 몸값을 지급하지 않으면 해당 정보를 공개하거나 판매할 것이라고 피해 기업을 협박한다. 원퍼센트는 적어도 지난 2020년 11월부터 미국 기업을 상대로 활동한 것으로 보인다. 이들은 최초의 몸값 요청에 일주일 안으로 응답하지 않으면 위조된 번호를 이용해 전화하거나 지속적으로 이메일을 보내는 등 적극적으로 몸값을 요구한다. 아이스드아이디와 코발트 스트라이크를 이용한 ‘낚시’ 원퍼센트는 피해 기업의 네트워크에 처음 잠입할 때 아이스드아이디 트로이목마를 사용한다. 아이스드아이디는 본래 온라인 은행 정보를 빼내도록 설계되었지만, 여타 뱅킹 트로이목마와 마찬가지로 플랫폼에도 접근할 수 있도록 기능이 확장됐다. 과거 트릭봇(TrickBot) 뱅킹 트로이안을 유포한 류크(Ryuk) 랜섬웨어 그룹과 드라이덱스(Dridex)를 유포한 웨이스티드락커(WastedLocker), 굿킷(Gootkit)을 유포한 레빌(REvil) 혹은 소디노키비(Sodinokibi) 그룹과 유사하다. 아이스드아이디는 악성코드 압축파일이 첨부된 피싱 이메일을 통해 배포된다. 압축파일에 들어있는 워드파일에는 아이스드아이디를 다운로드하고 설치한 후, 이를 실행하는 매크로 시스템이 들어있다. 원퍼센트는 아이스드아이디를 설치한 후 코발트 스트라이크(Cobalt Strike)를 배치한다. 코발트 스트라이크는 상업적으로 활용되는 모의 해킹 도구로, 최근 몇 년 사이 여러 사이버 범죄에서 사용되며 유명해졌다. 시스템에 접근할 수 있는 백도어를 생성하고 파워쉘 스크립트를 실행시켜 네트워크에 우회적으로 접속한다. ...

랜섬웨어 트로이안 트로이안목마 2021.08.25

안랩  “채용 제안 메일로 유포되는 악성코드 주의하라”

안랩이 11일, ‘채용 제안(Job Invitation)’ 메일로 위장해 유포되는 악성코드를 주의하라고 당부했다. 공격자는 ‘팀장(Team Lead)‘이라는 발신자 이름으로 ‘팀원 채용 제안(Our Team Job Invitation)’이라는 제목을 달아 악성 메일을 전송했다. 본문에는 ‘우리의 채용 제안을 첨부했다(Hello, our invitation is attached to this message)’라는 내용을 담아 첨부파일 실행을 유도했다. 특히, 공격자는 첨부파일 압축해제 비밀번호를 기재해 마치 수신인만을 위한 메일인 것처럼 ‘당신의 개인 비밀번호(Your personal password)’라는 문구를 사용해 수신자의 의심을 피했다.  수신자가 비밀번호를 입력해 압축 파일을 해제하고, 워드 파일을 실행하면 편집 사용(Enabling editing) 버튼을 클릭하라는 내용의 워드 문서가 열린다. 이 때 정보탈취형 악성코드에 감염된다.   이 악성코드에 감염되면 인터넷 브라우저에 저장된 사용자 계정 정보, FTP(File Transfer Protocol)  설정 정보 등 다양한 PC 정보가 유출될 수 있다. 악성코드 피해를 예방하기 위해서는 ▲출처가 불분명한 메일의 첨부파일 실행 금지 ▲메일 주소 재확인 ▲최신 버전 백신 사용 등의 기본적인 보안 수칙을 지켜야 한다. 안랩 분석팀 장서준 주임 연구원은 “이메일로 악성코드를 유포하는 등 공격자의 공격 방식이 점차 고도화되고 있다”라며, “관심 있는 메일이라도 첨부파일 또는 URL를 클릭하지 않고 꼼꼼히 확인하는 습관을 가져야 한다”라고 말했다. editor@itworld.co.kr

안랩 이메일 악성코드 2021.08.11

“가짜 윈도우 11 다운로드 링크를 조심하라” 악성코드 온라인 유포 중…카스퍼스키 경고

윈도우 11의 최종 버전은 아직 출시되지 않았지만, 가짜 다운로드 링크는 이미 온라인에서 널리 공유되고 있다. 이는 마이크로소프트의 향후 운영체제가 호환 가능한 기기를 위한 무료 업그레이드이며, 현재 널리 제공되는 공식 베타가 있음에도 불구하고 가짜 버전이 유포되고 있다.    러시아 사이버보안 업체 카스퍼스키(Kaspersky)는 비공식 출처에서 윈도우 11을 다운로드하지 말 것을 촉구하는 공식 경고를 발표했다. 이런 서드파티 사이트 중 일부는 신뢰할 수 있는 것처럼 보일 수 있지만, 새 운영체제 버전에는 바이러스와 악성코드가 로드되는 경우가 많다.  카스퍼스키 측은 가장 흔한 사례 가운데 하나를 강조했다. 1.75GB 파일짜리 다운로드 링크가 ‘86307_windows 11 build 21996.1 x64 + activator.exe’라는 이름으로 온라인에 유포되고 있다. 이는 윈도우 11의 정식 버전처럼 보이지만, 이를 설치하면 애드웨어와 악성코드와 같은 매우 다른 소프트웨어가 제공된다.  이 파일은 마이크로소프트에서 배포하는 공식 버전이 아니기 때문이다. 카스퍼스키는 윈도우 11을 사칭하는 다른 악성코드 및 바이러스가 있을 수 있다고 경고했다.  물론 윈도우 11을 사용할 수 있는 더 쉬운 방법이 있다. 마이크로소프트는 테스트 단계에서 윈도우 11의 새로운 하드웨어 요구사항을 적용하고 있지 않으므로 윈도우 10 PC가 있는 사람이라면 누구나 사용해 볼 수 있다. 윈도우 참가자 프로그램에 가입하고, ‘개발자 채널(Dev Channel)’을 선택하기만 하면 된다.  이 초기 빌드를 설치하는 것은 여전히 버그와 누락된 기능이 있을 수 있으므로 주 컴퓨터에 설치하는 것은 권장하지 않는다. 윈도우 11이 설치되는 즉시 효과적인 보안 소프트웨어를 활성화하는 것도 중요하다. 마이크로소프트 디펜더(Microsoft Defender)는 이미 설치되어 있지만, 훌륭한 대안이 많이 있다. editor@itwo...

윈도우11 악성코드 카스퍼스키 2021.07.27

최악 악성코드 '모자익로더', 불법 복제 게이머 노린다

"구글에서 찾지 못하면 잡히지 않는다." 아마도 새로운 모자익로더(MosaicLoader) 악성코드 개발자가 이 사실을 발견한 것으로 보인다. PC 보안 업체 비트디펜더(Bitdefender)가 최근 공개한 백서에 따르면, 이 악의적인 소프트웨어는 불법 복제된 게임을 미끼로 악성코드를 다운로드하도록 유도한다. 비트디펜더에 따르면 모자익로더는 게임이나 다른 애플리케이션의 불법 복제 소프트웨어를 구하는 이들을 노린다. 검색 과정에서 다운로더를 내려받게 하는 방식이다. 사실 악성코드 개발자가 크랙된 소프트웨어 사용자를 노리는 것은 새로운 경향이 아니다. 하지만 모자익로더의 차별점은 탐지를 피하기 위해 상당히 공을 들였고 매우 심각한 피해를 준다는 것이다. 비트디펜더 측은 "악성코드 분석을 방해하고 리버스 엔지니어링을 막기 위해 내부 구조를 복잡하게 했기 때문에 모자익로더라는 이름을 붙였다"라고 설명했다. 모자익로더는 여러 가지로 흥미로운 악성코드다. 특정 파일명을 이용해 윈도우 디펜더(Windows Defender)의 로컬 제외 항목에 추가한다. 이를 통해 악성코드가 활동을 시작할 때 마이크로소프트의 안티바이러스 앱이 작동하는 것을 막는다. 악성코드가 항상 그랬던 것처럼 모자익로더 역시 합법적인 소프트웨어의 파일 정보를 흉내 낸다. 더 작은 코드 더미와 실행 명령을 뒤섞는 방식으로 코드를 분석하기 어렵게 한다. 또한, 디버깅 프로그램을 작동하는 것을 막는 전통적인 안티 디버깅 기법도 사용한다. 모자익로더가 일단 시스템에 설치되면, 온라인 계정을 훔치기 위해 로그인 세션을 가로채는 쿠키 탈취를 포함해 모든 종류의 피해를 준다. 사용자의 페이스북이나 트위터에 접속하는 것은 생각만 해도 곤혹스러운데 여기서 끝이 아니다. 더 큰 피해로 이어질 수 있다. 이 악성코드를 통해 같은 사용자의 다른 계정까지 탈취하는 힌트를 얻을 수 있기 때문이다. 또는 친구들에게 링크를 보내 더 많은 악성코드를 배포하는 데 악용할 수도 있다. 모자익로더로 입을 수 있는 피해 중에는 컴퓨...

모자익로더 불법복제 악성코드 2021.07.23

윤리적이고 효과적인 피싱 테스트를 위한 5가지 베스트 프랙티스

규모를 막론하고 모든 기업에서 피싱 시뮬레이션(혹은 피싱 테스트)을 통한 보안교육이 인기를 끌고 있다. 피싱 테스트는 보안팀이 진짜처럼 보이는 악성 피싱 메일을 만들어 직원에게 발송하는 방식으로 이뤄진다. 통상 누락된 납품에 대한 안내, 송장 요청, 유명인들의 소문 같은 내용으로 이메일을 열어보게 만든다. 보안팀의 통제 아래 이런 이메일에 대한 응답을 정량화하고, 직원들의 보안 인식 수준을 확인한다. 얼마나 많이 첨부 파일을 열어보고, 링크를 클릭했는가? 얼마나 많은 이메일을 의심스러운 메일로 표시하거나, 무시했는가? 다른 것들에 비해 가장 큰 영향을 미친 이메일 제목은 무엇인가? 피해자가 될 확률이 더 높은 특정 부서나 사용자가 있는가? 이런 데이터는 사이버보안 인식 트레이닝 및 교육을 더 효과적으로 맞춤화하고, 해결해야 할 잠재적인 취약점을 파악하도록 한다.   피싱 테스트에 제기된 윤리적 문제 하지만 몇몇 사건으로 인해 피싱 테스트의 핵심 요소에 대한 윤리성이 논란이 되고 있다. 최근 논란의 여지가 있는 주제를 사용해 피싱 테스트를 진행한 영국 웨스트 미들랜즈의 한 철도회사가 대표적인 예다. WMT(West Midlands Trains)은 코로나19 팬데믹 위기 동안의 노고를 치하하기 위해 보너스를 지불한다는 내용으로 피싱 테스트를 진행했다. 발신인은 재무팀으로 가장했다. 또한 수신자가 WMT의 상무이사 줄리안 에드워즈에게 개인 메시지를 보낼 수 있는 마이크로소프트 오피스 365 링크를 클릭하도록 유도했다. 이 링크는 마이크로소프트가 피싱 테스트를 위해 설정한 셰어포인트 사이트로 연결되었고, 링크를 클릭한 사람에게는 HR 팀으로부터 로그인 정보를 요구하는 이메일을 주의하라는 충고 이메일을 받았다. 말할 필요도 없이 보너스는 지급되지 않았다.   윤리적인 피싱 테스트 일정액을 지불하겠다고 약속하는 방법은 사이버 범죄자들이 피해자를 속이기 위해 많이 사용하는 효과적인 전술이다. 그러나 피싱 테스트에서 이런 전술을 사용하는 것은 공정한 것...

보안 피싱 악성코드 2021.05.28

세계 최대의 봇넷 이모텟, 여러 국가의 협력으로 붕괴

몇몇 국가의 법 집행기관들이 공동작전을 펼쳐 세계 최대의 봇넷 가운데 하나인 이모텟(Emotet)의 명령 제어 인프라를 장악했다. 이 봇넷의 붕괴가 영구적일지는 아직 지켜봐야 하지만 보안 전문가에 따르면 긍정적인 신호임은 틀림없다.      유럽형사경찰기구(Europol, 유로폴)는 27일 “이번 작전은 네덜란드, 독일, 미국, 영국, 프랑스, 리투아니아, 캐나다, 우크라이나 간 협력의 결과이고, 국제적 활동은 유로폴과 유럽사법기구(Eurojust, 유로저스트)가 조율했다. 이 작전은 범죄 위협에 대한 유럽 다학제 플랫폼(European Multidisciplinary Platform Against Criminal Threats, EMPACT) 프레임워크 내에서 수행됐다”라고 밝혔다.  이모텟, 무엇인가?  이모텟(Emotet)은 2014년부터 운영을 시작했는데, 지난 수개월 동안 보안 제품에 의해 가장 흔하게 검출되던 악성코드 계열이었다. 이는 온라인 뱅킹 인증정보를 탈취하려는 데 주력하는 트로이목마 프로그램으로 시작했지만, 시간이 지나면서 다른 사이버 범죄 집단이 자체 악성코드를 전개하거나 감염된 컴퓨터에 접근하는 데 이용하는 악성코드 서비스 플랫폼(malware-as-service platform)으로 진화했다.   이모텟은 보안 업계가 TA542로 추적하는 집단에 의해 운영되고, 주요 고객 가운데 한곳은 트릭봇(TrickBot)의 배후에 있는 집단이다. 트릭봇은 악명높은 류크(Ryuk) 랜섬웨어를 유포하는 것으로 알려진 봇넷이다. 이모텟/ 트릭봇/ 류크의 관계는 보안 업계에서 잘 알려져 있고, 기업들은 네트워크 상의 이모텟과 트릭봇 감염을 심각하게 취급하라고 반복적으로 경고를 받았다. 랜섬웨어의 전조가 되는 봇넷이기 때문이다.   트릭봇 명령 제어 서버는 지난해 10월 마이크로소프트가 개별적으로 주도해 섬멸 작전을 펼쳤지만, 이 봇넷은 완전히 괴멸되지 않았다. 마이크로소프트의 작전 이후에...

이모텟 봇넷 악성코드 2021.01.29

IDG 블로그ㅣ원격근무부터 제로트러스트까지… 2021년 ‘보안’ 전망

2020년은 ‘최고정보보안책임자(Chief Information Security Officer, CISO)’가 끊임없는 도전과 과제에 직면해야 했던 한 해였다. 2021년에는 CISO가 그 영향력을 더욱더 확대하는 동시에 위험과 보상을 모두 마주치게 되리라 전망한다.  CISO의 역할이 바뀌고 있다. 점차 보안을 사일로처럼 취급하지 않게 되면서다. 기업들은 조직을 보호하기 위해 이 역할에 진정한 리더가 필요하다는 사실을 깨닫기 시작했다. 전례 없는 위기 속에서 CISO는 적절한 위험 허용치와 정책을 관리하는 동시에 비즈니스에 부합하는 많은 결정을 신속하게 내려야 했다.  이러한 변화는 계속될 것으로 예상된다. CISO가 예산 압박, 새로운 위험, 새로운 워크 이코노미 등의 과제에 직면하게 될 내년에도 말이다.  CISO들은 2021년 어떤 성과를 거두게 될까? 어떤 부문에 관심을 기울여야 할까?    예측 1. 팬데믹 이후 ‘정리(cleaning up)’는 기본으로 돌아가는 것을 의미한다 올 한 해 코로나19 사태에 대처하고자 고군분투했던 CISO들은 2021년 기본 작업을 두 배로 늘리고자 할 가능성이 크다. 악성코드(Malware)를 사전에 방지하기 위해서는 이른바 ‘보안 위생(security hygiene)’이 매우 중요하다는 점을 실감했기 때문이다. 적절한 보안 프로그램을 갖추지 않았던 CISO라면 위협을 스캔 및 조사하고, 우선순위를 정하며, 이를 무력화하는 방법을 다루는 워크플로우를 필요로 할 것이다.  이 작업을 수행한다는 것은 정확한 자산 인벤토리 목록을 갖는다는 의미다. 이는 많은 기업이 코로나19 위기에 신속하게 대응하고자 했을 때 없었던 것이기도 했다. 정확하게 자산 인벤토리 목록을 작성하고, 최신 상태로 유지하는 것은 2021년의 핵심 업무가 될 것이다.  이와 함께 레거시 기술 문제(예: 자산 관리)가 대두될 것으로 예상된다. ‘클라우드 퍼스트(Cloud first...

CISO 최고정보보안책임자 보안 2020.12.31

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.