Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

악성코드

안드로이드용 크롬, 세이프 브라우징 통해 악성코드와 스캠 웹사이트 접속 차단

만약 구글 크롬에서 위험한 웹사이트를 방문할 때 공포스러운 빨간 페이지를 본 적이 있다면 자신의 폰에서도 이런 기능이 있었으면 바라는 이들이 있을 것이다. Credit: Gerd Altmann / Pixabay 구글은 안드로이드에서도 세이프 브라우징(Safe Browsing)의 보안 경고를 도입했다. 세이프 브라우징은 현재 구글 플레이 서비스에서 통합됐으며, 버전 8.1로 시작한다. 안드로이드용 크롬에서 세이프 브라우징 기능을 사용할 수 있게 된 것은 처음이다. 크롬 데스크톱 버전에서처럼 세이프 브라우징은 피싱, 스캠과 같은 원치 않는 프로그램이나 악성코드를 호스트하는 것으로 알려진 웹사이트로부터 기기를 보호한다. 이 기능은 지금까지 쏟아지는 광고로 인해 자신의 폰이 제대로 실행이 안될 정도로 배터리를 너무 빨리 닳거나 폰 자체가 불안정해진 안드로이드폰 사용자한테는 탁월하다. 다만 안드로이드 용 크롬에서는 데스크톱 버전과는 달리 확장 프로그램 지원이 부족하고 효과적인 광고 차단 솔루션을 제공하지 않는다. 사용자들은 기만적인 광고와 웹페이지를 제거하는 데 세이프 브라우징을 사용할 수 있을 것이다. 구글에 따르면, 안드로이드용 세이프 브라우징을 이행하는 것은 쉽지 않았다. 전세계 일부 지역에서의 모바일 데이터 전송 용량은 제한적이기 때문이다. 차단한 웹사이트 목록을 항상 최신으로 유지해야 하는데, 이 때 기기들이 최소한의 용량만 다운로드할 수 있도록 만들어야 했다. 구글은 블로그의 한 게시판에 "일부 소셜 엔지니어링 공격은 전세계 특정 지역에서만 발생한다. 그래서 그들이 소재하는 지역에서 기기를 보호할 수 있도록 해당 정보를 보낸다"고 말했다. 또한 "구글이 위험스러운 사이트들에 대한 정보를 최대한 빠르게 업데이트를 하더라도 일부 개발도상국의 저속 네트워크 상에서는 늦어질 수 밖에 없다. 업데이트를 할 때에는 실제 이런 점도 계산해야 한다"고 전했다. 이와 함께 세이프 브라우징과 안드...

악성코드 안드로이드용크롬 세이프브라우징 2015.12.09

지불카드를 노리는 새로운 악성코드 '네메시스', "탐지하기도 제거하기도 어렵다"...파이어아이

네메시스(Nemesis)는 부트킷의 일종으로 지불카드 데이터를 훔치기 위해 설계됐는데, 탐지하기도 제거하기도 매우 어렵다. 파이어아이는 이 악성코드 배후에는 금융 기관들을 표적으로 하는 'FIN1'이라는 러시아 사이버범죄 조직을 지목했다. 파이어아이는 "FIN1은 네메시스라 불리는 악성코드를 만들어 한 금융 거래조직을 감염시켰다. 아직 자세한 상황은 확인하지 못했다"고 밝혔다. 사이버범죄자들에게 있어 지불 카드 데이터는 수요가 아주 많다. 지난 수년간 카드 데이터를 다루는 초대형 조직들이 표적이 되어 타깃(Target), 홈데포(Home Depot), 그리고 많은 다른 기업들이 대형 데이터 침해 사고를 겪었으며, 일부 지불 시스템 또한 해킹당했다. 부트킷의 일종인 네메시스는 운영체제 하위 계층에 설치되어 운영체제를 재설치해도 그 자리에 남아있을 수 있다. 파이어아이는 부트킷 기능을 갖고 있는 악성코드는 윈도우 운영체제와는 거의 완전 독립적으로 설치되고 실행되어진다고 전했다. 올해 초, 사이버범죄자들은 부트래시(Bootrash)라 부르는 유틸리티를 사용하기 시작했는데, 이는 MBR(Master Boot Record)와 함께 사용되는 윈도우 기반의 VBR(Volume Boot Records)를 수정한다. 이 MBR은 운영체제를 로딩하기 전에 컴퓨터에서 가장 처음으로 보게 되는 PC의 하드드라이브의 첫번째 부분이다. 부트래시는 이 운영체제가 켜지기 전에 실행하기 때문에 운영체제에 의해 진행되는 무결성 검사를 피한다. 파이어아이는 부트래시의 요소는 윈도우 파일 시스템 밖에 저장되어 안티바이러스 제품들에 의해 탐지되지 않는다고 전했다. 파이어아이는 "이 부트킷은 MIR(Mandiant Intelligent Response)이라 부르는 맨디언트 포렌식 부서의 자체 툴을 사용함으로써 발견했다"며, "부트킷을 포함한 이 악성코드를 대응하기 위해서는 로우 디스크에 접속하고 검색할 수 있...

악성코드 네메시스 Nemesis 2015.12.08

피해가 속출하는 랜섬웨어에 대한 기업의 대응 방안 - IDG Summary

컴퓨터와 스마트폰에 저장된 파일을 암호화한 뒤, 복호화 키를 주는 대가로 돈을 요구하는 악성 소프트웨어인 랜섬웨어에 대해 우려의 목소리가 커지고 있다. 사이버 범죄자들이 수익 창출에 보다 집중하고 있는 가운데 랜섬웨어는 피해자로부터 가장 확실하게 금전적인 이득을 취할 수 있는 공격이다. 최근 국내외를 막론하고, 일반인뿐만 아니라 기업에서도 랜섬웨어로 인한 피해 사례가 속출하고 있다. 이에 랜섬웨어의 심각성을 환기하고 그 대응 솔루션을 제시하고자 한다. 주요 내용 랜섬웨어의 심각성을 간과하는 기업들 국내 사용자를 겨냥한 랜섬웨어의 등장 랜섬웨어 공격 경로 랜섬웨어 대응 전략, 사전 방역과 피해 최소화 방안 필요 랜섬웨어 대응 솔루션을 선택하는 방법

악성코드 랜섬웨어 Ransomware 2015.11.23

스타우드 호텔, 지난해 11월부터 고객 신용카드 정보 탈취 당해

지난해 말부터 스타우드 소유 호텔 또는 리조트에 머물렀던 여행객들은 자신의 신용카드 상태를 주의깊게 지켜봐야 한다. 웨스틴(Westin), 쉐라톤(Sheraton), W, 그리고 세인트 레지스(St. Regis) 등 최고급 호텔 체인을 소유한 스타우드 호텔 & 리조트(Starwood Hotels and Resorts Worldwide)는 지난 금요일 54개 지점들의 자체 PoS(Point of Sale) 시스템이 2014년 11월을 시작으로 다양한 시점에서 악성코드 공격에 당했다고 발표했다. 이 호텔체인에 따르면, 이 악성코드는 카드 번호, 보안 코드, 카드 이름, 카드 유효 날짜 등 다양한 신용카드 정보를 수집했다. 이 악성코드를 통해 도둑들은 고객들의 신용카드를 인가없이 사용할 수 있게 됐다. 스타우드는 "이번 사건은 자체 예약 시스템이나 스타우드 고객 회원 우대(Starwood Preferred Guest) 시스템에는 영향이 없었으며, 연락처 또는 PINs과 같은 다른 고객 정보가 유출됐다는 증거도 발견하지 못했다"고 말했다. 스타우드 호텔은 악성코드 감염에 의해 영향을 받은 지사 명단을 공개했다. 이 목록에는 각 지점 시스템이 감염된 날짜까지 포함되어 있다. 만약 PDF에 나와 있는 호텔 가운데 한 곳에 머물렀다면 지금 즉시 자신의 신용카드 사용 내역에 대해 알아보고, 자신의 거래 은행에 알려야 한다(한국 소재 호텔은 명단에 없었다. 편집자 주). editor@itworld.co.kr

악성코드 신용카드 스타우드 2015.11.23

더보안, 웹사이트 악성코드 탐지-분석하는 보안 솔루션 '파이어사이트 WX' 출시

더보안(www.theboan.com)은 정기적인 웹사이트 악성코드 검사가 가능한 보안 솔루션을 출시했다고 밝혔다. 최근 웹사이트를 경유지나 유포지로 악용하는 APT공격 사례가 갈수록 증가하고 있다. 이와 같은 사이버공격을 예방하고 탐지하기 위해서는 정기적인 웹사이트 악성코드 검사가 필수적으로 선행돼야 한다. 하지만 이를 정기적으로 진행하기에는 인력과 시간이 많이 소모돼 현실적으로 실행하기가 어렵다. 더보안의 새로운 보안솔루션 파이어사이트 WX는 웹사이트의 모든 접속가능한 페이지를 검사하여 웹페이지에 은닉된 지능적인 악성코드를 찾아내고 분석한다. 이러한 정기적인 웹사이트 악성코드 검사를 통해 웹서비스를 제공하는 기업은 악성코드 확산을 선제적으로 방지함으로써 즉각적인 대응을 통해 보다 신뢰도 높은 서비스를 사용자에게 제공할 수 있다. 또한 웹사이트의 악성코드 고객피해 방지관련 법규를 준수, 고객보호의무를 이행할 수 있는 장점을 지닌다. 더보안 전익찬 대표이사는 “최근 해커가 악성코드를 배포하기 위한 용도로 정상적인 웹사이트를 활용하는 사례가 증가하면서 웹사이트에 대한 정기적인 점검은 이제 선택이 아닌 필수가 되었다”고 말했다. editor@itworld.co.kr

악성코드 더보안 2015.10.20

중국 해커, iOS를 노리다…기업용 앱 배포 과정과 프라이빗 API 이용

거의 1년 동안 중국 해커들이 iOS 디바이스를 감염시키기 위해 새로운 공격 방식을 이용했고, 탈옥하지 않은 아이폰을 포함해 많은 iOS 디바이스에 애드웨어를 심은 것으로 드러났다. 보안 전문업체 팔로알토 네트워크의 위협 정보 디렉터 라이언 올슨은 ‘이스펙터(YiuSpecter)’라는 악성 코드는 중국 해커들에 의해 중국에서 만들어 졌으며, 화면 텍스트도 중국 문자로 표시된다고 밝혔다. 이 악성코드는 거의 중국과 대만에서만 배포됐다. 이스펙터는 보안 전문가들이 이론적으로만 논의하던 것을 실제로 구현해 보였다는 점에서 주목을 받고 있는데, 애플의 앱 검사를 피하는 것은 물론, 애플만이 사용하는 프라이빗 API를 이용해 아이폰에 몰래 숨어 신뢰할 수 있는 앱으로 가장해 사파리를 비롯한 앱을 가로채 승인되지 않은 광고를 보여준다. 올슨은 이스펙터가 두 가지 공격 벡터를 조합해 아이폰이나 아이패드 사용자가 악성 코드를 설치하도록 속였는데, 이 중 한 가지 벡터는 iOS에서는 처음 사용되는 것이라고 설명했다. 이번 악성 코드는 애플의 기업용 앱 배포 과정을 악용했는데, 이 과정은 기업이 자체적인 iOS 앱을 만들어 이를 애플의 인증 과정이나 앱스토어를 거치지 않고 직원들에게 배포할 때 사용된다. 이 때 디지털 서명을 사용해 특정 기업임을 확인하는데, 이들 서명은 애플이 발행한다. 해커들은 훔치거나 우연히 얻게 된 인증서로 기업의 앱 배포 과정을 악용해 왔는데, 2014년의 발견된 와이어러커(Wirelurker)가 대표적인 예다. 이스펙터는 여기에 학계에서나 거론되던 프라이빗 API를 이용해 악성코드를 강화했다. 프라이빗 API는 애플이 감춰 놓고 사용하는 것이다. 올슨은 “프라이빗 API는 iOS 내부에 있지만, 애플이 자체 앱에만 사용하거나 일반에 공개할 준비가 안된 것들이다”라고 설명했다. . 프라이빗 API는 다양한 기술을 이용해 찾아낼 수 있으며, 특히 iOS 프레임워크에 추가되어 ...

악성코드 해커 중국 2015.10.06

사이버 공격, 악성코드 없는 공격에 나서다

델 시큐어웍스(Dell SecureWorks)의 새로운 보고서에 따르면, 탐지를 피하기 위해 일부 해커들은 악성코드를 버리고 자급자족하는데, 해킹한 시스템에 있는 어떤 툴이라도 사용할 수 있다. 이는 델 시큐어웍스의 사고 대응 팀이 지난해 거의 모든 침입 사건들을 분석한 결과다. 미국 애틀란타 소재의 델 시큐어웍스 수석 보안 연구원 필 버데트는 "사이버 범죄자들은 전형적으로 신원 인증을 해킹하는 것으로 공격을 시작한다"고 말했다. 예를 들어 그들은 IT 부서에게서 온 것으로 가장한 이메일을 보냄으로써 피싱 공격을 사용할지 모른다. 공격자는 새로운 이메일 서버를 만들었다는 이유로 사용자에게 그들의 신원 인증을 테스트한다는 명목으로 로그인을 요구한다. 한 사용자가 로그인하면 이 신원 인증은 회사의 VPN(virtual private network) 솔루션에 접속하기 위해 사용된다. 최근 사례에서 공격자들은 원격을 직원들이 회사 시스템에 원격으로 연결할 수 있도록 하는 한 제조업체의 시트릭스 솔루션을 사용했다. 이 회사는 아직 원격 접속하는 직원을 위한 2요소 인증을 설치하지 않았다. 그래서 로그인과 비밀번호는 모든 사이버범죄자들에게 필요하다. 그런 뒤 공격자들은 이 회사 직원들이 사용하는 동일한 툴을 사용해 지적 자산, 산업용 비밀, 재무 데이터, 또는 다른 정보들을 찾는다. 이 툴은 시스템 관리자들과 헬프 데스크 직원들에 의해 일반적으로 사용되는 툴이다. 만약 그들이 악성코드를 사용한다면 그것은 아주 잠깐, 간략하게 사용할 뿐이다. 그리고 사용하더라도 가능한 한 추적을 피하기 위한 작업을 한다. 그래서 전통적인 악성코드 기반의 탐지 기술로써는 그들을 잡아내지 못한다. 예를 들어 그들은 업무 일정을 만들기 위한 이 회사 자체 관리자 툴을 사용할 지 모른다. 이를 통해 다른 시스템의 인증을 훔칠 수 있다. 또는 그들은 헬스 데스크 직원들이 직원들의 컴퓨터 문제를 해결할 때 정상적으로 사용되는 원...

악성코드 사이버공격 공격자 2015.09.15

"GPU 악성코드로 인해 공황에 빠질 이유는 없다"...인텔

GPU(Graphics Processing Units) 내부에서 실행되는 악성코드는 탐지되기 더 어려워질 수 있다. 그러나 보안 제품들이 완전히 발견하지 못할 정도는 아니다. 인텔 맥아피 연구소의 연구원들은 지난 3월에 발표된 젤리피시(JellyFish)라 명명된 GPU 악성코드 PoC(proof-of-concept)를 분석하기 위해 인텔의 영상 및 병렬 컴퓨팅 그룹(Visual and Parallel Computing Group)의 회원들과 한팀을 이뤘다. 맥아피의 최신 분기 위협 보고서에 발표한 이들의 결론은 GPU 내부에서 실행되는 악의적인 코드는 여전히 중대한 문제점을 안고 있지만 자체 개발자이 주장한만큼 은밀하지는 않다는 것이다. 젤리피시의 제작자들은 DMA(direct memory access)라 불리는 기능을 통해 호스트 컴퓨터의 메모리에서 염탐할 수 있다는 것이 GPU 악성코드 이점 가운데 하나라고 주장했다. 이것은 사실이지만 GPU에서 시스템 메모리의 매우 중요한 부분을 노출하는 것은 커널 권한을 요구하며 호스트 컴퓨터에서 실행하는 프로세스를 통해서만 할 수 있다. 인텔 연구원들은 "보안 제품들은 이런 운영에 대해 모니터링할 수 있으며, 제한할 수도 있다. 뿐만 아니라 이런 종속성은 기존 커널 보호를 위한 문제다"고 말했다. GPU 악성코드가 탐지되지 않은 채 설치 단계에 이르렀다면 이론상으로 프로세스 내 사용된 사용자 코드와 커널 드라이브는 호스트 운영체제에서 삭제될 수 있다. 그러나 이는 문제의 소지가 있다. 예를 들어, 윈도우 상에서 고아가 된 GPU 코드는 그래픽 카드를 리셋하는 TDR(Timeout Detection and Recovery) 프로세스의 방아쇠가 될 수 있다.  맥아피 연구원들은 "이 매커니즘이 행해지기 전에 디폴트 타임아웃(default timeout)을 2초 내로 정하고 무언가 변경하기 위한 어떤 시도도 보안 제품에 의해 의심되는 행동으로 ...

GPU 악성코드 인텔 2015.09.02

퀄컴 스냅드래곤 820 프로세서, 안드로이드 스마트폰 보안 기술 탑재

퀄컴이 스냅드래곤 스마트 프로텍트(Snapdragon Smart Protect)를 이용해 고급형 스마트폰에서 보안과 프라이버시를 강화하겠다고 밝혔다. 이 기술은 제로데이 악성코드를 감지하기 위해 장치상에서의 머신 러닝을 활용한다. 퀄컴은 31일(현지 시각) 스냅드래곤 스마트 프로텍트의 최신 배포판을 공개했다. 스마트폰이 성장 동력으로 부상하면서 해커들의 이목이 집중된 가운데, 모바일 보안을 강화하려는 조치다. 스마트 프로텍트는 사용자의 데이터를 보호하기 위해 스마트폰 상에서의 비정상적인 행위를 탐색해 경고한다. 사용자가 조작하지 않고도 SMS를 보내는 애플리케이션이나 디스플레이가 꺼져 있는 상황에서 사진을 찍는 애플리케이션이 대표적인 탐지 대상이다. 퀄컴의 보안 제품 관리를 담당하는 선임 이사인 아사프 아쉬캔나지는 “애플리케이션이 수행하는 일을 여러모로 분석할 수 있다. 어떤 자원을 요청하는지, 어떤 시스템 요청을 하는지 살펴본다. 일련의 이벤트에서 악의적인 행동을 판단한다”고 말했다. 스마트 프로텍트를 구현하는 최초의 프로세서는 스냅드래곤 820이다. 스냅드래곤 820은 내년 상반기에 출시될 고급형 스마트폰에 선보일 예정이다. 스마트 프로텍트는 가격이 저렴한 기기에도 널리 사용될 것으로 예상된다. 스마트 프로텍트는 안드로이드에서만 작동한다. 스냅드래곤 820의 주요 최신 기능 가운데 하나인 제로스(Zeroth) 플랫폼은 퀄컴 최초의 인지 컴퓨팅 엔진이다. 스마트 프로텍트가 소모하는 추가적인 전력 사용량에 대해, 아쉬캔나지는 “매우 극소량이라 정확하게 측정하는 것조차 어려웠다”고 설명했다. 스마트 프로텍트는 또한 ARM의 트러스트존(TrustZone) 플랫폼을 활용할 전망이다. 트러스트존 플랫폼은 안드로이드에서 앱을 개별적으로 실행할 수 있도록 한다. 이 하드웨어 기반의 레이어는 트러스트존이 보호하는 기능에 해커가 액세스하기 어렵게 한다. 그러나 스냅드래곤 820을 탑재한 모...

악성코드 퀄컴 제로데이 2015.09.01

내부 LTE/3G 모뎀 속 악성코드, OS 재설치에도 살아남아 해킹한다...DEF CON

연구원들은 비즈니스 노트북과 태블릿 내부에 있는 인기있는 LTE/3G 모뎀 모듈에서 악의적인 펌웨어를 만드는 법을 발견했다. 독자적인 전용 프로세서와 운영체제를 갖고 있는 LTE/3G 모뎀은 해커들에게 감염된 기기에 지속적인 은밀한 접속을 유지할 수 있는 방법을 제공함으로써 기업 노트북과 태블릿에게 치명적인 취약점을 안겨줄 수 있다. 미국 라스베이거스에서 개최된 DEF CON 보안 컨퍼런스에서 인텔 보안 그룹 연구원 미키 스카토프와 제시 미첼은 8월 8일 한 컴퓨터에 악성코드 프로그램을 어떻게 설치하는지 데모를 시연했다. 이를 통해 많은 기기에 포함되어 있는 화웨이 LTE 모뎀 모듈의 펌웨어를 재설치할 수 있었다. 리눅스 기반의 운영체제, 안드로이드 기반에서 실행되는 이 모듈은 해당 컴퓨터의 메인 운영시스템과는 완벽하게 독립적으로 운용된다. 이 모듈은 내부 USE 인터페이스로 컴퓨터와 연결되어 있는데, 키보드, 마우스, CD-ROM 드라이브, 네트워크 카드, 또는 다른 USE 드라이브를 에뮬레이트해 지시를 내릴 수 있다. 이는 이 모듈이 기본 운영체제와 연결될 수 있음을 의미한다 인텔 연구원들에 의해 발견된 주요 문제는 이 모뎀의 펌웨어가 업데이트 프로세스에서 안전하지 않고 암호 서명 확인이 없다는 점이다. 이 결함은 각 개발업체에 의해 제공되는 윈도우 업데이트 유틸리티를 통해 악의적인 펌웨어 이미지를 만드는 것을 허용한다. 악의적인 펌웨어는 이미 컴퓨터에 실행된 악의적인 프로그램에 의해 신호를 보낼 수 있다. 또한 만약 공격자가 새로운 업데이트라고 사용자를 속인다면 사용자 스스로 신호를 보내게 된다. 이 공격이 성공한다면, 사용자가 운영체제를 재설치하더라도 기본 운영체제를 재감염시킬 수 있는 방법을 제공한다. 게다가 이 사기 펌웨어는 향후 펌웨어 업데이트 요청들을 무시하도록 수정할 수 있다. 이 해킹에 당한 사용자는 자신의 노트북이나 태블릿에서 감염된 모뎀 모듈을 빼버리지 않는 한 해결할 수 있는 방법이 없다. ...

데프콘 악성코드 DefCon 2015.08.10

윈도우 10 업그레이드로 위장한 랜섬웨어 공격 "워밍업에 불과"

피할 수 없는 일이었다. 윈도우 10 정식 버전이 전 세계에 출시된 지 며칠 지나지 않아 해커들이 윈도우 10 자동 업그레이드를 기다리는 사용자들을 대상으로 랜섬웨어를 배포하려고 시도했다. 보안 전문가 트루 샤워먼은 이것이 겨우 문제의 시작일 뿐이라고 말한다. 윈도우 10 출시와 업그레이드를 계기로 해커 조직이 순진한 사용자들의 PC에 침투하려는 수많은 예시 중 하나일 뿐이다. 이메일 사기도 유행을 따른다 샤워먼은 전화 인터뷰를 통해 해커들이 윈도우 10 업그레이드 과정에 침투하는 방식 변화에서 일종의 집착을 볼 수 있다고 설명했다. 방송사나 신문사가 에디토리얼 캘린더를 활용해 기사 발행 스케줄을 관리하고 주기별 사건에 기반해 보도 범위를 설정하는 것처럼, 피싱 사기 역시 굵직한 IT 업계의 사건에 기반하게끔 맞춰져 있다는 것이다. 샤워먼은 “해커들 역시 피싱 사기 일정을 IT 업계 주요 일정과 맞춘다. 지난 해부터 이메일 템플릿을 준비해왔으며, 이를 활용해 수백만 달러 규모의 피싱 사기를 계획한다”고 강조했다. 대부분의 피싱 사기나 현재 드러난 랜섬웨어는 동유럽 지방이나 러시아 범죄단의 소행이며, CTB 록커 랜섬웨어 전파를 목적으로 한 윈도우 10 이메일 해킹은 이 중 가장 최근 일어난 일부분에 불과하다. 샤워먼은 “러시아 해커들은 돈을 쫓고, 중국 해커들은 데이터를 쫓는다”며 과장된 일반화를 시도했지만 이것은 일정 부분 정확한 지적이기도 하다. 샤워먼은 “이것은 아주 초기 단계에 불과하다”고 덧붙였다. 크립토락커 랜섬웨어가 맨 처음 등장했을 때 샤워먼은 “새로운 해킹 방식의 포문이 열린 것”이라고 지적했는데, 이후 많은 다른 해커 집단이 크립토락커 방식을 모방했고 15개의 각기 다른 랜섬웨어 조직이 나타났다. 샤워먼은 윈도우 10 이메일 해킹에 대해서도 “같은 일이 일어날 가능성이 있다”고 덧붙였다. 가장 약한 지점은 사...

악성코드 이메일 사기 2015.08.05

“악성 코드 잠입을 막아라” USB 포트를 잠그는 방법

때때로 외장 플래시 및 하드 드라이브는 악성 코드를 옮기거나 파일을 훔쳐가는 수단이 되곤 한다. 필요할 때 USB 포트 자체를 잠가버리면 이러한 걱정을 하지 않아도 된다. 윈도우의 레지스트리를 변경함으로써, USB 포트의 잠금을 설정했다가 풀 수 있다. 먼저 레지스트리 편집기를 실행(시작 메뉴 검색 상자에 ‘regedit’)하고, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR 로 진입한다. Start를 더블클릭해서 USB 포트를 비활성화시키려면 값 데이터를 ‘4’로, 다시 활성화시키려면 ‘3’으로 변경한다. 더 쉬운 방법도 있다. 다음의 내용을 메모장에 복사한다. Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] ”Start”=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum] ”Count”=dword:00000000 ”NextInstance”=dword:00000000 이제 이 파일을 원하는 위치에 저장하는데, 파일명을 disableusb.reg라고 지정한다. TXT 파일이 아닌 REG 파일 형식으로 저장해야 한다. 아이콘으로 구별 가능하다. 같은 방식으로 파일을 하나 더 만드는데 1. 파일을 저장하기 전에 ”Start”=dword:00000004, 이 부분에서 4를 3으로 바꾼다. 2. 파일명을 eableusb.reg로 저장한다. disableusb.reg를 실행해해서 USB로 연결된 스토리지가 비활성화되는지 확인하자. 이미 플러그인 되어있는 스토리지에는 영향이 없기 때문에 변...

맬웨어 악성코드 컴퓨터 2015.07.28

‘급여 명세서’ 위장 악성코드를 주의하라...안랩

안랩(www.ahnlab.com)은 최근 ‘급여 명세서’로 위장한 PDF파일로 악성코드 유포 사례가 발견되어 사용자의 주의가 필요하다고 밝혔다. 먼저 공격자는 영문 급여 명세서로 위장한 PDF 파일에 악성 스크립트를 삽입한 후 사용자에게 유포했다. 사용자가 파일을 실행하면, 명세서의 내용과 악성 실행파일(.exe)설치를 위한 파일 저장 알림 창이 동시에 생성된다. 만약 파일을 저장하면 악성 실행파일이 생성되고, 사용자는 자동으로 악성코드에 감염된다. 이 때 저장되는 파일은 실행파일이지만 PDF확장자(.pdf)로 저장되기 때문에 사용자가 감염여부를 의심하기 어렵다. 해당 악성코드는 감염 이후 특정 C&C 서버(Command&Control 서버, 공격자가 악성코드를 원격 조정하기 위해 사용하는 서버)로 접속해 악성 행위에 필요한 파일을 추가로 내려 받거나, 시스템을 변조하는 등의 행위를 시도하므로 주의가 필요하다. 현재 V3 제품군은 해당 악성코드를 진단하고 있다. 이와 같은 악성코드의 피해를 줄이기 위해서는 ▲출처가 불분명한 파일이나 불법 파일 다운로드 금지 ▲운영체제 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 소프트웨어 등 프로그램 최신 버전 유지 및 보안 패치를 적용 ▲백신 프로그램 설치, 자동업데이트 및 실시간 감시 기능 실행 등이 필요하다. 안랩 ASEC대응팀 박태환 팀장은 “PDF나 엑셀 등은 사용자가 많은 애플리케이션이므로 이를 악용한 악성코드가 꾸준히 발견되고 있으며, 향후에도 발견될 가능성이 높다”며, “파일명이 호기심 가거나 파일의 확장자가 변조되지 않았더라도, 출처가 불분명하다면 클릭을 자제하는 습관을 가지는 것이 중요하다”고 말했다. editor@itworld.co.kr

악성코드 안랩 2015.06.23

메르스 관련 스미싱과 악성코드 주의 당부...한국인터넷진흥원

한국인터넷진흥원(KISA)은 최근 중동호흡기증후군인 메르스(MERS) 관련 내용이 포함된 스미싱 문자와 이메일 첨부파일을 통한 문서 위장 악성코드가 유포되고 있어 이용자의 각별한 주의를 당부한다고 밝혔다. 해당 문자에 포함된 인터넷주소(URL)를 클릭해 다운로드되는 악성앱을 설치할 경우, 스마트폰 내 기기 정보, 공인인증서 등 주요 정보 유출과 함께 주소록을 통해 스미싱 문자가 발송된다. 문서 위장 악성코드는 감염된 PC의 시스템을 원격으로 제어할 수 있는 악성코드가 다운로드하는 것으로 확인되었다. 인터넷진흥원은 ISP, 통신사(SKT, KT, LGU+), 백신업체(안랩, 이스트소프트, 하우리 등)와 공조해 악성코드(악성앱)을 공유하고, 명령제어서버, 정보유출지 차단 등의 조치를 완료했다. 인터넷진흥원 측은 메르스 관련 내용을 위장한 스미싱 및 악성코드 유포 행위를 집중 모니터링하여 이용자 피해를 최소화할 계획이라고 밝혔다. 사용자는 스미싱 피해 예방을 위해 의심스런 문자에 포함된 인터넷주소(URL)를 클릭하지 말고, 악성 앱이 설치되는 것을 미연에 방지하기 위해 스마트폰의 보안 설정을 강화해야 한다고 조언했다. 또한, 악성코드 감염 예방을 위해 확인되지 않은 출처의 이메일 열람을 자제하고, 사용 중인 PC의 최신 보안 업데이트 및 사용자 백신을 최신 버전으로 유지되도록 관리해야 한다. 한국인터넷진흥원 측은 "일반 국민들뿐만 아니라 표적공격 대상이 될 수 있는 메르스 관련 기관이나 기업의 보안 담당자는 보안에 각별히 신경써야 한다"고 전했다. 시만텍, 메르스 사칭 트로이목마 악성코드 확산 경고 한편 시만텍은 메르스 사칭 트로이목마 악성코드 확산을 경고하면서 사용자 주의를 당부했다. 이번 바이러스는 단순한 다운로더 형태의 트로이목마(Trojan.Swort) 바이러스로 밝혀졌다. 시만텍 보안 위협 대응 센터(Symantec Security Response) 측은 "이 악성 샘플을 수집해 ...

시만텍 악성코드 트로이목마 2015.06.12

안랩, ‘도움말 파일’로 위장한 토렌트 악성코드 주의보

안랩(www.ahnlab.com)은 최근 ‘토렌트’에서 도움말 파일(.chm)로 유포되는 악성코드 사례가 발견돼 사용자의 주의가 필요하다고 밝혔다. 먼저 악성코드 유포자는 최근 인기 있는 프로그램의 정상 동영상 파일과 악성 도움말 파일(.chm)을 토렌트에 함께 유포했다. 해당 악성 파일은 “감상 전에 꼭 필독”, “꼭 읽어보세요” 등 호기심을 자극하는 파일명으로 사용자의 주의를 끌었다. 만약 사용자가 의심 없이 악성 도움말 파일을 실행하면, 공격자가 미리 설정해 놓은 특정 웹사이트로 연결된 후 자동으로 악성코드에 감염된다. 이 때, 함께 다운로드 한 영상 파일은 정상 파일이기 때문에 사용자가 도움말 파일의 악성 여부를 의심하기 어렵다. 해당 악성코드는 감염 이후 특정 C&C(Command&Control) 서버로 접속을 시도하는 등 공격자의 특정 명령을 수행할 수 있는 ‘백도어’ 기능을 수행한다. 즉, 공격자의 목적에 따라 다양한 악성코드 추가 설치 및 실행이 가능하기 때문에 사용자의 주의가 필요하다. 현재 V3 제품군은 해당 악성코드를 진단하고 있다. 이와 같은 악성코드의 피해를 줄이기 위해서는 ▲출처가 불분명한 파일이나 불법 파일 다운로드 금지 ▲운영체제 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 소프트웨어 등 프로그램 최신 버전 유지 및 보안 패치 적용 ▲백신 프로그램 설치, 자동업데이트 및 실시간 감시 기능 실행 등이 필요하다. 안랩 ASEC대응팀 박태환 팀장은 “토렌트와 같은 P2P 프로그램은 다수의 사용자가 통신하면서 서버에 업로드 없이 파일을 공유할 수 있다는 점 때문에 사용자가 증가하고 있다”며, “만약 악성코드가 포함된 파일을 공유할 경우 2차 감염 피해가 발생할 가능성도 있어 더욱 주의해야 한다”고 말했다. editor@itworld.co.kr

악성코드 안랩 2015.06.03

사이버범죄자들, POS 침투를 위해 새로운 악성코드가 첨부된 이메일 스팸 사용

사이버범죄자들은 웹 브라우저나 POS(point-of-sale) 시스템에서 이메일을 확인하는 직원들을 표적으로 하고 있다. POS 시스템에서 이메일 확인이나 웹 서핑을 하는 일은 상당히 위험하지만 불행히도 일상적으로 흔히 있는 일이다. 보안업체 파이어아이 연구원들은 최근 사이버범죄자들은 구인 공고를 가장한 사기 이메일을 사용한다고 밝혔다. 이 이메일은 사용자를 속여 실제로 악의적인 매크로가 담겨있는 워드 문서인 첨부파일을 실행하게끔 한다. 이 매크로는 원격 서버로부터 추가 악성코드를 다운로드하게끔 프로그램을 설치한다. 파이어아이 연구원들은 이 추가 프로그램에서 POS 시스템으로부터 지불 카드 데이터를 훔치는 새로운 메모리 스크래핑 악성코드를 확인했다. 파이어아이 측은 이 새로운 위협을 니트러브POS(NitlovePOS)라고 명명했다. 지난 수년동안 POS 악성코드는 일상적인 일이 됐으며 가장 큰 신용카드 유출 사건으로 이어졌다. 이 악의적인 프로그램 류는 2013년 말 타깃(Target)으로부터 4,000만, 지난해 홈 디포(Home Depot)로부터 5,600만 지불 카드 기록을 훔치는 데 사용됐다. 한때 이 악성코드는 POS 터미널에 설치되어 카드 리더기를 거쳐 소매 애플리케이션으로 지나가는 카드 데이터의 시스템 메모리를 스캔한다. 사이버범죄자들은 메모리스크래핑을 통해 훔친 데이터를 복제 카드를 만드는데 사용할 수 있다. 일반적으로 공격자들은 훔치거나 쉽게 추측이 가능한 원격접속 신원 정보를 사용해 POS 시스템을 감염시킨다. 이는 같은 네트워크 상의 다른 컴퓨터에 접근하기 위한 또다른 수단으로 사용된다. 그러나 스팸을 통해 배포되는 무차별적인 범죄행위에 니트러브POS(NitlovePOS)와 같은 POS 악성코드는 흔치 않다. 사이버범죄자들은 회사의 직원들이 자신들의 이메일을 확인하거나 다른 위험한 행동들을 하는데 POS 시스템을 사용한다는 점을 악용하려고 한다. 기업들은 직원들에게 모범적인 보안 사례들을 따르도록...

악성코드 POS NitlovePOS 2015.05.26

"랜섬웨어에 당해보니", 한 기업 보안 책임자의 데이터 구출 경험담

일부 랜섬웨어는 한 컴퓨터에서 전체 네트워크로 빠르게 전파되며, 사이버 범죄자들은 정말 빨리 움직인다. 지난해 필자는 회사 직원 가운데 한 명이 랜섬웨어에 감염되어 하드 드라이브가 암호화된 것을 경험한 적이 있었다. 당시 사이버범죄자는 해당 직원에게 실시간으로 직접, '기술 지원팀'에서 보낸 것처럼 이메일을 보냈으며, 그 직원이 한 웹사이트에 방문하도록 유도해 그의 컴퓨터를 감염시켰다. 2012년에도 이와 유사한 상황이 발생했었는데, 그 당시에는 주요 뉴스 서비스 웹사이트의 전면 페이지에 있는 광고에서 감염됐다. 이 웹사이트는 순환 광고를 실행하고 있었는데, 광고 가운데 하나가 해킹당한 것이 있었고, 드라이브 바이 악성코드 감염(drive-by malware infection) 방식으로 실행됐다. 드라이브 바이 다운로드 침투 방식은 피해자들이 어떤 행위도 하지 않았음에도, 감염되며 심지어 알아차리지도 못한다. 필자는 이 감염이 자사의 기업 네트워크가 아닌 피해자의 개인적인 컴퓨터로 인한 것이기 때문에 회사 자체는 상당히 안전하다고 생각했다. 또한 자사의 네트워크에서 이런 일이 있었다면 그 시도는 아마 실패했거나 바로 즉시 탐지됐을 것이라고 생각했다. 결국, 이 판단이 옳기도 하고 잘못되기도 했다는 걸 알았다. 필자는 자사의 네트워크에서 다시 랜섬웨어와 마주하게 됐는데, 이로 인해 얼마간 피해를 입었다. 지난 주, 필자의 회사 직원 가운데 한 명은 사무실 내에서 크립토월(CryptoWall) 랜섬웨어에 감염됐다. 기대했던 것처럼 자사의 최신 SIEM과 자체 침입 탐지팀은 감염됐음을 곧바로 탐지했다. 필자의 팀은 아침 9시 5분에 경고를 받았다. 그리고 모든 업무를 중단하고 이 경고에 대응했다. 팀원들은 훈련한 대로 즉각적으로 행동에 나섰다. 이들은 네트워크에서 감염된 워크스테이션을 찾아 9시 10분에 감염된 컴퓨터를 중단시켰다. 그러나 이 랜섬웨어는 실패하지 않았다. 5분도 되지 않은 시간동안 그들은 활동...

악성코드 랜섬웨어 Ransomware 2015.05.20

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.