Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

악성코드

미국 IoT 사이버보안 개선법, 상원 통과

‘사물인터넷 사이버보안 개선법(The Internet of Things Cybersecurity Improvement Act)’에 따르면, 기기 제조업체는 새로운 보안 표준을 충족해야 한다. 아직까진 정부 기관과 관련된 업체에만 적용되는 법이지만, 향후 민간 부문으로 확대될 것으로 전망된다.    전 세계가 모든 전자기기를 상호연결하는, 즉 사물인터넷(IoT) 시대로 나아가고 있다. 하지만 ‘보안’보다 시장 출시 속도와 가격만 우선시하는 기기 제조업체들이 많다. 노키아(Nokia)의 최신 위협 인텔리전스 보고서(Threat Intelligence Report 2020)에 따르면, 전체 모바일 및 와이파이 네트워크 감염에서 IoT 기기가 차지하는 비율은 무려 1/3에 달했다.  IoT 기기 수가 기하급수적으로 증가하면서 이 비율 또한 많이 늘어날 것으로 예상된다. 포티넷(Fortinet)의 최근 보고서는 엣지 기기의 급속한 도입으로 공격 기회가 커질 것이라면서, “지능형 악성코드가 새로운 ‘엣지 액세스 트로이목마(Edge Access Trojans, EAT)’를 사용해 민감한 데이터를 발견하고 로컬 네트워크에서 요청을 가로채 시스템을 손상시키거나 추가 공격 명령을 주입하는 등의 침입 활동을 수행할 수 있다”라고 경고했다.  지난 9월 미국 하원을 통과했고 지난주 상원에서 만장일치로 승인된 ‘사물인터넷 사이버보안 개선법’은 이런 위협을 방지하고 IoT 기기 보안을 강화하기 위한 조치다. 이제 남은 것은 도널드 트럼프 대통령의 서명 절차뿐이다.  처음부터 이 법안을 적극 후원했던 월 허드 하원의원과 로빈 켈리 하원의원의 말을 빌리자면, 해당 개선법의 목표는 “국가 안보와 국민의 개인정보를 보호하기 위해 미국 정부가 안전한 기기를 구매할 수 있도록 보장하는 것 그리고 기존 취약점을 차단할 수 있도록 하는 것”이다. 연방정부가 따를 수 있는 표준 및 가이드라인을 만드는 것 또한 목표다.  이 법안은 이러한...

사물인터넷 IOT 엣지 2020.11.26

이스트시큐리티, 북한 내부 정보로 현혹하는 탈륨 해킹 조직 주의보

통합 보안 업체 이스트시큐리티는 마치 북한의 최근 내부 소식인 듯 현혹하는 악성 HWP 문서 파일 공격이 발견돼 각별한 주의가 필요하다고 30일 밝혔다. 이번에 등장한 위협은 공격자가 실제 탈북민이나 대북 소식통으로 신분을 위장해 최신 북한 뉴스를 제공하겠다는 식으로, 대북 분야 활동가나 전문연구원 등에 접근해 해킹을 시도하고 있다. 일반적인 스피어 피싱 공격은 처음부터 이메일에 악성 파일을 첨부해 수신자로 하여금 즉시 실행을 유도하지만, 의심이 많거나 보안 경각심이 높은 대상자의 경우 신뢰를 먼저 구축한 뒤 공격을 진행하는 나름 치밀한 시나리오를 활용하고 있다. 이번 공격은 초반 일정 기간은 정상적인 이메일을 수차례 보내 대상자를 먼저 안심시키는 사전 준비 과정을 거치고, 자신을 믿는다고 판단된 순간 악성 파일을 전달하는 일종의 투-트랙 공격 전략을 구사 중인 것으로 보인다. 아울러 HWP, DOC 등 문서형 악성 파일을 전송할 때는 보안 프로그램의 탐지와 의심을 최소화하기 위해 문서작성 프로그램의 자체 비밀번호 설정 기능을 악성코드에 적용해 보낸 후, 이메일을 회신한 사람에게만 해제 비밀번호를 제한적으로 전달하는 1:1 맞춤형 감염 수법을 사용한다.  한편, 공격에 활용된 여러 코드를 살펴본 결과, 공격자는 실제 북한 언어 표현에 능통한 것으로 보이며 악성 파일 내부에선 제작자가 의도하지 않게 남긴 흔적이 발견됐다.   이는 제작자의 특정 폴더 경로로, 해당 경로는 실제 악성코드를 제작한 공격자가 문서 파일의 객체 연결 삽입(OLE)과 바로 가기(LNK) 기능을 악용해 감염을 유도하면서 코드 내부에서 발견됐다. [제작자 폴더 경로명] \공격방안\보프\침투방안\2020\0904\spy\hwp 이스트시큐리티 ESRC(시큐리티대응센터)는 HWP 문서 파일 공격이 사람의 심리와 호기심을 자극하는 방식으로 꾸준히 발전하고 있다며, 이번 공격의 배후로는 특정 정부가 연계된 것으로 알려진 해킹 조직 ‘탈륨(Thalli...

이스트 탈륨 김수키 2020.10.30

공격자가 QR 코드를 악용하는 방법과 기업의 위험 완화 전략

코로나19 사태로 QR코드 사용이 일상화되면서 이를 악용해 개인정보를 탈취하거나 피싱 공격을 시도하는 사례가 늘고 있다. 기업 보안팀은 물론이고 직원들도 알아야 할 사항은 다음과 같다.  팬데믹이 기술 분야에 미친 영향 가운데 하나는 바로 ‘QR코드’ 사용 증가다. 그리고 당연하게도 모처럼의 기회를 놓치지 않으려는 공격자들이 이 모바일 기술의 취약점을 악용해 공격을 시도하고 있다. 보안팀과 직원 모두 이 위협에 대비해야 한다.    모바일 보안 플랫폼 업체 모바일아이언(MobileIron)이 지난 9월 발표한 보고서에 따르면, QR코드는 기업과 개인에게 ‘중대한’ 보안 위험을 초래할 수 있다. 모바일아이언은 미국과 영국에서 2,100명의 소비자를 대상으로 설문조사를 실시했다.  전체 응답자의 47%는 최근 들어 QR코드를 많이 사용하고 있다고 말했다. QR코드가 비접촉식 거래를 필요로 하는 현시점에서 매우 유용하게 쓰이고 있기 때문이다.  대다수(84%)가 QR코드를 사용해봤으며, 이 가운데 1/3은 최근 일주일 이내에 QR코드를 스캔했다고 답했다. QR코드를 주로 사용한 곳은 소매점, 레스토랑, 술집 및 기타 시설인 것으로 드러났다. 또한 QR코드가 미래의 결제 방식으로 더욱 광범위하게 사용되기를 원한다고 말한 응답자도 많았다. 한편, 모바일아이언은 보안되지 않은 개인용 기기를 사용해 커뮤니케이션하고 클라우드 기반 앱과 서비스를 사용하며 원격근무를 하는 비율이 늘어났다고 언급했다. 다시 말해, 일상 전반에서 개인용 모바일 기기를 사용하기 시작했고, 여기에 더해 QR코드 사용까지 증가하기 시작하면서 자신은 물론 기업 리소스까지 위험에 노출되고 있다고 보고서는 설명했다.  ‘QR코드 악용’은 간단하고 효과적이다  모바일아이언의 보고서에 따르면 공격자는 코로나19 사태로 인한 보안 공백을 악용하고 있으며 특히, 모바일 기기를 표적으로 삼고 있다.  공격자는 악성코드를 포함한 악성...

QR코드 비접촉식 결제 악성코드 2020.10.22

11가지 해커 유형과 미치는 영향

해커 유형, 해킹 동기 및 목적, 사용하는 악성코드 등을 이해한다면, 공격을 식별하고 적절하게 방어할 방법을 파악하는 데 도움이 된다.   지난 수십 년 동안 해커와 악성코드는 계속해서 진화해왔다. 컴퓨터가 퍼티(putty) 같은 화면만 보이는 큰 상자였을 때 해커들은 이제 막 걸음마를 배우고 유치한 장난을 치고 있었다. 어쩌면 화면에 “마리화나를 합법화하라!”와 같은 문구를 띄우거나 양키 두들(Yankee Doodle)을 플레이하는 유치한 악성코드를 만들었을 수도 있다.    컴퓨터가 발전하고 자체적인 시장을 형성하자 해커들도 순진한 괴짜에서 대담한 범죄자 집단으로 변화하기 시작했다. 더 이상 컴퓨터는 새로운 것이 아니며 더 이상 해커도 장난을 치진 않는다. 밤새 에너지 드링크와 정크 푸드를 먹으며 괴짜 같은 장난을 즐기던 사회 부적응자들은 사라졌다.  오늘날 해커들은 제대로 된 일자리가 있는 숙련된 전문가다. 보수도 좋고, HR팀도 있으며 휴가도 즐긴다. 해커 유형은 돈이나 권력을 얻는 방법만큼이나 다양하지만 나누자면 다음의 11가지 기본 유형으로 분류할 수 있다. 1. 은행 강도(Bank robber) 한때 말을 타고 쳐들어와 총을 겨누면서 은행이나 여행자의 돈을 훔치는 은행 강도와 노상강도가 있었다. 오늘날의 금융 해커는 랜섬웨어를 타고 쳐들어온다. 그리고 위조 송장부터 위조 수표, 날짜 사기, 가짜 에스크로 중개, DoS 공격에 이르기까지 계좌에서 돈을 훔칠 수 있는 모든 사기와 해킹을 사용한다. 탐욕은 인류와 역사를 같이 했다.  2. 국가 주도(Nation-state)의 해커 오늘날 대부분의 선진국은 수천 명의 숙련된 해커들을 고용하고 있다. 이들이 하는 일은 무엇일까? 다른 국가의 군사 및 산업 네트워크에 숨어들어 자산을 파악하고 악의적인 백도어를 설치하는 것이다. 그리고 이를 통해 사이버전(cyberwarfare)을 준비하는 것이다.  이란 원자력 발전소의 우라늄 원심분리기 1,...

보안 악성코드 해킹 2020.09.16

인텔, 타이거 레이크 프로세서에 악성코드 방지 기능 내장…인메모리 공격 차단

인텔이 차세대 타이거 레이크(Tiger Lake) 프로세서 자체에 악성 앱의 운영 방법을 방해하는 보안 기능을 탑재한다. 기존 방식을 따르면, 타이거 프로세서를 가장 먼저 탑재하는 것은 모바일 디바이스가 될 것이다. 지난 20년 동안 인텔은 모바일, 데스크톱, 그리고 서버 프로세서의 순으로 차세대 프로세서를 공개했는데, 서버 프로세서가 마지막 차례인 것은 데스크톱 프로세서에 서버용 명령어를 결합해야 하기 때문이다. 더구나 대부분 기업은 신형 프로세서를 함부로 서버에 사용하지 않는다.   타이거 레이크 프로세서의 성능을 둘러싼 논란이 적지 않다. 인텔이 내장 GPU의 성능이 엔비디아나 AMD의 별도 GPU와 견줄 만하다고 주장하기 때문이다. 이와는 별개로 보안 측면에서는 타이거 레이크에 큰 변화가 있는데, 바로 CET(Control-Flow Enforcement Technology)가 추가된 것이다. CET는 CPU 내부에서 실행되는 동작의 순서를 담당한다. 맬웨어는 취약점을 이용해 다른 앱의 제어 흐름을 가로채 악성코드를 앱에 삽입하는데, 유효한 애플리케이션의 일부로 실행되기 때문에 소프트웨어 기반의 안티바이러스 프로그램이 탐지하기 어렵다. 인메모리 공격이 바로 이렇게 이루어지는데, 악성 코드를 디스크에 기록하지는 않는다. 인텔은 트렌드마이크로의 제로데이 이니셔티브를 인용해 2019년부터 현재까지 공개된 취약점 1.097건 중 63.2%가 메모리의 안전과 관련된 것이라고 지적했다. 인텔 클라이언트 컴퓨팅 그룹 부사장이자 보안 전략 담당 총괄 책임자인 톰 개리슨은 블로그 포스트를 통해 “성능에 최소한을 영향을 미치면서 효과적인 보안 기능을 제공하기 위해 기반부터 깊이 있는 하드웨어 통합을 적용했다”며, “이번 작업이 보여주듯 하드웨어는 어떤 보안 솔루션에도 기반을 제공한다. 하드웨어에 뿌리를 둔 보안 솔루션은 현재와 미래의 위협에 대한 보안을 보장할 가능성이 가장 크다”고 강조했다. CET는 두 가지 새로운 보안 메커니즘을 통해 제어 흐름을 ...

인텔 타이거레이크 제온 2020.06.22

"랜섬웨어 평균 피해액은 얼마인가" 숫자로 본 사이버보안 현황 2020

이번 기사에서 제시하는 숫자는 악성코드 추세에서 예산 이동에 이르기까지 업계 현황을 파악할 수 있는 최신의 것들이다.    사이버보안 세계에서 무슨 일이 일어나고 있는지 자신의 판단을 뒷받침할 수 있는 확실한 수치를 갖고 있는가? 보안 산업 현황에 대한 연구와 조사를 통해 현재 보안 상황과 이에 대해 보안 리더들이 어떻게 대응하고 있는지 파악했다.  어떤 시스템이 가장 취약한지, 어떤 악성코드가 순위에서 1위를 차지하고 있는지, 그리고 이런 공격과 사고들을 대응, 처리하기 위해 얼마나 많은 돈을 지출하고 있는지에 대한 데이터를 원한다면 계속 읽어보자.  한 눈에 보는 9가지 주요 사이버보안 통계   악성코드의 94%가 이메일을 통해 전달된다.  피싱 공격은 보고된 보안 사고의 80% 이상을 차지한다.  피싱 공격으로 1분에 1만 7,700달러의 손실이 발생한다.   보안 침해의 60%는 패치가 제공됐지만 적용하지 않은 취약점과 관련이 있다.  기업의 63%가 하드웨어 또는 반도체 레벨의 보안 침해 사고로 인해 12개월 내에 데이터를 해킹당할 가능성이 있다고 답했다.  2019년 상반기 IoT 디바이스 공격은 3배로 증가했다.  2019년 상반기 동안 파일리스 공격이 256% 증가했다.  데이터 침해 사고로 기업은 평균 390만 달러를 지불했다.  IT 리더 가운데 40%가 사이버보안 업무자를 채워넣기가 가장 어렵다고 응답했다.  기본부터 시작해보자. 사이버보안에 관한 기사에서 새롭고 낮선 취약점의 수와 관계없이 모든 기본 취약점에 대한 것이다. 수천 건의 보안 사고를 조사한 결과, 버라이즌은 거의 모든 악성코드가 이메일을 통해 컴퓨터에 도달했다는 사실을 밝혀냈다. 94%의 경우가 그러했다.  관련이 없는 뉴스에서 보고된 사고의 80% 이상이 차지하는 소셜 엔지니어링 공격의 가장 큰 유형은 피싱이었...

악성코드 지출 사이버보안 2020.03.17

"사이버 공격이란 무엇인가" 의미와 사례, 동향 분석

사이버 공격(cyber attack)이란 간단히 말해, 하나 이상의 컴퓨터에서 다른 컴퓨터, 여러 컴퓨터 또는 네트워크에 대해 시작된 공격이다. 사이버 공격은 넓게 2가지 유형으로 분류될 수 있는데, 하나는 대상 컴퓨터를 비활성화하거나 오프라인으로 만드는 공격이고 다른 하나는 대상 컴퓨터의 데이터에 접근해 관리자 권한을 얻는 것이 목표인 공격 유형이다.    사이버 공격의 8가지 유형  접속권한을 얻거나 운영을 불가능하게 하는 목표를 달성하기 위해, 사이버 범죄자들은 수많은 다른 기술적 방법을 사용한다. 항상 새로운 방법이 확산되고 이런 범주들은 일부는 중복되지만, 일반적으로 가장 많이 들을 수 있는 용어들이다.   1. 악성코드(Malware) 2. 피싱(Phishing) 3. 랜섬웨어(Ransomware) 4. 서비스 거부(Ransomware, DoS) 5. 중간자(Man in the middle) 6. 크립토재킹(Cryptojacking) 7. SQL 인젝션(injection) 8. 제로데이 익스플로잇(Zero-day exploits) - 악성코드  악성 소프트웨어(malicious software)의 줄임말인 악성코드(malware)는 어떻게 구조화되는지와 운용되는지는 상관없이 ‘단일 컴퓨터, 서버 또는 컴퓨터 네트워크에 손상을 입히기 위해 고안된’ 모든 종류의 소프트웨어를 일컫는다. 웜(Worms), 바이러스(viruses), 트로이목마(trojans)는 모두 다양한 종류의 악성코드로, 복제하고 확산되는 방법에 따라 서로 구별된다. 이런 공격은 컴퓨터나 네트워크를 운용 불가능하게 만들 수도 있고, 공격자가 시스템을 원격으로 제어할 수 있도록 공격자에게 루트 접근(관리자 권한)을 허가할 수도 있다. - 피싱 피싱은 사이버 범죄자가 이메일을 조작해 목표대상을 속여서 어떤 유해한 행동을 취하는 기술이다. 예를 들어, 수신자는 중요한 문서로 위장한 악성코드를 다운로드하도록 속거나, 은행 사용자 이름이나 ...

악성코드 SQL인잭션 cyber attack 2020.03.03

마이크로소프트 디펜더, 기업 스마트폰 보안 나선다

악성코드 제작자가 주로 PC를 노리는 이유는 대중적이고 공격 표면이 크기 때문이다. 그렇다고 안드로이드와 iOS 스마트폰에 특별한 면역력이 있는 것은 아니다. 이점에 주목한 마이크로소프트는 두 플랫폼용 마이크로소프트 디펜더를 출시할 계획이다.   다음 주 열리는 RSA 보안 컨퍼런스에서 좀 더 자세한 정보가 나오겠지만, 지난 주 마이크로소프트의 한 임원이 CNBC 방송과의 인터뷰에서 관련 계획을 공개했다. 또한, 리눅스용 마이크로소프트 디펜더(Microsoft Defender Advanced Threat Protection for Linux)와 공개 프리뷰 버전도 발표했다. 마이크로소프트가 윈도우 디펜더의 이름을 마이크로소프트 디펜더로 바꾼 것이 지난 해 7월이므로, 이때부터 이미 다른 플랫폼을 보호할 계획을 세웠다고 볼 수 있다. iOS와 안드로이드용 보안 솔루션은 다음 주 RSA 컨퍼런스에서 프리뷰 버전을 공개할 계획이다. 스마트폰 악성 코드 확산에 대해 CNBC와의 인터뷰에서 마이크로소프트 본사 부사장 롭 레퍼츠는 “두 플랫폼은 꽤 안전하지만, 꽤 안전한 것과 안전한 것은 같지 않다”라며, “악성코드가 이들 플랫폼에서 발생하고 있다”고 지적했다. 마이크로소프트 디펜더 패키지는 전통적인 안티맬웨어 솔루션은 아닌 것으로 보인다. 윈도우 디펜더가 PC를 검사해 악성코드를 제거했다면, 레퍼츠가 설명하는 마이크로소프트의 iOS와 안드로이드용 솔루션은 마이크로소프트가 안전하지 않다고 생각하는 온라인 목적지를 사용자가 방문하지 못하도록 하는 역할을 한다. 구글 역시 검색 결과에서 안전하지 않은 사이트를 걸러내고 있다. 마이크로소프트 디펜더가 스마트폰에서 악성코드나 애드웨어를 탐지했을 때 어떤 조처를 취할지는 확실하지 않다. 일반 소비자도 마이크로소프트의 새 솔루션을 이용할 수 있겠지만, 현재 마이크로소프트가 노리는 곳은 기업이 관리하는 업무용 스마트폰이다. 마이크로소프트는 자사 블로그 포스트에서 “고객의 환경이 복잡하고 이기종 시스템이 섞여 있다는...

악성코드 안티맬웨어 마이크로소프트 2020.02.21

윈도우 네트워크에 숨은 악성코드 퇴치법

윈도우 시스템에 있는 서비스 이름을 나열하면, 진짜 서비스와 가짜를 구별할 수 있을까? 공격자는 종종 악성 코드를 포함하고 있지만 진짜 윈도우 서비스가 작동하는 것처럼 보이도록 고안한 가짜 서비스를 사용한다. 윈도우 업데이트가 진짜 윈도우 업데이트일까? 혹은 악성 코드를 컴퓨터에서 “윈도우 업데이트”라고 하는 걸까? 시간을 내어 네트워크의 컴퓨터에서 어떤 서비스와 프로세스가 정상인지 확인해 본 적은 있는가?     윈도우 서비스의 기준 만들기 확인한 적이 없다면, 네트워크에 어떤 서비스가 있어야 하는지 보여주는 기준을 만들어야 한다. 파워셸 get-service는 시스템에서 실행 중인 서비스 목록을 가져오는 빠르고 간편한 방법이다.    시스템 기준을 정할 땐, 기본부터 시작하자. 시스템에서 어떤 서비스가 실행 중일 것이라 예상하는가? 특히 서버 시스템에 새로운 서비스가 추가될 때 경보를 위해 공들여 모니터링 서비스를 추가한 적이 있는가? 워크스테이션은 새로운 서비스를 불규칙적으로 추가할 수 있지만, 서버의 서비스는 자주 변경되지 않는다. 서비스와 중요 루트 디렉토리의 변경 사항에 대해 서버를 모니터링하는 것은 고려해봐야 할 보안 프로세스이다. 예를 들어 시스템 모니터(Sysmon)를 서버에 추가해 시스템의 변경 사항을 모니터할 수 있다.    악성 코드를 숨기는 전술에 대한 방어 과거에는 악성 소프트웨어가 대상 시스템에 숨으려고 너무 열심히 노력할 필요가 없었다. 서비스와 드라이버로 들어가 일반 서비스처럼 보이곤 했다. 그러나 시스템이 강화됨에 따라, 공격자는 시스템에 악성코드를 숨기려면 더 복잡한 작업을 해야 한다.  악성 소프트웨어는 암호화, 압축, 인코딩 등 수많은 방법을 동원해 시스템에 숨고 발각되지 않을 수 있다. 이제 백신은 파일명, 서비스명, 유형보다 의심스러운 행동을 더 많이 탐색한다. 예를 들어 애플리케이션이 기밀이 포함될 가능성이 높은 파일에 갑자기 접근하기 시작하면, ...

악성코드 파워셸 공격표면 2020.02.14

크립토마이너와 파일리스 파워셸 기법의 위험한 조합

암호화폐 마이닝 악성코드(크립토마이너)는 랜섬웨어와 함께 기업 시스템을 노리는 가장 일반적인 위협 가운데 하나다. 크립토마이너 역시 랜섬웨어와 마찬가지로 몇 년 동안 진화하면서 과거에는 APT에 사용됐던 파일리스 실행, 런타임 컴파일, 반사 코드 주입과 같은 공격 벡터와 기술을 수용했다.   보안업체 딥 인스팅트(Deep Instinct)의 연구진은 최근 아시아의 항공 관련 대기업 시스템에서 크립토마이너 감염 사례를 발견했다. 이 공격은 새로운 모네로(Monero) 암호화폐 마이너와 파워셸, 반사 PE 주입, 런타임 코드 컴파일, 그리고 익명성을 위한 토르(Tor)를 사용했다. 악성코드는 인코딩된 파워셸 스크립트로, 시스템 설정 시 실행되는 예약된 작업을 설정하고 또 다른 인코딩된 파워셸 명령을 실행했다. 두 번째 페이로드는 파워셸 기반 익스플로잇 프레임워크인 파워스플로잇(PowerSploit)과 파워셸 엠파이어(PowerShell Empire)의 Invoke-ReflectivePEInjection이라는 모듈을 사용해 레지스트리에 저장된 코드를 추출해 자체 실행 프로세스에 주입했다. 딥 인스팅트 연구원들은 새로 발표한 보고서에서 “런타임 컴파일은 새로운 수법은 아니지만 파일리스 공격의 인기가 높아지면서 점차 확산되고 있으며, 파워셸의 일부 보호 메커니즘을 우회하는 등 공격자에게 유리한 역할을 한다”고 설명했다. 악성코드를 디스크의 파일이 아닌 레지스트리 내에 저장한 다음 정상 프로세스의 메모리에 직접 주입하는 방식은 APT 공격에서 안티바이러스의 감지를 회피하기 위해 처음 사용된 수법이다. 이러한 파일리스 실행 기법은 현재 랜섬웨어를 포함한 다양한 악성코드 위협에서 흔히 사용된다. 이 사례의 경우 시스템 레지스트리 내에 저장된 코드는 모네로 마이닝 프로그램을 구현하는 두 개의 .DLL 파일(32비트 시스템용과 64비트 시스템용)로 구성된다. 크립토마이너는 로드되면 마이닝 풀의 실제 위치를 숨기기 위한 익명 프록시 역할을 하는 일련의 토어 노...

악성코드 인스팅트 파일리스 2019.12.17

2020년 사이버보안, 주시해야 할 9가지 위협

사이버보안에 대해 예측하는 일은 재미있는 일이지만, 가장 철저히 준비해야 할 위협을 결정해야 하는 보안 담당자에게 도움이 되지 않을 수도 있다. 아카마이(Akamai)의 보안 인텔리전스 대응팀 선임 엔지니어인 채드 시먼은 “항상 진짜 문제가 되는 부분은 갑자기 튀어나올 수 있기 때문에 미래에 대해 제대로 예측하는 것은 불가능하다”라고 말했다.     2020년 직면할 가장 큰 위협이 새롭고 예상 못한 위협이라면, 미래를 대비해 노력을 집중하는 최상의 방법은 무엇일까? 올해 가장 컸던 위협이 범위와 전술 측면에서 2020년에 어떻게 바뀔지 생각하는 것이 좋은 출발점이 될 수 있다. 본지는 2019년에 가장 빈번히 발생한 중대 위협에 대한 조사 결과들을 살펴봤다. 그리고 조사 및 연구 전문가에게 2020년의 위협 추세에 맞춰 방어 체계를 조정하는 방법에 대한 조언을 구했다.  1. 장치의 악성코드 감염 엔드포인트 보호는 항상 조직들의 큰 ‘전장’이었다. 카스퍼스키(Kaspersky)의 ‘2019년 IT 보안 경제(IT Security Economics in 2019) 보고서에 따르면, 2019년에 회사 소유 장치가 악성코드에 감염된 조직의 비율이 약 절반에 달한다. 또 직원 소유 장치가 악성코드에 감염된 비율도 절반에 달한다. 카스퍼스키 보고서에 따르면, 대기업의 경우에는 가장 많은 피해를 초래한 보안 사고가 회사 소유 장치가 악성코드에 감염된 사고였다. 구체적으로 사고당 평균 피해액이 273만 달러였다. SMB는 피해액이 여기에 크게 못 미치는 11만 7,000달러였다. - 2020년 전망: 카스퍼스키의 보안 연구원인 드미트리 갈로프는 2020년에 직원 소유 장치로부터 초래되는 위험이 증가할 것으로 내다봤다. 갈로프는 비용을 절감하고, 원격 근무제를 도입하고, 직원 만족도를 높이기 위해 직원들이 개인 소유 장치를 사용하도록 허락하는 기업들이 늘어날 것이라고 예측했다. 그 결과, 공격자들은 기업 방어선을 우회하는 방법으로 개인...

악성코드 사이버보안 서드파티 2019.12.16

"PyPI에 악성코드가 올라온다" 악성 파이썬 라이브러리를 주의하라

최근 서드파티 패키지용 파이썬의 공식 리포지토리인 PyPI(Python Package Index)에서 악성코드가 들어 있는 2개의 파이썬 라이브러리가 제거되었다.    이것은 많은 현대 소프트웨어 개발 커뮤니티가 직면한 문제 중 가장 최근에 불거진 것으로, 오픈소스 소프트웨어에 의존하는 모든 개발자들에게 중요한 질문을 던진다. 즉, 어떻게 하면 리포지토리가 공격을 위한 벡터가 되지 않고 재사용을 위해 공통 리포지토리에 사람들이 자신의 코드를 기여할 수 있도록 할 수 있는가? 대체로, 파이썬과 같은 오픈소스 프로젝트로 운영되는 언어에 대한 공식적인 서드파티 라이브러리 리포지토리는 안전하다. 하지만 악성 버전의 라이브러리는 점검 받지 않으면 빨리 확산될 수 있다. 그리고 대부분의 이런 언어 리포지토리가 자원 봉사자들에 의해 감독된다는 사실은 그렇게 많은 눈들이 주시만 하고 있어서 기여가 항상 필요한 조사를 받는 것은 아니라는 것을 의미한다. 이번 주 PyPI에서 삭제된 2개의 악성 패키지는 “타이포 스쿼팅(typo squatting)”이라고 불리는 속임수, 즉 경고를 주는데 일반적으로 사용되는 패키지와 충분히 유사한 이름들을 선택하는 속임수를 사용했다. 또한, 누군가 의도된 이름을 잘못 입력하면 우연히 설치될 수도 있다.  파이썬 데이트타임 객체를 조작하고 스트링에 대해 비슷한 매치를 수행하는데 사용된 데이트유틸(dateutil)과 젤리피쉬(jellyfish) 패키지인 척 하려고 하기 때문에 악성 패키지는 파이썬-데이트유틸과 젤리피쉬라는 이름을 갖게 되었다.   설치되면, 파이썬-데이트유틸과 젤리피쉬는 개발자에게서 개인 데이터를 훔치려고 시도하는 것을 제외하고는 원래 제품과 똑같이 작동했다. 데이트유틸 팀의 개발자인 폴 간슬은 "이번 공격의 가장 유력한 이유는 그 프로젝트를 나중에 공격하기 위해 피해자가 어떤 프로젝트를 하고 있는지 알아내려는 것이었다"고 밝혔다. 파이썬 라이브러리는 일반적으로 2가지 진영으로 나뉜다....

악성코드 파이썬 PyPI 2019.12.13

이셋, 신종 악성코드 2건 발견

이셋코리아는 신종 악성코드 2종 ‘미스파두(Mispadu)’와 ‘디프리몬(DePriMon)’을 발견했다고 발표했다. 미스파두는 가짜 팝업창을 사용해 잠재적인 피해자가 자신의 개인정보와 자격증명을 공유하도록 유도한다. 브라질과 멕시코에서 주로 발견되는 미스파두 뱅킹 트로이목마에는 백도어 기능이 포함돼 있으며 스크린샷을 찍고 마우스 및 키보드 동작을 시뮬레이션하며 키 입력을 캡쳐할 수 있다. 이셋 연구팀은 미스파두가 스팸과 악성 광고라는 두 가지 배포 방법을 사용하고 있다고 밝혔다. 페이스북에 맥도날드의 가짜 할인쿠폰을 제공하는 스폰서 광고를 게재했고 이 광고를 클릭하면 악성 웹 페이지로 연결돼 msi 설치 프로그램이 포함된 zip 파일을 다운로드하게 되는 것이다. 이 파일을 실행하면 3개의 스크립트 체인을 통해 미스파두 뱅킹 트로이목마가 다운로드 및 실행된다. 이 트로이목마는 웹 브라우저 및 이메일 클라이언트에서 피해자의 저장된 자격 증명을 추출한다.  브라질에서는 미스파두가 크롬 확장 프로그램을 배포하는 것으로 위장했다. 이 확장 프로그램은 “크롬을 보호하세요”라고 광고하지만, 신용카드 및 온라인 뱅킹 데이터를 도용하려고 시도하는 것이다. 또다른 악성코드 디프리몬는 2017년 3월부터 활성화돼, 중부 유럽에 위치한 민간기업과 중동 지역 수십 대의 컴퓨터에서 탐지됐다. 이는 “Default Print Monitor”라는 이름으로 새로운 로컬 포트 모니터를 등록해 디프리몬(DePriMon)으로 명명됐다. 메모리에 다운로드돼 직접 실행되는 반사형 DLL 로딩 기술을 사용하고, 디스크에는 저장되지 않는다. 흥미로운 요소가 포함된 광범위한 파일로 구성돼 있으며, 암호화가 적절하게 이뤄져 있다. 결과적으로 디프리몬은 페이로드 다운로드 및 실행과 동시에 시스템과 사용자에 대한 기본 정보를 수집한다. editor@itworld.co.kr

맬웨어 악성코드 이셋 2019.11.26

안드로이드용 안티바이러스 도구 BEST 9

AV-테스트가 안드로이드 안티바이러스 앱 19개를 대상으로 실시한 2019년 9월 평가에 따른 9가지 안드로이드용 비즈니스급 안티바이러스 툴을 소개한다. AV-테스트 연구소는 독일에 본사를 둔 독립적이 IT 보안 및 안티바이러스 연구 서비스 제공업체다. AV-TEST는 보호(최대 6점), 성능(최대 6점), 사용성(최대 6점)의 3가지 영역에 대해 각 툴의 등급을 매긴다. 여기에 나열된 제품들은 모두 18점 만점을 받았다. 테스트한 모든 앱의 평균 실시간 악성코드 탐지율은 97.5%였다. 지난 4주 동안 발견된 안드로이드 악성코드의 실시간 탐지율은 97.4%로 나타났다.     안티바이러스 테스트 결과 활용 방법 이들 테스트는 실험실 환경에서 수행되었다는 것을 명심해야 한다. 위협 모델은 기업 시스템마다 아래 나열된 각 제품에 대해 서로 다른 결과를 보여줄 것이다. 즉, 실험실에서 100% 검출률이 나왔다고 해서 어떤 제품이 네트워크의 모든 안티바이러스 위협을 탐지할 것이라고 예상해서는 안된다. 한 가지 이유는 새로 보고된 악성코드 샘플이 특정 안티바이러스 제품의 데이터베이스에 포함되는 데 며칠이 걸릴 수 있기 때문이다. AV-테스트 결과는 어떤 안드로이드 안티바이러스 제품들이 악성코드 탐지의 기본요건에서 일관되게 가장 우수하며 시스템 성능에 미치는 영향이 거의 없는가를 보여준다. 이는 어떤 제품이 환경에 가장 적합한지 평가할 때 좋은 출발점이 된다. 테스트 결과는 알파벳 순으로 나열됐다.    1. 안텐 랩(Antiy Labs) AVL 2.7  AVL은 보호, 성능 및 사용성에 걸쳐 전체적으로 만점을 받았다. 알 수 없는 번호의 통화 차단만을 제공하는 것에서 특징을 엿볼 수 있다.  2. 비트디펜더 모바일 시큐리티 버전(Bitdefender Mobile Security Version) 3.3 비트디펜더 모바일 시큐리티의 실시간 안드로이드 악성코드 탐지는 100%며, 지난 4주 동안 발견된 최신...

악성코드 보안 안드로이드 2019.11.11

구글 플레이 스토어, 새로운 앱 디펜스 연합으로 보안 오명 벗는다

안드로이드는 플레이 스토어에서 이른바 ‘악당’들과 긴 싸움을 벌여왔다. 구글이 플레이 스토어 내부로 들어오는 모든 악성 앱을 막지는 못한다. 그래서 구글이 내세운 대안은 모바일 보안 분야의 주요 업체와 손 잡고 '앱 디펜스 연합(App Defense Alliance)'을 결성하는 것이다.   새로운 연합에는 구글, ESET, 룩아웃(Lookout), 짐페리엄(Zimperium)이 참여해 안드로이드의 악성코드 검사기인 플레이 프로텍트(Play Protect)를 강화한다. 안드로이드 8 오레오부터 적용된 이 기능은 꽤 효과가 있는 것으로 평가된다. 백그라운드에서 동작하는 플레이 프로텍트는 플레이 스토어의 앱과 사용자의 안드로이드 폰에 설치된 앱을 정기적으로 검사해 사용자에게 악성코드의 존재 여부를 알려준다. 한 가지 문제라면, 스캐너의 성능이 그다지 좋지 않다는 것. AV-Test의 격월 안티바이러스 리뷰에 따르면, 플레이 프로텍트의 점수는 보호 기능과 사용자 편의성 모두 꼴찌로, 최신 안드로이드 악성코드 공격의 55%를 인식하는 데 그쳤다. 업계 평균은 97%이다. 새로운 앱 디펜스 연합은 이 수치를 확실히 끌어올릴 것으로 보인다. 구글은 블로그 포스트를 통해 이번 협력으로 “각 협력업체의 검사 엔진을 구글 플레이 프로텍트 탐지 시스템과 통합할 예정”이기 때문이다. 새로운 앱 위험 정보도 생성된다. 협력업체는 데이터세트를 분석하고 앱이 플레이 스토어에 등록되기 전에 감시하는 또 하나의 눈으로 활동한다”고 설명했다. 분명 악성 앱이 사용자의 안드로이드 폰을 감염시키기 전에 추정하고 특정해 차단할 강력한 시스템이 될 것이다. 구글은 “이들 협력업체를 잠재적 위협 탐지 실적과 생태계 개선에 대한 기여를 기준으로 공들여 선정했다”고 강조했다. 새로운 시스템은 머신러닝과 정적/동적 분석의 조합을 사용해 악당이 플레이 스토어를 덮치기 전에 집어낸다. 구글은 새 시스템이 개별 스마트폰에서도 동작하는지는 밝히지 않았지만, 악성코드가 플레이 스토어에 도달하는 ...

맬웨어 악성코드 탐지 2019.11.08

안랩, 온라인 게임업체 공식사이트 게시판으로 유포되는 악성코드 주의 당부

안랩(www.ahnlab.com)은 최근 다양한 게임업체의 공식사이트 내 게시판을 이용한 악성코드 유포 사례를 발견해 주의를 당부했다. 먼저 공격자는 각 게임업체의 공식사이트 내 자유 게시판에 ‘랭커캐릭 정리합니다’, ‘OO지존장비 ㅍㅍ 스샷첨부 통구매’ 등 게이머들의 관심을 끄는 제목으로 게임 아이템 및 계정 판매 위장 게시물을 업로드했다. 게시물 본문에는 “판매 아이템 목록을 보려면 아래 URL을 주소창에 붙여 넣어라”는 내용을 적어 악성 사이트로 이동을 유도했다. 만약 사용자가 URL을 주소창에 붙여넣어 해당 페이지로 이동하게 되면, 화면보호기 확장자를 가진 악성파일(.scr)이 사용자의 PC에 자동으로 다운로드 된다. 사용자가 무심코 해당 파일을 실행하면, 사용자 PC에 ‘고스트렛(Gh0st RAT)’이라 불리는 원격제어 악성코드가 설치된다. 해당 악성코드는 사용자 PC에 존재하는 취약점을 이용해 감염 PC를 원격으로 조작할 수 있다. 감염될 경우 공격자가 게임계정의 정보를 알아내 게임머니를 탈취하는 등 다양한 피해를 일으킬 수 있다. 이와 같은 악성코드 피해를 줄이기 위해서는 ▲자극적 제목 게시물 내 출처가 불분명한 URL 실행 금지 ▲출처를 알 수 없는 파일 실행 금지 ▲운영체제 및 인터넷 브라우저, 애플리케이션, 오피스 소프트웨어 등 프로그램의 최신 버전 유지 및 보안 패치 적용 ▲최신 버전 백신 사용 및 보안 패치 적용 등 보안수칙을 지켜야한다. 현재 안랩 V3제품군은 해당 악성코드를 진단하고 있다. 안랩 ASEC대응팀 박태환 팀장은 “공격자는 게임 커뮤니티의 특성에 맞춰 아이템, 캐릭터 판매 등의 미끼를 던진다”며 “특히, 이번 악성코드는 게임사의 공식사이트 내 게시판에서 유포된 사례로 게이머들의 각별한 주의가 필요하다”고 말했다. editor@itworld.co.kr

악성코드 안랩 2019.11.05

'인터넷 노출' 도커 컨테이너 노린다··· 악성코드 뿌리는 크립토재킹 웜 발견

해커들이 인증 없이 인터넷에 노출된 도커 엔진을 악용하는 수법으로 서버에 크립토재킹 악성코드를 설치, 실행하고 있다. 이러한 신형 크립토재킹 봇넷은 자가 확산 기능을 갖춰 지금까지 2,000개가 넘는 도커 배포판이 감염된 것으로 나타났다.   팔로알토네트웍스 연구진이 최근 공개한 보고서를 보면, 크립토재킹 악성코드가 웜으로 확산하는 사건은 전례가 있었지만 이번처럼 도커 엔진(커뮤니티 에디션)의 컨테이너를 사용해 확산하는 크립토재킹 웜은 최초다. 대부분의 전통적인 엔드투엔드 보호 소프트웨어는 컨테이너 내부의 데이터와 활동을 검사하지 않으므로 이러한 종류의 악성 활동은 탐지하기 어렵다고 연구진은 경고했다. 행동이 특이한 봇넷 그랩보이드(Graboid)라고 명명된 이번 신형 웜은 도커 컨테이너 이미지의 공용 저장소인 도커 허브에서 퍼져나갔다. 해커는 실행 시 안전하지 않은 다른 서버로 악성코드를 배치하는 악성 스크립트를 이용해 도커 허브로 이미지를 업로드했다. 연구진은 이번 공격으로 다양한 단계로 감염된 컨테이너 이미지를 여러 개 발견했다. 감염된 이미지는 도커 허브 관리자에게 통보해 제거됐다. 이들 중 한 이미지는 센트OS를 기반으로 한 것으로서 미리 정한 명령 통제(C2) 서버에 연결해 4개의 셸 스크립트를 다운로드해 실행하도록 만들어졌다. 이 이미지 속에는 노출된 도커 데몬으로 명령을 전송하는 도커 클라이언트가 포함돼 있었다. C2 서버가 전달한 4개 스크립트를 자세히 보면, 먼저 이용 가능한 CPU 숫자 등 감염시킨 환경에 대한 상세 정보를 수집해 해커에게 보내는 것이 있었다. 두 번째는 안전하지 않은 도커 API 엔드포인트에 해당하는 2,000개가 넘는 IP 주소 목록을 다운로드해 그중 무작위로 하나를 골라 도커 클라이언트로 연결한 후 도커 허브로부터 똑같은 악성 컨테이너를 배치해 자가 전파를 하는 스크립트였다. 세 번째로는, 목록상에 취약한 도커 호스트 중 하나에 무작위로 연결한 후 nginx 웹 서버 또는 마이SQL 데이터베이스 서버로...

악성코드 보안 도커 2019.10.21

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.