Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

악성코드

생물 의학 연구소만 목표로 한 맥 악성코드 발견… “몇 년간 존재”

지난 몇 년간 생물 의학 연구 센터를 엿보기 위해 만들어진 맥 악성코드가 방치됐다는 사실이 드러났다. 안티바이러스 업체인 맬웨어바이트(Malwarebytes)는 감염된 맥에서 비정상적인 네트워크 트래픽을 발견한 후, 이 악성코드를 발견했다고 밝혔다. 애플이 프루트플라이(Fruitfly)라고 부르는 이 악성코드는 스크린 캡처, 웹캠 엑세스, 마우스 클릭 및 키 입력 모방 등을 실행하도록 설계되어 있어, 해커가 원격으로 감염된 맥을 제어할 수 있다고 맬웨어바이트는 블로그를 통해 설명했다. 해당 악성코드가 어떻게 확산될 수 있었는지는 알려지지 않았다. 하지만 맬웨어바이트의 연구원 토마스 리드는 이 악성코드 작성자는 맥 OS X 운영체제가 2001년 출시되기 전의 “구식” 코딩 기능에 의존하고 있다고 전했다. 놀랍게도 프루트플라이는 리눅스 셸 명령어와 함께 작성됐다. 리드는 이 악성코드를 리눅스 머신에서 실행해봤는데, 맥 전용 코드만 제외하고 모든 것이 “정상 작동”했다고 말했다. 리눅스 명령어가 포함되어 있다는 것은 이 악성코드 제작자가 맥을 잘 모르며 오래된 문서를 기반으로 만든 것”임을 보여준다고 리드는 설명했다. 보안 연구원들은 맥 악성코드가 흔하지 않다고 말한다. 해커들이 보통 더 대중적인 윈도우 기반 디바이스를 노리기 때문이다. 리드에 따르면, 이 맥 악성코드는 찾아내기 쉽다. 2개의 파일로 되어 있으며, 하나는 실행 에이전트 역할을 한다. 그럼에도 불구하고, 맬웨어바이트가 알아낸 바에 따르면, 이 프루트플라이는 탐지되지 않은 채 몇 년 동안 존재했다. 예를 들어, 이 악성코드의 수정이 OS X 요세미티 문제를 해결하기 위한 것이었는데, 이 운영체제는 2014년 10월에 출시됐다. 리드는 이 악성코드가 탐지되지 않았던 이유로 “표적이 매우 좁은 타깃 공격으로 노출이 제한적이었다”고 설명한다. 그는 이 악성코드가 특정 생물 의학 연구소를...

악성코드 의료 2017.01.19

웹 게이트웨이가 ”만능 방어막”이 아닌 5가지 이유

보안 위협이 진화한 것처럼, 웹 게이트웨이도 지난 몇 년간 진화를 거듭했다. 오늘날 웹 게이트웨이는 컴플라이언스나 HR 정책을 강제하는 것뿐만 아니라, 인터넷 발 위협을 차단하는 역할을 한다. 하지만 웹 게이트웨이가 10년 이상 존재하면서 진화했음에도 불구하고, 그들은 ‘방탄’이 아니며, 웹 게이트웨이에 과하게 의존하게 되면 데이터, 사용자, 고객, 기업, 평판 등을 위험에 빠트릴 수 있다. 파이어글래스(Fireglass)의 CEO이자 공동 창업자인 가이 거즈너가 이야기하는 웹 게이트웨이가 방탄이 아닌 이유를 살펴본다. URL 필터링은 언제나 늦다 1초마다 571개의 새로운 웹사이트가 탄생하며, 도메인이 많아진 만큼 보안 통제를 잃을 기회가 증가한다. 여기에 공격 대상에 의해서만 발동되는 공격자들이 사용하는 많은 URL은 24시간 미만 동안만 존재하고 자주 변경되는데, 이것들은 고정적인 도메인보다 차단하기 어렵다. 분류되지 않은 웹사이트 차단은 답이 아니다 분류되지 않은 웹사이트를 차단하면 사용자의 생산성이 급감한다. 최종 사용자들이 불편할 뿐만 아니라, 보안 팀도 사용자들이 웹 게이트웨이를 통과하지 못했으나 정보를 위해 엑세스해야 하는 사이트에 대한 접속을 요청하는 티켓을 지원하는데 시달리게 된다. 이러한 설정은 “정책의 지옥”에 빠지게 하며, 보안 팀은 스스로 자꾸 증가하는 정책과 규칙을 관리하는데 너무 많은 시간을 쏟게 될 것이다. “안전한” 웹사이트도 방문자를 감염시킬 수 있다 감염이 의심스럽거나 악성으로 분류된 웹사이트를 통해서만 감염된다는 믿음은 틀렸다. 보안 업체인 포스포인트(Forcepoint, 전 웹센스(Websense))는 일반적인 이런 믿음과 반대로 감염 중 85%가 합법적이고 안전한 웹사이트를 통해서 감염된다는 사실을 발견했다. 소위 안전하다고 여겨지는 웹사이트들은 통제가 안 되는 다른 소스에서 온 악성 콘텐츠가 포함되는 경우가 있다. 맬버타이...

악성코드 게이트웨이 트래픽 2017.01.17

“악성코드 없는 공격” 2016년 랜섬웨어 만만치 않은 보안 위협으로...

보안 전문가들이 실제 악성코드에 의존하지 않는 공격 활동에 주목해야 할 필요가 생겼다. 카본 블랙(Carbon Black)이 내놓은 최신 보고서에 따르면, 지난 1월부터 11월까지 악성코드 감염 없이 정상적으로 시스템에서 작동되고 있는 애플리케이션이나 프로세스를 악용하는 공격의 비율이 3%에서 11%로 증가했다. 이 보고서는 “2016년 악성코드 없는 공격과 랜섬웨어가 보안 공격의 중심을 차지했다”라면서 “악성코드가 없는 공격은 역대 최고 많은 비율이었으며, 내년에는 이 공격을 방어하는 데 초점을 맞춰야 할 것”이라고 전했다. 250만 개 이상의 엔드포인트가 포함된 1,000곳 이상의 카본 블랙 고객으로부터 받은 데이터가 보고서의 조사 대상이다. 연구원들은 악성코드가 탐지되는 것을 우회하기 위해 파워셸(PowerShell)과 WMI(Windows Management Instrumentation)을 악용했을 가능성이 있다고 설명했다. 악성코드가 없는 공격은 일반적으로 악성 파일을 추가로 다운로드할 것을 요구하지 않으며, 데이터 탈취, 인증 탈취, IT 환경 염탐 등 상당히 악의적인 행위가 시행될 수 있다. 예를 들어, 2016년 초 카본블랙은 파워웨어를 이용해 랜섬웨어 공격을 한 파워셸 공격 사례를 발견했다. 파워셸은 보통 경고가 울리지 않는 정상적인 윈도우 유틸리티이기 때문에, 이것을 이용하면 눈에 띄지 않는 공격이 가능하다. 같은 이유로 WMI도 이러한 공격에 활용된다. 카본 블랙 보고서는 이런 종류의 공격 중에서 ‘심각한 악성코드 없는 공격’을 분류했는데, 이런 공격이 4분기 현재 1분기에 비해 33% 증가했다고 전했다. 그리고 앞으로 90일 사이에 기업 중 3분의 1이 이 공격을 받게 될 것이라고도 전했다. 이 보고서는 “심각함”을 파워셸에 의심스러운 명령줄을 추가하고 코드를 바로 실행하는 공격이라고 정의했다. 이런 공격은 셸코드를 ...

악성코드 공격 랜섬웨어 2016.12.16

공유기 수백만 대, 삭제 안되는 악성 펌웨어 감염 주장…”진위 미확인, 가능성 있다”

만약 게이머라면 인텔 퓨마 6 칩셋을 사용한 가정용 라우터는 피하는 것이 좋다. 갑작스러운 지연과 패킷 손실로 게임에 지기 십상이기 때문이다. 물론 일부 게이머는 항상 ‘랙 때문에 졌다’는 핑계를 대곤 하지만, 퓨마 칩셋의 문제는 인텔도 인정할 정도이다. 레지스터는 링크시스와 시스코, 아리스(Arris)의 일부 라우터에 이 칩셋이 사용됐으며, 몇몇 ISP가 제공하는 라우터에도 사용됐다고 보도했다. 아리스는 미국 내에서는 ISP가 대여해주는 장비로 꽤 알려진 업체이다. 인텔은 관련 문제를 바로 잡을 새로운 펌웨어를 개발하고 있는 것으로 알려졌다. 라우터의 예기치 못한 랙은 게임뿐만 아니라 비디오 스트리밍, VoIP 앱에도 영향을 미친다. 물론 대부분 사용자는 라우터의 성능을 욕하며 장비업체가 펌웨어를 수정해 주기를 기다리지 라우터를 버리지는 않는다. 하지만 한 해커는 320만 명의 사용자가 라우터를 버려야 할 것이라고 주장했다. 이 해커는 이미 자신이 수많은 라우터에 악성코드를 심었으며, 이렇게 감염된 라우터는 펌웨어 수정으로 고칠 수 없다고 주장했다. 미라이 악성코드에 감염된 라우터에 대한 1차 조치는 전원을 끊는 것이다. 그리고 재기동하면 메모리에 남아 있는 악성코드가 사라진다. 물론 이 라우터는 금방 또 악성코드에 감염되어 DDoS 공격에 이용될 가능성이 크다. 수많은 감염 장비가 또 다른 취약 장비를 찾아 다니고 있기 때문이다. 하지만 기술 과학 매체인 마더보드(Motherboard)는 ‘베스트바이(BestBuy)’란 별명의 한 해커가 라우터의 결함을 악용해 악성 펌웨어로 라우터를 감염시키는 서버를 구축했는데, 이 펌웨어는 삭제할 수 없다고 보도했다. 이렇게 감염된 라우터들은 지난 10월 IoT 기반의 대규모 DDoS 공격에 이용된 것으로 보인다. 이 해커는 또한 변형된 미라이 악성코드로 도이치 텔레콤에 접속 장애를 일으킨 해커와 동일 인물이다. 현재 베스트바이는 영구적으로 감염된 라우...

라우터 봇넷 악성코드 2016.12.08

대한민국 군 내부망 해킹 사건 개요와 분석

사상 초유의 사건이 벌어졌다. 국방부는 지난 6일 군이 운영하는 내부망이 해킹에 의해 뚫린 사실을 공식적으로 밝혔다. 그동안 국방부는 내부망은 망분리를 통해 엄격히 관리되고 있다며 해킹 가능성을 일축해 왔다. 국방부 대변인은 6일 오전 정례 브리핑에서 "군 인터넷 백신체계 해킹 사고 조사를 진행하던 중 국방망 일부 PC에도 동종의 악성코드가 감염된 것이 식별됐다"고 밝혔다. 또한 국방부는 "국방사이버합동조사팀을 구성해 관련 내용을 조사한 결과, 군사비밀을 포함한 일부 군사정보가 유출된 것을 확인했고 이는 북한의 소행으로 추정된다"고 설명했다. 하지만 유출 정보의 종류와 피해 규모에 대해서는 군의 대응능력이 노출될 수 있다는 이유로 공개하지 않았다. 이번 해킹 공격으로 감염된 컴퓨터는 모두 3,200여 대로, 이 가운데 2,500대는 외부망용, 700대는 내부망용인 것으로 알려졌다. 군 내부망 해킹 사건 일지 - 2016년 8월 4일 최초 침투: 악성코드 로그 기록 존재 - 2016년 9월 23일 군 내부망 해킹 흔적 발견: 육해공군의 외부 인터넷망 PC 2만 여 대의 백신 중계 서버를 통해 악성코드 유포 - 2016년 9월 25일 백신 중계 서버 강제 분리: 다수의 PC가 좀비 PC로 감염되는 것을 막기 위한 조치  - 2016년 10월 2일 합동수사팀 설치: 국가정보원·합동참모본부·국군사이버사령부·기무사령부·국방조사본부 등 6~7개 기관에서 30여 명의 인력 구성해 2개월 간 조사 - 2016년 10월 5일 국정감사에서 군 내부망 해킹 가능성 제기: 사이버사령부, 해킹 가능성에 대해 일축 - 2016년 12월 6일 국방부 내부망 해킹 인정: 발견된 IP 주소가 중국 선양이며 사용된 악성코드의 형태에 비추어 북한 소행으로 추정 국방부는 "군의 정보체계는 업무용 인터넷망과 국방망, 작전에 사용되는 전작망 등 3곳인데, 이번엔 ...

악성코드 국방부 보안 2016.12.07

"오래 전 악성코드가 다시 돌아왔다" 데이터 삭제 악성코드, 사우디 정부 공격

사우디의 여러 정부 당국과 필수 설비들이 샤문(Shamoon)으로 알려진 악성코드로부터 공격 당했다. 샤문 악성코드는 컴퓨터 시스템을 깨끗이 지워 데이터를 파괴하는 웜 바이러스와 같은 악성코드다. Credit: IDGNS 사우디의 SPA(Saudi Press Agency)는 1일 사우디의 여러 정부 기관과 필수 설비들이 서버들이 파괴되는 피해를 겪었다고 보도했다. 교통 분야 또한 피해입은 기관 가운데 하나였다고 밝혔다. 보안업체들은 이 공격은 샤문이라 부르는 악성코드와 연루되어 있다고 말했다. 샤문은 4년 전 사우디 아라비아 석유 회사를 표적으로 한 사이버 공격에서 발견했던 악성코드다. 당시 공격은 3만 대의 컴퓨터를 못쓰게 만들었다. 최근 공격은 시한폭탄과 같은 악성코드 활동이었다. 보안업체 시만텍에 따르면, 악의적인 코딩의 견본은 현지 시각 11월 17일 오후 8시 45분에 데이터를 삭제하기 시작하도록 설정해놓았다. 시만텍은 블로그를 통해 "이 악성코드는 표적이 된 조직으로부터 훔쳐낸 것으로 보이는 비밀번호가 설정되어 있었다. 공격자들이 이 크리덴셜을 훔쳐낸 방법에 대해서는 알지 못한다"고 전했다. 샤문 악성코드는 피해자의 네트워크에 확산함으로써 새로운 컴퓨터에 자신을 복사하도록 한다. 이 악성코드의 새로운 변종은 하드디스크 겹쳐 쓰기를 하면서 지난해 지중해에서 익사한 3세의 시리아 난민 소년의 이미지 데이터로 대체한다. 보안업체인 팔로알토 네트웍스는 "이번 악성코드는 오로지 파괴에만 초점을 맞췄다"고 말했다. 팔로알토 네트웍스는 악성코드가 사용하는 도난당한 비밀번호에 액세스하기 위해 샤문 해커들은 그들의 표적들을 속여 크리덴셜을 받을 수 있도록 피싱 이메일을 보냈을 것으로 보인다"고 전했다. "또는 이 해커들은 이미 내부 액세스 권한을 갖고 있었을 수도 있다"고 덧붙였다. 누가 이 공격을 시도했는지 분명하지 않지만, 이 악성코드는 201...

악성코드 사우디아라비아 샤문 2016.12.02

“구글 계정 100만 개 이상 유출” 안드로이드 악성코드 ‘굴리건’ 주의보

안드로이드 기기의 루트 권한과 구글 계정 정보를 탈취하는 악성코드가 기승을 부리고 있다. 이미 100만 개 이상의 구글 계정이 유출됐으며, 계속 영향력이 커지고 있다. 이 사실을 전한 보안 업체 체크포인트(Checkpoint)에 따르면, 굴리건(Gooligan)이라는 이 악성코드는 안드로이드 사용자의 구글 계정을 탈취해서 특정 광고 네트워크에 광고되고 있는 앱을 다운로드하거나 앱의 리뷰 점수를 높게 주기 위해 활용된다. 굴리건은 특히 아시아 지역에서 여전히 많이 사용되고 있는 안드로이드 4.1~5.1 버전의 기기를 대상으로 한다. 체크포인트는 “역대 최대의 구글 계정 유출 사고라고 생각한다”고 말했다. 굴리건은 정상적인 안드로이드 앱으로 위장한다. 체크포인트가 발견한 굴리건 포함 앱은 총 86건인데, 그 중 상당수가 서드파티 앱 스토어에서 제공되고 있다. 굴리건이 기기에 설치되면, 구형 안드로이드 버전의 잘 알려진 취약점을 익스플로잇해서 루트 권한을 탈취한다. 체크포인트는 “해당 취약점에 대한 보안 패치가 일부 안드로이드 버전에서 이용할 수 없거나, 사용자가 패치를 설치하지 않아서 여전히 이 익스플로잇은 여전히 전염성이 있다”고 설명했다. 체크포인트에 따르면, 현재 100만 개 이상의 구글 계정이 유출됐으며, 그 중 19%가 미국, 9%가 유럽, 57%가 아시아 지역 사용자의 계정이다. 루트 권한을 탈취한 굴리건은 사용자의 구글 인증 토큰을 탈취해서 지메일과 구글 플레이 및 기타 관련 서비스에 접근할 수 있게 된다. 사용자의 구글 계정에 접근할 수 있게 되면, 이 악성코드는 이제 수익화를 시도한다. 광고 네트워크에서 홍보되는 앱을 설치하거나 구글 플레이에서 특정 앱에 대한 긍정적인 리뷰를 남기는 것 등이다. 체크포인트는 “공격자들은 굴리건 앱이 성공적으로 설치되었을 때 광고 네트워크로부터 돈을 받는다”고 설명했다. 지난해 악성 앱인 ‘스...

악성코드 안드로이드 굴리건 2016.12.01

강화된 미라이 악성코드, 도이치 텔레콤 라우터 공격…가입자 100만 명 인터넷 접속 문제

사물 인터넷 디바이스를 노리는 새로운 악성코드 미라이의 새 버전이 독일 도이치 텔레콤의 취약한 인터넷 라우터를 공격했다. 도이치 텔레콤은 미라이 악성코드의 변종이 퍼져 자사 고객 약 100만 명이 인터넷 접속 문제를 겪었다고 밝혔다. 미라이는 이미 50만 대 이상의 인터넷 연결 기기를 감염시킨 것으로 알려져 있다. 하지만 이번에 문제를 일으킨 것은 한층 업그레이드된 미라이의 변종으로 드러났다. SANS 기술 연구소의 보안 연구원 요하네스 율리히는 이번 감염 사고를 일으킨 변종 미라이 악성코드는 자이젤(Zyxel)에서 만든 인터넷 라우터의 취약점만을 공격하도록 특별히 고안된 것이라고 밝혔다. 원래 미라이는 취약한 기본 로그인 패스워드를 사용하는 디바이스를 감염시키는 악성 코드로, 이런 디바이스를 찾아 60여 개의 패스워드 조합을 사용해 침입한다. 하지만 이번 변종은 여기에 자이젤의 라우터 제품군에 내장된 SOAP(Simple Object Access Protocol)의 취약점도 공격하도록 강화되었다는 것이 율리히의 설명이다. 얼마나 많은 디바이스가 감염되었는지는 확실하지 않지만, 도이치 텔레콤은 지난 일요일 오후부터 자사의 2,000만 고객 중 90만 명 이상이 접속 문제를 겪었다고 밝혔다. 또 이번 공격이 라우터를 감염시키려 했지만, 실패했고, 이 과정에서 전체 라우터의 4~5%가 장애를 일으키거나 접속이 차단됐다고 설명했다. 하지만 율리히의 조사에 따르면, 새로운 미라이 변종 악성코드는 최소한 일부 라우터를 감염시키는 데 성공한 것으로 보인다. 율리히는 악성코드의 확산 상태를 추적하기 위해 하니팟으로 동작하는 웹 서버를 구축했다. 미라이는 일단 시스템을 감염시키고 나면 추가 희생자를 찾기 때문이다. 그리고 율리히는 허니팟으로 구축한 웹 서버를 감염시키려 시도하는 IP 주소 10만 개를 수집했다. 물론 미라이의 목표가 단순히 디바이스를 감염시키는 것은 아니다. 수천 대 디바이스의 제어권을 확보해 봇넷을 구성하면, 대규모 DDoS...

봇넷 악성코드 IOT 2016.11.29

“DDoS에 이용된 인터넷 카메라 리콜” 중국 항저우 시옹마이

중국의 전자부품 업체 항저우 시옹마이 테크놀로지는 지난 주 금요일 미국 전역을 혼란에 빠트린 대규모 인터넷 중단 사태에 사용된 것으로 의심되는 자사 인터넷 카메라 제품 430만 대를 미국 시장에서 리콜하기로 결정했다. 24일 항저우 시옹마이는 자사의 4가지 카메라 제품 중 초기 모델이 해킹하기 쉬운 보안 취약점이 있어서 리콜을 진행한다고 밝혔다. 온라인에 올린 발표문을 통해 시옹마이는 “가장 큰 문제는 사용자가 카메라의 기본 패스워드를 변경하지 않는 것”이라고 강조했다. 보안 전문업체 플래시포인트에 따르면, 미라이로 알려진 악성 코드는 대규모 DDoS 공격에 시옹마이의 제품을 이용해 왔으며, 지난 주 금요일 넷플릭스, 페이팔, 트위터 등의 인기 서비스 접속에 문제를 일으킨 DDoS 공격에도 시옹마이의 제품이 악용된 것으로 나타났다. 카메라 모듈과 DVR 보드 제조업체인 시옹마이는 자사 제품이 해커들의 공격 대상이 되었다는 것을 인정했지만, 기본 패스워드와 관련된 문제는 지난 2015년 4월 패치했다고 밝혔다. 더 오래 된 제품에 대해서는 결함을 수정하는 펌웨어 업데이트도 제공했다. 아직도 남아 있는 보안 위협에 대응하기 위해 시옹마이는 초기 모델을 리콜하기로 결정했다. 하지만 시옹마이는 자사 제품이 지난 금요일 DDoS 공격의 배후라는 보도는 사실이 아니며, 자사 평판을 해치는 사람들에 대해서는 법적으로 대응하겠다고 밝혔다. 전문가들은 미라이 악성코드가 몇몇 업체의 제품을 공격 대상으로 삼았고, 여기에 시옹마이가 포함된 것일 수 있다고 본다. 미라이는 디바이스를 감염시킬 때 사용자 이름과 패스워드의 조합 60가지 정도로 해킹을 시도한다. 인터넷 백본 서비스 업체인 레벨 3에 따르면, 현재까지 미라이는 최소한 50만 대의 디바이스를 감염시켰다.  editor@itworld.co.kr

봇넷 악성코드 네트워크카메라 2016.10.25

미라이 소스코드를 이용한 IoT 봇넷 확산, 감염된 IoT 기기 49만 3,000개로 증가

봇넷을 구축할 수 있는 악성코드인 미라이(Mirai) 악성코드의 소스코드가 공공리에 발표된 이후, 감염된 IoT 제품들이 2배가 넘었다. Credit: Gerd Altmann / Pixabay 인터넷 백본 제공업체 레벨3커뮤니케이션(Level 3 Communications)에 따르면, 10월 1일 미라이 악성코드 소스코드를 공개하기 전까지 21만 3,000개였던 감염된 IoT 기기의 총 개수가 49만 3,000개에 다다랐다. 레벨3은 18일 한 블로그에서 "실제 봇의 숫자는 더 많을 것"이라고 말했다. 해커들은 미라이 악성코드의 자체 규칙에 따라 사이버보안 기자 브라이언 크렙스의 웹사이트에 대해 대규모 디도스(distributed denial-of-service, DDoS) 공격을 감행해 다운시킨 바 있다. PC에 의존하는 다른 봇넷들과 달리 미라이는 기본 사용자 이름과 비밀번호를 사용하는 카메라와 DVR과 같은 인터넷과 연결된 기기들을 감염시키고 있다. 레벨3에 따르면, 미라이의 소스코드가 공개되고 난 후, 해커들은 새로운 변종 악성코드를 개발하고 있다. 레벨3는 미라이 활동으로 형성된 4개의 추가적인 C&C 서버를 확인했다. 감염된 봇의 약 절반 가량이 미국 또는 브라질에 자리하고 있으며 80% 이상이 DVR 기기였다고 전했다. 미라이 봇넷에 의해 진행된 대부분의 디도스 공격은 게임 서버와 주거용 IP 주소를 표적으로 사용됐다. 레벨3은 "우리는 트래픽의 100Gbps 이상 사용하고 있는 여러 공격들을 관찰해왔다. 큰 공격의 경우, 동일 피해자를 대상으로 10만 대 이상의 봇을 사용하고 있다"고 말했다. 미라이에 취약점을 가진 기기를 생산하는 일부 벤더들은 자극을 받아 자체 고객들에게 위험을 최소화하는 방법을 제공하고 있다. 예를 들어, 시에라 와이어리스(Sierra Wireless)는 공지를 통해 사용자들에게 해당 제품을 재부팅하고 기본 비밀번호를 바꿀 것을 충고했다. ...

봇넷 악성코드 해킹 2016.10.19

사물 인터넷 악성코드 ‘미라이’ 소스 코드 공개…관련 봇넷 확산 우려

수십만 대의 사물 인터넷 디바이스를 감염시켜 대규모 DDoS 공격을 일으킨 트로이목마 프로그램의 소스 코드가 온라인에 공개됐다. 향후 더 많은 서브 봇넷이 생겨날 것이란 우려가 제기되고 있다. 미라이(Mirai)란 이름의 이 트로이 목마 코드는 지난 주 금요일 영어권 해커 포럼에 올라왔다고 보안 전문 블로거 브라이안 크렙스가 전했다. 크렙스의 웹 사이트는 2주 전 미라이 봇넷이 일으킨 대규모 DDoS 공격의 대상이 된 바 있다. 안나 센파이(Anna-senpai)란 별명을 사용하는 제작자는 소스 코드를 공개한 이유에 대해 사물 인터넷 기반 DDoS가 너무 주목을 받아서 이 분야를 떠나고 싶기 때문이라고 밝혔다. 제작자의 설명에 따르면, 미라이는 브루트 포스 텔넷 공격을 사용해 매일 38만 대의 사물 인터넷 디바이스를 감염시킨다. 하지만 크렙스의 웹 사이트에 대한 DDoS 공격 이후 ISP들이 대응에 나서 감염된 디바이스를 차단하기 시작했고, 이 때문에 하루에 감염되는 디바이스의 수가 30만 대 수준으로 떨어졌고 앞으로도 더 줄어들 것으로 보인다고 설명했다. 여기서 한 가지 주목할 것은 일반 PC의 감염과는 달리 사물 인터넷이나 임베디드 디바이스의 감염은 일시적이라는 점이다. 이들 디바이스에는 비휘발성 스토리지가 없기 때문에 재시동이 이루어지면 감염 자체도 사라진다. 봇넷의 규모를 유지하기 위해서는 매일 새로 디바이스를 찾아 감염시켜야 하는 것이다. 가정용 공유기나 DSL 모델, DVR, NAS 등을 이용한 DDoS 공격은 완전히 새로운 공격은 아니다. 일례로 지난 2015년 10월 보안업체 인캡슐라는 약 900대의 CCTV 카메라에서 시작된 DDoS 공격을 방어한 바 있다. 하지만 지난 몇 개월 동안 사물 인터넷 봇넷의 역량이 극대화된 것으로 보인다. 크렙스의 웹 사이트에 620Gbps 규모의 공격이 있은 후, 프랑스 서버 호스팅 업체 OVH는 799Gbps 규모의 공격을 당했다. 이 공격은 약 14만 대의 DVR과 IP 카메라로 이...

봇넷 악성코드 DDos 2016.10.04

IDG 블로그 | "스톤드부터 파운드까지", 과거의 짜증에서 범죄자의 도구가 된 랜섬웨어

필자가 방어자로서 참호 안에 있을 때 온갖 종류의 악성 소프트웨어를 목격했다. 1980년대 말에 처음으로 맞닥뜨린 것은 스톤드(Stoned) 바이러스였다. 감염된 컴퓨터의 사용자에게 마리화나 합법화에 대해 설득하는 단순한 프로그램이었다. 이 바이러스는 감염된 플로피 디스크를 사용해 확산되었다. 몇 년 후, 필자는 고위 임원 가운데 한 명으로 그가 한 학생으로부터 이메일을 받는 모습을 목격했다. 그는 대학 교수로도 활동하고 있었다. 해당 학생은 그에게 자신의 사랑을 고백했으며 그 순간 감동받은 그는 이메일을 클릭해 열었다. 필자는 그를 멈추려 시도했지만 이미 피해가 발생한 후였다. 이메일이 무엇이었는지는 모르지만 좋지 않다는 것을 직감했다. 분하기는 했지만 그 날이 인터넷에서 러브 버그(Love Bug) 바이러스가 처음으로 발생한 날이었다. 긴 하루였다. 이후 필자는 기업을 위해 안티바이러스 시스템을 관리하고 있었다. 필자는 모 안티바이러스업체에서 새로운 기업 배치를 실시하면서 네트워크에 있는 수십 개의 시스템에 오래된 안티바이러스 소프트웨어가 설치되어 있거나 아예 설치가 되어 있지 않다는 사실을 발견했다. 설치 기반을 관리하는 어리석은 접근방식에 놀라지 않을 수 없었다. 지금에서 와서 악성코드는 절망스러운 짜증 수준을 넘어 범죄의 단계에까지 발전했다. 랜섬웨어는 온라인 범죄의 새로운 유행이다. 왜냐하면 효과가 있기 때문이다. 개념은 간단하다. 악성코드 하나가 한 사람의 시스템을 감염시킨 후 파일 또는 경우에 따라 하드 드라이브 전체를 암호화한다. 그리고 파일을 복구하려면 비트코인(Bitcoin)으로 일정 금액을 지불하도록 요구한다. 피해자들이 대가를 지불하면서 범죄자들은 이 공격을 계속하게 되었다. 감염된 피해자들은 모든 것을 잃지는 않는다. 많은 경우에 파일을 구할 수 있는 복호화 툴이 존재한다. 이는 악성코드를 역전시킬 수 있는 보안 연구원들의 업적 덕분에 가능한 것이다. 고귀한 노력이다. 이런 종류의 위협에 어떻게 대...

바이러스 악성코드 백업 2016.09.29

"토렌트 파일 통해 악성코드 유포" 해커들, 툴 판매중

토렌트의 인기 있는 파일에서 악성코드가 발견됐다. 해커들이 토렌트 파일에 악성코드를 유포하는 툴을 탑재했다. Credit : IDGNS 토렌트도 주의해야 한다. 현재 암시장에서 새로운 툴이 판매되고 있는데 이 툴은 해커들이 토렌트 파일에 악성코드를 심어서 퍼뜨리도록 한 것으로 밝혀졌다. 20일 인포아머(InfoArmor) 보안 연구원들은 지하 포럼에서 이른바 라움(RAUM) 툴을 발견했다고 밝혔다. 라움 툴은 악성코드를 유포하는데 토렌토를 활용하는데, 특히 인기있는 파일의 불법 복제판을 공유하는 방법으로 토렌트가 쓰이는 것으로 나타났다. 인기있는 토렌트 파일, 특히 게임은 악성코드가 탑재돼 있어 수상한 사용자가 업로드하는 경우가 많다. 컴퓨터를 감염시키고자 토렌트를 사용하는 것이 새로운 방법은 아니다. 인포아머에 따르면, 라움 툴을 만든 사람들은 설치할 때마다 돈을 내는 모델과 관련해 전체 프로세스를 간소화했다. 라움 개발자는 자신들의 제품 인터페이스를 세련되게 만들었다. 이는 종종 해적판 콘텐츠를 사용자가 직접 다운로드하는 디렉터리로 작동하는, 더 퍼레이트 베이(The Pirate Bay)와 엑스트라토렌트(ExtraTorrent)와 같은 인기 사이트에서 악성 토렌트 파일 상태를 모니터링 할 수도 있다. "몇몇 경우, 이런 악성코드 파일이 머무는 기간이 1.5개월이 넘었고, 그 결과 수천 건이 다운로드됐다"고 인포아머는 전했다. PC 기반 온라인 게임을 윈도우와 맥에서도 구현되도록 할 때도 악성코드를 심어놓고자 이 툴을 사용한 사람들도 있었다. 더 많은 사용자를 감염시키기 위해 라움을 만든 사람들은 토렌트 파일 업로더로 알려진 사람들도 노렸다. 이들은 업로더의 계정을 해킹해 더 많은 악성코드에 감염된 토렌트 파일을 퍼뜨리는 데 이용하기도 했다. 라움 툴은 크립트XXX(CryptXXX) 같은 랜섬웨어를 공급하면서 발견됐다. 또 사용자 은행 계정을 훔치는 트로이 드라이덱스(Trojan Dridex)와...

악성코드 토렌트 2016.09.23

구글 플레이에서 정식 다운로드된 '포켓몬 고 가이드' 앱, 안드로이드 기기 해킹

구글 플레이에서 정식 다운로드된 포켓몬 고 가이드 앱이 악성코드를 내포하고 있었다. 하지만 이것이 처음은 아니다. 카스퍼스키 보안 연구원들은 구글 플레이에서 50만 이상 다운로드된 악의적인 애플리케이션을 발견했는데, 이는 안드로이드 기기들 전체 제어권한을 획득하게끔 디자인됐다. 이 연구원들은 "이 애플리케이션은 인기 높은 포켓몬 고(Pokémon Go) 게임을 위한 가이드로 위장했으며, 구글 플레이의 악성코드 탐지 메커니즘을 우회하기 위해 여러 단계의 난독화 기술을 사용했다"고 한 블로그에 게재했다. 이 앱이 내재한 악의적인 모듈은 즉시 실행되는 것이 아니라 실제 기기에서 실행되고 있음을 파악하기 위해 다른 애플리케이션이 설치 또는 제거될 때까지 기다린다. 이는 다운로드받은 앱이 악의적인지 여부를 확인하기 위해 에뮬레이트 환경에서 한번 실행하게 되는데, 이를 회피하기 위한 것이다. 실제 기기에서 실행되는 것을 파악한 후 이 앱은 악의적인 모듈이 실행되기까지 2시간을 기다린 후, 원격 서버와 연결하고 해당 기기에 대한 정보를 전송한다. 이 서버는 이 악의적인 모듈에게 2012년에서 2015년 사이에 안드로이드에서 발견된 로컬 권한 상승을 노리는 익스플로잇을 다운로드하라고 지시할 수 있다. 루트 익스플로잇(root exploits)으로 알려진 이 취약점을 통해 안드로이드에서 가장 높은 권한 계정으로 접속할 수 있다. 이는 한 마디로 해당 기기를 완전히 해킹했다는 의미다. 구글은 이 모든 취약점에 대해 패치를 발표했다. 그러나 안드로이드 생태계의 파편성 때문에 많은 기기들이 모든 업데이트를 받았다고 볼 순 없다. 그렇다고 50만 이상의 다운로드 수가 다수의 기기가 해킹됐다는 것을 의미하지는 않는다. 안드로이드에는 베리파이 앱스(Verify Apps)와 세이프티넷(SafetyNet)과 같은 로컬 보호 기능이 있는데, 이는 알려진 루트 익스플로잇을 탐지하고 막기 위해 디자인됐다. 카스퍼스키는 러시아, ...

악성코드 해킹 포켓몬고 2016.09.20

2016년 상반기, 스마트폰 악성코드 감염 2배 증가

올해 상반기, 스마트폰 감염율이 2배 증가했다. 노키아가 발표한 보고서에 따르면, 2016년 상반기 악성코드에 감염된 스마트폰이 0.25%였던 2015년 하반기 대비 약 2배 증가한 0.49%로 나타났다. 노키아는 주요 통신사에 엔드포인트 악성코드 탐지 서비스를 제공하고 있으며, 중국과 러시아를 제외한 전 세계 1억 대 이상의 기기에 서비스된다. 이번 보고서에 따르면, 악성코드 감염에 가장 많은 표적이 된 것은 안드로이드로, 감염된 기기 전체의 74%를 차지했다. 아이폰은 4%였으며, 윈도우 폰은 점유율과 감염율이 낮아 통계에 나타나지 않앗다. 나머지 22%는 스마트폰이나 와이파이 핫스팟을 통해 테더링된 노트북이나 PC다. 월별로 감염률이 차이가 크게 났는데, 4월에 최고치를 기록했다. 4월에는 스마트폰 120대당 1대꼴로 랜섬웨어, 스파이폰 애플리케이션, SMS 트로이안, 개인정보 도난, 애드웨어 등에 감염된 것으로 나타났다. 노키아에 따르면, 전반적으로 스마트폰 감염이 증가하는 반면, PC 감염률은 낮아지고 있다. 휴대폰이나 태블릿으로 인터넷을 이용하는 비율이 더 높아지고 있기 때문인 것으로 분석된다. 이와 함께 보고서는 랜섬웨어가 모바일 영역으로 이동하는 경향이 있는 것으로 파악됐다고 전했다. 또한, 점점 더 많은 악성코드가 스마트폰, 특히 안드로이드의 루트 권한을 노리는 것으로 나타났다. 노키아 위협 인텔리전스 랩의 책임자인 케빈 맥나미는 “(루트 권한 취득은) 더 많은 기능을 이용할 수 있도록 한다. 악성코드가 해당 기기에 영구적으로 머물게 할 수도 있다. 안티 바이러스 툴을 무력화하기도 하고, 삭제를 막기도 하며, 스스로를 숨길 수도 있다”고 설명했다. 특히 관심을 받는 것은 드라이브 바이 다운로드와 디바이스의 루트 관한으로 스스로 설치되는 허밍배드(HummingBad) 악성코드다. 맥나미는 “매우 위험한 악성코드다. 다른 악성코드를 설치할뿐만 아니라 사용자들이 생각하지...

노키아 스마트폰 악성코드 2016.09.02

악성코드의 통로가 된 소셜 미디어, 기업의 대응책은?

접속하기 쉽고, 널리 사용되고, 기업 통제 밖인 소셜 미디어 사이트들은 악성 공격자들에게는 금광 같은 존재이다. 사람들은 전혀 악의 없는 수많은 정보들을 공유하는데 이는 해커들이 정말 수집해서 피싱이나 스피어피싱에 활용하고자 하는 정보들이다. 최근 놉섹(NopSEc) 2016 취약점 리스크 관리 현황 보고서에서는 조직들이 불충분한 리스크 평가 점수 시스템을 사용한다는 점을 발견했다. 이 보고서는 리스크 평가 시스템에 포함되어있지 않은 소셜 미디어가 현재 사이버범죄의 최고 플랫폼이라고 주장했다. 그러면 소셜 미디어와 맬웨어 증가 사이에는 어떤 관계가 있을까? 인포메이션 시큐리티 포럼(Information Security Forum)의 전무이사인 스티브 더빈은 그 연관성이 약간 강한 표현이라고 말한다. “소셜 미디어 활용은 증가했다. 사람들은 링크드인, 트위터, 페이스북같은 사이트에 접속하면 그 안에서 다른 사람들과의 소통에 리스크가 없다고 가정한다. 심리적으로 방어선이 내려간 것이다.” 그 결과 소셜 미디어 사이트들은 소셜 엔지니어링을 통해 악성코드를 퍼트리고자 하는 이들에게 유용한 채널이 되었다. 더빈은 “해커의 관점에서 소셜 미디어는 노다지다. 우리는 자연적으로 사람들이 방어선을 내리는 환경을 가지고 있다. 그들은 서드파티와 쉽게 관여할 것이다. 이는 악성코드를 밀어내기 위한 소셜엔지니어링과 스피어피싱까지 활용할 수 있는 정보를 수집할 훌륭한 기회다”고 말했다. 놉섹 보고서에 의하면 트위터는 보안 연구자들에게 최고의 플랫폼 중 하나가 되고 있고 공격자들은 PoC 탈취를 퍼트리려 하고 있다. 활성 악성코드와 관련된 취약점들은 공공 탈취 취약점보다 9배 더 많이 트윗 되고 다른 취약점들보다 18배 넘게 트윗 된다. 소셜 미디어를 통한 악성코드 유입을 막기 힘든 이유 소셜 미디어는 악성코드의 미끼이자 통로이다. 그 사이트들은 엔드포인트 보안 외부에 있는 공격 경로로 CVSS 점수에만 의존하는...

소셜네트워크 악성코드 소셜미디어 2016.08.31

비트토렌트 클라이언트인 트랜스미션, 또다시 맥 기반의 악성코드 배포

수개월 전, 맥 기반의 랜섬웨어를 배포한 바 있는 비트토렌트(BitTorrent) 클라이언트인 트랜스미션(Transmission)에서 또다시 맥 기반의 악성코드가 배포되는 것이 발견됐다. Credit: Martyn Williams 보안업체 이셋(ESET)의 연구원들은 비밀번호를 훔칠 수 있는 OSX/키드냅(Keydnap)이라 부르는 악성코드를 추적해왔는데, 최근 트랜스미션의 공식 사이트를 통해 확산되고 있음을 알렸다. 이셋은 왜 그런지는 밝혀지지 않았지만 비트토렌트 클라이언트인 트랜스미션 2.92 버전이 악성코드를 포함하고 있다고 29일 블로그를 통해 밝혔다. 이셋에 따르면, 트랜스미션 측은 이미 이 버전의 다운로드를 삭제했다. 하지만 지난 28~29일 사이에 이 클라이언트를 다운로드받은 사용자들은 자신의 맥 컴퓨터가 해킹 당하지 않았는지 반드시 검사해야 한다. 게다가 키드냅 악성코드는 자격(credentials)을 훔치기 위해 백도어 프로그램의 기능을 갖고 있는데, 이는 해커가 파일 다운로드를 포함해 맥에서 원격 제어를 실행하는 것을 허용할 수 있다. 지난 7월, 이셋 측은 이 악성코드의 상세 내역을 공개했다. 그러나 이셋은 이것이 어떻게 확산된 것인지는 확정하지 못했다. 이셋은 스팸 메시지 내 첨부파일이나 신뢰할 수 없는 웹사이트로부터 다운로드, 혹은 그 밖에 다른 무언가에 의해 확산된 것으로 추정할 수 있다고 말했다. 이셋 측에 따르면, 트랜스미션은 이에 대해 즉각적인 대응을 하지 않았음에도 불구하고 개발자는 이번 문제에 대해 조사중이다. 올해 초, 비트토렌트 클라이언트에서는 키레인저(KeRanger)라 부르는 맥 기반의 랜섬웨어가 발견된 바 있다. 이셋은 이 두 개의 공격 간에는 유사점이 있다고 전했다. 악의적인 코드 블록이 트랜스미션 애플리케이션의 주요 기능에 추가됐다는 점이다. 키레인저처럼 키드냅 악성코드 또한 적법한 애플 개발자 인증이 등록된 트랜스미션 클라이언트를 통해 확산됐다. 이는 애플의 악성코드...

악성코드 비트토렌트 랜섬웨어 2016.08.31

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.