Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

악성코드

지능적인 리퍼 악성코드, 태국 ATM 기기에서 4억 원 훔쳐

리퍼(Ripper) 악성코드는 특수제작한 카드와 함께 공격자가 ATM 기기들에서 돈을 빼낼 수 있도록 한다. Credit: IDGNS Boston 보안 전문가들이 사이버범죄 집단에 의해 태국의 ATM 기기에서 한국돈으로 약 4억 원을 훔치는 데 사용된 지능적인 악성코드를 발견했다. 리퍼(Ripper)라고 명명된 새로운 악성코드 샘플은 지난주 지역 신문에 보도되기 직전에 태국의 IP 주소에서 바이러스토털(VirusTotal) 데이터베이스에 업로드됐다. 지역 신문은 사이버범죄자들이 이 악성코드를 사용해 21개의 ATM 기기로부터 1,229만 바트(3억 9,733만 원)를 훔쳤다고 보도했다. 방콕 포스트(Bangkok Post)가 지난 주 보도한 바에 따르면, 이 사건으로 인해 주정부 소유의 정부은행은 한 벤더에 의해 제작된 모든 ATM 기기들을 중단시켰으며 악성코드를 검사하고 있다. 파이어아이 보안 연구원들은 27일 한 블로그에서 태국에서 나온 리퍼 악성코드 견본을 본 바로는 이 악성코드가 최근 태국의 ATM 기기에서 현금을 인출하는데 사용된 것으로 추정된다고 밝혔다. 이들의 분석에 따르면, 리퍼는 태국에서 한 벤더의 동일 ATM 기기 제품들을 표적으로 했는데, 다른 2개 벤더도 마찬가지다. 이 악성코드는 ATM 기기가 해킹 당하는 동안 네트워크 인터페이스를 사용할 수 없도록 한다. 이 악성코드 견본은 7월 10일에 만들어졌으며, 약 한달 전에 공공리에 알려졌다. 리퍼 악성코드가 ATM 기기에 설치되면 공격자들이 특별히 프로그램된 카드를 삽입할 때까지 기다린다. 인증을 위해 사용되는 이 메커니즘은 과거에 다른 ATM 악성코드에 의해 사용된 바 있다. 인증이 되면 이 공격자는 40개 은행권에서 ATM의 현금을 뽑아내도록 명령할 수 있다. 파이어아이 연구원들은 "또한 리퍼는 과거 ATM 악성코드 프로그램인 튭킨(Tyupkin) 또는 패드핀(Padpin)을 포함한 수세플(SUCEFUL), 그린디스펜서(GreenDispe...

악성코드 ATM 은행 2016.08.30

"NSA 데이터에서 고도의 지능적인 해킹 툴 발견했다"...뉴욕공대 교수

보안 연구원들이 NSA(National Security Agency)에서 나왔다고 하는 파일들 속에서 지능적인 해킹 툴이 포함되어 있음을 발견했다. 이 연구원들은 이 툴은 해킹만 하는 게 아니라 자신을 숨기는 데 고도로 지능적인 수준이라고 밝혔다. 이 데이터 속에 있는 악성코드는 기기의 펌웨어 속에 침입해 운영체제를 재설치하더라도 지속적으로 유지할 수 있는 특징을 갖고 있다. 뉴욕공과대학 조교수 브렌단 돌란-가비트는 "이는 기술적 역량이 전문적이고 심각한 수준임을 보여줬다"고 말했다. 돌란-가비트는 연구원들과 함께 자칭 섀도우 브로커스(Shadow Brokers)라 말하는 불특정 그룹이 온라인 상에 올린 데이터 속의 견본 파일들을 철저히 검사했다. 섀도우 브로커스가 주장한 바에 따르면, 이 파일들은 NSA와 연관이 있을 지 모르는 최고의 사이버첩보팀인 이퀘이전 그룹에서 훔친 것이다. 이퀘이전 그룹은 악명높은 스턱스넷 웜을 개발하는 데 도움을 준 것으로 보이며, 일단 설치되면 제거하기 불가능한 악성코드를 만드는 역량을 보유하고 있다. 이미 연구원들은 이 견본 파일 속에서 방화벽과 라우터 제품을 표적으로, 보고된 적이 없는 소프트웨어 결함을 악용하는 제로데이 취약점을 사용하는 이 해킹 툴을 발견했다. 시스코는 17일 견본 파일 속에서 자사의 방화벽 소프트웨어에 영향을 주는, 알려지지 않은 결함이 있음을 확인하고 이를 위한 패치를 발표했다. 주니퍼 네트웍스(Juniper Networks)를 포함한 영향을 받은 다른 벤더들은 여전히 연구중이며, 패치는 곧 이뤄질 것으로 보인다. 리스크베이스드시큐리티 책임자 브라이언 마틴은 중국 방화벽 제공업체인 톱섹(Topsec)의 제품 또한 제로데이 취약점을 갖고 있다고 말했다. 마틴은 "그러나 이번 해킹은 연구원들이 초기에 우려했던 것만큼 위험스러운 것이 아닐지 모른다. 예를 들어 이 견본 데이터 속의 익스플로잇들은 방화벽의 인터페이스에 직접 접속하도록 되어 있어 ...

바이오스 시스코 악성코드 2016.08.18

IDG 블로그 | “안드로이드 사용자 9억 명이 위험하다고? 뻥 치시네!” 쿼드루터의 위협과 진실

더는 어떻게 말해야 할지 모르겠지만, 여러분의 안드로이드 디바이스는 슈퍼 울트라 악성코드 괴물에 의한 어떤 즉각적인 위험에도 빠지지 않았다. 이런 말을 또 하는 것이 바보 같을 정도이지만, 지난 수 개월 동안 계속 똑 같은 노래와 춤을 반복하고 있는 꼴이다. 어떤 회사가 수백만 명의 안드로이드 사용자가 아주 크고 악질적인 바이러스에 언제라도 감염될 수 있는 위험에 빠졌다는 선정적인 제목의 보고서를 발표한다. 수많은 미디어가 이 이야기로 기사를 작성하면서 똑같이 선정적인 말로 포장을 한다. 물론 안드로이드 보안이나 이를 둘러싼 맥락에 대해서는 조금의 실질적인 이해도 없이 말이다. 다시 말해 지금까지 여러분이 한 치의 의심도 하지 않았던 그것, 현재 가장 유행하고 있는 최신 안드로이드악성코드는 체크포인트란 곳에서 이름을 붙인 쿼드루터(Quadrooter)이다. 배트맨에 등장하는 악당이 연상되는 멋진 이름이다. 체크포인트는 9억 명의 사용자가 데이터 손실, 프라이버시 침해는 물론, 심지어 통제권까지 잃을 수 있다고 큰 소리로 떠들고 있다. 9억 명이란 엄청난 숫자는 이 몹쓸 쿼드루터가 퀄컴 모바일 프로세서의 취약점을 공격하기 때문이다. 체크포인트는 “안드로이드 디바이스에 첨단 모바일 위협 탐지 및 완화 솔루션이 없으면, 사용자가 수상한 동작이 일어나는지 의심할 가능성이 없다”고 주장했다. 그것 참 놀랄 일이다. 오직 첨단 모바일 위협 탐지 및 완화 솔루션만이 쿼드루터를 막을 수 있다고? 잠깐만. 설마 체크포인트가 자사 핵심 사업의 하나로 팔고 있는 바로 그것 말인가? 참으로 우연의 일치가 아닐 수 없다. 좋다. 그런데 체크포인트가 자사 제품의 캠페인을 진행하면서 빠트린 한 가지 아주 중요한 것이 있다. 체크포인트가 말하는 “모바일 위협 탐지 및 완화 솔루션”이란 것은 사실상 9억 대의 안드로이드 디바이스 모두에 이미 있다는 것이다. 앱 인증이란 이름으로 안드로이드 운영체제에 탑재되어 있으며, 무려...

악성코드 안티바이러스 취약점 2016.08.10

카스퍼스키랩, 100개 이상의 정교한 악성 코드 활동 추적

카스퍼스키랩 글로벌 위협 정보 분석팀은 85개국의 기업과 정부 기관을 대상으로 조사한 결과 100개 이상의 위협 활동과 정교한 악성 코드를 추적했다고 밝혔다. 이처럼 늘어난 숫자는 정교한 위협 활동이 활발히 이뤄지고 있으며, 공격 수법이 고도화되고 있음을 보여주는 것이라고 설명했다. 또 새로운 활동이 계속해서 등장해 전체적인 위험 수준도 크게 높아졌다고 덧붙였다. 표적형 공격은 소규모화되고 있는 것으로 나타났다. 기존에는 표적형 공격을 수행할 때 특정 기술을 갖춘 전문가와 막대한 자금이 필요했지만, 카스퍼스키랩의 조사에 따르면 오늘날 사이버 스파이 작전은 작은 규모이고 효율적인 형태를 취하고 있으며 복잡한 양상을 띄고 있지는 않은 것으로 나타났다. 이러한 공격은 대개 지역/정치와 관련된 이점을 얻을 수 있거나 판매할 가치가 있는 중요한 정보를 표적으로 한다. 다양한 위협 인텔리전스를 분석한 결과 카스퍼스키랩은 사이버 스파이 작전 또는 정교한 사이버 범죄의 표적이 될 가능성이 높은 조직은 정부기관, 금융기관, 에너지 기업, 통신업체 순서라고 밝혔다. 특히 표적형 공격을 수행하는 대부분의 사이버 범죄 조직의 전술은 전통적인 엔드포인트 및 네트워크 보호 솔루션을 뚫을 수 있는 도구를 활용하는 데 초점이 맞춰져 있기 때문에 표적형 공격은 심각한 문제라고 설명했다. 널리 알려진 일부 악성 코드에 대해서는 솔루션이 효과적으로 대응할 수도 있지만 표적형 공격에 있어서는 100% 보호를 보장할 수 없는 실정이기 때문이다. 카스퍼스키랩 글로벌 위협 정보 분석팀 코스틴 라이우 이사는 “정교한 표적형 공격을 추적하는 데 6년 이상의 시간과 노력을 들인 결과, 이러한 유형의 활동이 스파이 범죄와 금품 갈취 범죄에 널리 쓰이고 있음을 알 수 있었다”며, “민감한 데이터를 안전하게 지키고자 하는 조직이라면 인텔리전스 서비스를 활용하면 기업의 보안 팀이 위협에 대한 최신 정보를 얻을 수 있다”고 말했다. ed...

악성코드 스파이 카스퍼스키랩 2016.08.08

“무작위로 뿌린 USB, 절반이 PC에 연결” 블랙햇서 USB 통한 보안 공격 효율성 증명

이란 핵시설 공격을 위한 스턱스넷(Stuxnet) 공격에 사용된 것으로 유명한, USB 드라이브의 높은 공격 효율성이 블랙햇 2016에서 증명됐다. USB 드라이브와 관련된 연구 결과를 발표한 구글 연구원 엘리 버스티엔에 따르면, 일리노이 대학교 어버너 섐페인캠퍼스에 뿌려진 297개의 USB 드라이브 중 45%가 피해자들의 컴퓨터에 연결됐을뿐만 아니라, 더 심한 피해를 입히는 파일 내의 링크도 클릭된 것으로 나타났다. 이러한 비율은 USB의 모습이나 떨어진 장소에 상관없이 비슷했다. 버스티엔은 주차장, 방, 복도, 강의실, 잔디밭 등 다양한 장소에 USB 드라이브를 두었고, 일부 USB에는 아무런 표시를 하지 않고, 어떤 것에는 ‘기밀’ 혹은 ‘시험 답안’ 같은 표시를 했다. 어떤 것은 문 열쇠만, 어떤 것은 열쇠에 주소와 전화번호까지 적혀 있었다. 이렇게 뿌려져서 피해자의 컴퓨터에서 열린 USB 중 절반 이상이 10시간 이내에 열렸다. 이 USB를 컴퓨터에 연결한 사람 중 21%가 설문조사에 참여했다. 설문조사에 참여한 사람 중 68%는 이 USB를 돌려주고 싶었다고 답했으며, 18%는 단순한 호기심이었다고 답했다. 어떤 유형의 파일에 호기심이 있었던 것일까? 사진이 가장 높게 나타났는데, USB 종류에 따라서 33%~45% 수준이었다. 이력서도 사진만큼 인기가 있었는데, 아무런 표시가 없는 USB를 주운 사람 중 53%가 이력서를 열어, 가장 높은 수치를 기록했다. 다른 문서들은 그리 높지 않았다. 버스티엔은 USB 키를 만드는 것이 쉽지 않았다고 말했다. USB의 크기를 결정하고, 몰드를 만들고, 합성수지로 제작하고, 그럴듯하게 보이게 만들기 위한 작업을 해야 했다. 완성하기까지 몇 주가 걸렸고, 각 USB의 제작 단가는 40달러 수준이다. 또한, 해당 USB가 어떤 운영체제가 설치된 컴퓨터에 연결되는지 알아내기 위한 코드를 작성하는 데도 오랜 시간이 걸렸다. 스크롤 락(Sc...

USB 악성코드 블랙햇 2016.08.05

악성코드를 다운로드했을 때 나타내는 9가지 징후

대부분의 컴퓨터는 몇 가지 방법을 통해 악용된다. 가장 널리 사용되는 방법 중 하나는 사용자를 속여 트로이 목마를 다운로드해 실행하게끔 하는 방법이다. 부주의한 사용자는 소셜 엔지니어링 기법에 넘어가 이메일의 링크를 클릭하거나 웹사이트를 방문하여 악성 파일이나 앱을 실행하는 경우가 많다. 가짜 파일을 알아보기가 어렵다면 여기 소개하는 징후가 나타나지 않는지 잘 살펴보기 바란다. 1. 의심스러운 다운로드 링크가 포함된 이메일 물론 정상적인 이메일을 받는 경우도 있지만 이메일의 99%는 쓸모 없는 메일이거나 악성 이메일이다. 요즘은 안티스팸이 워낙 활성화되어 있어 업체들은 이메일 외의 다른 수단을 사용해 소프트웨어를 광고하고 판매한다. 이 기사를 읽는 정도의 독자라면 악성 이메일에 속는 일은 없어야겠다. 2. 안티맬웨어 소프트웨어, 디스크 클리너, 최적화 프로그램에 대한 광고 사용 중인 안티바이러스 프로그램이 맬웨어를 검색할 때의 화면을 잘 봐 두면, 가짜 프로그램을 볼 때 차이점을 느낄 수 있다. 진짜 안티바이러스 프로그램이라면 일반적으로 사용자가 웹사이트를 방문할 때 팝업을 띄워 컴퓨터를 검사하고는 수십 개의 바이러스에 감염되었다는 메시지를 표시하는 일은 거의 없다. 진짜 안티바이러스 소프트웨어는 팝업을 띄워 맬웨어 프로그램 한 개를 차단했다고 알려준다. 가짜의 또 다른 특징은 일반적으로 컴퓨터 전체를 검사하려고 한다는 것이다. 맬웨어 제작자는 가짜 디스크 압축 프로그램이나 최적화 프로그램에 맬웨어를 숨기는 방법도 즐겨 사용한다. 컴퓨터 최적화 프로그램을 설치하지 말라. 대부분은(진짜 최적화 프로그램 포함) 쓰레기다. 3. 소프트웨어 설치를 요구하는 웹사이트 콘텐츠를 보기 위한 조건으로 앱이나 플러그인 설치를 요구하는 웹사이트는 드물다. 그러한 사이트의 대부분은 방문자가 소프트웨어를 설치하도록 유도하기 위해 해커가 제작한 사이트다. 감염을 피하고 싶다면 합법적 제품이며 필요한 소프트웨어임을 100% 확신하지 않는 한 웹사이트에서...

다운로드 맬웨어 악성코드 2016.07.14

“사이드로더 주의!” 비공식 포켓몬 고 앱에서 악성코드 발견

최근 인기몰이를 하고 있는 포켓몬 고(Pokemon Go)가 해커들이 사용자의 휴대폰에 침투하는 통로 역할을 하고 있다. 보안 업체 프루프포인트(Proofpoint)은 안드로이드 버전 포켓몬 고에서 악성코드를 발견했다. 드로이드잭(DroidJack)이라는 원격 엑세스 도구가 설치되어 해커들이 사용자 휴대폰을 통제할 수 있도록 하는 악성코드다. 프루프포인트는 아직 감염이 확산되진 않았으나, 해커들이 포켓몬 고를 대상으로 작업을 하고 있음을 보여준다고 밝혔다. 프루프포인트는 악성코드가 포함된 소프트웨어를 온라인 파일 레포지토리에서 발견했다. 포켓몬 고는 닌텐도가 공식적으로 인정한 첫 iOS 및 안드로이드용 포켓몬 게임이다. 지난주 초에 출시되었지만, 미국, 뉴질랜드, 호주에서만 앱 스토어와 구글 플레이를 통해 배포되고 있다. 이는 다른 국가의 사용자들은 서드파티 앱 스토어에서 사이드로딩을 해야 한다는 의미다. 이 사이드로딩이 악성코드가 포함된 포켓몬 고 앱 배포 통로다. 프루프포인트에 따르면, 감염된 포켓몬 고 앱의 시작 화면은 공식 앱과 동일해서 거의 구분이 불가능하다. 한편, 해커들은 종종 인기 게임의 가짜 버전을 만들어 모바일을 감염시키는 방법을 사용하곤 한다. 2014년 인텔 시큐리티가 발표한 자료에 따르면, ‘플래피 버드(Flappy Bird)” 모사품은 수백 개가 넘고, 그중 80%가 악성코드에 감염되어 있다. editor@itworld.co.kr

악성코드 게임 보안 2016.07.11

애플 맥 노린 백도어 프로그램 등장… 사용자 주의 요망

공격자들이 토르(Tor) 네트워크를 이용해 맥 시스템을 하이재킹하고 통제할 수 있는 새로운 백도어 http://www.itworld.co.kr/news/98060 프로그램이 발견됐다. 안티바이러스 업체인 비트이펜더(Bitdefender)가 발견한 이 악성코드는 Backdoor.MAC.Eleanor로, 맥 소프트웨어를 제공하는 명성 있는 웹사이트를 통해 파일 전환 애플리케이션으로 배포되었다. 이 애플리케이션의 이름은 이지독 컨버터(EaseyDoc Converter)다. 이 애플리케이션을 설치하면 사용자들이 파일 전환을 위해 파일을 드래그 앤 드롭할 수 있는 가짜 인터페이스가 표시되는데, 실제로는 아무런 기능도 하지 않는다. 백그라운드에서는 “/Users/$USER/Library/.dropbox”라는 폴더에 여러 악성 구성요소를 설치하는 스크립트가 실행된다. 드롭박스라는 폴더명은 악성코드를 알아보기 힘들게 만들 때 종종 사용되며, 실제 드롭박스 파일 동기화 소프트웨어와는 전혀 관계가 없다. 이 악성코드는 3가지 구성요소가 있다. 하나는 PHP 애플리케이션인 웹 서이브 하나와, 공격자들이 감염된 시스템을 토르 네트워크로 연결하도록 하는 토르 숨김 서비스, 그리고 페이스트빈(Pastebin) 웹사이트에 감염된 시스템을 위한 토르 접근 URL을 올리기 위한 에이전트다. 이 악성코드가 활동을 시작한 것은 4월 19일로 추정되지만, 얼마나 많은 맥이 감염되었는지는 알 수 없다. 다행히, 해당 애플리케이션이 애플의 정식 승인을 받은 것이 아니기 때문에, 최신 OS X 버전 사용자들이 이 애플리케이션을 설치하려고 할 때 보안 경고가 뜬다. editor@itworld.co.kr  

악성코드 백도어 2016.07.07

IDG 블로그 | 쓰레기장이 된 신설 인터넷 최상위 도메인…스패머와 악성코드가 점령

수많은 신생 최상위 도메인(TLD)이 확산되면서 기존 TLD가 압박을 받고 있다. 하지만 새로운 TLD의 대부분은 한결같이 스패머와 악성코드 공격자의 근원지로 전락한 것으로 보인다. 물론 신생 TLD에도 쓸만한 웹 자원이 있을 것이다. 하지만 .com이나 .org, .net 등과 비교하면 거의 찾아볼 수 없을 정도이다. .xyz를 보자. 필자는 이 도메인으로부터 하루에도 수십 통씩의 스팸메일을 받는다. .click은 어떤가. 올해 들어 약 400여 통의 악성코드가 심어진 이메일을 받았다. .racing, .website 등 수많은 신설 TLD도 마찬가지로, 차단하기도 어렵고 없애는 것이 거의 불가능한 스팸과 악성코드의 진원지이다. 절망적인 상황이다. 관리자 역시 이들 스팸의 확산을 막기 힘들다. 그렇다면 도메인 남용 보고서를 보내보면 어떨까? 시도할 가치가 없다. 아무도 신경 쓰지 않기 때문이다. 등록기관의 뒤에는 메시지 군단이 사용자의 클릭을 기다리고 있다. 어떤 사용자는 설득력 있는 피싱 공격에 낚이겠지만, 여전히 다른 사용자는 정말로 새로운 목공 매뉴얼을 필요로 할 것이다. 누가 그런 피싱 공격에 넘어가겠냐고 하겠지만, 새로운 도메인을 사용하는 일부 피상 공격은 정말로 매력적이다. 그리고 많은 사람들이 출근해 커피를 마시기 전까지 정신이 맑지 않은 상태라는 것도 고려해야 한다. 스팸필터는 이들 도메인에서 날아오는 이메일을 막는 방법 중 하나이다. 게다가 이들 도메인 전체를 자3동으로 걸러낼 수도 있다. xyz, .domain, .website, .info, .review, .club, .date, .racing, .download, .top, .gdn, .bid, .museum, .mobi, .stream. 등이 대상이다. 또한 자사와 전혀 관계가 없는 국가의 도메인도 차단하는 것이 좋다. TLD 목록을 참고하거나 지속적으로 업데이트되는 IANA 목록을 참고하기 바란다. editor@itworld.co.kr

도메인 스팸 악성코드 2016.07.07

중국발 안드로이드 악성코드 '허머', "세계 최대 규모로 확산"

포르노 앱을 은밀히 설치하는 악성코드가 수백만 대의 기기에 설치된 상태다. 이 규모는 모바일 트로이 목마 가운데 세계 최대 규모라는 분석이다. 보안 및 유틸리티 앱 제조업체 치타 모바일(Cheetah Mobile)에 따르면, '허머(Hummer)'라고 불리는 이 악성코드는 일반적인 안드로이드 앱을 흉내내는 일련의 트로이목마다. 이 연구원들은 "허머를 2014년부터 추적해왔다"며, "이 악성코드는 하루에 100만 대 이상 감염시키는 등 다른 모바일 트로이목마를 압도하고 있다"고 블로그 포스트를 통해 밝혔다. Credit: Cheetah Mobile 주요 감염 지역은 인도, 인도네시아, 터키, 중국, 멕시코다. 미국과 유럽 지역에도 감염자가 있다. 허머 트로이목마에 감염된 이후, 사용자는 유튜브나 여타 구글 서비스에 접근할 수 있게 됐다고 생각하게 된다. 그러나 실은 허머가 사용자가 기기를 '루팅'해 관리자 권한을 획득하는 것이다. 허머는 이후 게임나 포르노 관련 앱 등 사용자가 원하지 않는 여러 앱을 설치하거나 또 수많은 팝업 광고를 띄운다. 심지어 1시간 내에 2GB 용량의 데이터를 소진시키기도 한다는 설명이다. 이 악성코드를 감지해 삭제해도 재설치되는 기능도 갖췄다. 치타 측은 특히 공장 초기화를 하더라도 삭제되지 않는다며, 이 악성코드를 삭제할 수 있는 앱을 제시했다. 치타 측은 악성코드 개발자가 광고 및 앱 설치의 대가로 약 50만 달러를 벌어들였을 것으로 추정하며, 연관 이메일 계정으로 볼 때 중국에서 개발된 것이 유력하다고 분석했다. 허머를 비롯해 여러 안드로이드 악성코드에 감염되지 않기 위해서는 신뢰할 수 없는 출처에서 다운로드한 앱을 설치하지 않는 것이 가장 중요하다. 그러나 이는 특히 중국에서 쉽지 않은데, 중국에서는 구글 플레이에 접속할 수 없기 때문이다. 한편 카스퍼스키도 허머 악성코드를 탐지했다고 밝혔는데, 이...

악성코드 트로이목마 허머 2016.07.01

"나, 구글 플레이인데, 너의 정보가 필요해", 유명 앱으로 가장한 악성코드 등장

사이버 범죄자들이 유럽에서 우버, 왓츠앱, 구글 플레이의 UI(user interfaces)를 가장할 수 있는 악성코드로 신용카드 정보를 훔치고 있다. 보안 벤더 파이어아이는 "덴마크, 이탈리아, 독일에 있는 안드로이드 사용자를 공격하는 이 악성코드는 SMS 피싱 공격을 통해 확산되고 있었다"고 밝혔다. 사용자가 다운로드하면 이 악성코드는 가짜 UI를 만들어 해당 스마트폰에 있는 실제 앱 위에 덮어씌운다. 이후 이 인터페이스는 신용카드 정보를 요구하고 사용자가 기입한 데이터를 해커에게 보낸다. 이 악성코드는 진화를 계속한다. 파이어아이는 이 악성코드를 발견한 2월 이후로 이와 같은 덮어씌우기 기술을 사용한 악의적인 프로그램을 유럽 내에서 55개를 발견했다. 초기 버전에서는 뱅킹 앱을 표적으로 했지만 현재 이 악성코드는 왓츠앱, 구글 플레이를 포함한 좀더 인기많은 소프트웨어의 인터페이스를 가장할 수 있다. 파이어아이 연구원 우 저우는 이메일을 통해 "사용자들은 뱅킹 앱에 그랬던 것처럼 이들 제품에 신용카드 정보를 넣는 경향이 있다"고 말했다. "사이버 범죄자들은 보통 가장 많은 금전적 이익을 원한다. 그래서 그들은 사용자가 가장 많은 앱들을 표적으로 한다"고 덧붙였다. 이 악성코드 일부는 유투브, 우버, 중국 메시징 앱인 위챗(WeChat)을 표적으로 한다. 이 사이버 범죄자들은 이 악성코드를 퍼트리기 위해 한 링크가 담긴 SMS 메시지를 보내어 이를 클릭하도록 피해자들을 속인다. SMS 메시지는 보통 '고객님의 주문을 전달할 수 없습니다. 이를 위해서는 여기에 정보를 기입하십시오'라는 내용을 남긴다. 파이어아이는 2월부터 이 악성코드가 확산되고 있음을 파악하고 지금까지 추적해 온 결과, 5개의 다른 캠페인을 탐지했다. 그 가운데 하나의 캠페인에서만 링크에 클릭한 이가 최소 13만이 넘는 것으로 알려졌다. 특히 이 악성코드의 새로운 버전은 탐지하기가 ...

악성코드 구글플레이 왓츠앱 2016.06.29

보안 환경 변화에 따른 엔드포인트 보안의 방향성 : 통합 보안 관리 - IDG Summary

보안 환경 변화에 따른 엔드포인트 보안의 방향성 : 통합 보안 관리 - IDG Summary 모든 정보가 만들어지고 이동하는 시작점이자 기업 네트워크의 관문이 되는 엔드포인트에 대한 관심이 커지고 있다. 특히 상대적으로 취약한 엔드포인트를 노린 보안 공격이 증가하면서 이를 위한 전문 보안 솔루션의 수도 증가하고 있다. 하지만 솔루션 만으로는 보안을 장담할 수 없는 것이 현실이다. 이 때문에 최근 통합 보안 관리가 엔드포인트 보안의 종결자로 주목을 받고 있다. 최신 엔드포인트 보안 트렌드를 짚어보고, 통합 보안 관리의 필요성과 조건, 접근 방법을 살펴본다. 주요 내용 정보의 시작과 끝, 엔드포인트를 보호하라 늘어만 가는 보안 솔루션과 의문스러운 효과 해법은 엔드포인트 보안 통합 관리 환경 효율성 중심의 엔드포인트 보안 통합 관리 솔루션 대림대학교, 통합 관리로 ‘보안 청정 캠퍼스’ 구현 “Connect to Protect” 엔드포인트 보안의 새로운 키워드

악성코드 PC 엔드포인트 2016.06.10

글로벌 칼럼 | 윈도우는 어떻게 악성 코드가 됐는가?

몇 주 전, 아내가 잔뜩 화가 난 채로 필자의 사무실로 찾아왔다. 아내는 “윈도우 10이 내 컴퓨터를 가로챘다”라며, “마이크로소프트가 묻지도 않고 윈도우 7을 원하지도 않는 윈도우 10으로 업그레이드해 버렸다. 그리고 설치가 완료될 때까지 아무 일도 못하고 기다려야 했다”고 불만을 토로했다. 필자는 아내에게 혹시 업그레이드 알림에서 실수로 “확인” 버튼을 클릭하지는 않았는지, 아니면 업그레이드 관련 경고나 알림을 무시한 것은 없는지 물었다. 그런 일은 없다고 대답한 아내는 새 운영체제와 씨름하기 위해 돌아갔다. 솔직히 필자는 반신반의했다. 마이크로소프트가 정말로 누군가의 컴퓨터를 경고도 없이 장악해서 상당량의 소프트웨어를 명시적인 승인도 없이 설치하겠는가? 그건 악성코드가 하는 것이지 세계 최대의 IT 업체이자 세계 최대 규모의 PC용 운영체제를 가지고 있는 곳에서 만든 소프트웨어가 하는 것이 아니라고 생각했다. 하지만 아내가 옳았다. 그리고 필자만 이런 일을 당한 것도 아니다. 이 모든 일이 필자를 당황스럽게 했다. 만약 다른 업체에서 만든 소프트웨어가 윈도우 10 업그레이드처럼 동작한다면, 악성코드로 간주해야 하나? 해답을 찾기 위해 필자는 이 말 많은 업그레이드가 어떻게 동작하는지 파헤쳐 봤다. 마이크로소프트는 자사가 정한 7월 29일 무료 업그레이드 마감일까지 가능한 많은 PC를 윈도우 10으로 업그레이드하기 위해 공격적으로 나섰다. 지난 해 마이크로소프트는 GWX(Get Windows 10) 앱을 윈도우 7과 윈도우 8.1 PC에 설치했다. 이 앱은 원하는 사람들이 무료 업그레이드를 ‘예약’할 수 있도록 알림 메시지를 보내준다. GWX 팝업에서 사람들은 우측 상단의 X 버튼을 클릭하는 방법으로 창을 닫고 다른 동작이 일어나지 않도록 할 수 있었다. 이후 마이크로소프트는 사람들을 윈도우 10으로 끌어들이는 데 점점 더 공격적으로 ...

악성코드 업그레이드 수법 2016.06.08

최신 악성코드 스키머, ATM 기기에서 현금을 쉽게 훔친다

보안 연구원들이 '스키머(Skimer)'라 부르는 악성코드의 새로운 버전을 발견했다. 이 악성코드는 윈도우 기반의 ATM 기기를 감염시켜 현금과 직불 카드 상세 정보를 훔치는 데 사용될 수 있다. 초기 스키머는 7년 전에 발견됐지만 꾸준히 사용되어왔다. 시간이 지남에 따라 이 악성코드는 사이버범죄자들에 의해 진화됐다. 최근 현대화된 버전은 5월 초, 카스퍼스키 연구원들에 의해 발견됐는데, 탐지를 우회하는 새로운 기술이 탑재됐다. 일단 설치되면 이 악성코드는 파일 시스템이 FAT32 또는 NTFS 인지를 파악한다. FAT32 파일형태라면 악의적인 실행 파일을 C:\Windows\System32 디렉터리 내에 심는다. 그러나 NTFS 라면 마이크로소프트의 XFS(Extension for Financial Services) 서비스에 해당하는 NTFS 데이터 스트림 내에 파일을 쓸 것이다. 카스퍼스키 연구원들은 "이 기술은 포렌식 분석을 아주 어렵게 만든다"고 말했다. XFS 서비스는 단지 ATM 기기에만 존재하며 ATM의 PIN 패드와 통신할 수 있는 소프트웨어인 특수 API(application programming interface)를 제공한다. 마이크로소프트는 이 서비스에 대한 어떠한 공개 문서를 제공하지 않는다. 하지만 사이버범죄자들은 ATM 제조업체인 NCR에서 나온 프로그래머들의 레퍼런스 매뉴얼 속에서 정보를 가로채는데 필수적인 정보를 발견했을 지 모른다. 수년 전, 중국 e북 사이트가 유출된 바 있기 때문이다. 스키머는 최근 수년동안 발견된 ATM 기기를 감염시키기 위해 디자인된 여러 악성코드 프로그램 가운데 하나로, 공격의 수단으로 사이버범죄자 사이에서 인기를 끌고 있는 것으로 추정된다. 과거 ATM 기기에 악성코드 프로그램을 설치하는 방법은 다양했다. 어떤 경우에는 내부자들이 설치하기도 했으며, 특수 키를 사용하는 ATM 기기의 전면 케이스을 연 후, CD 드라이브로부터 부팅에 의해 설...

악성코드 ATM 스키머 2016.05.18

“암호화 연결도 불안” HTTPS 하이재킹으로 PC 100만 대 악성코드 감염

지난 2년간 사이버 범죄자 그룹이 암호화된 HTTPS 연결일지라도 검색 결과를 하이재킹해 거의 100만 대의 컴퓨터를 감염시킨 것으로 나타났다. 보안 업체 비트디펜더(Bitdefender)에 따르면, 이 방법을 사용한 사이버 범죄자들은 검색 프로그램의 구글 에드센스(AdSense)를 통해서 돈을 번다. 에드센스는 웹사이트 운영자가 구글이 제공하는 맞춤형 검색 엔진을 웹사이트에 배치해서 사용자들이 검색 결과에 표시되는 광고를 클릭했을 때 수익을 얻도록 하는 프로그램이다. 사이버 범죄자들은 구글과 빙, 야후의 검색을 하이재킹해서 자신들의 컴퓨터에서 검색이 수행되도록 한다음 적법한 결과를 자신들의 맞춤 검색 엔진에서 생성된 것으로 바꿔버린다. 이 과정에서 Redirector.Paco라는 악성코드 프로그램을 사용한다. 비트디펜더는 2014년 9월 중순 이후, Redirector.Paco가 인도, 말레이시아, 그리스, 미국, 이탈리아, 파키스탄, 브라질, 알제리 등 전 세계적으로 90만 대 이상의 컴퓨터를 감염시켰다고 밝혔다. 이 악성코드는 WinRAR, 커넥티파이(Connectify), 유튜브 다운로더(YouTube Downloader), 스타독 스타트8(Satrdock Start8), KMPico 등 인터넷에서 배포되는 유명 프로그램의 변형된 설치 프로그램에 포함되어 있다. Redirector.Paco는 일단 컴퓨터에 설치되면 PAC(Proxy auto-config) 파일에서 공격자들이 지정한 웹 프록시 서버를 이용하도록 인터넷 설정을 변경한다. 이 악성코드는 PAC 파일과 프록시를 원격 서버에 호스팅하는 것과 로컬 컴퓨터에 호스팅하는 것 두가지로 나뉜다. 두 경우 모두, 악성코드는 구글, 야후, 빙의 가짜 인증을 생성하기 위해서 컴퓨터의 인증 저장소에 자체적으로 생성한 루트 인증을 설치한다. 이 방법은 기본적인 중간자(man-in-the-middle) 공격이다. 이 프록시는 실제 검색 엔진과 연결을 설정하고, 결과를 공격자의 맞춤 ...

악성코드 HTTPS 보안 2016.05.17

How-To : PC가 악성코드에 감염됐을 때 취해야 할 단계별 조치

사람들이 자신의 컴퓨터가 ‘바이러스’에 감염됐다고 생각하는 경우 대부분은 하드웨어 오류, 소프트웨어 에러, 혹은 사용자의 실수가 원인일 때가 많다. 하지만 RAM이 과도하게 사용되거나 이상하게 보안 프로그램이 작동되지 않는다면, 악성코드에 감염되었을 가능성이 크다. 2014년에 필자는 악성코드에 감염됐음을 알리는 징후에 대한 글을 썼었다. 이번에는 이런 징후들이 나타났을 때 취해야 하는 조치에 대해서 조금 더 자세히 알아보도록 하겠다. 안전모드로 부팅하기 먼저 이미 PC에 설치되어 있는 안티바이러스 프로그램에 의지하지 말아야 한다. 이미 이것조차 감염되었을 가능성이 있기 때문이다. 대신에 ‘안전모드(네트워킹 사용)’으로 부팅한 후, 클라우드 기반의 악성코드 스캐너를 사용하라. 안전모드로 부팅하면 악성코드가 영향을 끼칠 가능성이 줄어든다. 안전모드 부팅 방법은 '윈도우 7•8에서 안전 모드로 부팅하는 법'과 '테크비디오 | 윈도우 10 안전모드로 부팅하기'를 참고하면 된다. ‘안전모드(네트워킹 사용)’을 선택하는 것을 기억해야 한다. 스캔 및 악성코드 처리하기 안전모드로 부팅했다면 브라우저를 열고 ESET 온라인 스캐너(ESET Online Scanner) 사이트에 가서 스캔을 하고 트렌드 마이크로(Trend Micro)의 하우스콜(HouseCall)을 실행한다. 조금 더 강력한 것이 필요한가? 윈도우용으로 만들어진 악성코드는 다른 운영체제에서는 작동하지 않는다. 따라서, DVD나 플래시 드라이브로 부팅한 리눅스 기반의 악성코드 클리너를 사용해보자. 리눅스 부팅 드라이브에 대한 자세한 정보는 '초보자를 위한 리눅스 시작 가이드'를 참고하면 된다. ESET 시스텝레스큐라이브(ESET SysRescue Live)나 카스퍼스키 레스큐 디스크 10(Kaspersky Rescue Disk 10)을 추천한다. ...

맬웨어 바이러스 악성코드 2016.04.27

스파이아이 봇넷 킷 개발자들, 총 24년 6개월 형을 받다

알렉산드르 안드리비치 파닌과 공범 함자 벤델라지는 둘이 합쳐 총 24년 6개월이라는 형을 선고받았다. 지난 20일, 스파이아이(SpyEye) 봇넷 킷을 만들어 금융 분야에서 막대한 피해를 입힌 러시아 개발자 알렉산드르 안드리비치 파닌이 미국 애틀랜타 조지아 법정에서 9년형을 선고받았다. Credit: Interpol 파닌은 제우스 악성코드를 계승한 스파이아이를 개발해 2009년부터 금융 기관들에 악영향을 미쳐 법원은 9년 6개월 형을 선고했다. 이와 반해 그의 공범 알제리인 함자 벤델라지는 15년형을 받았다. 피해자의 컴퓨터를 감염시킨 후, 사이버범죄자들은 해킹한 컴퓨터를 C&C(command-and-control) 서버를 통해 원격으로 제어할 수 있다. 사이버범죄자들은 피해자의 브라우저에 악의적인 코드를 심는 웹 인잭션, 키보드 활동 기록들과 신용카드 번호를 수집하는 키스트록 로거와 같은 기술을 사용해 피해자의 인적, 금융 정보를 훔친다. 이렇게 수집된 정보들은 해당 서버로 보내지며 이후 피해자의 금융 계좌로부터 돈을 훔치는 데 사용된다. 2011년 12월 미국 북부 조지아 대배심원은 완전히 신원확인이 되지 않은 파닌과 벤델라즈에 대한 총 23개 사건을 환송했다. 이후 2014년 파닌은 은행 사기 등을 위해 악성코드를 개발하고 배포한 자신의 범죄 혐의를 시인했으며 벤델라지는 2015년 컴퓨터 사기와 오용범죄에 대해 시인했다. 미 사법부는 스파이아이를 우월한 뱅킹 트로이목마 악성코드라고 설명했다. 이 악성코드는 2010년에서 2012년까지 전세계 사이버범죄 조직에 의해 사용되어 5,000만 대 이상의 컴퓨터를 감염시켰고 이로 인해 10억 달러에 가까운 재정적 손실을 입혔다. 파닌은 2010년 슬라빅(Slavik)으로 잘 알려진 에브게니 보가체프로부터 제우스 소스코드와 판매할 권리를 넘겨받았다고 주장했다. 스파이아이 내부에는 제우스 코드가 많이 포함되어 있다. 보가체프는 FBI가 300만 달러의 현상금을 걸만큼 체...

봇넷 악성코드 사이버범죄 2016.04.22

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.