Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

악성코드

"랜섬웨어 공격에 당했다면" 피해 대처 방법 6선

랜섬웨어는 납치와 비슷하고, 랜섬웨어 범죄자와의 협상은 고층 빌딩 옥상에서 뛰어내리려는 사람과의 협상과 비슷하다. 핵심 인프라 기술 연구소(Institute for Critical Infrastructure Technology, ICIT)는 데이터를 볼모로 잡은 범죄자에게 대처하는 방법을 설명하는 보고서를 최근 발행했다. 이 보고서는 침해 발견 이후 취해야 하는 행동을 다루고 있다. ICIT에 따르면, 적절한 대응은 해당 조직의 위험 감수 성향(risk tolerance), 인질로 잡힌 데이터가 가진 잠재적 영향, 비즈니스 연속성에 미치는 영향, 예비 시스템의 가용성 여부, 그리고 규정 요건에 따라 결정된다. editor@itworld.co.kr

악성코드 복구 백업 2016.03.21

안랩, POS 내 금융정보 노리는 악성코드 주의 당부

안랩(www.ahnlab.com)은 보안이 취약한 POS(Point of Sales) 단말기를 노려 사용자의 금융정보를 탈취하는 악성코드가 발견되어 주의를 당부했다. 이번 악성코드는 해외에서 발견된 것으로, 해외 웹사이트 접속이나 이메일 소통이 많은 현실 상 POS를 사용하고 있는 국내 기업도 주의가 요구된다. 공격자는 해외 특정 프로그램의 디지털 서명을 악용해 해당 악성코드를 믿을 수 있는 프로그램으로 위장했다. 만약 사용자가 보안이 취약한 POS 단말기에서 해당 악성 파일을 다운로드 받아 실행하면 악성코드에 감염된다. 해당 악성코드는 실행 중인 프로세스의 메모리 영역에 접근해 저장된 정보들을 유출하는 ‘메모리 스크래핑(Memory Scraping)’ 공격 방식을 사용해, 감염 POS 시스템의 메모리 영역에 저장된 사용자의 금융 정보를 특정 C&C 서버(Command & Control)로 전송한다. 피해를 예방하기 위해서는 ▲POS 시스템의 로그인 암호 주기적 변경 및 복잡하게 설정 ▲POS 시스템 운영에 불필요한 서비스 사용 중지 ▲POS전용 보안 프로그램 사용 및 업데이트 등 POS 보안 수칙을 실행해야 한다. 안랩 제품기획팀 이지훈 차장은 “이번 POS 악성코드는 해외에서 발견된 샘플이지만, 최근에는 해외 사이트 접촉 기회가 많아 POS보안에 대해 더욱 주의해야 한다”며, “특히 POS에는 신용카드 번호 등 고객의 민감한 정보가 저장되므로, POS 시스템 운영 단말기 보안 업데이트 적용이나 POS 전용 보안 솔루션 도입 등 강력한 보안 조치가 필요하다”고 말했다. editor@itworld.co.kr

악성코드 안랩 2016.03.18

상존하는 위협, 준비되지 않은 “엔드포인트를 보호하라” - IDG Deep Dive

모든 사이버 공격은 최종 사용자들이 자신의 기기에서 악성링크 클릭, 악성코드 다운로드, 감염 파일 클릭, 즉 엔드포인트에서 시작한다. 기업 관리자들은 현재 보안 현실에서 무수히 많은 접점의 엔드포인트에 대한 공격을 100% 막을 수 없다. 문제는 보안 현실뿐만 아니라 의사결정권자에게도 있다. 한 설문조사에 따르면, IT 책임자 중 강력한 엔드포인트 보안을 구축했다는 응답은 32%에 불과했는데, 동시에 가장 취약한 공격 지점으로 엔드포인트를 지적한 비율이 73%였다. 위협은 상존하지만 제대로 대비가 되어있지 않은 것이다. 엔드포인트 보안 시장 및 기술 현황, 그리고 최적의 보안 대책을 알아본다. <주요내용> 커지는 위협에도 여전히 부족한 엔드포인트 보안 엔드포인트 보안의 근원적 문제 "사이버 보안 전문가 부족" “통합 스위트 요구 증가!” 거대해질 엔드포인트 보안 시장 기업 보안에 위협이 되는 안티바이러스 소프트웨어 “예외없는” 보안 위협… 공격 행동별 비율은? 정보 보안 프레임워크 구축을 위한 베스트 프랙티스 “보안, 생산성, 비용” 세 마리 토끼를 잡는 Dell Data Protection  

악성코드 엔드포인트 사이버공격 2016.03.16

토픽 브리핑 | 확산일로의 랜섬웨어, 대응방안은 없는가

최근 한국IDG가 국내 기업의 보안 담당자 405명을 대상으로 실시한 설문조사에서 가장 큰 위협을 느끼는 공격은 랜섬웨어, 스파이웨어와 같은 악성코드(45.2%)로 드러났다. 특히 카스퍼스키랩과 B2B 인터내셔널의 한 연구 결과에 따르면, 45%의 기업이 랜섬웨어 악성코드의 심각성을 인식하고 있는 것으로 밝혀졌다. 국내 APT 보안 현황 및 과제 분석을 통한 APT 솔루션 구매 가이드 “기업 공격하는 랜섬웨어 피해 계속” 카스퍼스키랩 랜섬웨어는 피해자의 데이터를 암호화해 인질로 잡고 암호 키를 받으려면 돈을 지불하라는 데이터 인질 악성코드다. 보통 비트코인으로 지급을 요구하며 요구시간 내에 돈을 지불하면 암호화 키를 제공한다. 그러나 돈만 받고 암호화 키를 제공하지 않는 경우도 있다. ITWorld 용어풀이 | 랜섬웨어(Ransom ware) 지난 수년 전부터 급속도로 성장한 랜섬웨어 공격자는 초기에는 주로 일반인을 대상으로 범죄행위를 해왔다. 그러다가 기업 등으로 대상을 확대한 후, 최근에는 데이터 가격을 비싸게 받을 수 있는 기업이나 단체를 대상으로 한 공격이 주력으로 바뀌었다. “기업 공격하는 랜섬웨어 피해 계속” 카스퍼스키랩 랜섬웨어의 확산은 공격 대상만이 아니다. PC, 스마트폰, 스마트와치, 스마트 TV 등 기기를 가리지 않고 무차별 공격에 나서고 있다. 뿐만 아니라 80%이상 윈도우 운영체제를 공격했던 랜섬웨어는 리눅스, 안드로이드, 그리고 최근에는 맥 운영체제를 공격하는 랜섬웨어까지 등장함으로써 랜섬웨어 안전지대는 거의 사라진 셈이다. 클릭재킹 이용하는 신규 안드로이드 랜섬웨어 주의보 애플, 맥 사용자 대상 최초의 랜섬웨어 공격 막았다 팔로알토 네트웍스, “애플 맥 OS 노리는 신종 랜섬웨어 등장” 이처럼 랜섬웨어가 급속도록 성장하게 된 이유는 무엇일까. 지금까지 사이버범죄는 공격 성공이후 수익까지는 상당한 시간이 걸렸고, 대가가 그...

악성코드 랜섬웨어 사이버협박 2016.03.11

말하는 케르베르 랜섬웨어, 서비스 형태로 범죄자들에게 판다

케르베르(Cerber)라는 새로운 파일 암호화 랜섬웨어 프로그램은 피해자들에게는 악몽을 선사함과 동시에 범죄자들에게는 적당한 가격으로 구입할 수 있도록 함으로써 사이버범죄의 새로운 국면에 접어들었다. 기능적인 관점에서 케르베르는 다른 랜섬웨어 위협과 크게 다르지 않다. 이 랜섬웨어는 강력한 AES-256 알고리즘으로 문서, 그림, 음성파일, 영상파일, 아카이브, 백업을 포함한 수십 개의 파일 형태를 암호화한다. 이 프로그램은 콘텐츠와 파일 이름을 암호화하고 원래 확장자를 .cerber로 변경한다. 또한 컴퓨터 내에 드라이브 문자로 나타나지 않는 공유 네트워크라도 찾아낸다. 암호화 절차가 끝난 후 케르베르는 피해자의 데스크톱에 "# DECRYPT MY FILES #."이라는 이름을 새기고 3개의 파일을 넣는다. 범죄자들은 이 파일에 인질 요구사항과 돈을 지불하는 방법에 대한 지시사항을 설명해놓았다. 이 파일은 txt 파일 형태, HTML 형태, 나머지 하나는 VBS(Visual Basic Scripting) 등으로 되어있다. 브리핑컴퓨터(BleepingComputer) 기술 지원 포럼 관리자 로렌스 아브람스는 "VBS 파일은 조금 특이하다. 이 파일은 텍스트를 음성 메시지로 변환하는 TTS(text-to-speech code) 코드가 포함되어 있다"고 말했다. 아브람스는 한 블로그에 스크립트가 이미 실행됐다면 자신의 컴퓨터는 "당신의 컴퓨터 파일은 이미 암호화됐다"는 메시지를 수없이 반복할 것이라고 전했다. 사이버 정보팀 센스사이(SenseCy)에 따르면, 케르베르의 제작자들은 이 랜섬웨어를 러시아 언어로 된 포럼에서 서비스 형태(ransomware as a service)로 팔고 있다. 이는 코딩 능력이나 자체 랜섬웨어를 만들 자원을 갖추지 못한 저급의 사이버 범죄자를 양산해 해당 범죄의 확산을 가져올 수 있음을 의미한다. editor@itworld.co.kr

악성코드 랜섬웨어 Cerber 2016.03.07

"손 대지 마시오" 박물관 속 악성코드들

인터넷 아카이브의 아키비스트(archivist)이자 소프트웨어 큐레이터인 제이슨 스콧, 그리고 F-시큐어(F-Secure) 수석 연구원 미코 하이포넌은 초기 바이러스를 확인할 수 있는 일련의 악성코드 리스트를 구성했다. 여기 소개된 몇 가지 외에도 앞으로 또 다른 리스트가 공개될 예정이다. 에이즈 552(AIDS 552) 위키아(Wikia)에 따르면, 에이즈.552는 터보 파스칼 3.01a(Turbo Pascal 3.01a)로 쓰여진 컴퓨터 바이러스로, COM 파일을 겹쳐쓴다(overwrite). 에이즈는 또한 MS-DOS 해당 파일 시스템(corresponding file system) 취약점을 공략한 최초의 바이러스라고도 알려져 있다. 앰뷸런스(AMBULANCE) 앰뷸런스에 감염되면 스크린에 ASCII 앰뷸런스 드라이브가 나타나면서 경보가 울리다가 곧 충돌이 발생한다. 아리아나(ARIANNA) 트렌드 마이크로(Trend Micro)에 따르면, 이 바이러스는 감염된 프로그램을 실행하거나, 컴퓨터의 감염된 파티션을 실행할 때 전파된다. 아리아나 바이러스에 감염된 파일을 실행할 경우 int 2f(ax=FE01) 이후의 ax값이 0인지를 확인해 현재 위치가 메모리 내부인지를 먼저 확인한다. 메모리 내부임이 확인될 경우 감염된 프로그램을 실행시킨다. 바이러스 코드는 상위 메모리 영역에 남아 있는다. CASC-SIM CASC-SIM.COM은 코어 퍼블리싱(Core Publishing)에서 윈도우용으로 개발한 마스터 해커(Master Hacker)와 관계된 COM 파일이다. CASC-SIM.COM은 보안 등급 "알 수 없음"에 인기도는 별 하나다. 씨씨(CeCe) 패트리샤 호프먼(Patricia Hoffman)의 '바이러스 정보 요약 리스트(Virus Information Summary List)'에 따르면, 씨씨는 다른 소프트웨어 파일과 결합해 스스로를 숨기며 자기 복제 기능을 지닌...

바이러스 악성코드 2016.02.19

지금껏 출현한 악성코드 가운데 27%, 2015년에 만들어졌다

2015년은 악성코드의 해라고 할 만큼 기록적인 수치를 보였다. 판다시큐리티(Panda Security)의 한 보고서에 따르면, 2015년에 8,400만 개 이상의 새로운 악성코드 샘플이 수집됐다. 판다시큐리티의 판다랩스 기술책임 루이 콜론스는 "이런 수치는 하루 평균 약 23만 개의 새로운 악성코드 샘플들이 만들어진 것으로, 지금껏 출현한 모든 악성코드 가운데 27%가 지난해에 만들어진 것"이라고 밝혔다. 주요 악성코드 가운데 트로이목마(51.45%)가 1위를 유지했으며, 뒤를 이어 바이러스(22.79%), 웜(13.22%), 애드웨어와 같은 원하지 않는 프로그램(10.71%), 스파이웨어(1.83%) 순이었다.  콜론스에 따르면, 다수의 악성코드 변종이 급증하고 있는 반면, 안티바이러스 소프트웨어도 탐지, 방어 기술이 나날이 증가하고 있다. 콜론스는 "요즘 공격자들은 방어 시스템에게 다르게 보이는 악성코드를 좀더 빠르게 변형할 수 있는 자동화된 소프트웨어를 갖고 있다"고 말했다. "이로 인해 감염된 웹사이트는 접속한 사용자들은 조금씩 다른 버전의 트로이 목마에 감염된다"고 설명했다. 17년 전, 그가 처음 악성코드를 연구할 때 공격자들은 하루당 100개의 새로운 변형 악성코드를 보았다. 콜론스는 "당시 우리는 이를 미쳤다고 생각했다. 연구소 내 모든 프로세스들이 꽤나 수동적였기 때문에 그것도 미친 짓이었다"고 말했다. 콜론스는 "그러나 방어자들은 좀더 나아지고 있다. 예를 들어, 판다랩스는 이전에 본 적이 없는 파일을 보고 있다면 그것은 추가적인 정밀조사를 해야 하는 지표가 된다. 이는 클라우드 기술의 급속한 확산으로 가능해졌다"고 설명했다. "우리가 지금껏 본적이 없었던 새로운 파일을 본다는 것은 이 파일이 세상 어느 곳에서도 본적이 없던 것을 보는 것"이라고 말했다. 게다가 안티바이러스 개발업체들은 악성코드 샘플...

악성코드 트로이목마 2016.02.01

국내 금융∙보험 기업을 표적으로 하는 레이튼트봇 악성코드 발견...파이어아이

파이어아이(www.fireeye.com/kr/ko)는 다층 난독화를 통한 잠입으로 아무런 흔적없이 네트워크에 잠복하며 하드디스크를 손상시키는 악성코드 레이튼트봇(LATENTBOT)을 발견했다고 밝혔다. 이 악성코드는 한국을 포함해 미국, 영국, 싱가포르 등 여러 주요 국가의 금융 서비스 및 보험 기업들을 주요 대상으로 공격을 감행해왔으며, 특히 한국은 해당 악성코드의 표적 국가일 뿐 아니라 CnC 서버로 악용되기에 각별한 주의가 요구된다. 파이어아이의 동적 위협 인텔리전스(Dynamic Threat Intelligence, DTI)에 수집된 정보에 의하면, 레이튼트봇은 2013년에 생성돼 한국을 포함한 미국, 영국, 브라질, UAE, 싱가포르, 캐나다, 페루, 폴란드 등 여러 국가의 금융 서비스 및 보험 분야를 주요 대상으로 그간 여러 차례 공격을 감행해 온 것으로 드러났다. 파이어아이는 해당 악성코드가 레이튼트봇이라고 명명된 최종 페이로드(payload)를 통해 타깃 컴퓨터에 감염시키는 흔한 수법을 이용했지만, 페이로드가 여러 단계로 주입되는 다층 난독화 과정으로 인해 탐지가 어렵다는 점이 특이할 만하다고 전했다. 은밀한 잠입이 특징인 레이튼트봇 악성코드의 실제 ‘악성’ 코드는 필요한 최소한의 기간 동안만 메모리에 남아있다가 사라진다. 또한, 대부분의 감염된 데이터는 프로그램 리소스나 레지스트리에서 발견되며, CnC(Command and Control, C2) 통신의 암호화에 포함되는 개별화된 암호 알고리즘이 각기 다른 요소들에 나뉘어져 존재하기 때문에 해당 악성코드의 바이너리는 안티바이러스 소프트웨어로 탐지하기가 어렵다. 잠입 시에도 이 악성코드는 여러 단계에 걸쳐 시스템을 장악하며 더욱 탐지를 어렵게 한다. 최초시스템 침입 시, 공격 그룹은 악성 워드 파일이 첨부된 이메일을 타깃에게 송부한다. 해당 워드 파일이 실행되면 공격 그룹의 서버로부터 두 번째 루미노시티링크(LuminosityLink)라는 악성코드를...

악성코드 파이어아이 2016.01.28

우크라이나 전력 업체, 좀더 많은 사이버공격을 받고 있다...ESET

우크라이나 전력회사들은 수만의 고객들에게 전력 공급을 중단케 한 지난해 12월 사이버 공격에 뒤이어 좀더 많은 새로운 공격을 받고 있다. 보안 업체 이셋(Eset)은 1월 20일 동일 그룹인지, 그룹들이 포함됐는지를 묻는 질문에 이 공격들은 다른 종류의 악성코드를 사용한다고 답변했다. 이셋 악성코드 수석연구원 로버트 리포프스키는 "이 악성코드는 자유롭게 사용할 수 있는 오픈소스 백도어를 기반으로 하기 때문에 정부 후원의 악성코드 운영자의 소행인지를 예상할 수 있는 것은 아무것도 없다"고 말했다. 새롭게 발견된 것으로 인해 우크라이나 전력회사를 표적으로 한 이가 누군지는 점점 더 미궁 속으로 빠져들고 있다. 리포프스키는 "최근 발견한 것은 위장 술책(false flag)의 가능성 또한 고려해야 한다"며, "이것이 우크라이나 공격의 원천을 밝히는 데 조금도 가까이 가지 못했다. 이와 반대로 경솔한 결론으로 치닫는 것을 피해야 한다는 것을 상기시켜줬다"고 말했다. 지난해 12월 우크라이나 전력 공급업체인 프리카르파티아 오브렌네르고(Prykarpattya oblenergo)와 키예프 오브렌네르고(Kyiv oblenergo)에 대한 공격은 이미 충분히 예견된 사건이다. 전문가들은 중대한 인프라스트럭처에 대한 위협이 있을 것이라고 오랫동안 경고해왔다. 키예프 오브렌네르고는 공식 성명을 통해 "30개 변전소들이 오프라인이 된 이후 8만 고객들이 잠시 영향을 받았다. 이후 운영자가 서비스를 복구하기 위해 변전소 운영을 수동으로 재빨리 전환했다"고 밝혔다. 이번 공격에 사용된 이 악성코드는 보안업체인 아이사이트 파트너(iSight Partners)에 의해 블랙 에너지(Black Energy)라는 이름을 갖고 있다. 아이사이트 파트너는 이 악성코드가 샌드웜 팀(Sandworm Team)이라는 러시아 해킹 그룹과 연관되어 있다고 말했다. 그러나 전문가들은 이번 공격을...

악성코드 정전 우크라이나 2016.01.21

우크라이나 정전 사태, 악성코드에서 시작됐다...SANS ICS팀

해커들이 우크라이나에서 정전 사태를 발생시켰던 원인이 되는 차단기를 여는데 물리적으로 개입한 것으로 알려졌다. 지난해 12월 우크라이나의 전력회사들에 대한 사이버공격이 있었으며 여기서 악성코드가 직접 정전을 일으킨 것은 아니라는 조사 보고서가 발표됐다. 우크라이나의 정전으로 최소 8만 명이 영향을 받은 것으로 파악됐다. 9일 SANS 산업용 제어시스템(ICS)팀이 공개한 정보에 따르면, 악성코드는 전원을 끄는 회로 차단기를 해커들이 열 수 있도록 네트워크 접근 키를 위한 발판을 제공했다. 전문가들은 수년 동안 유틸리티 회사가 사용하는 산업용 제어시스템이 사이버 공격에 취약하다고 경고했었다. 지난 12월 23일 우크라이나에서 발생한 정전은 바로 그 경고가 현실이 됐음을 보여주는 사례다. SANS ICS는 이 공격 계획이 실행됐다고 밝혔다. 2014년 러시아가 크림을 합병한 이후 우크라이나와 러시아간의 긴장감이 높아졌다. 네트워크 접근권한을 얻는데 악성코드가 이용됐으며 공격자는 전력 시스템 사업자에게 자신들의 행동을 감추기 위해 직접적인 개입을 사용했다고 SANS ICS는 전했다. 이밖에도 정전 영향을 받은 고객들의 항의 전화를 유틸리티 회사가 받지 못하도록 전화시스템에 서비스 거부 공격을 실행하기도 했다고 SANS ICS는 밝혔다. 이 공격은 2개의 서비스 회사(Prykarpattyaoblenergo과 Kyivoblenergo)에 영향을 끼쳤으며 30곳의 변전소가 오프라인 상태가 된 후에 8만 고객들에게 서비스를 업데이트했다고 설명했다. 일부 보안업체들은 이 공격에 악용된 블랙 에너지 3라는 악성코드 프로그램과 킬디스크(KillDisk)라는 컴포넌트를 분석했다. 지난 7일 미국 달라스에 있는 보안업체인 아이사이트파트너(iSight Partners)는 ‘샌드웜팀(Sandworm Team)이라는 별명을 사용하며 강한 러시아에 관심을 갖고 있는 집단이 지난 번에도 이 악성코드를 사용했다고 밝혔다. SANS ICS는...

악성코드 정전 우크라이나 2016.01.21

안드로이드 악성코드, OTP도 훔친다

시만텍의 새로운 연구에 따르면, 온라인 뱅킹 애플리케이션을 위한 주요 방어수단인 OTP(One-time passcodes)를 안드로이드 악성코드 프로그램에 의해 가로채기가 가능해졌다. Credit: Martyn Williams 안드로이드.뱅코시(Android.Bankosy)라 부르는 이 악성코드는 소위 이중 요소 인증 시스템의 일부인 해당 코드를 가로챌 수 있도록 업데이트됐다. 수많은 온라인 뱅킹 애플리케이션이 접속 권한을 획득하기 위해 로그인과 비밀번호에다가 정해진 시간 내에 코드를 채울 것을 요구하는데, 이 OTP는 SMS로 보낼뿐만 아니라 자동 전화 통화를 통해 전달할 수 있다. 일부 은행들은 통화 기반의 비밀번호 전달 체제로 바꿨다. 시만텍의 디네시 밴카테산은 12일 한 블로그에서 "이런 제공 형태는 이론상 SMS 메시지가 일부 악성코드에 의해 가로챌 수 있다고 전해진 이래로 보안이 좀더 강화된 것"이라고 전했다. 뱅카테산은 "그러나 뱅코시는 모든 통화가 공격자들에게 착신되도록 업데이트 됐다"며, "아시아 태평양 지역에서 많은 운영자들이 *21*9[목적 숫자]#을 누르면 착신전화로 바뀌는 이 서비스 코드를 사용하는데, 뱅코시는 이를 시행하는 것이다"고 설명했다. 또한 이 악성코드는 피해자에게 전화가 수신되는 동안 알리지 않도록 기기를 잠그기 위해 정숙 모드로 바꿔놓는다. OTP는 공격자들이 이미 확보해 둔 피해자의 로그인 신원 정보와 함께 사용된다. 이 뱅코시는 2014년 7월에 시만텍에 의해 발견됐다.

악성코드 OTP 안드로이드 2016.01.14

360 시큐리티, '좀비폰' 만드는 데이터 소모 악성코드 경고

스마트폰 사용자의 모바일 데이터를 임의로 소모시키는 데이터 소모 악성코드(Data Consuming Malware)가 급증하고 있다. 360 시큐리티는 2015년 한 해 확인된 바이러스 가운데 임의로 데이터를 소모시키는 악성코드가 400만 건 이상 집계돼 가장 많은 것으로 조사됐다고 밝혔다. 이는 2014년도 대비 4배 상승한 수치로, 이와 같은 악성코드는 유저들의 특정 웹 페이지 방문을 유도해 DAU(Daily Active User) 수를 불법으로 늘리는데 악용되고 있는 것으로 나타났다. 특히, 데이터 소모 악성코드에 감염되면 자신도 모르는 사이에 해커들에 의해 조작되는 좀비폰 유저가 될 수 있어 각별한 주의가 필요하다. 실제로, 360 시큐리티가 트로이 목마의 한 종류인 좀비 악성코드를 분석한 결과, 모바일 화면을 열 때마다 평균 0.76Mb의 속도로 정보 전송을 실시하는 것으로 밝혀졌다. 하루 평균 스마트폰 사용자가 모바일 화면을 150번 확인한다고 가정할 때, 114Mb 데이터를 소모하도록 하는 셈이다. 이처럼 소비자의 피해를 확산시키는 데이터 전송 악성코드는 랜섬웨어와 더불어 2016년에도 크게 증가할 것으로 예상돼 소비자들의 철저한 대비가 필요한 상황이다. 360 시큐리티 부사장 얀 후앙은 “데이터 소모 악성코드 감염으로 인한 좀비폰은 디도스 공격의 도구로 활용될 가능성이 있어 사용자 주의가 요구된다”며, “안전한 모바일 환경 조성을 위해 전용 백신을 사용하고 운영체제 버전을 최신으로 유지하는 등의 습관을 키워야 한다”고 말했다. editor@itworld.co.kr

악성코드 360 시큐리티 2016.01.13

구글 플레이 스토어서 악성 앱 13개 퇴출… “평점 높은 앱도 포함”

구글 플레이 스토어에서 악성 코드가 포함된 앱 13개가 퇴출당했다. 그중에는 평점이 별 5개로 리뷰가 좋은 앱도 포함되어 있어 사용자들의 주의가 요구된다. 보안 업체 룩아웃(Lookout)이 발견한 앱들로, 브레인 트러스트(Brain Trust)라고 알려진 악성 코드군이 포함되어 있다. 이 앱들은 사용자 디바이스의 루트 특권을 얻을 수 있으며, 끝까지 살아남는 바퀴벌레처럼 디바이스를 공장 초기화하더라도 남는다. 또 하나의 특징은 감염시킨 디바이스로 앱에 좋은 평점을 남긴다는 것이다. 케이크 타워(Cake Tower)나 허니 콤(Honey Comb)이 별 4.5개를 획득할 수 있었던 이유다. 이미지 : 룩아웃 블로그 룩아웃에 따르면 이 악성 코드를 만든 개발자들은 설치할 앱의 종류를 신중하게 고르고 영향력을 확대하기 위한 방안을 찾았다. 일반적으로 이런 보안 문제를 피할 수 있었던 플레이 스토어 사용자들에게는 꽤 무서운 시나리오다. 룩아웃이 공개한 악성코드 포함 앱들은 다음과 같다. 이 중에 하나라도 다운로드 받았었다면, 룩아웃 시큐리티 앱을 이용해서 휴대폰을 스캔한 다음 감염 여부를 확인할 수 있다. 룩아웃은 이 악성 코드가 공장 초기화 이후에도 남아있을 수 있기 때문에, ROM을 플래싱하는 것을 추천한다. 플래싱 방법을 모른다면, 제조사의 도움을 받는 것이 좋다. 구글은 플레이 스토어의 보안 강화를 위해서 애플과 마찬가지로 사전 검열 및 테스트 과정을 거치고 있다. 그러나 보안은 언제나 고양이와 쥐 게임과 마찬가지다. 구글은 이번 사고를 통해서 교훈을 얻고 이 취약점을 잡아낼 수 있는 새로운 프로토콜을 개발할 것이다. editor@itworld.co.kr

악성코드 보안 2016.01.11

'하얏트 호텔도 당했다', 지불 결제 시스템에서 악성코드 탐지

하얏트 호텔은 지불 결제 시스템을 실행하는 컴퓨터에서 악성코드가 탐지됐다며 고객들에게 자신의 지불 카드 계정 상태를 면밀히 검토할 것을 요청했다. 이 호텔 체인은 영향을 받은 고객 수를 포함해 이번 해킹과 관련된 상세한 내용은 밝히지 않았다. 그러나 고객들에게 요청한 경고문에서 "해커들이 매우 중요한 신용카드 정보를 획득했을 지 모른다"고 밝혔다. 하얏트는 최근 환대산업계(hospitality industry)에서 일어난 해킹 사건 가운데 가장 최근의 일이다. 이미 힐튼 월드와이드(Hilton Worldwide), 만다린 오리엔탈(Mandarin Oriental), 스타우드 호텔 & 리조트 월드와이드(Starwood Hotels & Resorts Worldwide)를 포함한 다수의 업체들이 해커의 공격에 의해 피해를 입었다. 타깃과 같은 유통업계 또한 PoS(Point-of-Sale) 시스템을 해킹당한 바 있다. 하얏트 호텔 그룹은 12월 23일 최근 컴퓨터에서 악성코드를 식별하자마자 수사에 착수했으며 제 3의 사이버보안 전문가들을 고용했다고 말했다. 하얏트는 강력한 자체 시스템 보안 수단을 가지고 있으며, 고객들이 하얏트 호텔 월드와이드 내에서 지불카드를 사용하는데 안전하다고 느낄 수 있다고 전했다. 이 호텔 체인은 9월 말까지 52개국 627개 지점을 갖고 있었다. 하얏트 측은 자체 고객들에게 미승인 요금이 기록되는 등 자신의 카드에 문제가 발생하면 즉각 보고해달라고 요청했다. 또한 이와 관련한 사항을 자체 웹사이트에서 계속 업데이트 할 것이라고 말했다. editor@itworld.co.kr

악성코드 POS 하얏트호텔 2015.12.28

악성코드 배포자들, 라즈베리 파이를 감염시키기 위해 재단에 자금 제공 제안

신용카드 크기의 인기높은 미니 PC인 라즈베리 파이(Raspberry Pi)는 악성코드 배포자로부터 주목을 받고 있다. 그러나 이는 사용자들이 일반적으로 생각하는 그런 문제가 아니다. 라즈베리 파이 재단(Raspberry Pi Foundation)은 최근 사용자들의 라즈베리 파이에 악성코드를 설치해달라는 한 회사의 이메일 스크린샷을 트위터에 올렸다. 이 이메일에서 이 회사는 라즈베리 파이 기기에 실행파일을 배포하기 위해 재단 자금을 제공하겠다고 전했다. 실행파일 설치는 데스크톱에서 단축키 아이콘으로 자리하는데, 만약 사용자가 이를 열게 되면, 이 회사의 웹사이트로 들어가게 된다. 이 이메일은 "이것이 우리의 목표"라고 전했다. 물론 라즈베리 파이 재단은 이에 대해 대응하지 않았다. 이 회사가 실제로 악성코드를 퍼트리기 위해 계획했는 지는 말하기 어렵다. 그러나 애드웨어 배포 스키마와 같은 것으로 보인다. PC 산업계에서는 앱에 함께 따라오는 애드웨어 번들링은 드문 일이 아니다. 일반적으로 모든 윈도우용 앱들이 설치할 때 광고, 브라우저 툴바, 확장 브라우저, 또는 원치 않는 기타 여러 가지들이 따라 들어온다. 이는 문제가 점점 더 커지고 있다. 구글이 사용자들이 크롬 웹 스토어(Chrome Web Store)에 없는 크롬 확장 프로그램을 설치하는 것을 허용하지 않겠다는 이유이기도 하다. editor@itworld.co.kr

악성코드 라즈베리파이 Raspberry Pi 2015.12.28

파이어아이, 시스템 부팅 과정 장악하는 악성코드 ‘부트래시’ 발견

파이어아이(www.fireeye.com/kr/ko)와 맨디언트의 연구원들은 최근 시스템 운영체제가 부팅되기 전 실행되는 부트킷 악성코드를 이용해 결제카드 데이터를 노리는 신종 사이버 범죄 수법을 발견했다고 발표했다. 사이버 침해 대응 전문 업체 맨디언트가 발견한 부트킷 악성코드 ‘부트래시(Bootrash)’는 운영체제의 하위 계층을 감염시켜 탐지 및 제거가 어렵다는 점에서 각별한 주의가 요구된다. 맨디언트에 따르면, 해당 사이버 범죄는 경제적 이윤을 노리는 러시아 기반 추정 사이버 범죄 조직, FIN1의 소행으로 밝혀졌으며, 주로 금융 기관을 대상으로 수익과 직결되는 데이터를 노려온 조직이라고 설명했다. 맨디언트는 최근 한 금융 업체에 대한 조사를 하던 중 FIN1에 의한 사이버 범죄 활동을 감지했다. FIN1은 소위 ‘네미시스(Nemesis)’라 일컫는 악성코드 생태계에 속한 다수의 악성 파일과 유틸리티를 사용 공격을 감행했다. 네미시스에는 다양한 네트워크 프로토콜과 CnC 서버 통신 채널을 지원하는 포괄적인 백도어가 포함돼있다. FIN1은 공격 툴의 변종을 생성하고, 기능을 추가하는 등 지속적으로 네미시스를 업데이트했으며, 올해 초에는 정상적인 시스템 볼륨 부트 레코드(VBR, Volume Boot Records)를 변경하는 ‘부트래시’ 유틸리티를 툴셋에 포함시켰다. FIN1은 부트래시를 이용해 시스템 부팅 프로세스를 장악하고, 윈도우 운영체제의 코드보다 네미시스의 구성 요소들을 먼저 로딩한다. 일반적인 부팅 과정에서 MBR(Master Boot Record)은 운영체제 코드를 불러오는 VBR을 로딩한다. 그러나 이번 악성코드에 감염될 경우, 부트래시 부트스트랩(bootstrap) 코드가 덮어 쓰인 VBR을 로딩하며, 이 코드는 가상 파일 시스템에 저장된 네메시스 부트킷 요소를 불러와 본래의 부트 섹터를 제어한다. 이처럼 부트킷이 부트 섹터를 제어한 이후 운영체제가 ...

악성코드 파이어아이 2015.12.22

전 범위 보안 : 디지털 경제를 위한 성장 엔진

새로운 디지털 비즈니스 모델 및 IoE로 가능해진 기회를 잡으려면 규모에 관계없이 모든 비즈니스가 안전한 방법으로 고객과 상호 작용을 해야 합니다. 그러려면 지능화된 네트워크의 중심과 확대된 네트워크의 도처에 보안이 자리하여야 하며 모든 위치에 보안이 적용되어야 합니다. 보안은 IoE 만큼 보편적이어야 합니다. 주요 내용 복잡한 환경 전 범위 보안의 정의 전 범위에 보안의 주요 영역 시스코 보안 솔루션 센터 바로가기 

시스코 악성코드 Amp 2015.12.11

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.