Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

악성코드

“암호화 연결도 불안” HTTPS 하이재킹으로 PC 100만 대 악성코드 감염

지난 2년간 사이버 범죄자 그룹이 암호화된 HTTPS 연결일지라도 검색 결과를 하이재킹해 거의 100만 대의 컴퓨터를 감염시킨 것으로 나타났다. 보안 업체 비트디펜더(Bitdefender)에 따르면, 이 방법을 사용한 사이버 범죄자들은 검색 프로그램의 구글 에드센스(AdSense)를 통해서 돈을 번다. 에드센스는 웹사이트 운영자가 구글이 제공하는 맞춤형 검색 엔진을 웹사이트에 배치해서 사용자들이 검색 결과에 표시되는 광고를 클릭했을 때 수익을 얻도록 하는 프로그램이다. 사이버 범죄자들은 구글과 빙, 야후의 검색을 하이재킹해서 자신들의 컴퓨터에서 검색이 수행되도록 한다음 적법한 결과를 자신들의 맞춤 검색 엔진에서 생성된 것으로 바꿔버린다. 이 과정에서 Redirector.Paco라는 악성코드 프로그램을 사용한다. 비트디펜더는 2014년 9월 중순 이후, Redirector.Paco가 인도, 말레이시아, 그리스, 미국, 이탈리아, 파키스탄, 브라질, 알제리 등 전 세계적으로 90만 대 이상의 컴퓨터를 감염시켰다고 밝혔다. 이 악성코드는 WinRAR, 커넥티파이(Connectify), 유튜브 다운로더(YouTube Downloader), 스타독 스타트8(Satrdock Start8), KMPico 등 인터넷에서 배포되는 유명 프로그램의 변형된 설치 프로그램에 포함되어 있다. Redirector.Paco는 일단 컴퓨터에 설치되면 PAC(Proxy auto-config) 파일에서 공격자들이 지정한 웹 프록시 서버를 이용하도록 인터넷 설정을 변경한다. 이 악성코드는 PAC 파일과 프록시를 원격 서버에 호스팅하는 것과 로컬 컴퓨터에 호스팅하는 것 두가지로 나뉜다. 두 경우 모두, 악성코드는 구글, 야후, 빙의 가짜 인증을 생성하기 위해서 컴퓨터의 인증 저장소에 자체적으로 생성한 루트 인증을 설치한다. 이 방법은 기본적인 중간자(man-in-the-middle) 공격이다. 이 프록시는 실제 검색 엔진과 연결을 설정하고, 결과를 공격자의 맞춤 ...

악성코드 HTTPS 보안 2016.05.17

How-To : PC가 악성코드에 감염됐을 때 취해야 할 단계별 조치

사람들이 자신의 컴퓨터가 ‘바이러스’에 감염됐다고 생각하는 경우 대부분은 하드웨어 오류, 소프트웨어 에러, 혹은 사용자의 실수가 원인일 때가 많다. 하지만 RAM이 과도하게 사용되거나 이상하게 보안 프로그램이 작동되지 않는다면, 악성코드에 감염되었을 가능성이 크다. 2014년에 필자는 악성코드에 감염됐음을 알리는 징후에 대한 글을 썼었다. 이번에는 이런 징후들이 나타났을 때 취해야 하는 조치에 대해서 조금 더 자세히 알아보도록 하겠다. 안전모드로 부팅하기 먼저 이미 PC에 설치되어 있는 안티바이러스 프로그램에 의지하지 말아야 한다. 이미 이것조차 감염되었을 가능성이 있기 때문이다. 대신에 ‘안전모드(네트워킹 사용)’으로 부팅한 후, 클라우드 기반의 악성코드 스캐너를 사용하라. 안전모드로 부팅하면 악성코드가 영향을 끼칠 가능성이 줄어든다. 안전모드 부팅 방법은 '윈도우 7•8에서 안전 모드로 부팅하는 법'과 '테크비디오 | 윈도우 10 안전모드로 부팅하기'를 참고하면 된다. ‘안전모드(네트워킹 사용)’을 선택하는 것을 기억해야 한다. 스캔 및 악성코드 처리하기 안전모드로 부팅했다면 브라우저를 열고 ESET 온라인 스캐너(ESET Online Scanner) 사이트에 가서 스캔을 하고 트렌드 마이크로(Trend Micro)의 하우스콜(HouseCall)을 실행한다. 조금 더 강력한 것이 필요한가? 윈도우용으로 만들어진 악성코드는 다른 운영체제에서는 작동하지 않는다. 따라서, DVD나 플래시 드라이브로 부팅한 리눅스 기반의 악성코드 클리너를 사용해보자. 리눅스 부팅 드라이브에 대한 자세한 정보는 '초보자를 위한 리눅스 시작 가이드'를 참고하면 된다. ESET 시스텝레스큐라이브(ESET SysRescue Live)나 카스퍼스키 레스큐 디스크 10(Kaspersky Rescue Disk 10)을 추천한다. ...

맬웨어 바이러스 악성코드 2016.04.27

스파이아이 봇넷 킷 개발자들, 총 24년 6개월 형을 받다

알렉산드르 안드리비치 파닌과 공범 함자 벤델라지는 둘이 합쳐 총 24년 6개월이라는 형을 선고받았다. 지난 20일, 스파이아이(SpyEye) 봇넷 킷을 만들어 금융 분야에서 막대한 피해를 입힌 러시아 개발자 알렉산드르 안드리비치 파닌이 미국 애틀랜타 조지아 법정에서 9년형을 선고받았다. Credit: Interpol 파닌은 제우스 악성코드를 계승한 스파이아이를 개발해 2009년부터 금융 기관들에 악영향을 미쳐 법원은 9년 6개월 형을 선고했다. 이와 반해 그의 공범 알제리인 함자 벤델라지는 15년형을 받았다. 피해자의 컴퓨터를 감염시킨 후, 사이버범죄자들은 해킹한 컴퓨터를 C&C(command-and-control) 서버를 통해 원격으로 제어할 수 있다. 사이버범죄자들은 피해자의 브라우저에 악의적인 코드를 심는 웹 인잭션, 키보드 활동 기록들과 신용카드 번호를 수집하는 키스트록 로거와 같은 기술을 사용해 피해자의 인적, 금융 정보를 훔친다. 이렇게 수집된 정보들은 해당 서버로 보내지며 이후 피해자의 금융 계좌로부터 돈을 훔치는 데 사용된다. 2011년 12월 미국 북부 조지아 대배심원은 완전히 신원확인이 되지 않은 파닌과 벤델라즈에 대한 총 23개 사건을 환송했다. 이후 2014년 파닌은 은행 사기 등을 위해 악성코드를 개발하고 배포한 자신의 범죄 혐의를 시인했으며 벤델라지는 2015년 컴퓨터 사기와 오용범죄에 대해 시인했다. 미 사법부는 스파이아이를 우월한 뱅킹 트로이목마 악성코드라고 설명했다. 이 악성코드는 2010년에서 2012년까지 전세계 사이버범죄 조직에 의해 사용되어 5,000만 대 이상의 컴퓨터를 감염시켰고 이로 인해 10억 달러에 가까운 재정적 손실을 입혔다. 파닌은 2010년 슬라빅(Slavik)으로 잘 알려진 에브게니 보가체프로부터 제우스 소스코드와 판매할 권리를 넘겨받았다고 주장했다. 스파이아이 내부에는 제우스 코드가 많이 포함되어 있다. 보가체프는 FBI가 300만 달러의 현상금을 걸만큼 체...

봇넷 악성코드 사이버범죄 2016.04.22

"랜섬웨어 공격에 당했다면" 피해 대처 방법 6선

랜섬웨어는 납치와 비슷하고, 랜섬웨어 범죄자와의 협상은 고층 빌딩 옥상에서 뛰어내리려는 사람과의 협상과 비슷하다. 핵심 인프라 기술 연구소(Institute for Critical Infrastructure Technology, ICIT)는 데이터를 볼모로 잡은 범죄자에게 대처하는 방법을 설명하는 보고서를 최근 발행했다. 이 보고서는 침해 발견 이후 취해야 하는 행동을 다루고 있다. ICIT에 따르면, 적절한 대응은 해당 조직의 위험 감수 성향(risk tolerance), 인질로 잡힌 데이터가 가진 잠재적 영향, 비즈니스 연속성에 미치는 영향, 예비 시스템의 가용성 여부, 그리고 규정 요건에 따라 결정된다. editor@itworld.co.kr

악성코드 복구 백업 2016.03.21

안랩, POS 내 금융정보 노리는 악성코드 주의 당부

안랩(www.ahnlab.com)은 보안이 취약한 POS(Point of Sales) 단말기를 노려 사용자의 금융정보를 탈취하는 악성코드가 발견되어 주의를 당부했다. 이번 악성코드는 해외에서 발견된 것으로, 해외 웹사이트 접속이나 이메일 소통이 많은 현실 상 POS를 사용하고 있는 국내 기업도 주의가 요구된다. 공격자는 해외 특정 프로그램의 디지털 서명을 악용해 해당 악성코드를 믿을 수 있는 프로그램으로 위장했다. 만약 사용자가 보안이 취약한 POS 단말기에서 해당 악성 파일을 다운로드 받아 실행하면 악성코드에 감염된다. 해당 악성코드는 실행 중인 프로세스의 메모리 영역에 접근해 저장된 정보들을 유출하는 ‘메모리 스크래핑(Memory Scraping)’ 공격 방식을 사용해, 감염 POS 시스템의 메모리 영역에 저장된 사용자의 금융 정보를 특정 C&C 서버(Command & Control)로 전송한다. 피해를 예방하기 위해서는 ▲POS 시스템의 로그인 암호 주기적 변경 및 복잡하게 설정 ▲POS 시스템 운영에 불필요한 서비스 사용 중지 ▲POS전용 보안 프로그램 사용 및 업데이트 등 POS 보안 수칙을 실행해야 한다. 안랩 제품기획팀 이지훈 차장은 “이번 POS 악성코드는 해외에서 발견된 샘플이지만, 최근에는 해외 사이트 접촉 기회가 많아 POS보안에 대해 더욱 주의해야 한다”며, “특히 POS에는 신용카드 번호 등 고객의 민감한 정보가 저장되므로, POS 시스템 운영 단말기 보안 업데이트 적용이나 POS 전용 보안 솔루션 도입 등 강력한 보안 조치가 필요하다”고 말했다. editor@itworld.co.kr

악성코드 안랩 2016.03.18

상존하는 위협, 준비되지 않은 “엔드포인트를 보호하라” - IDG Deep Dive

모든 사이버 공격은 최종 사용자들이 자신의 기기에서 악성링크 클릭, 악성코드 다운로드, 감염 파일 클릭, 즉 엔드포인트에서 시작한다. 기업 관리자들은 현재 보안 현실에서 무수히 많은 접점의 엔드포인트에 대한 공격을 100% 막을 수 없다. 문제는 보안 현실뿐만 아니라 의사결정권자에게도 있다. 한 설문조사에 따르면, IT 책임자 중 강력한 엔드포인트 보안을 구축했다는 응답은 32%에 불과했는데, 동시에 가장 취약한 공격 지점으로 엔드포인트를 지적한 비율이 73%였다. 위협은 상존하지만 제대로 대비가 되어있지 않은 것이다. 엔드포인트 보안 시장 및 기술 현황, 그리고 최적의 보안 대책을 알아본다. <주요내용> 커지는 위협에도 여전히 부족한 엔드포인트 보안 엔드포인트 보안의 근원적 문제 "사이버 보안 전문가 부족" “통합 스위트 요구 증가!” 거대해질 엔드포인트 보안 시장 기업 보안에 위협이 되는 안티바이러스 소프트웨어 “예외없는” 보안 위협… 공격 행동별 비율은? 정보 보안 프레임워크 구축을 위한 베스트 프랙티스 “보안, 생산성, 비용” 세 마리 토끼를 잡는 Dell Data Protection  

악성코드 엔드포인트 사이버공격 2016.03.16

토픽 브리핑 | 확산일로의 랜섬웨어, 대응방안은 없는가

최근 한국IDG가 국내 기업의 보안 담당자 405명을 대상으로 실시한 설문조사에서 가장 큰 위협을 느끼는 공격은 랜섬웨어, 스파이웨어와 같은 악성코드(45.2%)로 드러났다. 특히 카스퍼스키랩과 B2B 인터내셔널의 한 연구 결과에 따르면, 45%의 기업이 랜섬웨어 악성코드의 심각성을 인식하고 있는 것으로 밝혀졌다. 국내 APT 보안 현황 및 과제 분석을 통한 APT 솔루션 구매 가이드 “기업 공격하는 랜섬웨어 피해 계속” 카스퍼스키랩 랜섬웨어는 피해자의 데이터를 암호화해 인질로 잡고 암호 키를 받으려면 돈을 지불하라는 데이터 인질 악성코드다. 보통 비트코인으로 지급을 요구하며 요구시간 내에 돈을 지불하면 암호화 키를 제공한다. 그러나 돈만 받고 암호화 키를 제공하지 않는 경우도 있다. ITWorld 용어풀이 | 랜섬웨어(Ransom ware) 지난 수년 전부터 급속도로 성장한 랜섬웨어 공격자는 초기에는 주로 일반인을 대상으로 범죄행위를 해왔다. 그러다가 기업 등으로 대상을 확대한 후, 최근에는 데이터 가격을 비싸게 받을 수 있는 기업이나 단체를 대상으로 한 공격이 주력으로 바뀌었다. “기업 공격하는 랜섬웨어 피해 계속” 카스퍼스키랩 랜섬웨어의 확산은 공격 대상만이 아니다. PC, 스마트폰, 스마트와치, 스마트 TV 등 기기를 가리지 않고 무차별 공격에 나서고 있다. 뿐만 아니라 80%이상 윈도우 운영체제를 공격했던 랜섬웨어는 리눅스, 안드로이드, 그리고 최근에는 맥 운영체제를 공격하는 랜섬웨어까지 등장함으로써 랜섬웨어 안전지대는 거의 사라진 셈이다. 클릭재킹 이용하는 신규 안드로이드 랜섬웨어 주의보 애플, 맥 사용자 대상 최초의 랜섬웨어 공격 막았다 팔로알토 네트웍스, “애플 맥 OS 노리는 신종 랜섬웨어 등장” 이처럼 랜섬웨어가 급속도록 성장하게 된 이유는 무엇일까. 지금까지 사이버범죄는 공격 성공이후 수익까지는 상당한 시간이 걸렸고, 대가가 그...

악성코드 랜섬웨어 사이버협박 2016.03.11

말하는 케르베르 랜섬웨어, 서비스 형태로 범죄자들에게 판다

케르베르(Cerber)라는 새로운 파일 암호화 랜섬웨어 프로그램은 피해자들에게는 악몽을 선사함과 동시에 범죄자들에게는 적당한 가격으로 구입할 수 있도록 함으로써 사이버범죄의 새로운 국면에 접어들었다. 기능적인 관점에서 케르베르는 다른 랜섬웨어 위협과 크게 다르지 않다. 이 랜섬웨어는 강력한 AES-256 알고리즘으로 문서, 그림, 음성파일, 영상파일, 아카이브, 백업을 포함한 수십 개의 파일 형태를 암호화한다. 이 프로그램은 콘텐츠와 파일 이름을 암호화하고 원래 확장자를 .cerber로 변경한다. 또한 컴퓨터 내에 드라이브 문자로 나타나지 않는 공유 네트워크라도 찾아낸다. 암호화 절차가 끝난 후 케르베르는 피해자의 데스크톱에 "# DECRYPT MY FILES #."이라는 이름을 새기고 3개의 파일을 넣는다. 범죄자들은 이 파일에 인질 요구사항과 돈을 지불하는 방법에 대한 지시사항을 설명해놓았다. 이 파일은 txt 파일 형태, HTML 형태, 나머지 하나는 VBS(Visual Basic Scripting) 등으로 되어있다. 브리핑컴퓨터(BleepingComputer) 기술 지원 포럼 관리자 로렌스 아브람스는 "VBS 파일은 조금 특이하다. 이 파일은 텍스트를 음성 메시지로 변환하는 TTS(text-to-speech code) 코드가 포함되어 있다"고 말했다. 아브람스는 한 블로그에 스크립트가 이미 실행됐다면 자신의 컴퓨터는 "당신의 컴퓨터 파일은 이미 암호화됐다"는 메시지를 수없이 반복할 것이라고 전했다. 사이버 정보팀 센스사이(SenseCy)에 따르면, 케르베르의 제작자들은 이 랜섬웨어를 러시아 언어로 된 포럼에서 서비스 형태(ransomware as a service)로 팔고 있다. 이는 코딩 능력이나 자체 랜섬웨어를 만들 자원을 갖추지 못한 저급의 사이버 범죄자를 양산해 해당 범죄의 확산을 가져올 수 있음을 의미한다. editor@itworld.co.kr

악성코드 랜섬웨어 Cerber 2016.03.07

"손 대지 마시오" 박물관 속 악성코드들

인터넷 아카이브의 아키비스트(archivist)이자 소프트웨어 큐레이터인 제이슨 스콧, 그리고 F-시큐어(F-Secure) 수석 연구원 미코 하이포넌은 초기 바이러스를 확인할 수 있는 일련의 악성코드 리스트를 구성했다. 여기 소개된 몇 가지 외에도 앞으로 또 다른 리스트가 공개될 예정이다. 에이즈 552(AIDS 552) 위키아(Wikia)에 따르면, 에이즈.552는 터보 파스칼 3.01a(Turbo Pascal 3.01a)로 쓰여진 컴퓨터 바이러스로, COM 파일을 겹쳐쓴다(overwrite). 에이즈는 또한 MS-DOS 해당 파일 시스템(corresponding file system) 취약점을 공략한 최초의 바이러스라고도 알려져 있다. 앰뷸런스(AMBULANCE) 앰뷸런스에 감염되면 스크린에 ASCII 앰뷸런스 드라이브가 나타나면서 경보가 울리다가 곧 충돌이 발생한다. 아리아나(ARIANNA) 트렌드 마이크로(Trend Micro)에 따르면, 이 바이러스는 감염된 프로그램을 실행하거나, 컴퓨터의 감염된 파티션을 실행할 때 전파된다. 아리아나 바이러스에 감염된 파일을 실행할 경우 int 2f(ax=FE01) 이후의 ax값이 0인지를 확인해 현재 위치가 메모리 내부인지를 먼저 확인한다. 메모리 내부임이 확인될 경우 감염된 프로그램을 실행시킨다. 바이러스 코드는 상위 메모리 영역에 남아 있는다. CASC-SIM CASC-SIM.COM은 코어 퍼블리싱(Core Publishing)에서 윈도우용으로 개발한 마스터 해커(Master Hacker)와 관계된 COM 파일이다. CASC-SIM.COM은 보안 등급 "알 수 없음"에 인기도는 별 하나다. 씨씨(CeCe) 패트리샤 호프먼(Patricia Hoffman)의 '바이러스 정보 요약 리스트(Virus Information Summary List)'에 따르면, 씨씨는 다른 소프트웨어 파일과 결합해 스스로를 숨기며 자기 복제 기능을 지닌...

바이러스 악성코드 2016.02.19

지금껏 출현한 악성코드 가운데 27%, 2015년에 만들어졌다

2015년은 악성코드의 해라고 할 만큼 기록적인 수치를 보였다. 판다시큐리티(Panda Security)의 한 보고서에 따르면, 2015년에 8,400만 개 이상의 새로운 악성코드 샘플이 수집됐다. 판다시큐리티의 판다랩스 기술책임 루이 콜론스는 "이런 수치는 하루 평균 약 23만 개의 새로운 악성코드 샘플들이 만들어진 것으로, 지금껏 출현한 모든 악성코드 가운데 27%가 지난해에 만들어진 것"이라고 밝혔다. 주요 악성코드 가운데 트로이목마(51.45%)가 1위를 유지했으며, 뒤를 이어 바이러스(22.79%), 웜(13.22%), 애드웨어와 같은 원하지 않는 프로그램(10.71%), 스파이웨어(1.83%) 순이었다.  콜론스에 따르면, 다수의 악성코드 변종이 급증하고 있는 반면, 안티바이러스 소프트웨어도 탐지, 방어 기술이 나날이 증가하고 있다. 콜론스는 "요즘 공격자들은 방어 시스템에게 다르게 보이는 악성코드를 좀더 빠르게 변형할 수 있는 자동화된 소프트웨어를 갖고 있다"고 말했다. "이로 인해 감염된 웹사이트는 접속한 사용자들은 조금씩 다른 버전의 트로이 목마에 감염된다"고 설명했다. 17년 전, 그가 처음 악성코드를 연구할 때 공격자들은 하루당 100개의 새로운 변형 악성코드를 보았다. 콜론스는 "당시 우리는 이를 미쳤다고 생각했다. 연구소 내 모든 프로세스들이 꽤나 수동적였기 때문에 그것도 미친 짓이었다"고 말했다. 콜론스는 "그러나 방어자들은 좀더 나아지고 있다. 예를 들어, 판다랩스는 이전에 본 적이 없는 파일을 보고 있다면 그것은 추가적인 정밀조사를 해야 하는 지표가 된다. 이는 클라우드 기술의 급속한 확산으로 가능해졌다"고 설명했다. "우리가 지금껏 본적이 없었던 새로운 파일을 본다는 것은 이 파일이 세상 어느 곳에서도 본적이 없던 것을 보는 것"이라고 말했다. 게다가 안티바이러스 개발업체들은 악성코드 샘플...

악성코드 트로이목마 2016.02.01

국내 금융∙보험 기업을 표적으로 하는 레이튼트봇 악성코드 발견...파이어아이

파이어아이(www.fireeye.com/kr/ko)는 다층 난독화를 통한 잠입으로 아무런 흔적없이 네트워크에 잠복하며 하드디스크를 손상시키는 악성코드 레이튼트봇(LATENTBOT)을 발견했다고 밝혔다. 이 악성코드는 한국을 포함해 미국, 영국, 싱가포르 등 여러 주요 국가의 금융 서비스 및 보험 기업들을 주요 대상으로 공격을 감행해왔으며, 특히 한국은 해당 악성코드의 표적 국가일 뿐 아니라 CnC 서버로 악용되기에 각별한 주의가 요구된다. 파이어아이의 동적 위협 인텔리전스(Dynamic Threat Intelligence, DTI)에 수집된 정보에 의하면, 레이튼트봇은 2013년에 생성돼 한국을 포함한 미국, 영국, 브라질, UAE, 싱가포르, 캐나다, 페루, 폴란드 등 여러 국가의 금융 서비스 및 보험 분야를 주요 대상으로 그간 여러 차례 공격을 감행해 온 것으로 드러났다. 파이어아이는 해당 악성코드가 레이튼트봇이라고 명명된 최종 페이로드(payload)를 통해 타깃 컴퓨터에 감염시키는 흔한 수법을 이용했지만, 페이로드가 여러 단계로 주입되는 다층 난독화 과정으로 인해 탐지가 어렵다는 점이 특이할 만하다고 전했다. 은밀한 잠입이 특징인 레이튼트봇 악성코드의 실제 ‘악성’ 코드는 필요한 최소한의 기간 동안만 메모리에 남아있다가 사라진다. 또한, 대부분의 감염된 데이터는 프로그램 리소스나 레지스트리에서 발견되며, CnC(Command and Control, C2) 통신의 암호화에 포함되는 개별화된 암호 알고리즘이 각기 다른 요소들에 나뉘어져 존재하기 때문에 해당 악성코드의 바이너리는 안티바이러스 소프트웨어로 탐지하기가 어렵다. 잠입 시에도 이 악성코드는 여러 단계에 걸쳐 시스템을 장악하며 더욱 탐지를 어렵게 한다. 최초시스템 침입 시, 공격 그룹은 악성 워드 파일이 첨부된 이메일을 타깃에게 송부한다. 해당 워드 파일이 실행되면 공격 그룹의 서버로부터 두 번째 루미노시티링크(LuminosityLink)라는 악성코드를...

악성코드 파이어아이 2016.01.28

우크라이나 전력 업체, 좀더 많은 사이버공격을 받고 있다...ESET

우크라이나 전력회사들은 수만의 고객들에게 전력 공급을 중단케 한 지난해 12월 사이버 공격에 뒤이어 좀더 많은 새로운 공격을 받고 있다. 보안 업체 이셋(Eset)은 1월 20일 동일 그룹인지, 그룹들이 포함됐는지를 묻는 질문에 이 공격들은 다른 종류의 악성코드를 사용한다고 답변했다. 이셋 악성코드 수석연구원 로버트 리포프스키는 "이 악성코드는 자유롭게 사용할 수 있는 오픈소스 백도어를 기반으로 하기 때문에 정부 후원의 악성코드 운영자의 소행인지를 예상할 수 있는 것은 아무것도 없다"고 말했다. 새롭게 발견된 것으로 인해 우크라이나 전력회사를 표적으로 한 이가 누군지는 점점 더 미궁 속으로 빠져들고 있다. 리포프스키는 "최근 발견한 것은 위장 술책(false flag)의 가능성 또한 고려해야 한다"며, "이것이 우크라이나 공격의 원천을 밝히는 데 조금도 가까이 가지 못했다. 이와 반대로 경솔한 결론으로 치닫는 것을 피해야 한다는 것을 상기시켜줬다"고 말했다. 지난해 12월 우크라이나 전력 공급업체인 프리카르파티아 오브렌네르고(Prykarpattya oblenergo)와 키예프 오브렌네르고(Kyiv oblenergo)에 대한 공격은 이미 충분히 예견된 사건이다. 전문가들은 중대한 인프라스트럭처에 대한 위협이 있을 것이라고 오랫동안 경고해왔다. 키예프 오브렌네르고는 공식 성명을 통해 "30개 변전소들이 오프라인이 된 이후 8만 고객들이 잠시 영향을 받았다. 이후 운영자가 서비스를 복구하기 위해 변전소 운영을 수동으로 재빨리 전환했다"고 밝혔다. 이번 공격에 사용된 이 악성코드는 보안업체인 아이사이트 파트너(iSight Partners)에 의해 블랙 에너지(Black Energy)라는 이름을 갖고 있다. 아이사이트 파트너는 이 악성코드가 샌드웜 팀(Sandworm Team)이라는 러시아 해킹 그룹과 연관되어 있다고 말했다. 그러나 전문가들은 이번 공격을...

악성코드 정전 우크라이나 2016.01.21

우크라이나 정전 사태, 악성코드에서 시작됐다...SANS ICS팀

해커들이 우크라이나에서 정전 사태를 발생시켰던 원인이 되는 차단기를 여는데 물리적으로 개입한 것으로 알려졌다. 지난해 12월 우크라이나의 전력회사들에 대한 사이버공격이 있었으며 여기서 악성코드가 직접 정전을 일으킨 것은 아니라는 조사 보고서가 발표됐다. 우크라이나의 정전으로 최소 8만 명이 영향을 받은 것으로 파악됐다. 9일 SANS 산업용 제어시스템(ICS)팀이 공개한 정보에 따르면, 악성코드는 전원을 끄는 회로 차단기를 해커들이 열 수 있도록 네트워크 접근 키를 위한 발판을 제공했다. 전문가들은 수년 동안 유틸리티 회사가 사용하는 산업용 제어시스템이 사이버 공격에 취약하다고 경고했었다. 지난 12월 23일 우크라이나에서 발생한 정전은 바로 그 경고가 현실이 됐음을 보여주는 사례다. SANS ICS는 이 공격 계획이 실행됐다고 밝혔다. 2014년 러시아가 크림을 합병한 이후 우크라이나와 러시아간의 긴장감이 높아졌다. 네트워크 접근권한을 얻는데 악성코드가 이용됐으며 공격자는 전력 시스템 사업자에게 자신들의 행동을 감추기 위해 직접적인 개입을 사용했다고 SANS ICS는 전했다. 이밖에도 정전 영향을 받은 고객들의 항의 전화를 유틸리티 회사가 받지 못하도록 전화시스템에 서비스 거부 공격을 실행하기도 했다고 SANS ICS는 밝혔다. 이 공격은 2개의 서비스 회사(Prykarpattyaoblenergo과 Kyivoblenergo)에 영향을 끼쳤으며 30곳의 변전소가 오프라인 상태가 된 후에 8만 고객들에게 서비스를 업데이트했다고 설명했다. 일부 보안업체들은 이 공격에 악용된 블랙 에너지 3라는 악성코드 프로그램과 킬디스크(KillDisk)라는 컴포넌트를 분석했다. 지난 7일 미국 달라스에 있는 보안업체인 아이사이트파트너(iSight Partners)는 ‘샌드웜팀(Sandworm Team)이라는 별명을 사용하며 강한 러시아에 관심을 갖고 있는 집단이 지난 번에도 이 악성코드를 사용했다고 밝혔다. SANS ICS는...

악성코드 정전 우크라이나 2016.01.21

안드로이드 악성코드, OTP도 훔친다

시만텍의 새로운 연구에 따르면, 온라인 뱅킹 애플리케이션을 위한 주요 방어수단인 OTP(One-time passcodes)를 안드로이드 악성코드 프로그램에 의해 가로채기가 가능해졌다. Credit: Martyn Williams 안드로이드.뱅코시(Android.Bankosy)라 부르는 이 악성코드는 소위 이중 요소 인증 시스템의 일부인 해당 코드를 가로챌 수 있도록 업데이트됐다. 수많은 온라인 뱅킹 애플리케이션이 접속 권한을 획득하기 위해 로그인과 비밀번호에다가 정해진 시간 내에 코드를 채울 것을 요구하는데, 이 OTP는 SMS로 보낼뿐만 아니라 자동 전화 통화를 통해 전달할 수 있다. 일부 은행들은 통화 기반의 비밀번호 전달 체제로 바꿨다. 시만텍의 디네시 밴카테산은 12일 한 블로그에서 "이런 제공 형태는 이론상 SMS 메시지가 일부 악성코드에 의해 가로챌 수 있다고 전해진 이래로 보안이 좀더 강화된 것"이라고 전했다. 뱅카테산은 "그러나 뱅코시는 모든 통화가 공격자들에게 착신되도록 업데이트 됐다"며, "아시아 태평양 지역에서 많은 운영자들이 *21*9[목적 숫자]#을 누르면 착신전화로 바뀌는 이 서비스 코드를 사용하는데, 뱅코시는 이를 시행하는 것이다"고 설명했다. 또한 이 악성코드는 피해자에게 전화가 수신되는 동안 알리지 않도록 기기를 잠그기 위해 정숙 모드로 바꿔놓는다. OTP는 공격자들이 이미 확보해 둔 피해자의 로그인 신원 정보와 함께 사용된다. 이 뱅코시는 2014년 7월에 시만텍에 의해 발견됐다.

악성코드 OTP 안드로이드 2016.01.14

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.