Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

악성코드

360 시큐리티, '좀비폰' 만드는 데이터 소모 악성코드 경고

스마트폰 사용자의 모바일 데이터를 임의로 소모시키는 데이터 소모 악성코드(Data Consuming Malware)가 급증하고 있다. 360 시큐리티는 2015년 한 해 확인된 바이러스 가운데 임의로 데이터를 소모시키는 악성코드가 400만 건 이상 집계돼 가장 많은 것으로 조사됐다고 밝혔다. 이는 2014년도 대비 4배 상승한 수치로, 이와 같은 악성코드는 유저들의 특정 웹 페이지 방문을 유도해 DAU(Daily Active User) 수를 불법으로 늘리는데 악용되고 있는 것으로 나타났다. 특히, 데이터 소모 악성코드에 감염되면 자신도 모르는 사이에 해커들에 의해 조작되는 좀비폰 유저가 될 수 있어 각별한 주의가 필요하다. 실제로, 360 시큐리티가 트로이 목마의 한 종류인 좀비 악성코드를 분석한 결과, 모바일 화면을 열 때마다 평균 0.76Mb의 속도로 정보 전송을 실시하는 것으로 밝혀졌다. 하루 평균 스마트폰 사용자가 모바일 화면을 150번 확인한다고 가정할 때, 114Mb 데이터를 소모하도록 하는 셈이다. 이처럼 소비자의 피해를 확산시키는 데이터 전송 악성코드는 랜섬웨어와 더불어 2016년에도 크게 증가할 것으로 예상돼 소비자들의 철저한 대비가 필요한 상황이다. 360 시큐리티 부사장 얀 후앙은 “데이터 소모 악성코드 감염으로 인한 좀비폰은 디도스 공격의 도구로 활용될 가능성이 있어 사용자 주의가 요구된다”며, “안전한 모바일 환경 조성을 위해 전용 백신을 사용하고 운영체제 버전을 최신으로 유지하는 등의 습관을 키워야 한다”고 말했다. editor@itworld.co.kr

악성코드 360 시큐리티 2016.01.13

구글 플레이 스토어서 악성 앱 13개 퇴출… “평점 높은 앱도 포함”

구글 플레이 스토어에서 악성 코드가 포함된 앱 13개가 퇴출당했다. 그중에는 평점이 별 5개로 리뷰가 좋은 앱도 포함되어 있어 사용자들의 주의가 요구된다. 보안 업체 룩아웃(Lookout)이 발견한 앱들로, 브레인 트러스트(Brain Trust)라고 알려진 악성 코드군이 포함되어 있다. 이 앱들은 사용자 디바이스의 루트 특권을 얻을 수 있으며, 끝까지 살아남는 바퀴벌레처럼 디바이스를 공장 초기화하더라도 남는다. 또 하나의 특징은 감염시킨 디바이스로 앱에 좋은 평점을 남긴다는 것이다. 케이크 타워(Cake Tower)나 허니 콤(Honey Comb)이 별 4.5개를 획득할 수 있었던 이유다. 이미지 : 룩아웃 블로그 룩아웃에 따르면 이 악성 코드를 만든 개발자들은 설치할 앱의 종류를 신중하게 고르고 영향력을 확대하기 위한 방안을 찾았다. 일반적으로 이런 보안 문제를 피할 수 있었던 플레이 스토어 사용자들에게는 꽤 무서운 시나리오다. 룩아웃이 공개한 악성코드 포함 앱들은 다음과 같다. 이 중에 하나라도 다운로드 받았었다면, 룩아웃 시큐리티 앱을 이용해서 휴대폰을 스캔한 다음 감염 여부를 확인할 수 있다. 룩아웃은 이 악성 코드가 공장 초기화 이후에도 남아있을 수 있기 때문에, ROM을 플래싱하는 것을 추천한다. 플래싱 방법을 모른다면, 제조사의 도움을 받는 것이 좋다. 구글은 플레이 스토어의 보안 강화를 위해서 애플과 마찬가지로 사전 검열 및 테스트 과정을 거치고 있다. 그러나 보안은 언제나 고양이와 쥐 게임과 마찬가지다. 구글은 이번 사고를 통해서 교훈을 얻고 이 취약점을 잡아낼 수 있는 새로운 프로토콜을 개발할 것이다. editor@itworld.co.kr

악성코드 보안 2016.01.11

'하얏트 호텔도 당했다', 지불 결제 시스템에서 악성코드 탐지

하얏트 호텔은 지불 결제 시스템을 실행하는 컴퓨터에서 악성코드가 탐지됐다며 고객들에게 자신의 지불 카드 계정 상태를 면밀히 검토할 것을 요청했다. 이 호텔 체인은 영향을 받은 고객 수를 포함해 이번 해킹과 관련된 상세한 내용은 밝히지 않았다. 그러나 고객들에게 요청한 경고문에서 "해커들이 매우 중요한 신용카드 정보를 획득했을 지 모른다"고 밝혔다. 하얏트는 최근 환대산업계(hospitality industry)에서 일어난 해킹 사건 가운데 가장 최근의 일이다. 이미 힐튼 월드와이드(Hilton Worldwide), 만다린 오리엔탈(Mandarin Oriental), 스타우드 호텔 & 리조트 월드와이드(Starwood Hotels & Resorts Worldwide)를 포함한 다수의 업체들이 해커의 공격에 의해 피해를 입었다. 타깃과 같은 유통업계 또한 PoS(Point-of-Sale) 시스템을 해킹당한 바 있다. 하얏트 호텔 그룹은 12월 23일 최근 컴퓨터에서 악성코드를 식별하자마자 수사에 착수했으며 제 3의 사이버보안 전문가들을 고용했다고 말했다. 하얏트는 강력한 자체 시스템 보안 수단을 가지고 있으며, 고객들이 하얏트 호텔 월드와이드 내에서 지불카드를 사용하는데 안전하다고 느낄 수 있다고 전했다. 이 호텔 체인은 9월 말까지 52개국 627개 지점을 갖고 있었다. 하얏트 측은 자체 고객들에게 미승인 요금이 기록되는 등 자신의 카드에 문제가 발생하면 즉각 보고해달라고 요청했다. 또한 이와 관련한 사항을 자체 웹사이트에서 계속 업데이트 할 것이라고 말했다. editor@itworld.co.kr

악성코드 POS 하얏트호텔 2015.12.28

악성코드 배포자들, 라즈베리 파이를 감염시키기 위해 재단에 자금 제공 제안

신용카드 크기의 인기높은 미니 PC인 라즈베리 파이(Raspberry Pi)는 악성코드 배포자로부터 주목을 받고 있다. 그러나 이는 사용자들이 일반적으로 생각하는 그런 문제가 아니다. 라즈베리 파이 재단(Raspberry Pi Foundation)은 최근 사용자들의 라즈베리 파이에 악성코드를 설치해달라는 한 회사의 이메일 스크린샷을 트위터에 올렸다. 이 이메일에서 이 회사는 라즈베리 파이 기기에 실행파일을 배포하기 위해 재단 자금을 제공하겠다고 전했다. 실행파일 설치는 데스크톱에서 단축키 아이콘으로 자리하는데, 만약 사용자가 이를 열게 되면, 이 회사의 웹사이트로 들어가게 된다. 이 이메일은 "이것이 우리의 목표"라고 전했다. 물론 라즈베리 파이 재단은 이에 대해 대응하지 않았다. 이 회사가 실제로 악성코드를 퍼트리기 위해 계획했는 지는 말하기 어렵다. 그러나 애드웨어 배포 스키마와 같은 것으로 보인다. PC 산업계에서는 앱에 함께 따라오는 애드웨어 번들링은 드문 일이 아니다. 일반적으로 모든 윈도우용 앱들이 설치할 때 광고, 브라우저 툴바, 확장 브라우저, 또는 원치 않는 기타 여러 가지들이 따라 들어온다. 이는 문제가 점점 더 커지고 있다. 구글이 사용자들이 크롬 웹 스토어(Chrome Web Store)에 없는 크롬 확장 프로그램을 설치하는 것을 허용하지 않겠다는 이유이기도 하다. editor@itworld.co.kr

악성코드 라즈베리파이 Raspberry Pi 2015.12.28

파이어아이, 시스템 부팅 과정 장악하는 악성코드 ‘부트래시’ 발견

파이어아이(www.fireeye.com/kr/ko)와 맨디언트의 연구원들은 최근 시스템 운영체제가 부팅되기 전 실행되는 부트킷 악성코드를 이용해 결제카드 데이터를 노리는 신종 사이버 범죄 수법을 발견했다고 발표했다. 사이버 침해 대응 전문 업체 맨디언트가 발견한 부트킷 악성코드 ‘부트래시(Bootrash)’는 운영체제의 하위 계층을 감염시켜 탐지 및 제거가 어렵다는 점에서 각별한 주의가 요구된다. 맨디언트에 따르면, 해당 사이버 범죄는 경제적 이윤을 노리는 러시아 기반 추정 사이버 범죄 조직, FIN1의 소행으로 밝혀졌으며, 주로 금융 기관을 대상으로 수익과 직결되는 데이터를 노려온 조직이라고 설명했다. 맨디언트는 최근 한 금융 업체에 대한 조사를 하던 중 FIN1에 의한 사이버 범죄 활동을 감지했다. FIN1은 소위 ‘네미시스(Nemesis)’라 일컫는 악성코드 생태계에 속한 다수의 악성 파일과 유틸리티를 사용 공격을 감행했다. 네미시스에는 다양한 네트워크 프로토콜과 CnC 서버 통신 채널을 지원하는 포괄적인 백도어가 포함돼있다. FIN1은 공격 툴의 변종을 생성하고, 기능을 추가하는 등 지속적으로 네미시스를 업데이트했으며, 올해 초에는 정상적인 시스템 볼륨 부트 레코드(VBR, Volume Boot Records)를 변경하는 ‘부트래시’ 유틸리티를 툴셋에 포함시켰다. FIN1은 부트래시를 이용해 시스템 부팅 프로세스를 장악하고, 윈도우 운영체제의 코드보다 네미시스의 구성 요소들을 먼저 로딩한다. 일반적인 부팅 과정에서 MBR(Master Boot Record)은 운영체제 코드를 불러오는 VBR을 로딩한다. 그러나 이번 악성코드에 감염될 경우, 부트래시 부트스트랩(bootstrap) 코드가 덮어 쓰인 VBR을 로딩하며, 이 코드는 가상 파일 시스템에 저장된 네메시스 부트킷 요소를 불러와 본래의 부트 섹터를 제어한다. 이처럼 부트킷이 부트 섹터를 제어한 이후 운영체제가 ...

악성코드 파이어아이 2015.12.22

전 범위 보안 : 디지털 경제를 위한 성장 엔진

새로운 디지털 비즈니스 모델 및 IoE로 가능해진 기회를 잡으려면 규모에 관계없이 모든 비즈니스가 안전한 방법으로 고객과 상호 작용을 해야 합니다. 그러려면 지능화된 네트워크의 중심과 확대된 네트워크의 도처에 보안이 자리하여야 하며 모든 위치에 보안이 적용되어야 합니다. 보안은 IoE 만큼 보편적이어야 합니다. 주요 내용 복잡한 환경 전 범위 보안의 정의 전 범위에 보안의 주요 영역 시스코 보안 솔루션 센터 바로가기 

시스코 악성코드 Amp 2015.12.11

안드로이드용 크롬, 세이프 브라우징 통해 악성코드와 스캠 웹사이트 접속 차단

만약 구글 크롬에서 위험한 웹사이트를 방문할 때 공포스러운 빨간 페이지를 본 적이 있다면 자신의 폰에서도 이런 기능이 있었으면 바라는 이들이 있을 것이다. Credit: Gerd Altmann / Pixabay 구글은 안드로이드에서도 세이프 브라우징(Safe Browsing)의 보안 경고를 도입했다. 세이프 브라우징은 현재 구글 플레이 서비스에서 통합됐으며, 버전 8.1로 시작한다. 안드로이드용 크롬에서 세이프 브라우징 기능을 사용할 수 있게 된 것은 처음이다. 크롬 데스크톱 버전에서처럼 세이프 브라우징은 피싱, 스캠과 같은 원치 않는 프로그램이나 악성코드를 호스트하는 것으로 알려진 웹사이트로부터 기기를 보호한다. 이 기능은 지금까지 쏟아지는 광고로 인해 자신의 폰이 제대로 실행이 안될 정도로 배터리를 너무 빨리 닳거나 폰 자체가 불안정해진 안드로이드폰 사용자한테는 탁월하다. 다만 안드로이드 용 크롬에서는 데스크톱 버전과는 달리 확장 프로그램 지원이 부족하고 효과적인 광고 차단 솔루션을 제공하지 않는다. 사용자들은 기만적인 광고와 웹페이지를 제거하는 데 세이프 브라우징을 사용할 수 있을 것이다. 구글에 따르면, 안드로이드용 세이프 브라우징을 이행하는 것은 쉽지 않았다. 전세계 일부 지역에서의 모바일 데이터 전송 용량은 제한적이기 때문이다. 차단한 웹사이트 목록을 항상 최신으로 유지해야 하는데, 이 때 기기들이 최소한의 용량만 다운로드할 수 있도록 만들어야 했다. 구글은 블로그의 한 게시판에 "일부 소셜 엔지니어링 공격은 전세계 특정 지역에서만 발생한다. 그래서 그들이 소재하는 지역에서 기기를 보호할 수 있도록 해당 정보를 보낸다"고 말했다. 또한 "구글이 위험스러운 사이트들에 대한 정보를 최대한 빠르게 업데이트를 하더라도 일부 개발도상국의 저속 네트워크 상에서는 늦어질 수 밖에 없다. 업데이트를 할 때에는 실제 이런 점도 계산해야 한다"고 전했다. 이와 함께 세이프 브라우징과 안드...

악성코드 안드로이드용크롬 세이프브라우징 2015.12.09

지불카드를 노리는 새로운 악성코드 '네메시스', "탐지하기도 제거하기도 어렵다"...파이어아이

네메시스(Nemesis)는 부트킷의 일종으로 지불카드 데이터를 훔치기 위해 설계됐는데, 탐지하기도 제거하기도 매우 어렵다. 파이어아이는 이 악성코드 배후에는 금융 기관들을 표적으로 하는 'FIN1'이라는 러시아 사이버범죄 조직을 지목했다. 파이어아이는 "FIN1은 네메시스라 불리는 악성코드를 만들어 한 금융 거래조직을 감염시켰다. 아직 자세한 상황은 확인하지 못했다"고 밝혔다. 사이버범죄자들에게 있어 지불 카드 데이터는 수요가 아주 많다. 지난 수년간 카드 데이터를 다루는 초대형 조직들이 표적이 되어 타깃(Target), 홈데포(Home Depot), 그리고 많은 다른 기업들이 대형 데이터 침해 사고를 겪었으며, 일부 지불 시스템 또한 해킹당했다. 부트킷의 일종인 네메시스는 운영체제 하위 계층에 설치되어 운영체제를 재설치해도 그 자리에 남아있을 수 있다. 파이어아이는 부트킷 기능을 갖고 있는 악성코드는 윈도우 운영체제와는 거의 완전 독립적으로 설치되고 실행되어진다고 전했다. 올해 초, 사이버범죄자들은 부트래시(Bootrash)라 부르는 유틸리티를 사용하기 시작했는데, 이는 MBR(Master Boot Record)와 함께 사용되는 윈도우 기반의 VBR(Volume Boot Records)를 수정한다. 이 MBR은 운영체제를 로딩하기 전에 컴퓨터에서 가장 처음으로 보게 되는 PC의 하드드라이브의 첫번째 부분이다. 부트래시는 이 운영체제가 켜지기 전에 실행하기 때문에 운영체제에 의해 진행되는 무결성 검사를 피한다. 파이어아이는 부트래시의 요소는 윈도우 파일 시스템 밖에 저장되어 안티바이러스 제품들에 의해 탐지되지 않는다고 전했다. 파이어아이는 "이 부트킷은 MIR(Mandiant Intelligent Response)이라 부르는 맨디언트 포렌식 부서의 자체 툴을 사용함으로써 발견했다"며, "부트킷을 포함한 이 악성코드를 대응하기 위해서는 로우 디스크에 접속하고 검색할 수 있...

악성코드 네메시스 Nemesis 2015.12.08

피해가 속출하는 랜섬웨어에 대한 기업의 대응 방안 - IDG Summary

컴퓨터와 스마트폰에 저장된 파일을 암호화한 뒤, 복호화 키를 주는 대가로 돈을 요구하는 악성 소프트웨어인 랜섬웨어에 대해 우려의 목소리가 커지고 있다. 사이버 범죄자들이 수익 창출에 보다 집중하고 있는 가운데 랜섬웨어는 피해자로부터 가장 확실하게 금전적인 이득을 취할 수 있는 공격이다. 최근 국내외를 막론하고, 일반인뿐만 아니라 기업에서도 랜섬웨어로 인한 피해 사례가 속출하고 있다. 이에 랜섬웨어의 심각성을 환기하고 그 대응 솔루션을 제시하고자 한다. 주요 내용 랜섬웨어의 심각성을 간과하는 기업들 국내 사용자를 겨냥한 랜섬웨어의 등장 랜섬웨어 공격 경로 랜섬웨어 대응 전략, 사전 방역과 피해 최소화 방안 필요 랜섬웨어 대응 솔루션을 선택하는 방법

악성코드 랜섬웨어 Ransomware 2015.11.23

스타우드 호텔, 지난해 11월부터 고객 신용카드 정보 탈취 당해

지난해 말부터 스타우드 소유 호텔 또는 리조트에 머물렀던 여행객들은 자신의 신용카드 상태를 주의깊게 지켜봐야 한다. 웨스틴(Westin), 쉐라톤(Sheraton), W, 그리고 세인트 레지스(St. Regis) 등 최고급 호텔 체인을 소유한 스타우드 호텔 & 리조트(Starwood Hotels and Resorts Worldwide)는 지난 금요일 54개 지점들의 자체 PoS(Point of Sale) 시스템이 2014년 11월을 시작으로 다양한 시점에서 악성코드 공격에 당했다고 발표했다. 이 호텔체인에 따르면, 이 악성코드는 카드 번호, 보안 코드, 카드 이름, 카드 유효 날짜 등 다양한 신용카드 정보를 수집했다. 이 악성코드를 통해 도둑들은 고객들의 신용카드를 인가없이 사용할 수 있게 됐다. 스타우드는 "이번 사건은 자체 예약 시스템이나 스타우드 고객 회원 우대(Starwood Preferred Guest) 시스템에는 영향이 없었으며, 연락처 또는 PINs과 같은 다른 고객 정보가 유출됐다는 증거도 발견하지 못했다"고 말했다. 스타우드 호텔은 악성코드 감염에 의해 영향을 받은 지사 명단을 공개했다. 이 목록에는 각 지점 시스템이 감염된 날짜까지 포함되어 있다. 만약 PDF에 나와 있는 호텔 가운데 한 곳에 머물렀다면 지금 즉시 자신의 신용카드 사용 내역에 대해 알아보고, 자신의 거래 은행에 알려야 한다(한국 소재 호텔은 명단에 없었다. 편집자 주). editor@itworld.co.kr

악성코드 신용카드 스타우드 2015.11.23

더보안, 웹사이트 악성코드 탐지-분석하는 보안 솔루션 '파이어사이트 WX' 출시

더보안(www.theboan.com)은 정기적인 웹사이트 악성코드 검사가 가능한 보안 솔루션을 출시했다고 밝혔다. 최근 웹사이트를 경유지나 유포지로 악용하는 APT공격 사례가 갈수록 증가하고 있다. 이와 같은 사이버공격을 예방하고 탐지하기 위해서는 정기적인 웹사이트 악성코드 검사가 필수적으로 선행돼야 한다. 하지만 이를 정기적으로 진행하기에는 인력과 시간이 많이 소모돼 현실적으로 실행하기가 어렵다. 더보안의 새로운 보안솔루션 파이어사이트 WX는 웹사이트의 모든 접속가능한 페이지를 검사하여 웹페이지에 은닉된 지능적인 악성코드를 찾아내고 분석한다. 이러한 정기적인 웹사이트 악성코드 검사를 통해 웹서비스를 제공하는 기업은 악성코드 확산을 선제적으로 방지함으로써 즉각적인 대응을 통해 보다 신뢰도 높은 서비스를 사용자에게 제공할 수 있다. 또한 웹사이트의 악성코드 고객피해 방지관련 법규를 준수, 고객보호의무를 이행할 수 있는 장점을 지닌다. 더보안 전익찬 대표이사는 “최근 해커가 악성코드를 배포하기 위한 용도로 정상적인 웹사이트를 활용하는 사례가 증가하면서 웹사이트에 대한 정기적인 점검은 이제 선택이 아닌 필수가 되었다”고 말했다. editor@itworld.co.kr

악성코드 더보안 2015.10.20

중국 해커, iOS를 노리다…기업용 앱 배포 과정과 프라이빗 API 이용

거의 1년 동안 중국 해커들이 iOS 디바이스를 감염시키기 위해 새로운 공격 방식을 이용했고, 탈옥하지 않은 아이폰을 포함해 많은 iOS 디바이스에 애드웨어를 심은 것으로 드러났다. 보안 전문업체 팔로알토 네트워크의 위협 정보 디렉터 라이언 올슨은 ‘이스펙터(YiuSpecter)’라는 악성 코드는 중국 해커들에 의해 중국에서 만들어 졌으며, 화면 텍스트도 중국 문자로 표시된다고 밝혔다. 이 악성코드는 거의 중국과 대만에서만 배포됐다. 이스펙터는 보안 전문가들이 이론적으로만 논의하던 것을 실제로 구현해 보였다는 점에서 주목을 받고 있는데, 애플의 앱 검사를 피하는 것은 물론, 애플만이 사용하는 프라이빗 API를 이용해 아이폰에 몰래 숨어 신뢰할 수 있는 앱으로 가장해 사파리를 비롯한 앱을 가로채 승인되지 않은 광고를 보여준다. 올슨은 이스펙터가 두 가지 공격 벡터를 조합해 아이폰이나 아이패드 사용자가 악성 코드를 설치하도록 속였는데, 이 중 한 가지 벡터는 iOS에서는 처음 사용되는 것이라고 설명했다. 이번 악성 코드는 애플의 기업용 앱 배포 과정을 악용했는데, 이 과정은 기업이 자체적인 iOS 앱을 만들어 이를 애플의 인증 과정이나 앱스토어를 거치지 않고 직원들에게 배포할 때 사용된다. 이 때 디지털 서명을 사용해 특정 기업임을 확인하는데, 이들 서명은 애플이 발행한다. 해커들은 훔치거나 우연히 얻게 된 인증서로 기업의 앱 배포 과정을 악용해 왔는데, 2014년의 발견된 와이어러커(Wirelurker)가 대표적인 예다. 이스펙터는 여기에 학계에서나 거론되던 프라이빗 API를 이용해 악성코드를 강화했다. 프라이빗 API는 애플이 감춰 놓고 사용하는 것이다. 올슨은 “프라이빗 API는 iOS 내부에 있지만, 애플이 자체 앱에만 사용하거나 일반에 공개할 준비가 안된 것들이다”라고 설명했다. . 프라이빗 API는 다양한 기술을 이용해 찾아낼 수 있으며, 특히 iOS 프레임워크에 추가되어 ...

악성코드 해커 중국 2015.10.06

사이버 공격, 악성코드 없는 공격에 나서다

델 시큐어웍스(Dell SecureWorks)의 새로운 보고서에 따르면, 탐지를 피하기 위해 일부 해커들은 악성코드를 버리고 자급자족하는데, 해킹한 시스템에 있는 어떤 툴이라도 사용할 수 있다. 이는 델 시큐어웍스의 사고 대응 팀이 지난해 거의 모든 침입 사건들을 분석한 결과다. 미국 애틀란타 소재의 델 시큐어웍스 수석 보안 연구원 필 버데트는 "사이버 범죄자들은 전형적으로 신원 인증을 해킹하는 것으로 공격을 시작한다"고 말했다. 예를 들어 그들은 IT 부서에게서 온 것으로 가장한 이메일을 보냄으로써 피싱 공격을 사용할지 모른다. 공격자는 새로운 이메일 서버를 만들었다는 이유로 사용자에게 그들의 신원 인증을 테스트한다는 명목으로 로그인을 요구한다. 한 사용자가 로그인하면 이 신원 인증은 회사의 VPN(virtual private network) 솔루션에 접속하기 위해 사용된다. 최근 사례에서 공격자들은 원격을 직원들이 회사 시스템에 원격으로 연결할 수 있도록 하는 한 제조업체의 시트릭스 솔루션을 사용했다. 이 회사는 아직 원격 접속하는 직원을 위한 2요소 인증을 설치하지 않았다. 그래서 로그인과 비밀번호는 모든 사이버범죄자들에게 필요하다. 그런 뒤 공격자들은 이 회사 직원들이 사용하는 동일한 툴을 사용해 지적 자산, 산업용 비밀, 재무 데이터, 또는 다른 정보들을 찾는다. 이 툴은 시스템 관리자들과 헬프 데스크 직원들에 의해 일반적으로 사용되는 툴이다. 만약 그들이 악성코드를 사용한다면 그것은 아주 잠깐, 간략하게 사용할 뿐이다. 그리고 사용하더라도 가능한 한 추적을 피하기 위한 작업을 한다. 그래서 전통적인 악성코드 기반의 탐지 기술로써는 그들을 잡아내지 못한다. 예를 들어 그들은 업무 일정을 만들기 위한 이 회사 자체 관리자 툴을 사용할 지 모른다. 이를 통해 다른 시스템의 인증을 훔칠 수 있다. 또는 그들은 헬스 데스크 직원들이 직원들의 컴퓨터 문제를 해결할 때 정상적으로 사용되는 원...

악성코드 사이버공격 공격자 2015.09.15

"GPU 악성코드로 인해 공황에 빠질 이유는 없다"...인텔

GPU(Graphics Processing Units) 내부에서 실행되는 악성코드는 탐지되기 더 어려워질 수 있다. 그러나 보안 제품들이 완전히 발견하지 못할 정도는 아니다. 인텔 맥아피 연구소의 연구원들은 지난 3월에 발표된 젤리피시(JellyFish)라 명명된 GPU 악성코드 PoC(proof-of-concept)를 분석하기 위해 인텔의 영상 및 병렬 컴퓨팅 그룹(Visual and Parallel Computing Group)의 회원들과 한팀을 이뤘다. 맥아피의 최신 분기 위협 보고서에 발표한 이들의 결론은 GPU 내부에서 실행되는 악의적인 코드는 여전히 중대한 문제점을 안고 있지만 자체 개발자이 주장한만큼 은밀하지는 않다는 것이다. 젤리피시의 제작자들은 DMA(direct memory access)라 불리는 기능을 통해 호스트 컴퓨터의 메모리에서 염탐할 수 있다는 것이 GPU 악성코드 이점 가운데 하나라고 주장했다. 이것은 사실이지만 GPU에서 시스템 메모리의 매우 중요한 부분을 노출하는 것은 커널 권한을 요구하며 호스트 컴퓨터에서 실행하는 프로세스를 통해서만 할 수 있다. 인텔 연구원들은 "보안 제품들은 이런 운영에 대해 모니터링할 수 있으며, 제한할 수도 있다. 뿐만 아니라 이런 종속성은 기존 커널 보호를 위한 문제다"고 말했다. GPU 악성코드가 탐지되지 않은 채 설치 단계에 이르렀다면 이론상으로 프로세스 내 사용된 사용자 코드와 커널 드라이브는 호스트 운영체제에서 삭제될 수 있다. 그러나 이는 문제의 소지가 있다. 예를 들어, 윈도우 상에서 고아가 된 GPU 코드는 그래픽 카드를 리셋하는 TDR(Timeout Detection and Recovery) 프로세스의 방아쇠가 될 수 있다.  맥아피 연구원들은 "이 매커니즘이 행해지기 전에 디폴트 타임아웃(default timeout)을 2초 내로 정하고 무언가 변경하기 위한 어떤 시도도 보안 제품에 의해 의심되는 행동으로 ...

GPU 악성코드 인텔 2015.09.02

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.