Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

악성코드

인텔, 타이거 레이크 프로세서에 악성코드 방지 기능 내장…인메모리 공격 차단

인텔이 차세대 타이거 레이크(Tiger Lake) 프로세서 자체에 악성 앱의 운영 방법을 방해하는 보안 기능을 탑재한다. 기존 방식을 따르면, 타이거 프로세서를 가장 먼저 탑재하는 것은 모바일 디바이스가 될 것이다. 지난 20년 동안 인텔은 모바일, 데스크톱, 그리고 서버 프로세서의 순으로 차세대 프로세서를 공개했는데, 서버 프로세서가 마지막 차례인 것은 데스크톱 프로세서에 서버용 명령어를 결합해야 하기 때문이다. 더구나 대부분 기업은 신형 프로세서를 함부로 서버에 사용하지 않는다.   타이거 레이크 프로세서의 성능을 둘러싼 논란이 적지 않다. 인텔이 내장 GPU의 성능이 엔비디아나 AMD의 별도 GPU와 견줄 만하다고 주장하기 때문이다. 이와는 별개로 보안 측면에서는 타이거 레이크에 큰 변화가 있는데, 바로 CET(Control-Flow Enforcement Technology)가 추가된 것이다. CET는 CPU 내부에서 실행되는 동작의 순서를 담당한다. 맬웨어는 취약점을 이용해 다른 앱의 제어 흐름을 가로채 악성코드를 앱에 삽입하는데, 유효한 애플리케이션의 일부로 실행되기 때문에 소프트웨어 기반의 안티바이러스 프로그램이 탐지하기 어렵다. 인메모리 공격이 바로 이렇게 이루어지는데, 악성 코드를 디스크에 기록하지는 않는다. 인텔은 트렌드마이크로의 제로데이 이니셔티브를 인용해 2019년부터 현재까지 공개된 취약점 1.097건 중 63.2%가 메모리의 안전과 관련된 것이라고 지적했다. 인텔 클라이언트 컴퓨팅 그룹 부사장이자 보안 전략 담당 총괄 책임자인 톰 개리슨은 블로그 포스트를 통해 “성능에 최소한을 영향을 미치면서 효과적인 보안 기능을 제공하기 위해 기반부터 깊이 있는 하드웨어 통합을 적용했다”며, “이번 작업이 보여주듯 하드웨어는 어떤 보안 솔루션에도 기반을 제공한다. 하드웨어에 뿌리를 둔 보안 솔루션은 현재와 미래의 위협에 대한 보안을 보장할 가능성이 가장 크다”고 강조했다. CET는 두 가지 새로운 보안 메커니즘을 통해 제어 흐름을 ...

인텔 타이거레이크 제온 2020.06.22

"랜섬웨어 평균 피해액은 얼마인가" 숫자로 본 사이버보안 현황 2020

이번 기사에서 제시하는 숫자는 악성코드 추세에서 예산 이동에 이르기까지 업계 현황을 파악할 수 있는 최신의 것들이다.    사이버보안 세계에서 무슨 일이 일어나고 있는지 자신의 판단을 뒷받침할 수 있는 확실한 수치를 갖고 있는가? 보안 산업 현황에 대한 연구와 조사를 통해 현재 보안 상황과 이에 대해 보안 리더들이 어떻게 대응하고 있는지 파악했다.  어떤 시스템이 가장 취약한지, 어떤 악성코드가 순위에서 1위를 차지하고 있는지, 그리고 이런 공격과 사고들을 대응, 처리하기 위해 얼마나 많은 돈을 지출하고 있는지에 대한 데이터를 원한다면 계속 읽어보자.  한 눈에 보는 9가지 주요 사이버보안 통계   악성코드의 94%가 이메일을 통해 전달된다.  피싱 공격은 보고된 보안 사고의 80% 이상을 차지한다.  피싱 공격으로 1분에 1만 7,700달러의 손실이 발생한다.   보안 침해의 60%는 패치가 제공됐지만 적용하지 않은 취약점과 관련이 있다.  기업의 63%가 하드웨어 또는 반도체 레벨의 보안 침해 사고로 인해 12개월 내에 데이터를 해킹당할 가능성이 있다고 답했다.  2019년 상반기 IoT 디바이스 공격은 3배로 증가했다.  2019년 상반기 동안 파일리스 공격이 256% 증가했다.  데이터 침해 사고로 기업은 평균 390만 달러를 지불했다.  IT 리더 가운데 40%가 사이버보안 업무자를 채워넣기가 가장 어렵다고 응답했다.  기본부터 시작해보자. 사이버보안에 관한 기사에서 새롭고 낮선 취약점의 수와 관계없이 모든 기본 취약점에 대한 것이다. 수천 건의 보안 사고를 조사한 결과, 버라이즌은 거의 모든 악성코드가 이메일을 통해 컴퓨터에 도달했다는 사실을 밝혀냈다. 94%의 경우가 그러했다.  관련이 없는 뉴스에서 보고된 사고의 80% 이상이 차지하는 소셜 엔지니어링 공격의 가장 큰 유형은 피싱이었...

악성코드 지출 사이버보안 2020.03.17

"사이버 공격이란 무엇인가" 의미와 사례, 동향 분석

사이버 공격(cyber attack)이란 간단히 말해, 하나 이상의 컴퓨터에서 다른 컴퓨터, 여러 컴퓨터 또는 네트워크에 대해 시작된 공격이다. 사이버 공격은 넓게 2가지 유형으로 분류될 수 있는데, 하나는 대상 컴퓨터를 비활성화하거나 오프라인으로 만드는 공격이고 다른 하나는 대상 컴퓨터의 데이터에 접근해 관리자 권한을 얻는 것이 목표인 공격 유형이다.    사이버 공격의 8가지 유형  접속권한을 얻거나 운영을 불가능하게 하는 목표를 달성하기 위해, 사이버 범죄자들은 수많은 다른 기술적 방법을 사용한다. 항상 새로운 방법이 확산되고 이런 범주들은 일부는 중복되지만, 일반적으로 가장 많이 들을 수 있는 용어들이다.   1. 악성코드(Malware) 2. 피싱(Phishing) 3. 랜섬웨어(Ransomware) 4. 서비스 거부(Ransomware, DoS) 5. 중간자(Man in the middle) 6. 크립토재킹(Cryptojacking) 7. SQL 인젝션(injection) 8. 제로데이 익스플로잇(Zero-day exploits) - 악성코드  악성 소프트웨어(malicious software)의 줄임말인 악성코드(malware)는 어떻게 구조화되는지와 운용되는지는 상관없이 ‘단일 컴퓨터, 서버 또는 컴퓨터 네트워크에 손상을 입히기 위해 고안된’ 모든 종류의 소프트웨어를 일컫는다. 웜(Worms), 바이러스(viruses), 트로이목마(trojans)는 모두 다양한 종류의 악성코드로, 복제하고 확산되는 방법에 따라 서로 구별된다. 이런 공격은 컴퓨터나 네트워크를 운용 불가능하게 만들 수도 있고, 공격자가 시스템을 원격으로 제어할 수 있도록 공격자에게 루트 접근(관리자 권한)을 허가할 수도 있다. - 피싱 피싱은 사이버 범죄자가 이메일을 조작해 목표대상을 속여서 어떤 유해한 행동을 취하는 기술이다. 예를 들어, 수신자는 중요한 문서로 위장한 악성코드를 다운로드하도록 속거나, 은행 사용자 이름이나 ...

악성코드 SQL인잭션 cyber attack 2020.03.03

마이크로소프트 디펜더, 기업 스마트폰 보안 나선다

악성코드 제작자가 주로 PC를 노리는 이유는 대중적이고 공격 표면이 크기 때문이다. 그렇다고 안드로이드와 iOS 스마트폰에 특별한 면역력이 있는 것은 아니다. 이점에 주목한 마이크로소프트는 두 플랫폼용 마이크로소프트 디펜더를 출시할 계획이다.   다음 주 열리는 RSA 보안 컨퍼런스에서 좀 더 자세한 정보가 나오겠지만, 지난 주 마이크로소프트의 한 임원이 CNBC 방송과의 인터뷰에서 관련 계획을 공개했다. 또한, 리눅스용 마이크로소프트 디펜더(Microsoft Defender Advanced Threat Protection for Linux)와 공개 프리뷰 버전도 발표했다. 마이크로소프트가 윈도우 디펜더의 이름을 마이크로소프트 디펜더로 바꾼 것이 지난 해 7월이므로, 이때부터 이미 다른 플랫폼을 보호할 계획을 세웠다고 볼 수 있다. iOS와 안드로이드용 보안 솔루션은 다음 주 RSA 컨퍼런스에서 프리뷰 버전을 공개할 계획이다. 스마트폰 악성 코드 확산에 대해 CNBC와의 인터뷰에서 마이크로소프트 본사 부사장 롭 레퍼츠는 “두 플랫폼은 꽤 안전하지만, 꽤 안전한 것과 안전한 것은 같지 않다”라며, “악성코드가 이들 플랫폼에서 발생하고 있다”고 지적했다. 마이크로소프트 디펜더 패키지는 전통적인 안티맬웨어 솔루션은 아닌 것으로 보인다. 윈도우 디펜더가 PC를 검사해 악성코드를 제거했다면, 레퍼츠가 설명하는 마이크로소프트의 iOS와 안드로이드용 솔루션은 마이크로소프트가 안전하지 않다고 생각하는 온라인 목적지를 사용자가 방문하지 못하도록 하는 역할을 한다. 구글 역시 검색 결과에서 안전하지 않은 사이트를 걸러내고 있다. 마이크로소프트 디펜더가 스마트폰에서 악성코드나 애드웨어를 탐지했을 때 어떤 조처를 취할지는 확실하지 않다. 일반 소비자도 마이크로소프트의 새 솔루션을 이용할 수 있겠지만, 현재 마이크로소프트가 노리는 곳은 기업이 관리하는 업무용 스마트폰이다. 마이크로소프트는 자사 블로그 포스트에서 “고객의 환경이 복잡하고 이기종 시스템이 섞여 있다는...

악성코드 안티맬웨어 마이크로소프트 2020.02.21

윈도우 네트워크에 숨은 악성코드 퇴치법

윈도우 시스템에 있는 서비스 이름을 나열하면, 진짜 서비스와 가짜를 구별할 수 있을까? 공격자는 종종 악성 코드를 포함하고 있지만 진짜 윈도우 서비스가 작동하는 것처럼 보이도록 고안한 가짜 서비스를 사용한다. 윈도우 업데이트가 진짜 윈도우 업데이트일까? 혹은 악성 코드를 컴퓨터에서 “윈도우 업데이트”라고 하는 걸까? 시간을 내어 네트워크의 컴퓨터에서 어떤 서비스와 프로세스가 정상인지 확인해 본 적은 있는가?     윈도우 서비스의 기준 만들기 확인한 적이 없다면, 네트워크에 어떤 서비스가 있어야 하는지 보여주는 기준을 만들어야 한다. 파워셸 get-service는 시스템에서 실행 중인 서비스 목록을 가져오는 빠르고 간편한 방법이다.    시스템 기준을 정할 땐, 기본부터 시작하자. 시스템에서 어떤 서비스가 실행 중일 것이라 예상하는가? 특히 서버 시스템에 새로운 서비스가 추가될 때 경보를 위해 공들여 모니터링 서비스를 추가한 적이 있는가? 워크스테이션은 새로운 서비스를 불규칙적으로 추가할 수 있지만, 서버의 서비스는 자주 변경되지 않는다. 서비스와 중요 루트 디렉토리의 변경 사항에 대해 서버를 모니터링하는 것은 고려해봐야 할 보안 프로세스이다. 예를 들어 시스템 모니터(Sysmon)를 서버에 추가해 시스템의 변경 사항을 모니터할 수 있다.    악성 코드를 숨기는 전술에 대한 방어 과거에는 악성 소프트웨어가 대상 시스템에 숨으려고 너무 열심히 노력할 필요가 없었다. 서비스와 드라이버로 들어가 일반 서비스처럼 보이곤 했다. 그러나 시스템이 강화됨에 따라, 공격자는 시스템에 악성코드를 숨기려면 더 복잡한 작업을 해야 한다.  악성 소프트웨어는 암호화, 압축, 인코딩 등 수많은 방법을 동원해 시스템에 숨고 발각되지 않을 수 있다. 이제 백신은 파일명, 서비스명, 유형보다 의심스러운 행동을 더 많이 탐색한다. 예를 들어 애플리케이션이 기밀이 포함될 가능성이 높은 파일에 갑자기 접근하기 시작하면, ...

악성코드 파워셸 공격표면 2020.02.14

크립토마이너와 파일리스 파워셸 기법의 위험한 조합

암호화폐 마이닝 악성코드(크립토마이너)는 랜섬웨어와 함께 기업 시스템을 노리는 가장 일반적인 위협 가운데 하나다. 크립토마이너 역시 랜섬웨어와 마찬가지로 몇 년 동안 진화하면서 과거에는 APT에 사용됐던 파일리스 실행, 런타임 컴파일, 반사 코드 주입과 같은 공격 벡터와 기술을 수용했다.   보안업체 딥 인스팅트(Deep Instinct)의 연구진은 최근 아시아의 항공 관련 대기업 시스템에서 크립토마이너 감염 사례를 발견했다. 이 공격은 새로운 모네로(Monero) 암호화폐 마이너와 파워셸, 반사 PE 주입, 런타임 코드 컴파일, 그리고 익명성을 위한 토르(Tor)를 사용했다. 악성코드는 인코딩된 파워셸 스크립트로, 시스템 설정 시 실행되는 예약된 작업을 설정하고 또 다른 인코딩된 파워셸 명령을 실행했다. 두 번째 페이로드는 파워셸 기반 익스플로잇 프레임워크인 파워스플로잇(PowerSploit)과 파워셸 엠파이어(PowerShell Empire)의 Invoke-ReflectivePEInjection이라는 모듈을 사용해 레지스트리에 저장된 코드를 추출해 자체 실행 프로세스에 주입했다. 딥 인스팅트 연구원들은 새로 발표한 보고서에서 “런타임 컴파일은 새로운 수법은 아니지만 파일리스 공격의 인기가 높아지면서 점차 확산되고 있으며, 파워셸의 일부 보호 메커니즘을 우회하는 등 공격자에게 유리한 역할을 한다”고 설명했다. 악성코드를 디스크의 파일이 아닌 레지스트리 내에 저장한 다음 정상 프로세스의 메모리에 직접 주입하는 방식은 APT 공격에서 안티바이러스의 감지를 회피하기 위해 처음 사용된 수법이다. 이러한 파일리스 실행 기법은 현재 랜섬웨어를 포함한 다양한 악성코드 위협에서 흔히 사용된다. 이 사례의 경우 시스템 레지스트리 내에 저장된 코드는 모네로 마이닝 프로그램을 구현하는 두 개의 .DLL 파일(32비트 시스템용과 64비트 시스템용)로 구성된다. 크립토마이너는 로드되면 마이닝 풀의 실제 위치를 숨기기 위한 익명 프록시 역할을 하는 일련의 토어 노...

악성코드 인스팅트 파일리스 2019.12.17

2020년 사이버보안, 주시해야 할 9가지 위협

사이버보안에 대해 예측하는 일은 재미있는 일이지만, 가장 철저히 준비해야 할 위협을 결정해야 하는 보안 담당자에게 도움이 되지 않을 수도 있다. 아카마이(Akamai)의 보안 인텔리전스 대응팀 선임 엔지니어인 채드 시먼은 “항상 진짜 문제가 되는 부분은 갑자기 튀어나올 수 있기 때문에 미래에 대해 제대로 예측하는 것은 불가능하다”라고 말했다.     2020년 직면할 가장 큰 위협이 새롭고 예상 못한 위협이라면, 미래를 대비해 노력을 집중하는 최상의 방법은 무엇일까? 올해 가장 컸던 위협이 범위와 전술 측면에서 2020년에 어떻게 바뀔지 생각하는 것이 좋은 출발점이 될 수 있다. 본지는 2019년에 가장 빈번히 발생한 중대 위협에 대한 조사 결과들을 살펴봤다. 그리고 조사 및 연구 전문가에게 2020년의 위협 추세에 맞춰 방어 체계를 조정하는 방법에 대한 조언을 구했다.  1. 장치의 악성코드 감염 엔드포인트 보호는 항상 조직들의 큰 ‘전장’이었다. 카스퍼스키(Kaspersky)의 ‘2019년 IT 보안 경제(IT Security Economics in 2019) 보고서에 따르면, 2019년에 회사 소유 장치가 악성코드에 감염된 조직의 비율이 약 절반에 달한다. 또 직원 소유 장치가 악성코드에 감염된 비율도 절반에 달한다. 카스퍼스키 보고서에 따르면, 대기업의 경우에는 가장 많은 피해를 초래한 보안 사고가 회사 소유 장치가 악성코드에 감염된 사고였다. 구체적으로 사고당 평균 피해액이 273만 달러였다. SMB는 피해액이 여기에 크게 못 미치는 11만 7,000달러였다. - 2020년 전망: 카스퍼스키의 보안 연구원인 드미트리 갈로프는 2020년에 직원 소유 장치로부터 초래되는 위험이 증가할 것으로 내다봤다. 갈로프는 비용을 절감하고, 원격 근무제를 도입하고, 직원 만족도를 높이기 위해 직원들이 개인 소유 장치를 사용하도록 허락하는 기업들이 늘어날 것이라고 예측했다. 그 결과, 공격자들은 기업 방어선을 우회하는 방법으로 개인...

악성코드 사이버보안 서드파티 2019.12.16

"PyPI에 악성코드가 올라온다" 악성 파이썬 라이브러리를 주의하라

최근 서드파티 패키지용 파이썬의 공식 리포지토리인 PyPI(Python Package Index)에서 악성코드가 들어 있는 2개의 파이썬 라이브러리가 제거되었다.    이것은 많은 현대 소프트웨어 개발 커뮤니티가 직면한 문제 중 가장 최근에 불거진 것으로, 오픈소스 소프트웨어에 의존하는 모든 개발자들에게 중요한 질문을 던진다. 즉, 어떻게 하면 리포지토리가 공격을 위한 벡터가 되지 않고 재사용을 위해 공통 리포지토리에 사람들이 자신의 코드를 기여할 수 있도록 할 수 있는가? 대체로, 파이썬과 같은 오픈소스 프로젝트로 운영되는 언어에 대한 공식적인 서드파티 라이브러리 리포지토리는 안전하다. 하지만 악성 버전의 라이브러리는 점검 받지 않으면 빨리 확산될 수 있다. 그리고 대부분의 이런 언어 리포지토리가 자원 봉사자들에 의해 감독된다는 사실은 그렇게 많은 눈들이 주시만 하고 있어서 기여가 항상 필요한 조사를 받는 것은 아니라는 것을 의미한다. 이번 주 PyPI에서 삭제된 2개의 악성 패키지는 “타이포 스쿼팅(typo squatting)”이라고 불리는 속임수, 즉 경고를 주는데 일반적으로 사용되는 패키지와 충분히 유사한 이름들을 선택하는 속임수를 사용했다. 또한, 누군가 의도된 이름을 잘못 입력하면 우연히 설치될 수도 있다.  파이썬 데이트타임 객체를 조작하고 스트링에 대해 비슷한 매치를 수행하는데 사용된 데이트유틸(dateutil)과 젤리피쉬(jellyfish) 패키지인 척 하려고 하기 때문에 악성 패키지는 파이썬-데이트유틸과 젤리피쉬라는 이름을 갖게 되었다.   설치되면, 파이썬-데이트유틸과 젤리피쉬는 개발자에게서 개인 데이터를 훔치려고 시도하는 것을 제외하고는 원래 제품과 똑같이 작동했다. 데이트유틸 팀의 개발자인 폴 간슬은 "이번 공격의 가장 유력한 이유는 그 프로젝트를 나중에 공격하기 위해 피해자가 어떤 프로젝트를 하고 있는지 알아내려는 것이었다"고 밝혔다. 파이썬 라이브러리는 일반적으로 2가지 진영으로 나뉜다....

악성코드 파이썬 PyPI 2019.12.13

이셋, 신종 악성코드 2건 발견

이셋코리아는 신종 악성코드 2종 ‘미스파두(Mispadu)’와 ‘디프리몬(DePriMon)’을 발견했다고 발표했다. 미스파두는 가짜 팝업창을 사용해 잠재적인 피해자가 자신의 개인정보와 자격증명을 공유하도록 유도한다. 브라질과 멕시코에서 주로 발견되는 미스파두 뱅킹 트로이목마에는 백도어 기능이 포함돼 있으며 스크린샷을 찍고 마우스 및 키보드 동작을 시뮬레이션하며 키 입력을 캡쳐할 수 있다. 이셋 연구팀은 미스파두가 스팸과 악성 광고라는 두 가지 배포 방법을 사용하고 있다고 밝혔다. 페이스북에 맥도날드의 가짜 할인쿠폰을 제공하는 스폰서 광고를 게재했고 이 광고를 클릭하면 악성 웹 페이지로 연결돼 msi 설치 프로그램이 포함된 zip 파일을 다운로드하게 되는 것이다. 이 파일을 실행하면 3개의 스크립트 체인을 통해 미스파두 뱅킹 트로이목마가 다운로드 및 실행된다. 이 트로이목마는 웹 브라우저 및 이메일 클라이언트에서 피해자의 저장된 자격 증명을 추출한다.  브라질에서는 미스파두가 크롬 확장 프로그램을 배포하는 것으로 위장했다. 이 확장 프로그램은 “크롬을 보호하세요”라고 광고하지만, 신용카드 및 온라인 뱅킹 데이터를 도용하려고 시도하는 것이다. 또다른 악성코드 디프리몬는 2017년 3월부터 활성화돼, 중부 유럽에 위치한 민간기업과 중동 지역 수십 대의 컴퓨터에서 탐지됐다. 이는 “Default Print Monitor”라는 이름으로 새로운 로컬 포트 모니터를 등록해 디프리몬(DePriMon)으로 명명됐다. 메모리에 다운로드돼 직접 실행되는 반사형 DLL 로딩 기술을 사용하고, 디스크에는 저장되지 않는다. 흥미로운 요소가 포함된 광범위한 파일로 구성돼 있으며, 암호화가 적절하게 이뤄져 있다. 결과적으로 디프리몬은 페이로드 다운로드 및 실행과 동시에 시스템과 사용자에 대한 기본 정보를 수집한다. editor@itworld.co.kr

맬웨어 악성코드 이셋 2019.11.26

안드로이드용 안티바이러스 도구 BEST 9

AV-테스트가 안드로이드 안티바이러스 앱 19개를 대상으로 실시한 2019년 9월 평가에 따른 9가지 안드로이드용 비즈니스급 안티바이러스 툴을 소개한다. AV-테스트 연구소는 독일에 본사를 둔 독립적이 IT 보안 및 안티바이러스 연구 서비스 제공업체다. AV-TEST는 보호(최대 6점), 성능(최대 6점), 사용성(최대 6점)의 3가지 영역에 대해 각 툴의 등급을 매긴다. 여기에 나열된 제품들은 모두 18점 만점을 받았다. 테스트한 모든 앱의 평균 실시간 악성코드 탐지율은 97.5%였다. 지난 4주 동안 발견된 안드로이드 악성코드의 실시간 탐지율은 97.4%로 나타났다.     안티바이러스 테스트 결과 활용 방법 이들 테스트는 실험실 환경에서 수행되었다는 것을 명심해야 한다. 위협 모델은 기업 시스템마다 아래 나열된 각 제품에 대해 서로 다른 결과를 보여줄 것이다. 즉, 실험실에서 100% 검출률이 나왔다고 해서 어떤 제품이 네트워크의 모든 안티바이러스 위협을 탐지할 것이라고 예상해서는 안된다. 한 가지 이유는 새로 보고된 악성코드 샘플이 특정 안티바이러스 제품의 데이터베이스에 포함되는 데 며칠이 걸릴 수 있기 때문이다. AV-테스트 결과는 어떤 안드로이드 안티바이러스 제품들이 악성코드 탐지의 기본요건에서 일관되게 가장 우수하며 시스템 성능에 미치는 영향이 거의 없는가를 보여준다. 이는 어떤 제품이 환경에 가장 적합한지 평가할 때 좋은 출발점이 된다. 테스트 결과는 알파벳 순으로 나열됐다.    1. 안텐 랩(Antiy Labs) AVL 2.7  AVL은 보호, 성능 및 사용성에 걸쳐 전체적으로 만점을 받았다. 알 수 없는 번호의 통화 차단만을 제공하는 것에서 특징을 엿볼 수 있다.  2. 비트디펜더 모바일 시큐리티 버전(Bitdefender Mobile Security Version) 3.3 비트디펜더 모바일 시큐리티의 실시간 안드로이드 악성코드 탐지는 100%며, 지난 4주 동안 발견된 최신...

악성코드 보안 안드로이드 2019.11.11

구글 플레이 스토어, 새로운 앱 디펜스 연합으로 보안 오명 벗는다

안드로이드는 플레이 스토어에서 이른바 ‘악당’들과 긴 싸움을 벌여왔다. 구글이 플레이 스토어 내부로 들어오는 모든 악성 앱을 막지는 못한다. 그래서 구글이 내세운 대안은 모바일 보안 분야의 주요 업체와 손 잡고 '앱 디펜스 연합(App Defense Alliance)'을 결성하는 것이다.   새로운 연합에는 구글, ESET, 룩아웃(Lookout), 짐페리엄(Zimperium)이 참여해 안드로이드의 악성코드 검사기인 플레이 프로텍트(Play Protect)를 강화한다. 안드로이드 8 오레오부터 적용된 이 기능은 꽤 효과가 있는 것으로 평가된다. 백그라운드에서 동작하는 플레이 프로텍트는 플레이 스토어의 앱과 사용자의 안드로이드 폰에 설치된 앱을 정기적으로 검사해 사용자에게 악성코드의 존재 여부를 알려준다. 한 가지 문제라면, 스캐너의 성능이 그다지 좋지 않다는 것. AV-Test의 격월 안티바이러스 리뷰에 따르면, 플레이 프로텍트의 점수는 보호 기능과 사용자 편의성 모두 꼴찌로, 최신 안드로이드 악성코드 공격의 55%를 인식하는 데 그쳤다. 업계 평균은 97%이다. 새로운 앱 디펜스 연합은 이 수치를 확실히 끌어올릴 것으로 보인다. 구글은 블로그 포스트를 통해 이번 협력으로 “각 협력업체의 검사 엔진을 구글 플레이 프로텍트 탐지 시스템과 통합할 예정”이기 때문이다. 새로운 앱 위험 정보도 생성된다. 협력업체는 데이터세트를 분석하고 앱이 플레이 스토어에 등록되기 전에 감시하는 또 하나의 눈으로 활동한다”고 설명했다. 분명 악성 앱이 사용자의 안드로이드 폰을 감염시키기 전에 추정하고 특정해 차단할 강력한 시스템이 될 것이다. 구글은 “이들 협력업체를 잠재적 위협 탐지 실적과 생태계 개선에 대한 기여를 기준으로 공들여 선정했다”고 강조했다. 새로운 시스템은 머신러닝과 정적/동적 분석의 조합을 사용해 악당이 플레이 스토어를 덮치기 전에 집어낸다. 구글은 새 시스템이 개별 스마트폰에서도 동작하는지는 밝히지 않았지만, 악성코드가 플레이 스토어에 도달하는 ...

맬웨어 악성코드 탐지 2019.11.08

안랩, 온라인 게임업체 공식사이트 게시판으로 유포되는 악성코드 주의 당부

안랩(www.ahnlab.com)은 최근 다양한 게임업체의 공식사이트 내 게시판을 이용한 악성코드 유포 사례를 발견해 주의를 당부했다. 먼저 공격자는 각 게임업체의 공식사이트 내 자유 게시판에 ‘랭커캐릭 정리합니다’, ‘OO지존장비 ㅍㅍ 스샷첨부 통구매’ 등 게이머들의 관심을 끄는 제목으로 게임 아이템 및 계정 판매 위장 게시물을 업로드했다. 게시물 본문에는 “판매 아이템 목록을 보려면 아래 URL을 주소창에 붙여 넣어라”는 내용을 적어 악성 사이트로 이동을 유도했다. 만약 사용자가 URL을 주소창에 붙여넣어 해당 페이지로 이동하게 되면, 화면보호기 확장자를 가진 악성파일(.scr)이 사용자의 PC에 자동으로 다운로드 된다. 사용자가 무심코 해당 파일을 실행하면, 사용자 PC에 ‘고스트렛(Gh0st RAT)’이라 불리는 원격제어 악성코드가 설치된다. 해당 악성코드는 사용자 PC에 존재하는 취약점을 이용해 감염 PC를 원격으로 조작할 수 있다. 감염될 경우 공격자가 게임계정의 정보를 알아내 게임머니를 탈취하는 등 다양한 피해를 일으킬 수 있다. 이와 같은 악성코드 피해를 줄이기 위해서는 ▲자극적 제목 게시물 내 출처가 불분명한 URL 실행 금지 ▲출처를 알 수 없는 파일 실행 금지 ▲운영체제 및 인터넷 브라우저, 애플리케이션, 오피스 소프트웨어 등 프로그램의 최신 버전 유지 및 보안 패치 적용 ▲최신 버전 백신 사용 및 보안 패치 적용 등 보안수칙을 지켜야한다. 현재 안랩 V3제품군은 해당 악성코드를 진단하고 있다. 안랩 ASEC대응팀 박태환 팀장은 “공격자는 게임 커뮤니티의 특성에 맞춰 아이템, 캐릭터 판매 등의 미끼를 던진다”며 “특히, 이번 악성코드는 게임사의 공식사이트 내 게시판에서 유포된 사례로 게이머들의 각별한 주의가 필요하다”고 말했다. editor@itworld.co.kr

악성코드 안랩 2019.11.05

'인터넷 노출' 도커 컨테이너 노린다··· 악성코드 뿌리는 크립토재킹 웜 발견

해커들이 인증 없이 인터넷에 노출된 도커 엔진을 악용하는 수법으로 서버에 크립토재킹 악성코드를 설치, 실행하고 있다. 이러한 신형 크립토재킹 봇넷은 자가 확산 기능을 갖춰 지금까지 2,000개가 넘는 도커 배포판이 감염된 것으로 나타났다.   팔로알토네트웍스 연구진이 최근 공개한 보고서를 보면, 크립토재킹 악성코드가 웜으로 확산하는 사건은 전례가 있었지만 이번처럼 도커 엔진(커뮤니티 에디션)의 컨테이너를 사용해 확산하는 크립토재킹 웜은 최초다. 대부분의 전통적인 엔드투엔드 보호 소프트웨어는 컨테이너 내부의 데이터와 활동을 검사하지 않으므로 이러한 종류의 악성 활동은 탐지하기 어렵다고 연구진은 경고했다. 행동이 특이한 봇넷 그랩보이드(Graboid)라고 명명된 이번 신형 웜은 도커 컨테이너 이미지의 공용 저장소인 도커 허브에서 퍼져나갔다. 해커는 실행 시 안전하지 않은 다른 서버로 악성코드를 배치하는 악성 스크립트를 이용해 도커 허브로 이미지를 업로드했다. 연구진은 이번 공격으로 다양한 단계로 감염된 컨테이너 이미지를 여러 개 발견했다. 감염된 이미지는 도커 허브 관리자에게 통보해 제거됐다. 이들 중 한 이미지는 센트OS를 기반으로 한 것으로서 미리 정한 명령 통제(C2) 서버에 연결해 4개의 셸 스크립트를 다운로드해 실행하도록 만들어졌다. 이 이미지 속에는 노출된 도커 데몬으로 명령을 전송하는 도커 클라이언트가 포함돼 있었다. C2 서버가 전달한 4개 스크립트를 자세히 보면, 먼저 이용 가능한 CPU 숫자 등 감염시킨 환경에 대한 상세 정보를 수집해 해커에게 보내는 것이 있었다. 두 번째는 안전하지 않은 도커 API 엔드포인트에 해당하는 2,000개가 넘는 IP 주소 목록을 다운로드해 그중 무작위로 하나를 골라 도커 클라이언트로 연결한 후 도커 허브로부터 똑같은 악성 컨테이너를 배치해 자가 전파를 하는 스크립트였다. 세 번째로는, 목록상에 취약한 도커 호스트 중 하나에 무작위로 연결한 후 nginx 웹 서버 또는 마이SQL 데이터베이스 서버로...

악성코드 보안 도커 2019.10.21

안랩, 문서파일 형태로 유포되는 ‘트릭봇’ 악성코드 주의 당부

안랩(www.ahnlab.com)은 최근 정상 문서파일을 위장해 메일로 유포되는 정보탈취 악성코드 유포 사례를 발견해 사용자의 주의를 당부했다. 공격자는 주로 기업을 대상으로 워드프로세서 문서형태(.doc)의 악성파일을 첨부한 메일을 발송했다. 사용자가 첨부된 악성 파일을 실행하면 ‘이전 버전에 만들어진 문서’라는 안내화면과 함께 매크로 실행을 권유하는 ‘콘텐츠 사용’ 버튼이 나타난다. 만약 사용자가 무심코 ‘콘텐츠 사용’ 버튼을 클릭하면 파일오류 안내를 위장한 가짜메시지가 노출된다. 이와 동시에 사용자 몰래 PC에 ‘트릭봇(Trickbot)’ 악성코드가 설치된다. PC 감염 이후 ‘트릭봇’ 악성코드는 사용자 PC에서 웹 브라우저 정보 및 금융거래 정보 등 민감한 정보를 탈취하는 악성행위를 시도한다. 현재 안랩 V3제품군은 해당 악성코드를 진단하고 있다. 이와 같은 악성코드의 피해를 줄이기 위해서는 ▲출처가 불분명한 메일의 첨부파일/URL 실행금지 ▲운영체제 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 소프트웨어 등 프로그램 최신 보안 패치 적용 ▲매크로 실행 알림 확인 및 주의 ▲백신 최신버전 유지 및 실시간 감시 기능 실행 등 필수 보안 수칙을 실행해야 한다. 안랩 분석팀 김준석 연구원은 “메일에 악성 문서파일을 첨부해 유포하는 사례는 과거부터 빈번하게 발생하고 있는 방식”이라며, “특히 기업에서는 더 큰 피해가 발생할 수 있기 때문에 평소 출처가 불분명한 메일의 첨부파일 실행을 자제하고 백신 최신 버전을 유지하는 등 보안 수칙 생활화가 필수”라고 말했다. editor@itworld.co.kr

악성코드 안랩 2019.09.05

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.