Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

악성코드

안랩, 온라인 게임업체 공식사이트 게시판으로 유포되는 악성코드 주의 당부

안랩(www.ahnlab.com)은 최근 다양한 게임업체의 공식사이트 내 게시판을 이용한 악성코드 유포 사례를 발견해 주의를 당부했다. 먼저 공격자는 각 게임업체의 공식사이트 내 자유 게시판에 ‘랭커캐릭 정리합니다’, ‘OO지존장비 ㅍㅍ 스샷첨부 통구매’ 등 게이머들의 관심을 끄는 제목으로 게임 아이템 및 계정 판매 위장 게시물을 업로드했다. 게시물 본문에는 “판매 아이템 목록을 보려면 아래 URL을 주소창에 붙여 넣어라”는 내용을 적어 악성 사이트로 이동을 유도했다. 만약 사용자가 URL을 주소창에 붙여넣어 해당 페이지로 이동하게 되면, 화면보호기 확장자를 가진 악성파일(.scr)이 사용자의 PC에 자동으로 다운로드 된다. 사용자가 무심코 해당 파일을 실행하면, 사용자 PC에 ‘고스트렛(Gh0st RAT)’이라 불리는 원격제어 악성코드가 설치된다. 해당 악성코드는 사용자 PC에 존재하는 취약점을 이용해 감염 PC를 원격으로 조작할 수 있다. 감염될 경우 공격자가 게임계정의 정보를 알아내 게임머니를 탈취하는 등 다양한 피해를 일으킬 수 있다. 이와 같은 악성코드 피해를 줄이기 위해서는 ▲자극적 제목 게시물 내 출처가 불분명한 URL 실행 금지 ▲출처를 알 수 없는 파일 실행 금지 ▲운영체제 및 인터넷 브라우저, 애플리케이션, 오피스 소프트웨어 등 프로그램의 최신 버전 유지 및 보안 패치 적용 ▲최신 버전 백신 사용 및 보안 패치 적용 등 보안수칙을 지켜야한다. 현재 안랩 V3제품군은 해당 악성코드를 진단하고 있다. 안랩 ASEC대응팀 박태환 팀장은 “공격자는 게임 커뮤니티의 특성에 맞춰 아이템, 캐릭터 판매 등의 미끼를 던진다”며 “특히, 이번 악성코드는 게임사의 공식사이트 내 게시판에서 유포된 사례로 게이머들의 각별한 주의가 필요하다”고 말했다. editor@itworld.co.kr

악성코드 안랩 2019.11.05

'인터넷 노출' 도커 컨테이너 노린다··· 악성코드 뿌리는 크립토재킹 웜 발견

해커들이 인증 없이 인터넷에 노출된 도커 엔진을 악용하는 수법으로 서버에 크립토재킹 악성코드를 설치, 실행하고 있다. 이러한 신형 크립토재킹 봇넷은 자가 확산 기능을 갖춰 지금까지 2,000개가 넘는 도커 배포판이 감염된 것으로 나타났다.   팔로알토네트웍스 연구진이 최근 공개한 보고서를 보면, 크립토재킹 악성코드가 웜으로 확산하는 사건은 전례가 있었지만 이번처럼 도커 엔진(커뮤니티 에디션)의 컨테이너를 사용해 확산하는 크립토재킹 웜은 최초다. 대부분의 전통적인 엔드투엔드 보호 소프트웨어는 컨테이너 내부의 데이터와 활동을 검사하지 않으므로 이러한 종류의 악성 활동은 탐지하기 어렵다고 연구진은 경고했다. 행동이 특이한 봇넷 그랩보이드(Graboid)라고 명명된 이번 신형 웜은 도커 컨테이너 이미지의 공용 저장소인 도커 허브에서 퍼져나갔다. 해커는 실행 시 안전하지 않은 다른 서버로 악성코드를 배치하는 악성 스크립트를 이용해 도커 허브로 이미지를 업로드했다. 연구진은 이번 공격으로 다양한 단계로 감염된 컨테이너 이미지를 여러 개 발견했다. 감염된 이미지는 도커 허브 관리자에게 통보해 제거됐다. 이들 중 한 이미지는 센트OS를 기반으로 한 것으로서 미리 정한 명령 통제(C2) 서버에 연결해 4개의 셸 스크립트를 다운로드해 실행하도록 만들어졌다. 이 이미지 속에는 노출된 도커 데몬으로 명령을 전송하는 도커 클라이언트가 포함돼 있었다. C2 서버가 전달한 4개 스크립트를 자세히 보면, 먼저 이용 가능한 CPU 숫자 등 감염시킨 환경에 대한 상세 정보를 수집해 해커에게 보내는 것이 있었다. 두 번째는 안전하지 않은 도커 API 엔드포인트에 해당하는 2,000개가 넘는 IP 주소 목록을 다운로드해 그중 무작위로 하나를 골라 도커 클라이언트로 연결한 후 도커 허브로부터 똑같은 악성 컨테이너를 배치해 자가 전파를 하는 스크립트였다. 세 번째로는, 목록상에 취약한 도커 호스트 중 하나에 무작위로 연결한 후 nginx 웹 서버 또는 마이SQL 데이터베이스 서버로...

악성코드 보안 도커 2019.10.21

안랩, 문서파일 형태로 유포되는 ‘트릭봇’ 악성코드 주의 당부

안랩(www.ahnlab.com)은 최근 정상 문서파일을 위장해 메일로 유포되는 정보탈취 악성코드 유포 사례를 발견해 사용자의 주의를 당부했다. 공격자는 주로 기업을 대상으로 워드프로세서 문서형태(.doc)의 악성파일을 첨부한 메일을 발송했다. 사용자가 첨부된 악성 파일을 실행하면 ‘이전 버전에 만들어진 문서’라는 안내화면과 함께 매크로 실행을 권유하는 ‘콘텐츠 사용’ 버튼이 나타난다. 만약 사용자가 무심코 ‘콘텐츠 사용’ 버튼을 클릭하면 파일오류 안내를 위장한 가짜메시지가 노출된다. 이와 동시에 사용자 몰래 PC에 ‘트릭봇(Trickbot)’ 악성코드가 설치된다. PC 감염 이후 ‘트릭봇’ 악성코드는 사용자 PC에서 웹 브라우저 정보 및 금융거래 정보 등 민감한 정보를 탈취하는 악성행위를 시도한다. 현재 안랩 V3제품군은 해당 악성코드를 진단하고 있다. 이와 같은 악성코드의 피해를 줄이기 위해서는 ▲출처가 불분명한 메일의 첨부파일/URL 실행금지 ▲운영체제 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 소프트웨어 등 프로그램 최신 보안 패치 적용 ▲매크로 실행 알림 확인 및 주의 ▲백신 최신버전 유지 및 실시간 감시 기능 실행 등 필수 보안 수칙을 실행해야 한다. 안랩 분석팀 김준석 연구원은 “메일에 악성 문서파일을 첨부해 유포하는 사례는 과거부터 빈번하게 발생하고 있는 방식”이라며, “특히 기업에서는 더 큰 피해가 발생할 수 있기 때문에 평소 출처가 불분명한 메일의 첨부파일 실행을 자제하고 백신 최신 버전을 유지하는 등 보안 수칙 생활화가 필수”라고 말했다. editor@itworld.co.kr

악성코드 안랩 2019.09.05

안랩, 플래시 취약점 악용해 유포되는 악성코드 주의 당부

안랩(www.ahnlab.com)은 최근 해외의 다수 IP에서 플래시 프로그램의 취약점을 이용해 악성코드를 유포하는 사례를 발견해 사용자 주의를 당부했다. 공격자는 정상 광고 시스템을 악용해 악성코드를 유포, 감염시키는 멀버타이징(Malvertising) 기법을 사용해 악성코드 감염을 시도했다. 만약 사용자가 해당 악성 광고가 있는 웹사이트에 접속하면 악성코드 유포도구인 ‘리그(Rig) 익스플로잇 킷’을 실행하는 악성 웹페이지로 이동한다. 안랩의 클라우드 기반 분석시스템 ‘ASD(AhnLab Smart Defense)’로 확인 결과, 악성 웹페이지의 IP는 러시아 내 다수 IP로 확인됐다. ‘리그(Rig) 익스플로잇 킷’은 사용자 PC의 ‘어도비 플래시 플레이어’의 취약점 여부를 체크한다. 구버전의 취약점이 확인되면 이를 악용해 PC를 악성코드에 감염시킨다. 이때 설치되는 악성코드는 랜섬웨어, 백도어, 암호화폐 채굴 악성코드, 키로거(키보드 입력정보 탈취) 등 사례별로 다양한 것으로 나타났다. 현재 안랩 V3제품군은 해당 악성코드를 진단하고 있다. 감염을 예방하기 위해서는 ▲운영체제 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 애플리케이션(어도비, 자바 등), 오피스 소프트웨어 등 프로그램의 최신 보안 패치 적용 ▲안정성이 확인되지 않은 웹사이트 방문 자제 ▲최신 버전 백신 사용 등 기본적인 보안 수칙을 준수해야 한다. 안랩 분석팀 김동석 주임연구원은 “공격자들은 이번 사례처럼 플래시를 비롯해 기타 소프트웨어의 취약점을 업데이트 하지 않은 사용자를 노린다”며, “사용자들이 소프트웨어 제작업체에서 제공하는 정식 보안 업데이트만 적용해도 피해를 많이 줄일 수 있다”고 말했다. editor@itworld.co.kr

악성코드 취약점 플래시 2019.08.28

“안드로이드는 보안에 취약해?” 잘못된 상식을 깨뜨릴 5가지 보안 점검 질문

요즘 IT 뉴스를 아주 자세히 들여다보지는 않았지만, 필자는 어떤 사악한 소리를 내는 가상의 그렘린이나 괴물들이 내 스마트폰에 침입해서 개인정보를 훔치고, 평생 두려움과 절망에 빠지게 만들 것 같은 의심을 남몰래 하고 있다. 그 괴물은 심지어 바로 지금 우리 집 부엌에서 과자를 훔쳐 먹고 있을 지도 모른다. 그 맛있는 과자를 전부 말이다!  굳이 신문의 헤드라인을 아주 세심하게 훑어보지 않아도 이런 사고가 일어날 수 있는 가능성이 꽤 크다는 것은 누구나 안다. 격주로 여기 안드로이드 세계에서 발생하는 사고이기 때문이다. 한 달에 확실히 몇 번은 우스꽝스러운 이름을 한, 끔찍해 보이는 새로운 악성코드가 우리의 휴대폰과 삶으로 진격해오고는 한다. (독사와 쥐를 의미하는 바이퍼랫(ViperRat)! 사막 전갈을 말하는 데저트 스콜피온! 공포영화 제목에서 따온 우가-부가-미니-몬스터(Ooga-Booga-Meanie-Monster)!) 그렇지는 않더라도 설득력 있게 들리는 이러한 이야기들을 여러 번 들어는 봤을 것이다. (맞다. 우가-부가-미니-몬스터는 내가 방금 만든 말일지 모르지만, 흔한 명칭이다. 우리가 그 이름을 사용하는 것을 보는 것은 시간 문제에 불과할 것이다.) 현실에서는 기업의 마케팅 부서가 이 괴물들을 거의 매번 찾아내서, 신중하게 이름을 붙이고 고의적으로 다시 풀어준다. 이 부서의 수익은 사용자의 휴대폰이 항상 공격을 받고 있다는 생각을 심어주는 데서 나온다. 공포는 야단스러운 홍보의 수단이다. 평이하고 단순하지만 꽤 뻔뻔스러운 홍보인 셈이다.  하지만 이 글을 읽는 당신은 아무것도 모른 채 순진하게 스마트폰을 들고 다니는 대중보다는 한 발 앞서 있는 셈이다. 안드로이드 전화기를 사용하면서 가장 높은 위험에 처해있는 사람들, 그리고 포켓몬을 하는 사람들보다는 말이다. 우리는 어떤 악랄한 안드로이드 악성코드에 감염되는 것이 아니라, 두려움에서 이익을 얻어내려는 기업들이 만들어내는 선정적인 공포 캠페인에 속아넘어가는 것이다. 다...

맬웨어 악성코드 앱스토어 2019.07.29

스마트 TV는 바이러스에 걸리지 않았다

최근 삼성이 트위터에 올린 게시물 때문에 인터넷에 난리가 났다. 삼성 스마트 TV에 바이러스 검사를 주기적으로 하라는 내용이었기 때문이다. 삼성의 기술 지원 계정에는 “몇 주마다 한 번씩 TV의 바이러스 검사를 실시하여 악성 소프트웨어 공격을 방지하라”는 글에 이어, 삼성의 최신 스마트 TV에 내장된 맥아피 바이러스 검사 프로그램 실행 방법을 설명한 동영상이 올라왔다.   그러나 삼성은 이와 같은 기분 나쁜 권고를 곧 삭제했다. 삼성 스마트 TV를 마치 1990년대 윈도우 PC처럼 취급하라는 말이 얼마나 어이없는지 깨달았기 때문일 것이다. 그러나 그 여파는 돌이킬 수 없었다. 삼성은 즉각 각종 기사와 비난 트윗, 포럼 게시물에서 놀림감이 됐다. 스마트 TV 자체를 비웃는 내용도 많았다. “우리 TV가 스마트하지 않고 멍청하다면 이런 문제는 없을 텐데”라는 비아냥이 나왔다. 그러나 이 사태의 와중에, 스마트 TV가 실제로 바이러스나 악성코드에 감염되고 있다는 증거는 어디에도 없었다. 실제로 그런 일이 일어날 확률은 0에 가깝기 때문일 것이다. 스마트 TV라고 해서 본질적으로 외부 스트리밍 서비스에 연결된 일반 TV보다 더 위험한 것은 아니다. 백신 소프트웨어의 사전 탑재가 삼성에 나쁜 모양새이지만, 그렇다고 해서 스마트 TV를 사용하는 것 자체가 위험한 것은 아니다.    스마트 TV 악성코드를 찾아서 삼성의 바이러스 검사 권고와 그에 따른 파문을 접한 필자는 실제로 삼성 것이든 아니든 스마트 TV에서 바이러스나 악성코드가 발견된 사례가 있는지 궁금했다. 그래서 구글에서 관련 글을 검색해보고 레딧과 AV포럼 같은 포럼도 뒤져보았다. 그 결과 다음과 같은 내용이 나왔다. -    악성코드에 감염된 USB 드라이브를 꽂았더니 삼성 TV가 악성코드에 감염된 사례가 2015년에 있었다. -    역시 2015년에 어떤 보안 연구자는 본인의 가정 네트워크에 접속이 필요한 공격을 이용해...

바이러스 악성코드 스트리밍 2019.06.24

악성코드가 엔드포인트 보호를 우회할 수 있는 6가지 방법

포네몬(Ponemon)의 2018년 엔드포인트 보안 위험 현황 보고서에 따르면, IT 보안 전문가의 63%가 지난 12개월 동안 공격 빈도가 증가했다고 답했으며, 응답자의 52%는 현실적으로 모든 공격을 저지하는 것은 불가능하다고 말했다. 안티바이러스 솔루션은 단지 공격의 43%만을 차단하고 있다. 응답자 가운데 64%는 그들이 속한 조직에서 데이터 유출을 야기한 엔드포인트 공격을 한 번 이상 경험한 적이 있다고 밝혔다.  IT 보안 전문가 660명을 대상으로 실시한 설문조사에서 대부분의 응답자(70%)가 조직에 대한 새롭고 알려지지 않은 위협이 증가했다고 답하면서 공격으로 인한 피해 비용도 평균 500만 달러에서 710만 달러로 증가했다고 밝혔다.   그러나 거의 모든 컴퓨터에는 어떤 형태로든 보호 장치가 탑재되어 있다. 그런데 공격자들은 어떻게 늘 보안을 뚫고 들어오는 것일까. 공격자들이 엔드포인트 보호 보안을 우회하기 위해 가장 많이 사용하는 방법들은 다음과 같다.  1. 스크립트 기반 공격 스크립트 기반 또는 "파일 없는(fileless)" 공격에서는 파워셸을 활용하거나 이미 설치된 다른 윈도우 구성 요소를 사용하기 위해 기존의 합법적인 애플리케이션에서 실행되는 스크립트가 사실 악성코드다. 새로운 소프트웨어를 설치하지 않기 때문에 많은 전통적인 방어 장치를 우회할 수 있다.  포네몬에 따르면, 이런 유형의 공격은 성공할 가능성이 훨씬 더 높은데, 2017년에는 전체 공격의 30%에서 지난해에는 35%로 증가하는 추세에 있다. 실제 악성코드바이트의 보안 연구원인 제롬 세구라는 "스캔을 할 악성코드 바이너리가 실제로는 존재하지 않는 사례에서 보듯이 아티팩트는 거의 없을 것"이라고 말했다. 보안 시스템에 의해 수집될 수 있는 네트워크 트래픽이 있을 수는 있다. 세구라는 "그러나 공격자들은 이런 통신들을 암호화할 수 있고 데이터를 조용히 유출시키기 위해 신뢰받고 있는 통...

악성코드 엔드포인트 우회 2019.06.12

“2019년 1분기, 모바일 뱅킹 악성코드 58% 증가” 카스퍼스키랩

2019년 1분기 로그인 계정 정보와 사용자의 은행 계좌에서 금전을 훔치는 것을 목적으로 하는 악성코드가 우려스러울 정도로 증가한 것으로 드러났다.  카스퍼스키랩이 발표한 2019년 1분기 IT 위협 진화 보고서에 따르면, 2018년 4분기 1만 8,501개였던 뱅킹 악성코드 파일이 2만 9,841개로 증가했으며, 전체적으로 30만 명 이상의 사용자들이 공격을 받은 것으로 나타났다.  모바일 뱅킹 트로이목마는 악성코드 중에서도 가장 빠르게 발전하고 있으며, 변종이 많고 위험한 유형으로 꼽힌다. 트로이목마는 대개 모바일 사용자의 은행 계좌에서 직접 현금을 무단으로 인출하는데 사용되지만 로그인 계정 정보를 도용하기 위한 목적으로 사용되기도 한다. 이러한 악성코드는 대개 은행 앱과 같이 정상적인 앱처럼 위장하고 있으며, 피해자가 해당 은행 앱을 이용할 경우 진짜 정보를 해커가 확보하는 것이다. 카스퍼스키랩은 2019년 1분기에 약 3만여 개의 뱅킹 트로이목마 변종을 탐지했으며, 공격을 받은 순 사용자 수는 31만 2,235명이라고 밝혔다. 뱅킹 트로이목마는 유형만 증가한 것이 아니라 전체 모바일 악성코드 통계에서 차지하는 비중도 높아진 것으로 드러났다. 2018년 4분기에는 모든 모바일 악성코드 중 1.85%를 차지하던 것이 2019년 1분기에는 3.24%로 증가했기 때문이다. 다양한 모바일 뱅킹 악성코드가 사용자를 노리고 있지만 그 중에서도 유독 활개를 친 것은 아사커브(Asacub) 악성코드의 새로운 유형으로 사용자를 공격한 모든 뱅킹 트로이목마 중 58.4%를 차지했다.  2015년에 등장한 아사커브는 해커들이 2년간 지속적으로 유포 수법을 보완하면서 2018년에는 하루에만 1만 3,000명의 사용자가 공격을 받을 정도로 극에 달하기도 했다. 그 이후 확산 속도는 한풀 꺾였지만, 2019년 1분기 카스퍼스키랩에서 아사커브가 일일 평균 8,200명을 공격한다는 사실을 탐지함으로써 여전히 큰 위협으로 존재하고 있음이 밝혀졌다...

악성코드 카스퍼스키랩 2019.05.29

“디지털 라이프를 안전하게” 간편한 가상 윈도우 PC ‘윈도우 샌드박스’ 사용법

마이크로소프트는 윈도우 10 2019년 5월 업데이트에 사용이 간편한 윈도우 샌드박스를 도입하면서, 이를 신뢰할 수 없는 애플리케이션 테스트용 ‘안전 지대’ 이상으로 포지셔닝하고 있다. 일반적으로 윈도우 샌드박스를 이용하거나 PC 앱을 샌드박스 처리하면, 악성코드일 가능성이 있는 유틸리티, 확신이 들지 않는 웹사이트를 시험해볼 수 있다. 잠재적으로 위험할 수 있는 요소가 남을 수도 있지만, 샌드박스를 이용하면 조금 더 모험을 할 수 있다.   윈도우 샌드박스는 완전히 처음부터 안전한 ‘윈도우 속 윈도우’ 가상 머신 환경을 생성하고, 이를 ‘진짜’ PC 환경과 분리한다. 안전하게 브라우저를 열어 서핑을 하고, 앱을 다운로드 받고, 심지어 방문해서는 안 될 웹사이트도 방문할 수 있다. 또 샌드박스에는 가상 PC 안과 밖으로 파일을 복사해 이동할 수 있는 기능이 포함되어 있다. 즉, 안전하다고 확신하는 경우, 격리 상태를 해제할 수 있다. 또 언제든지 윈도우 샌드박스를 종료할 수 있다. 종료를 하면, 남은 모든 것이 완전히 삭제된다. 악성 웹사이트가 샌드박스 환경에 악성코드를 퍼 부은 경우에도, 단 한 번의 클릭으로 종료를 시키면 윈도우 설치판에는 어떤 위험도 초래되지 않는다. 다음에는 새 샌드박스 버전을 실행하면 된다. 그러면 깨끗한 초기 상태의 윈도우 10 환경이 실행된다. 이 기능을 사용하기 위해 또 다른 윈도우 사본을 구입할 필요는 없지만, 윈도우 10 프로와 엔터프라이즈에서만 지원되는 기능이다. 홈 버전은 샌드박스 기능을 제공하지 않는다.  지금부터 윈도우 샌드박스를 이용하기 위해 알아야 할 내용들을 소개한다.   윈도우 샌드박스 시작하기   기술적으로 윈도우 샌드박스는 개발자와 연구원들이 통제된 환경에서 새 소프트웨어를 테스트할 때 종종 사용하는 도구인 가상 머신, ‘가벼운’ 가상 머신이다. 가상화로 기존 윈도우 PC 내에 운...

맬웨어 악성코드 보안 2019.05.23

리뷰 | 클린마이맥 X 4.4.1, 더 편해진 모듈·여전히 아쉬운 악성코드 탐지

맥퍼(MacPaw)가 유명 맥용 정리 유틸리티 '클린마이맥(CleanMyMac) 4.4.1' 신버전을 내놨다. 소프트웨어 찌꺼기를 없애 주는 것은 물론 악성코드 스캐너, 맥OS 확장 기능 관리, 설치된 애플리케이션의 일괄 업데이트 등을 지원한다. 맥퍼는 클린마이맥 X을 내놓은 이후 기능을 계속 개선, 추가하고 있다. 그러나 일부 기능은 여전히 기대에 미치지 못한다. 더 편리해진 모듈 맥퍼는 이번 버전에서 메뉴바(Menu Bar) 유틸리티를 더 개선했다. 아이콘을 클릭하면 여유 공간, CPU 사용률, 사용 가능한 RAM, 컴퓨터 온도 등 유용한 정보를 볼 수 있다. 일부 항목은 사용자가 직접 구성할 수도 있다.   클린마이맥의 핵심 기능은 모듈이다. 예를 들어 확장 프로그램(Extensions) 모듈을 이용하면 쉽게 맥용 확장기능을 활성화하고 비활성화할 수 있다. 크고 오래된 파일(Large & Old Files) 모듈에서는 어떤 파일이 저장공간을 잡아먹고 있는지 확인해 바로 삭제할 수 있다. 응용 프로그램 설치 제거(Uninstaller) 모듈을 이용하면 필요 없는 애플리케이션을 빠르게 찾아 제거할 수 있다. 특히 소프트웨어 제거 관련해서 클린마이맥은 다른 소프트웨어 제거 틀이 지원하지 않는 독특한 기능을 제공한다. 바로 여러 애플리케이션을 한 번에 삭제하는 것이다. 필자는 이 기능이 매우 유용했다. 이밖에 유지보수(Maintenance)에서는 여유 RAM 확보(clearing RAM), 유지보수 스크립트 실행(running maintenance scripts), DNS 캐시 플러시(clearing the DNS cache), 디스크 권한 복구( repairing file permissions) 등의 기능을 사용할 수 있다. 이번 클린마이맥 X 4.4.1에서 새로 추가된 기능도 있다. 스페이스 렌즈(Space Lens) 모듈이다. 하드 드라이브의 폴더를 용량이 큰 순서로 한눈에 보여준다. 이를 통해 하드 드라이브를 많...

악성코드 맥퍼 클린마이맥 2019.05.23

악성코드의 9가지 유형과 이를 탐지, 제거하는 방법

사람들은 보안 용어를 아무렇게나 사용하는 경향이 있다. 하지만 얼마나 다양한 악성코드(Malware)가 확산되어 있는지 알아야 차단하고 제거할 수 있다. 때문에 악성코드 분류를 간소화하는 것이 중요하다. 이번 기사는 전문가들과 대화할 때 악성코드 용어를 이해하는데 도움이 될 것이다.   1. 바이러스 대부분의 매체와 일반 최종 사용자는 뉴스에 보도되는 모든 악성코드 프로그램을 컴퓨터 바이러스라고 부른다. 다행히도 대부분의 악성코드 프로그램은 바이러스가 아니다. 컴퓨터 바이러스는 피해자의 파일이 실행되었을 때 바이러스도 실행되어 다른 정상적인 호스트 파일(또는 이에 대한 포인터)를 수정한다. 요즘은 순수한 컴퓨터 바이러스가 흔하지 않으며 전체 악성코드의 10%가 되지 않는다. 좋은 일이다. 바이러스는 다른 파일을 "감염"시키는 유일한 유형의 악성코드다. 해당 악성코드는 정상적인 프로그램에서 실행하기 때문에 특히 청소하기가 어렵다. 항상 쉽지 않은 일이었고 지금은 거의 불가능에 가깝다. 최고의 안티바이러스 프로그램도 이와 관련해 어려움을 겪고 있으며 많은 경우에 단순히 감염된 파일을 격리하거나 삭제한다. 2. 웜(Worm) 웜은 컴퓨터 바이러스보다 훨씬 오래 전인 메인프레임(Mainframe) 시대부터 있었다. 이메일로 인해 1990년대에 유행했고 컴퓨터 보안 전문가들은 메시지 첨부 파일로 도착하는 악성 웜에 약 10년 동안 시달렸다. 한 사람이 웜에 감염된 이메일을 열면 기업 전체가 즉시 감염되었다. 웜의 감염 특성은 자기 복제다. 악명높은 아이러브유(Iloveyou) 웜을 예로 들어보자. 발생 당시에 전 세계의 거의 모든 이메일 사용자가 감염되어 전화 시스템이 (사기 전송 문자 메시지로 인해) 과부하되고 텔레비전 네트워크가 다운되었으며 필자의 석간 신문도 반나절이나 지연되었다. 이 외에도 SQL 슬래머(SQL Slammer)와 MS 블래스터(MS Blaster) 등의 웜이 컴퓨터 보안 역사에 한 획을 그었다. 효과적인 웜은 ...

바이러스 악성코드 애드웨어 2019.05.09

끈질긴 트로이 목마, 이모텟을 퇴치하는 방법

이모텟(Emotet)은 개인으로부터 신용카드 정보 등을 훔치는 뱅킹 트로이 목마 바이러스이다. 2014년부터 활동했으며 수년 동안 크게 발전해 기업 네트워크에 침투하고 다른 악성코드 유형으로 확산되는 중대한 위협이 되었다.   미국 국토안보부(DHS)는 2018년 7월 이모텟에 대한 경보를 발령하면서 "주로 다른 뱅킹 트로이 목마 바이러스의 다운로더 또는 드롭퍼(Dropper)로 기능하는 발전된 모듈식 뱅킹 트로이 목마 바이러스"라고 설명하면서, "퇴치하기가 매우 어려우며 일반적인 시그니처 기반 탐지를 회피하고 스스로 확산된다고 경고했다. 이 경보에서는 "이모텟 감염으로 주 정부나 지역자치단체들은 사건당 최대 100만 달러의 해결 비용이 발생했다"고 설명했다. 이모텟은 개인과 기업에게 치명적인 위험이다. 이 치명적인 트로이 목마 악성코드로부터 기업을 보호하기 위해 무엇을 할 수 있는지 살펴보자. 이모텟이 네트워크를 감염시키는 방법  이모텟 감염은 일반적으로 첨부 파일이나 파일을 다운로드하는 링크가 포함된 간단한 피싱 이메일로 시작된다. 수신인이 링크를 클릭하거나 파일을 열면 의지와 상관없이 악성 페이로드를 다운로드하는 매크로를 실행하게 된다. 기기가 감염되면 이모텟은 네트워크의 다른 장치로 확산되기 시작한다. 워너크라이 같은 다른 악성코드의 성공에 영감을 얻어 이모텟에 새로운 기능이 추가되면서 횡방향으로 이동하면서 네트워크 전체를 놀랄만큼 빠르게 감염시킬 수 있는 훨씬 강력한 위협이 되었다. 이 모듈식 트로이 목마 바이러스는 더 큰 공격을 위한 선봉으로 실행되는 경우가 많으며 외부 방어벽을 뚫은 후 다른 뱅킹 트로이 목마 바이러스를 다운로드하고 확산시킨다. 이모텟은 끈질기고 치명적인 만큼 이를 방어하기 위한 효과적인 조치를 제대로 취해야 한다. 여기에서 몇 가지 방법을 살펴보자. 이모텟 트로이 목마 바이러스의 감염을 방지하는 방법 늘 그렇듯이 고치는 것보다는 예방하는 것이 낫다. 이 개...

악성코드 이모텟 Emotet 2019.05.03

안티바이러스 소프트웨어가 말해주지 않는 것과 이를 알아내는 법

안티바이러스 소프트웨어는 악성코드를 검출하고 제거한다. 그러나 얼마나 신속하고, 얼마나 정확한가? 이번 기사에서는 돈을 쓰지 않으면서 이를 알아내고, 안티바이러스 업체가 이를 책임지도록 하는 방법을 소개한다.      안티바이러스 소프트웨어 업체는 처음부터 정확성에 대해 거짓말을 하면서 시작한다. 악성 프로그램의 검출에서 100%의 정확성을 주장하는 업체가 많지만, 거의 모든 컴퓨터가 안티바이러스 프로그램에 의해 보호되고 있음에도 불구하고 현실에서는 여전히 악성코드에 감염된 컴퓨터가 존재한다.  악성코드를 구글의 바이러스 토탈(Virus Total)에 제출하면 67~70종의 안티바이러스 프로그램이 이를 검사한다. 필자는 조기 적중률이 1/3을 넘는 것을 본 적이 없다. 가장 인기있는 안티 바이러스 프로그램들이 며칠 동안 제출된 샘플을 검출하지 못하는 경우가 허다하다. 안티바이러스 업체들은 안티바이러스 엔진의 정확한 통계를 바이러스 토탈이 절대로 공개하지 못하게 한다.   안티바이러스 업체와 독립적 관련 단체들은 윤리적 테스팅(ethical testing) 방법론 단계들을 자체적으로 개발해왔다. 이런 시도들조차 부적절한 측정에 대해 비난을 받았다. 100% 검출을 달성한 업체는 이를 광고에서 선전하고, 그렇지 못한 업체는 특정 테스트의 방법론에 결함이 있다고 지적한다. 사실, 테스트가 어떻게 진행되더라도 100% 정확성을 달성한 업체는 없다. 그렇다면, 안티바이러스 제품의 진정한 정확도를 어떻게 판단할 것인가? 필자는 한 가지 방법을 알고 있다.  악성코드 체류 시간의 중요성  중요한 것은 관리되는 전체 장비에 걸쳐 안티바이러스의 정확도가 현실적으로 얼마나 되느냐는 것이다. 아무리 안티바이러스 제품이 테스트에서 100%의 정확성을 달성했다고 홍보를 해도, 정작 안티바이러스 제품이 현실에서 악성 프로그램을 제대로 검출하지 못한다면 무슨 소용이 있겠는가? 정확도가 유일한 문제는 아니다. 체류 시간 ...

악성코드 안티바이러스 체류시간 2019.04.01

에이수스, 섀도우해머 공격 대응 패치 버전과 탐지용 툴 발표

에이수스는 지난 화요일 “소수의 디바이스”가 자사의 라이브 업데이트 유틸리티에 대한 공격으로 악성 코드에 감염됐다고 확인했다. 또 해당 앱은 패치가 완료됐다고 밝혔다.   에이수스는 영향을 받은 사용자를 파악했고, 패치된 버전의 소프트웨어를 발표했다고 밝혔다. 새로운 라이브 업데이트 유틸리티는 3.6.8 버전이다. 감염 여부가 의심스러운 사용자는 에이수스가 제공하는 툴을 확인할 수 있다. 에이수스는 또한 자사가 다중 보안 인증 메커니즘을 도입했는데, 여기에는 향상된 엔드 투 엔드 암호화 메커니즘도 포함되어 있다고 밝혔다. 향후 유사한 공격을 방지하기 위해 서버와 최종 사용자 간의 소프트웨어 아키텍처도 강화했다. 에이수스 공식 서버에서 호스팅하는 백도어에 감염된 에이수스 라이브 업데이트 유틸리티는 5만 7,000명 이상이 다운로드해 설치했다.  보안업체 카스퍼스키가 섀도우해머(ShadowHammer)라고 명명한 이 악성 코드는 실질적으로는 소수의 사용자를 대상으로 한 공격이었다. 카스퍼스키는 아직 조사가 진행 중이라고 밝혔다. 카스퍼스키는 섀도우해머 공격이 전세계적으로 탐지됐으며, 대부분 러시아와 독일 사용자이고, 미국도 전체 감염자의 5% 정도를 차지한다고 밝혔다. 보안 관점에서 이번 악성코드의 가장 충격적인 측면은 적법한 보안 인증서로 서명되어 있다는 것이다. 즉 실제 업데이트와 구분할 수 없도록 진품 인증 도장이 찍혀 있는 것이다. 심지어 에이수스 서버가 호스팅했다. 라이브 업데이트 유틸리티는 에이수스 사이트에서 다운로드할 수 있으며, PC에 사전 탑재되어 제공되기도 한다. 에이수스 라이브 업데이트 소프트웨어는 에이수스 웹사이트에서 프로그램의 새 버전이 나왔는지 확인해 자동으로 PC의 BIOS와 드라이버, 애플리케이션을 업데이트한다. 만약 섀도우해머가 PC로 하여금 다른 사이트에서 악성 BIOS 소프트웨어를 다운로드하도록 한다면, 이 소프트웨어는 PC 전체를 장악할 수도 있다. 카스퍼스키랩은 공격 대상이 ...

악성코드 카스퍼스키 공급망 2019.03.27

윈도우 10에서 루트킷을 찾아 차단하고 제거하는 방법

공격자들은 루트킷(rootkits)을 이용해 디바이스에 악성코드를 숨겨 오랫동안 발견되지 못하도록 한다. 이 기간 데이터나 리소스를 훔치거나 커뮤니케이션을 감시할 수 있다. 운영체제 기반 루트킷도 두렵지만 펌웨어 루트킷은 더하다. 둘 다 이를 박멸하는 프로세스와 절차를 피해 숨는다.  커널 또는 운영체제 루트킷은 수 년 동안 컴퓨터에 대한 위험한 위협이었다. 그리고 마이크로소프트가 2006년 마이크로소프트 비스타로 운영체제를 대대적으로 변경했다. 업체들에게 디지털 서명된 드라이버를 요구했는데, 이로 인해 프린터 드라이버에만 문제가 발생했을 뿐 아니라, 악성코드 작성자들도 공격 방식을 바꾸어야 했다. KPP(Kernel Patch PRotection) 때문에 악성코드 작성자는 디지털 서명 요건을 극복해야 했다. 그래서 고급 공격자들 또한 페이로드의 일환으로 루트킷을 사용하게 됐다. 루트킷은 집중적으로 사용되다가 수 년 동안 악성코드 결과물에서 차지하는 비율이 1% 미만이 되었다.   윈도우 루트킷을 재조명하게 된 Zacinlo 광고 사기 그리고 2018년 6월 Zacinlo 광고 사기 활동이 재조명되면서 우리는 다시 루트킷의 위험에 대해 걱정하게 됐다. 비트디펜더의 조사에서 밝혔듯, 이 루트킷 기반 악성코드는 6년 동안 사용되었지만 최근에서야 윈도우 10을 표적으로 삼게됐으며, 한 가지 중대한 변화를 거쳤다. 디지털 서명한 드라이버를 이용해 윈도우 10의 보호 장치를 우회한 것이다. 연구원들은 샘플 중 90%가 윈도우 10을 구동하고 있음을 발견했다. 기본적으로 루트킷은 기본적인 운영체제 청소 작업을 견디게 설계되고, 서명된 윈도우 10 드라이버에 주입되는데, 이것이 Zacinlo 악성 코드의 기능과 동일하다. 비트디펜더가 밝힌 Zacinlo의 구성요소는 다음과 같다. • 스스로를 보호하는 루트킷 드라이버와 기타 구성 요소. 애드웨어의 정지나 삭제를 방지하면서 그 기능에 위험하다고 간주되는 프로세스를 정지할 수 있다. &bul...

맬웨어 악성코드 루트킷 2019.02.19

마에스트로, 악성코드 탐지 및 사이버 위협 인텔리전스 서비스 연동해 ‘통합 보안 플랫폼’ 구성

마에스트로 네트웍스(www.maestronetworks.co.kr)는 자사의 지능형 보안 인텔리전스 플랫폼 ‘마에스트로 사이버보안 위협 인텔리전스 통합 플랫폼’에 악성코드 탐지 및 위협 인텔리전스 정보 서비스를 연동시켜 악성코드 탐지 성능을 강화했다고 밝혔다.  악성코드 탐지 및 분석 솔루션은 인터제르(www.intezer.com)의 ‘인터제르 애널라이즈’와 종합 위협 인텔리전스 서비스는 레코디드 퓨쳐(www.recordedfuture.com)의 ‘위협 인텔리전스 머신(Threat Intelligence Machine)’이다.  ‘악성코드 검증을 위한 자동화 시스템 및 방법’에 대한 특허를 취득한 마에스트로는 강력한 악성코드 탐지 및 사이버 위협 인텔리전스 서비스들을 연동시켜 하나의 통합 보안 플랫폼으로 구성함으로써 기업 내부에 수많은 보안 솔루션이 구축돼 있더라도 서로 유기적으로 통합 운영되지 못해 존재하던 보안 위협 사각지대를 없앨 수 있다고 설명했다.  마에스트로 악성코드 통합 검역시스템은 파일 유입 및 검증 단계에서 악성코드 탐지율을 크게 높이고 있으며, 실제 고객들로부터 그 성능을 검증 받아 정부특수기관과 공공 및 기업 고객을 다수 확보했다. 마에스트로 네트웍스는 잠재 고객 수요 발굴을 위해 지속적인 제품 교육 및 컨설팅 지원에 나서고 있다. 지능형 악성코드 통합 검역 시스템인 ‘마에스트로 사이버보안 위협 인텔리전스 통합 플랫폼’은 기업 내부로 유입되는 파일들에 대한 멀티 안티바이러스 스캔, 정적분석, 동적 행위분석, IP/도메인/URL 분석, 이메일 분석은 물론, 연관분석, 머신러닝, 코드 DNS 분석 등을 이용하여 악성코드를 탐지/분석/차단할 수 있는 지능형 보안 인텔리전스 통합 플랫폼이다.  사내에 구축돼 있는 다양한 엔드포인트·네트워크·이메일·웹 보안 솔...

악성코드 마에스트로 2019.02.08

이스트시큐리티, ‘2019년 북한 신년사 평가 내용’ 담은 APT 악성코드 발견

이스트시큐리티의 시큐리티대응센터(이하 ESRC)는 2019년 북한 신년사 평가 내용을 담고 있는 APT(지능형지속위협) 유형의 악성코드가 발견돼 각별한 주의가 필요하다고 당부했다. 해당 악성코드는 정부 기관의 공식 문건처럼 내용을 사칭하고 있으며, 2019년 1월 2일 오전에 제작된 최신 악성코드인 것으로 분석됐다. ESRC에 따르면, 매년 반복적으로 북한의 신년사 내용을 미끼를 활용해 한국의 특정인을 노린 표적 공격이 이어지고 있고, 공격자는 주로 이메일 첨부파일을 활용한 스피어 피싱(Spear Phishing) 공격을 활용하는 양상을 보여주고 있다. 실제로 지난 2017년과 2018년에도 이와 유사한 APT 공격이 발견된 바 있다. 다만 당시 발견된 공격은 HWP 문서 파일의 보안 취약점이 활용된 반면, 이번에는 EXE 실행 파일 형태로 제작됐고 파일 아이콘이 마치 정상적인 HWP 문서 파일로 보이게끔 위장하고 있는 것이 특징이다. ESRC는 해당 공격 코드를 분석한 결과 지난해 11월에 공개한 '작전명 블랙 리무진(Operation Black Limousine)' 공격을 수행한 조직과 동일한 조직의 공격으로 확인했으며, 이번 APT 공격을 ‘작전명 엔케이 뉴이어(Operation NK New Year)’로 명명했다. 만약, 이번 악성코드에 감염될 경우엔 공격자가 미리 설정해 둔 명령 제어(C2) 서버와 통신을 수행한 후, 키보드 입력 내용 수집(키로깅) 등의 개인정보 유출 시도 및 추가 악성코드 설치에 의한 원격제어 위협에 노출될 위험성이 높다. 또한 공격자가 악성코드에 감염된 사용자 PC로부터 정보를 수집하는 과정에서, 포털 이메일 서비스를 경유지로 악용하면서 안티바이러스 등 보안 솔루션의 탐지 우회 시도도 하는 것으로 확인됐다. ESRC 문종현 센터장은 "2019년 새해 연초부터 특정 정부가 배후에 있는 것으로 알려진 해킹 조직이, 한국을 상대로 은밀한 APT 공격을 수행하고 있어 각별한 주...

악성코드 이스트시큐리티 2019.01.04

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.