Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

악성프로그램

"다운로드 조심!" 1달 동안 숨었다 작동하는 암호화폐 채굴 멀웨어 발견

인기 소프트웨어 다운로드 사이트의 합법적 애플리케이션 설치 프로그램에 함께 묻어서 설치되는 다단계 멀웨어가 발견돼 사용자 주의가 요구된다. 암호화폐 채굴 프로그램이 포함된 악성 페이로드는 최대 1개월 동안 천천히 단계적으로 실행될 수 있다. 보안업체인 체크포인트 소프트웨어 테크놀로지스(Check Point Software Technologies)의 연구팀은 새로운 보고서에서 “소프트웨어 초기 설치 이후 공격자는 감염 과정을 몇 주 동안 지연시키면서 원래 설치된 흔적을 삭제했다. 따라서 수 년 동안 눈에 띄지 않고 성공적으로 작동할 수 있었다”라고 분석했다.   트로이 목마 형태의 멀웨어, 2019년부터 시작돼 체크포인트 리서치 부서에 따르면, 니트로코드(Nitrokod)라는 터키어를 구사하는 소프트웨어 개발자가 이 암호화폐 채굴 멀웨어의 배후인데, 이 멀웨어는 최소 2019년부터 확인된다. 니트로코드 웹사이트는 2017년부터 비디오 및 음악 변환기, 비디오 다운로더, 음악 플레이어 등의 무료 소프트웨어 애플리케이션을 제작해왔으며 설치 사용자 수가 약 50만 명이라고 주장하고 있다. 니트로코드의 트로이 목마형 프로그램 중 일부는 소프트피디아(Softpedia)나 업투다운(Uptodown) 같은 앱 다운로드 사이트에서 찾아볼 수 있다. 체크포인트가 분석한 앱은 구글 번역 데스크톱으로 불리며, 보통 브라우저형 웹 서비스로 사용할 수 있는 구글 번역 서비스의 데스크톱 애플리케이션 버전이다. 실제로 구글 번역 데스크톱 앱 자체는 앱 개발자가 자사 앱에 크롬 브라우저를 구현해 웹 콘텐츠를 표시할 수 있도록 하는 오픈소스 크롬 임베디드 프레임워크(CEF) 프로젝트를 이용해 만들어졌다. 따라서 니트로코드는 어렵지 않게 잘 작동하는 앱을 만들 수 있었다. 구글 번역 데스크톱 외에, 개발자는 얀덱스 번역 데스크톱(Yandex Translate Desktop), 마이크로소프트 번역기 데스크톱, 유튜브 뮤직 데스크톱, MP3 다운로드 관리자, PC 오토 셧다운(PC...

멀웨어 암호화폐채굴기 악성프로그램 2022.09.01

"새로운 RAT 발견…WHO 사칭하고 다양한 회피 기술 사용" 프루프포인트 보고서

보안 업체 프루프포인트(Proofpoint)가 새로운 RAT(Remote Access Trojan) 악성 프로그램 캠패인을 분석한 보고서를 공개했다. 네르비안 RAT(Nerbian RAT)로 이름 붙여진 악성 프로그램은 정교한 회피 기술을 사용하고 코로나19와 관련한 메시지를 악용해 전 세계 기업을 공격했다. 네르비안 RAT는 고(Go) 프로그래밍 언어로 작성됐으며, 오픈소스 고 라이브러리를 활용하고 분석 및 리버스 엔지니어링 방지 기능을 탐지하며 위협 활동을 벌인 것으로 파악됐다.   프루프포인트가 네르비안 RAT를 분석하기 시작한 것은 이탈리아, 스페인, 영국 소재의 기업에 무작위로 영향을 미친 시점인 4월 말부터다. 프루프포인트의 위협 리서치 및 탐지 부문 부사장 셰로드 드그리포는 성명을 통해 “이 연구는 악성 프로그램 제작자가 오픈소스 기능과 범죄 기회의 교차 지점에서 어떻게 공격 캠페인을 운영하는지 드러낸다”라고 설명했다. WHO 사칭, 코로나19 팬데믹 이슈 악용 프루프포인트 연구팀은 2022년 4월 26일부터 적은 규모의 악성 프로그램 공격 캠페인을 관찰했다. 해당 캠페인은 코로나19 관련 중요 정보를 공유하는 WHO(World Health Organization)라고 주장하는 이메일을 발송해 여러 산업 분야의 기업을 겨냥했다. 문제의 이메일에 첨부된 워드 문서에는 코로나19 안전 수칙, 자가 격리 및 치료와 관련한 정보가 함께 매크로가 포함돼 있었다. 연구팀은 “바이러스를 배포하기 위해 WHO를 사칭한 것은 지난 2020년 코로나19 팬데믹 초기에 사용된 방법과 유사하다”라고 말했다. 문서에는 아일랜드 정부와 보건서비스(Health Service Executive, HSE), 시각장애인협의회(National Council for the Blind of Ireland, NCBI)의 로고도 첨부돼 있었다. 매크로 공격과 코드 재사용의 위협  문서에 내장된 매크로는 실행 시 파워셸 IWR(Invoke-WebRequest)를 ...

네르비안RAT RAT 프루프포인트 2022.05.12

iOS 앱에 숨어 든 윈도우 악성 프로그램

윈도우 악성 프로그램이 애플의 눈을 속이고 iOS 앱스토어에서 이용할 수 있는 소프트웨어에 숨어든 것이 발견됐다.   문제의 악성 프로그램은 Win32/VB.CB로, 애플 iOS 앱이나 IS X 운영체제에는 아무런 영향을 미치지않는다. 하지만 윈도우 PC에서 아이폰이나 아이패드 앱을 다운로드해 모바일 디바이스와 동기화하는 사용자에게는 위협이 될 수 있다.   이 악성 프로그램은 애플 지원 포럼에 한 사용자가 알려 줬는데, ID deesto란 이 사용자에 따르면, 자신의 OS X 안티바이러스가 인스타그램용 인용 카드 프로그램인 인스타쿼츠(Instraquotes)가 감염됐음을 경고했다고 전했다.   이 사용자는 “단지 아이튠즈에서 앱 두 개를 다운로드했을 뿐이며, 그 중 하나가 클램Xav에 의해 바이러스로 표시됐다고”고 밝혔다.   이와 같은 경고 메시지에 대해 대부분은 안티바이러스 소프트웨어의 오탐일 것으로 생각했지만, 컴퓨터월드는 해당 앱이 실제로는 웜 바이러스를 숨기고 있었다는 사실을 확인했다.   컴퓨터월드는 해당 앱의 .ipa 아카이브를 윈도우 7 PC에서 추출해 마이크로소프트의 무료 안티바이러스 프로그램인 시큐리티 에센셜로 검사를 했다. 시큐리티 에센셜은 해당 파일이 감염됐다고 표시하고 Win32/VB.CB를 포함하고 있다고 경고했다.   마이크로소프트 웹사이트에 따르면, 이 웜 바이러스는 2008에 만들어진 것으로 보안업체에 따라 여러 가지 이름으로 불리고 있다. 또한 야후! 메신저를 통해 확산을 시도하고 원격 서버에 접속해 임의의 파일을 다운로드하려고 한다고 설명했다.   하지만 해당 웜 바이러스가 iOS 앱 속에서 발견됐다는 점을 감안할 때 앱 개발자의 PC가 웜에 감염됐을 뿐, 커다란 위협은 될 수 없다는 지적도 제기됐다.   ...

악성프로그램 윈도우 2012.07.25

플레임, "이란 공격 위한 미국과 이스라엘의 합작품" : WP

고도로 정교한 악성 프로그램으로 보안 업계에 충격을 준 플레임(Flame)이 미국과 이스라엘 정부가 이란의 핵연료 농축을 막기 위한 사이버 공격을 위해 준비했다는 보도가 나왔다.   워싱턴 포스트는 이 작전에 대해 알고 있는 익명의 서방 관리의 말을 빌려, 플레임의 목표가 이란 컴퓨터 네트워크의 정보를 모아 향후 사이버 공격을 위한 것이라고 보도했다.   지난 6월 1일 뉴욕타임즈는 스턱스넷이 미국과 이스라엘 정부의 코드명 올림픽 게임즈란 합동작전이었다고 보도한 바 있다. 스턱스넷은 이란 나탄 우라늄 농축 시설의 가스 응축기 1,000대의 파괴를 초래한 것으로 알려졌다.   그리고 지난 6월 11일 플레임 악성 프로그램을 연구하던 카스퍼스키 랩은 플레임과 스턱스넷이 공유 컴퓨터 코드의 형태로 관련성을 갖고 있다고 밝혔다. 또한 이런 정황을 모아 볼 때, 이 두 가지 악성 프로그램은 동일한 공격자 그룹의 지원을 받아 서로 다른 개발팀이 만들어 낸 것이라고 분석했다.   카스퍼스키랩의 글로벌 연구분석팀 수석 연구원인 로엘 슈벤버그는 플레임은 첩보 활동을 위해, 그리고 스턱스넷은 파괴 공작을 위해 만들어졌을 것이이라고 추정했다.   플레임이 발견된 것은 지난 5월로, 이란 석유 당국에서 일어난 일련의 알 수 없는 데이터 손실 사고를 조사하면서 그 존재가 파악됐다. 워싱턴 포스트는 실제 사이버 공격은 4월에 이뤄졌으며, 이스라엘이 미국도 모르게 작전을 수행한 것으로 전해졌다.   카스퍼스키랩은 플레임이 만들어진 시점을 2008년 상반기로 보고 있다. 스턱스넷이 처음 발견된 것은 지난 2010년 6월이지만, 첫번째 변종이 만들어진 시점은 2009년 6월로 추정되고 있다.   지난 2011년 9월에는 스턱스넷이나 플레임과는 별도의 사이버 첩보 악성 프로그램인 두쿠가 발견됐는데, 보안 연구원들은 두쿠의 아키텍처와...

맬웨어 악성프로그램 미국 2012.06.21

"불량 광고 몰아낸다" 페이스북, 트위터, 구글 연합

페이스북과 구글, 트위터, AOL이 이른바 “불량 광고”에 대응하기 위해 AIA(Ads Integrity Alliance, 광고 무결성 연합)을 결성했다. 악성 프로그램을 배포하거나 가짜 상품을 팔거나 사용자에게 직접 사기를 치려는 광고를 차단하겠다는 것.    이번 연합 결성을 주최한 스톱배드웨어(StopBadware)에 따르면 이번 연합에는 미국 인터넷 광고협회도 창립 회원으로 참여한다.   구글의 글로벌 공공정책 책임자인 에릭 데이비스는 블로그 포스트를 통해 “어떤 개별 기업이나 법 집행 기관도 웹 전반에서 이들 악역 배우들을 단독으로 제거할 수는 없다”고 강조했다.   데이비스는 스톱배드웨어가 지난 2006년부터 많은 웹 사이트와 서비스 업체, 소프트웨어 업체 간에 실시간 정보를 공유할 수 있도록 해 사용자들에게 경고를 하고, 웹 상의 악성 프로그램을 상당 수 제거해 왔다고 덧붙였다.    스톱배드웨어는 악성 프로그램이나 관련 소프트웨어를 보유하고 있거나 링크를 포함하고 있는 웹사이트라고 판명된 웹 사이트의 목록인 배드웨어 웹 사이트 정화소를 운영하고 있는 비영리단체이다.   연합은 불량 광고의 정의부터 업계 정책 권고안, 베스트 프랙티스 등을 개발해 공유한다는 포괄적인 계획을 밝혔다. 또한 이들 “악역 배우”에 대한 정보를 공유하고 관련 동향을 정책 입안자나 법 집행기관과도 공유할 계획이다.   지난 2011년 구글은 1억 3,000만 건의 광고와 80만 곳의 광고주를 정책 위반을 이유로 차단했다고 밝혔는데, 여기에는 가짜 상품이나 악성 프로그램을 홍보한 곳도 포함되어 있었다.,   하지만 구글을 비롯한 여러 웹 사이트가 이런 조처를 단행하면, 많은 경우 이들 사기 업체들은 다른 웹 사이트로 옮겨가 같은 광고를...

광고 구글 악성프로그램 2012.06.14

바운서로 재탄생하는 안드로이드 보안 : 안드로이드 엔지니어링 VP 인터뷰

구글이 자사 안드로이드 마켓을 위한 새로운 보안 시스템을 공개했다. 코드명 바운서(Bouncer)인 이 시스템은 마켓에 등록된 앱을 자동으로 검색해 악성 소프트웨어를 찾아낸다. 각 앱의 코드 속을 검사에 알려진 악성 프로그램을 찾아내고, 앱의 동작을 분석해 비정상적인 작동을 파악하며, 알려진 위협을 탐지하기 위해 이전에 분석된 프로그램과 비교하는 등의 작업을 수행한다. 또한 개발자 계정을 탐색해 과거 문제의 기록도 검색한다.   바운서는 내부적인 분석 이상의 작업도 수행한다. 마켓에 제출된 모든 앱을 클라우드 기반의 디바이스 시뮬레이터에서 구동해 어떻게 동작하는지를 파악하고 숨겨진 위험 요소를 색출해 낸다. 이처럼 새로 등록된 앱을 검사하는 것뿐만 아니라 마켓에 등록된 기존 앱을 지속적으로 분석해 전체 카탈로그에 대한 감시를 수행한다.   안드로이드 마켓이 악성 프로그램의 위험에 빠졌다는 보안 전문업체의 질타가 이어지는 상황에서 이런 내부 검사 시스템은 적절한 조처로 평가되고 있다. 보안 소프트웨어 업체들은 안드로이드 악성 프로그램의 위험 수위가 계속 높아지고 있다고 주장하지만, 실제로 구글의 자체 검사 결과는 다른 결과를 보이고 있다. 지난 해 개발 단계부터 조용히 구동되고 있던 바운서 시스템의 검사 결과에 따르면, 2011년 상반기와 비교해 하반기에는 안드로이드 마켓의 악성 앱 다운로드가 40%나 줄어드는 것으로 나타났다는 것이 구글의 설명이다.   구글의 안드로이드 엔지니어링 담당 부사장 히로시 록하이머와 새로운 악성 프로그램 탐지 시스템, 안드로이드 보안 현황, 그리고 미래의 모바일 기반 보안 위협에 대해 이야기를 나누었다.   바운서는 정확하게 어떤 것이며, 어떻게 구현됐는가? 안드로이드에게 있어 보안은 항상 중요한 요소였다. 핵심 운영체제의 측면에서 안드로이드는 많은 일이 일어났으며, 서비스는 또 하나의 퍼즐 조각이다. 바운서는 보장 정책이라고 생각한...

맬웨어 악성프로그램 마켓 2012.02.03

MySQL.com 악성 코드에 감염...루트 권한 3,000달러에 판매

오픈소스 MySQL 데이터베이스용 웹 사이트인 MySQL.com이 해킹되어 방문자들에게 악성 프로그램을 퍼트리는데 사용된 것으로 나타났다.   보안 전문업체인 아머라이즈(Armorize)는 27일 이런 문제를 발견하고 공지했다. 해커들은 자바스크립트 코드를 사이트에 심어 방문자들에게 다양한 브라우저 공격을 시도했는데, 이 때문에 구버전 브라우저나 패치를 하지 않은 플래시나 어도비 리더, 자바 등을 사용한 윈도우 기반 PC의 상당수가 악성 프로그램에 감염됐을 가능성이 있는 것으로 알려졌다.   아머라이즈의 CEO 웨인 후앙은 이 문제는 공지 후 6시간 만에 해결됐으며, 악성 코드가 활동한 시간은 하루가 채 못될 것이라고 밝혔다.   후앙은 해커가 블랙홀 키트를 이용해 사이트 방문자를 공격했다고 설명했지만, 아직 이들 해커가 심은 악성 소프트웨어의 목적이 무엇인지는 파악하지 못했다고 밝혔다. 일반적으로 사이버 범죄자들은 피해자의 패스워드를 훔치거나 가짜 안티바이러스 소프트웨어용 광고를 띄우기 위해, 또는 봇넷 컴퓨터를 만들기 위해 악성 프로그램을 설치한다.   MySQL.com 프로젝트를 관리하는 오라클은 아직 이 문제에 대한 조사를 진행하고 있으며, 공식적인 코멘트는 내놓지 않고 있다.   MySQL.com 같은 방문객이 많은 오픈소스 웹 사이트가 최근 들어 여러 차례 공격을 받고 있다. 리눅스 재단도 악성 소프트웨어 감염 때문에 Kernel.org, Linux.com 등의 여러 웹 사이트를 정지시켜야만 했다. 그리고 MySQL.com은 올해 초에도 공격을 받은 바 있다.   지난 3월 MySQL.om을 공격한 해커는 훔친 사용자 이름과 패스워드를 공개했으며, 이 데이터를 이용해 사이트를 다시 공격했을 가능성도 있다. 트렌드 마이크로의 수석 위협 연구원인 맥심 곤차로브는 러시아 지하 포럼에서 'sourc...

맬웨어 악성프로그램 해커 2011.09.27

"진저브레드도 안전하지 않다" 새 버전 노린 악성 프로그램 등장

안드로이드 2.3 진저브레드의 치명적인 취약점을 노린 악성 프로그램이 발견됐다. 샘플은 중국 다운로드 사이트의 정상 앱에 끼어들어 있었다.   초기에 구글 안드로이드를 노린 악성 프로그램들은 주로 구 버전의 버그를 악용했지만, 드로이드드림 등 널리 퍼진 악성 프로그램도 진저브레드 기반 스마트폰에는 침입하지 못했다.   지난 주 목요일 노스 캐롤라이나 주립대학의 컴퓨터 공학 조교수인 주지안 지앙은 자신의 연구팀과 베이징의 넷킨 모바일 시큐리티(NetQin Mobile Security)가  안드로이드 2.3을 루팅하거나 완전히 감염시키는 새로운 고위험도 악성 프로그램을 발견했다고 밝혔다.    지앙은 이 악성 프로그램을 “진저마스터(GingerMaster)”라고 명명했다. 또 자신의 블로그를 통해 진저마스터는 지난 4월 밝혀진 진저브레이크(GingerBreak) 취약점을 이용한다고 설명했다.   다른 대부분의 안드로이드 악성 프로그램과 마찬가지로 진저마스터 역시 불법 복제를 해 악성 프로그램을 심은 정상 안드로이드 앱 속에 숨어 있다. 사용자가 별다른 의심없이 감염된 앱을 다운로드하면, 스마트폰을 루팅해 완전한 액세를 확보하고 휴대폰에 담겨잇는 각종 개인 정보와 디바이스 ID, 전화번호 등을 긁어모아 C&C 서버로 전송한다. 또한 대기 상태에 있다가 다른 악성 프로그램을 다운로드할 수도 있다.    소포스의 대표 바이러스 연구원인 반자 스바서도 진저마스터 샘플을 확인한 후 지앙의 조사를 확인했다.   일부 감염된 앱은 구글의 공식 안드로이드 마켓에 숨어들기도 하지만, 대다수의 악성 프로그램은 대안 사이트를 통해 배포되며, 특히 몇몇 인기있는 중국 앱 마켓을 통해 많이 퍼지고 있다.    지난 달에도 지앙은 중국의 비공인 앱스토어에서 발견한 ...

맬웨어 악성프로그램 진저브레드 2011.08.24

구글, 검색엔진으로 악성 프로그램 감염 탐지

구글의 검색엔진이 이번에는 악성 프로그램과의 전투를 시작한 것으로 보인다.   특정 악성 프로그램에 감염된 사용자가 구글 검색엔진을 이용하면, 검색 결과 상단에 커다란 노란색 상자를 볼 수 있는데, 이 상자는 악성 프로그램 제거 방법을 설명하는 구글의 웹 페이지로 연결된다. 이 페이지는 안티바이러스 소프트웨어를 설치하거나 업데이트하라고 알려주며, 윈도우 PC에서 수동으로 악성 프로그램을 제거하는 방법도 제시한다.   구글은 해당 악성 프로그램에 대한 상세한 설명은 하지 않고 있으며, 단지 이 악성 프로그램이 프록시라는 매개 서버를 통해 인터넷 트래픽을 가로채기 때문에 검색엔진이 이들 서버로부터 오는 트래픽을 탐지할 수 있다고만 설명했다.   하지만 구글이 감시하고 있는 IP 주소는 비트디펜더나 트렌드마이크로 등의 보안 업체들이 트로이목마 사이트의 일부라고 표시한 것으로, 사용자들에게 가짜 안티바이러스 소프트웨어를 설치하도록 가짜 경고를 보내고 있다.    구글이 특정 프록시를 감시하고 있기 때문에 자체 프록시 서버를 사용하는 기업의 경우는 이런 경고 메시지를 받지 않는다. 구글은 기업이 이 악성 프로그램에 감염된 프록시를 보유할 수도 있으며, 이 경우 사용자의 PC가 깨끗하더라도 모든 사용자에게 경고 메시지를 발송할 수 있다고 밝혔다.   구글의 검색 엔지니어인 매트 커츠는 이에 대해 “감염된 것으로 보이는 시스템의 사용자에게 경고를 보내고 사용자를 보호하기 위한 실험”이라고 설명했다. 따라서 구글이 더 폭넓은 프록시 기반 악성 프로그램에 대해 이런 조처를 확대할 가능성도 높아 보인다.   하지만 구글이 보안 시장으로 진출하려는 것으로 확대 해석할 필요는 없어 보인다. 구글은 제거 방법을 알려줄 뿐, 감염된 사용자는 여전히 적절한 안티바이러스 소프트웨어를 사용해만 악성 프로그램을 제...

검색엔진 구글 맬웨어 2011.07.21

글로벌 칼럼 | 모바일 보안, “사용자 무관심 방치하지 말라”

올해 말까지 안드로이드 스마트폰의 시장 점유율이 선두주자인 iOS를 선두에서 밀어내고 50%에 육박할 것으로 기대된다. 하지만 안드로이드 마켓에 만연한 트로이 목마와 정상적인 앱으로 등록된 악성 소프트웨어 때문에 안드로이드 스마트폰과 태블릿의 보안은 매우 취약한 상황이다. 지난 주에만도 구글이 수개월 동안 안드로이드 마켓을 통해 버젓이 공급되던 상당수의 악성 소프트웨어를 추가로 삭제한 것으로 알려졌다.   데스크톱 운영체제와 마찬가지로 앱에 있어서도 안드로이드는 개방적인 특성과 함께 시장 점유율이 상승함에 따라 사이버 범죄가 기승을 부리기 시작했다. 반면에 애플 iOS의 경우, 앱 스토어를 꼼꼼히 관리한 덕에 상당한 수준의 보안을 유지하고 있다. 그렇다고 해서 iOS 자체의 보안 수준이 높은 것은 아니며, 단지 악성 소프트웨어의 앱 스토어 진입을 성공적으로 막고 있기 때문이라고 할 수 있다.   안드로이드의 방어체계를 우회하는 사용자들 안드로이드 마켓에 악성 소프트웨어가 점차 증가하는 상황에서 발생한 문제에 대한 기술적 해결책이 턱없이 부족하다는 사실이 가장 걱정스럽다. 블랙베리 OS나 iOS와는 달리 사용자는 안드로이드 기기를 완전히 통제할 수 없다. 그리고 구글이 안드로이드 내에 구축한 보안 메커니즘은 기기에 저장된 정보에 접속하려 하거나 다른 앱에 접속하려는 악성 소프트웨어에 접근을 허락하는 사용자들로 인해 쉽게 와해될 수 있다.    모바일 보안 전문업체인 불가드(BullGuard)의 CTO 클라우스 빌럼센은 "OS는 경고창을 표시하지만 사용자는 무작정 OK 버튼을 클릭해 버린다"고 말한다. 더 안 좋은 것은 이런 종류의 공격들이 모바일 크롬 브라우저의 허점을 이용해 허가 절차를 우회한다는 것.   빌럼센은 안드로이드 마켓에는 정상 앱으로 위장한 다수의 악성 앱이 존재하기 때문에 "안드로이드는 스파이웨어와 트로이 목마를...

맬웨어 모바일 악성프로그램 2011.06.21

"다운로드 소프트웨어, 14개중 하나는 악성코드"

다음에 영화를 보거나 문제를 해결하기 위해 새로운 소프트웨어를 다운로드 받을 때, 웹사이트는 '두 번 생각하라'고 말할 것이다. 다운로드는 프로그램에 악성 코드를 심을 수 있는 좋은 기회가 되기 때문이다. 마이크로소프트는 윈도우 사용자들이 다운로드한 14개의 프로그램 중 한 개에서 악성코드가 발견됐다고 발표했다. 심지어 마이크로소프트 인터넷 익스플로어 브라우저에 알려지지 않거나 신뢰할 수 없는 소프트웨어를 조종하도록 설계된 기능이 있어도, 약 5%의 사용자는 경고를 무시하고, 악성 트로이 목마 프로그램을 다운로드받고 있는 것으로 밝혀졌다. 5년 전에는 컴퓨터에 코드를 몰래 심어, 데이터를 가져가는 범죄가 성행했었다. 브라우저의 버그가 많고, 많은 사용자들은 패치에 익숙하지 않았기 때문. 그 이후 인터넷 보안이 진화되면서, 브라우저는 좀 더 안전해지고, 소프트웨어 개발자 역시 문제가 발생할 때마다 자동으로 신속하게 패치를 만들어 내고 있다. 이제 해커들이 스스로 해킹하지 않고 브라우저를 악용해 해킹에 이용하는 사례가 점점 늘어나고 있다. 최근 소셜 엔지니어링(social engineering)이라고 불리는 해킹 방법이 대두되고 있다. 아이섹 파트너이자, 해킹 사건을 처리하는 보안 컨설턴트 업체의 알렉스 스타모스는 "해커들은 사용자들이 트로이를 다운로드 받게 하는 것은 그다지 어렵지 않다는 것을 잘 알고 있다"고 말했다. 소셜 엔지니어링은 쿱페이스(Koobface) 바이러스를 페이스북에 전염시킨 방법이다. 사용자들은 친구에게 메시지를 받고 링크해 동영상을 본다. 동영상을 보기 위해서는 동영상 재생 소프트웨어를 다운로드 받아야하고, 해당 링크를 클릭하는 것이다. 그 소프트웨어가 사실 악성 코드인 것이다. 또한 소셜 엔지니어링 해커는 웹 페이지를 해킹해, 운영체제에서 띄우는 것처럼 설계된 가짜 안티바이러스 경고 메시지 팝업 창으로 피해자를 감염시키려고 한다. 이는 다운로드하면 바로 ...

다운로드 악성프로그램 트로이목마 2011.05.19

"하드 드라이브 삭제 위장" 윈도우 스케어웨어 주의보

윈도우 사용자들이 가짜 하드 드라이브 오류를 수정하는데 돈을 지불하도록 유도하는 사기가 극성을 부리고 있다. 실제로 오류 수정을 실행하면 중요한 파일이 삭제된다.   이것은 로그웨어(rogueware)라고 불리기도 하는 스케어웨어(scareware)의 변종으로 합법적인 소프트웨어처럼 보이지만 실제로는 사용자를 속이기 위한 상품광고이다. 대부분의 스케어웨어는 안티바이러스 소프트웨어로 위장하고 있다.   그러나 최근 시만텍 연구원인 이온 와드는 디스크 에러를 수정하고 데이터 액세스 속도를 높여주는 하드 드라이브 클린업 스위트로 위장한 신종의 스케어웨어를 발견했다고 밝혔다. 시만텍은 이 가짜 유틸리티를 “Trojan.Fakefrag”로 명명했다.   이러한 가짜 시스템 및 디스크 클린업 프로그램이 새로운 것은 아니지만, 이전 보다 더 강도가 세졌다는 평가다.   와드는 “Trojan.Fakefrag의 목표는 사용자의 하드 드라이브를 망치도록 설계된 가짜 윈도우 리커버리(Windows Recovery)를 구매하도록 하는 것이다”라고 설명했다.   이 악성 프로그램이 실행되면 모든 파일을 임시 폴더로 옮기거나 데스크톱 아이콘들을 사라지게 만든다. 이 모든 결과가 마치 진짜 윈도우 경고처럼 진행 된 후에 보인다.   스크린에는 “시스템 파일을 읽는 중에 에러가 발생했다. 하드 드디스크 드라이브 에러를 검토하기 위해 시스템 진단 유틸리티를 구동하라”라는 메시지가 나온다.     여기서 OK를 누르면 가짜 “윈도우 리커버리” 애플리케이션이 구동되며, 스캐닝 작업이 시작되는 것으로 보이고, 얼마 후에는 여러 가지 문제점이 나타났다는 보고가 나온다.   이어, 79.50달러짜리 윈도우 리커버리 제품을 구매하면, 이 문제점들을 고칠 수 있다...

맬웨어 시만텍 악성프로그램 2011.05.17

크롬, 위험한 다운로드 경고 추가

구글이 크롬 브라우저에 맬웨어 다운로드 경고 기능을 추가했다. 기존의 위험 사이트 경고 기능과 함께 악성 프로그램 다운로드시 경고를 해 주는 것이다.   의심스러운 소프트웨어 다운로드시 경고를 해 주는 인터넷 익스플로러 9(IE9)과 비슷한 기능이다.   구글은 자사의 세이프 브라우징(Safe Browsing) 서비스를 이용해서 다운로드를 검토한다. 크롬과 모질라의 파이어폭스, 애플의 사파리는 이미 의심스럽거나 안전하지 않은 사이트를 블랙리스트로 관리하면서 사용자에게 사이트의 위험을 알리는 세이브 브라우징 기능을 보유하고 있다.   이 세이프 브라우징이 크롬의 다운로드 차단 기능에도 데이터를 제공한다.     크롬 사용자가 세이프 브라우징의 블랙리스트에 있는 윈도우 실행파일(.exe)을 다운로드 하려고 할 때, “이 파일은 안전하지 않습니다. 계속 하시겠습니까?”라는 경고 문구가 뜬다.   구글은 이 세이프 브라우징을 확장함으로써 맬웨어를 차단할 수 있을 것으로 기대하고 있다.   “파일 다운로드 및 실행을 유도하기 위한 소셜 엔지니어링 매커니즘 등 새로운 공격 방법이 횡행하고 있으며, 새로운 기능은 이런 공격을 막기 위해서 만들어졌다”라고 말했다.   이 기능은 크롬의 ‘개발자’ 채널에서 테스트를 거친 후에 ‘안정’ 버전에 추가되거나 크롬 12에 포함될 예정이다. gkeizer@ix.netcom.com

다운로드 맬웨어 악성프로그램 2011.04.08

지켜봐야 할 4가지 가상화 보안 원칙

가상화 보안 전문가들 사이에서도 모바일과 스마트폰은 이른바 “핫 이슈”이다. 또한 많은 가상화 보안 관련 문제들이 IT 부문의 관심을 유발시키고 있다. 최근 샌프란시스코에서 열린 RSA 보안 컨퍼런스에서는 긍정적인 면에서 가상화 보안에 대한 관심이 고조됐다. IT 부서마다 가상화 과정에 대해 서로 다른 관점을 가지고 있으며, 일부는 여전히 물리적 세계의 관점에서 보안을 생각하고 있다.   IDC의 보안 제품 담당 프로그램 매니저인 필 호슈무스는 "가상 서버의 보안에 어떤 방식으로 접근해야 하느냐에 대해서는 아직도 많은 의문이 남아있다"고 지적했다.   가트너의 2010년 11월 보고서에 따르면, 2012년에는 기업 데이터센터에서 구동되는 워크로드의 절반 정도가 가상 서버나 클라우드 플랫폼 같은 가상 플랫폼을 기반으로 운영될 전망이다. 또 2015년까지는 기업 데이터센터 내부에서 관리되었던 보안 소프트웨어의 40%가 완전히 가상화될 것으로 보인다.   이 보고서를 공동 작성한 가트너의 부사장 닐 맥도널드는 "침입 방지 같은 기본적인 보안 툴은 가상 컴퓨터에서 제대로 기능을 발휘하지 못한다. 위치와 IP, MAC 어드레스를 통해 파악하기가 어렵고, 외부 소프트웨어를 통해 물리 서버에 위치한 가상머신 간 통신을 확인하거나 걸러내기가 쉽지 않기 때문"이라고 설명했다.   그리고 IT 부서들은 모든 패치를 업데이트했더라도, 특정 서버에 얼마나 많은 가상머신이 위치해 있는지조차 파악하기 힘들다.   이에 가상 보안 환경과 관련해 고려해야 할 몇 가지 사항을 짚어봤다.   1. 느린 서버가 안전한 서버다? 보안 소프트웨어를 워크로드에 추가하면, 물리 서버와 마찬가지로 자원을 잡아먹고, 성능을 떨어뜨린다. 가상 서버의 장점은 자원 측면에서 물리 서버보다 효율적이라는 점이다...

보안 악성프로그램 가상머신 2011.03.11

안드로이드 마켓, 악성 프로그램으로 “몸살”

구글의 안드로이드 모바일 운영체제용 앱 마켓에서 악성 프로그램을 담고 있는 앱이 50도 더 발견됐다. 이는 해커들이 모바일 디바이스를 감염시키기 위해 적지 않은 노력을 기울이고 있다는 것을 반증하는 것으로 평가되고 있다.   세 곳의 위장 개발업체로부터 나온 이들 50여 개의 앱들은 몇몇 합법적인 앱을 “드로이드드림(DroidDream)이란 코드로 재패키징한 것으로 나타났다. 드로이드드림은 디바이스로부터 많은 데이터를 외부로 보내는 기능을 가지고 있다. 모바일 보안 전문 업체인 룩아웃 모바일 시큐리티(Lookout Mobile Security)는 감염된 앱의 목록을 제시했는데, 이들 중 많은 수가 ”엄청 섹시한 벨소리“와 같은 성인용 제목을 자기고 있다.   룩아웃은 감염된 앱을 발견한 사람은 레드잇(Reddit) 웹 사이트에 관련 문제에 대해 글을 쓰는 롬폴로(Lompolo)란 사람이라고 전했다.   일부 앱은 원본과 똑같은 것으로 나타났지만, 이를 제공하는 업체가 달랐다. 이들은 Kingmall2010, we20090202 같은 이름을 사용하고 있었다.   롬폴로는 “나는 그냥 임의로 여러 앱들 중 하나를 분석하다가 이를 알아차리게 됐고, 전혀 그럴 것 같지 않은 곳이 제공업체라는 사실에 주목했다”고 말했다.   구글은 일부 의심스러운 앱을 배제하기 시작했다. 또한 구글이 이들 앱을 설치한 안드로이드폰의 앱을 원격으로 삭제할 가능성도 있다. 하지만 룩아웃은 “아직 활발한 조사가 진행 중인 상태이기 때문에 원격 삭제를 수행할 단계는 아닌 것으로 파악된다”고 밝혔다. 구글은 아직 이에 대한 공식적인 코멘트를 하지 않고 있다.   롬폴로는 자신이 분석한 앱 중 두 개에는 "rageagainstthecage"라는 루트 익스플로잇(Root Exploit)이 포함되어 있었다고 밝혔다. 이 루...

보안 악성프로그램 안드로이드 2011.03.03

IDG Deep Dive | 엔드포인트 보안의 기초

넷북, 스마트폰 등 네트워크로 연결되는 기기가 급속도로 늘어나면서 엔드포인트 보안의 중요성이 커지고 있다. 특히, 이들 다양한 디바이스를 통제해야 하는 IT 부서에게는 대응책 마련이 시급한 과제로 부상했다. "엔드포인트 보안의 기초”는 현실로 다가선 스마트폰 보안 위협 등 점점 복잡해지고 있는 엔드포인트 보안에 대한 현주소를 짚어보고, 효율적인 보안 방법의 대안으로 떠오른 화이트리스팅의 기본 개념과 제품들의 테스트 결과를 비교분석해 엔드포인트 보안에 대한 이해를 도울 것이다. 주요 내용 엔드포인트 보안의 현주소 / 점점 어려워지는 엔드포인트 보안과 IT 부서의 부담 더 이상 무시할 수 없는 스마트폰 보안의 현주소 맬웨어 차단하고 생산성 높이는 화이트리스팅 활용 기업의 스마트폰 도입, “똑똑한 보안이 필요하다” 보안 해결책을 제시하는 화이트리스팅 / 컴퓨터 보안에 대한 불편한 진실  

맬웨어 악성프로그램 엔드포인트 2010.04.15

소프트웨어 업데이트 프로그램 바꿔놓는 맬웨어 등장

보안연구원들이 다른 애플리케이션의 업데이트 기능에 덮어쓰기를 하는 방식의 악성 소프트웨어를 처음으로 발견했다. 이 악성 소프트웨어는 사용자들에게 또 하나의 장기적인 위험요소가 될 것으로 평가되고 있다.   베트남의 보안업체인 BKIS의 분석가 느구옌 콩 쿠옹은 이번에 발견된 악성 프로그램이 윈도우 PC를 감염시키는 것으로 스스로를 어도비 제품이나 자바 등의 다른 소프트웨어의 업데이트 프로그램으로 위장하고 있다고 밝혔다.   BKIS는 자사 보안 블로그를 통해 어도비 리더 9으로 위장해 AdobeUpdater.exe를 덮어쓰기하는 변종 악성 프로그램의 화면을 공개했다. 어도비 업데이트 프로그램은 새로운 버전이 나왔는지 주기적으로 점검하는 역할을 한다.   일반적으로 악성 프로그램의 사용자의 부주의나 특정 소프트웨어의 취약점을 이용해 시스템에 침투하며, 침투 후에는 명령을 받기 위해 DHCP 클라이언트를 열어 네트워크와 포트를 공유한다.   트렌드마이크로의 수석 보안고문 릭 퍼거슨은 업데이트 프로그램으로 위장한 악성 프로그램 역시 이런 면에서는 새로운 것이 없다고 밝혔다. 하지만 퍼거슨은 제대로 된 보안 소프트웨어는 이런 악성 프로그램을 탐지해 내지만, 감염된 사용자가 악성 프로그램을 제거해도 문제가 남는다고 지적했다.   퍼거슨은 “악성 프로그램을 제거하면 해당 소프트웨어의 자동 업데이트 기능도 함께 삭제된다”며, “이는 치명적인 취약점에 대한 패치 등을 다운로드할 수 없어 해커들에게 악용될 가능성이 여전히 남게 된다”고 설명했다.   이 경우 사용자가 수동으로 소프트웨어를 다시 다운로드해 설치해야 하지만, 단지 업데이트 기능 때문에 이런 작업을 다시 할 사용자는 많지 않을 것으로 예상되므로 사전 주의가 요구된다.  jeremy_kirk@idg.com

맬웨어 악성프로그램 업데이트 2010.03.26

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.