Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

트로이목마

“멀웨어 감염 여부 확인이 관건” 멀웨어 공격의 유형과 이에 대처하는 방법

멀웨어(Malware)는 악성 소프트웨어(Malicious software)의 약자로, 바이러스와 웜, 트로이 목마, 기타 유해한 컴퓨터 프로그램이다. 공격자가 파괴력을 행사하고 기밀 정보에 접근하는 데 사용된다. 핵심은 멀웨어가 특정한 기법이나 기술이 아닌, 의도된 악의적 사용을 기반으로 식별된다는 것이다. 멀웨어와 바이러스의 차이에 관한 질문은 그다지 적절하지 않다. 바이러스는 멀웨어의 일종이다. 즉, 모든 바이러스가 멀웨어인 것이다. 다만, 반대로 모든 멀웨어가 바이러스는 아니다.   멀웨어의 확신 및 사용자 기기 침투 방법 사용자는 바이러스, 트로이 목마, 웜이라는 단어를 혼용하는 경우를 많이 봤을 것이다. 실제로 이들 용어는 각 3가지 다른 멀웨어를 지칭하는 것으로, 복제 및 확산되는 방식이 서로 다르다.     웜 : 스스로 복제하고 컴퓨터 간에 확산되는 독립적인 악성 소프트웨어이다. 웜 제작자는 운영체제의 취약점을 파악한 후 웜을 생성한다. 웜 프로그램은 실행 중인 모든 컴퓨터에서 운영체제 취약점을 탐색하고, 불안정한 컴퓨터에서 스스로를 복제한다. 최초의 웜 프로그램은 스스로를 플로피 디스크와 같은 리무버블 미디어에 복사하고, 이 디스크가 다른 컴퓨터에 삽입될 때 또 한 번 스스로를 복제하도록 설계됐다. 하지만 오늘날 웜은 대부분 기업 네트워크나 인터넷을 통해 호스트에 연결된 취약한 컴퓨터를 찾는다. 바이러스 : 컴퓨터 코드 조각으로, 스스로를 다른 독립형 프로그램 코드 안에 주입한다. 그런 다음 해당 프로그램이 악의적 행위를 하도록 강제하며 스스로를 확산시킨다. 감염된 프로그램이 확산되는 방식은 웜과 동일하다. 다시 말해, 인터넷이나 로컬 네트워크를 통해 다른 컴퓨터에서 취약점을 찾는 것이다. 하지만 바이러스 코드는 합법적으로 보이는 프로그램 내부에 잠복해 있기 때문에 확산될 수 있는 다른 경로가 있다. 해커가 애플리케이션을 감염시킬 수 있다면, 바이러스 코드를 포함한 애플리케이션은 오픈소스 리포지토리, 앱 ...

멀웨어 바이러스 2022.02.17

안드로이드 루팅 트로이 목마 발견…정식 앱 스토어 배포에 광고까지

구글 플레이 스토어는 최근 몇 년간 악성코드를 더욱 잘 감시하고 공격에 대한 장벽을 높이며 과거보다 잘 대처했다. 하지만 정교하게 제작된 트로이 목마가 계속해서 구글 플레이 스토어에 침입하고 있다. 최근 발견된 앱스트랙에뮤(AbstractEmu)가 대표적이다. 유틸리티 앱으로 가장한 앱스트랙에뮤는 루트 취약점 공격으로 피해자의 장치를 완전히 통제할 수 있다.   보안 업체 룩아웃(Lookout) 연구진은 최근 발표한 보고서에서 “지난 5년 동안 루팅 악성코드 배포가 줄었기 때문에 앱스트랙에뮤는 아주 중요한 발견이다. 그동안 안드로이드 생태계가 성숙해지면서 여러 기기에 영향을 미치는 취약점 공격이 줄었고, 이로 인해 악성코드의 유용성도 줄어든 상황이다”라고 설명했다. 앱스트랙에뮤는 구글 플레이 스토어, 아마존 앱스토어, 삼성 갤럭시 스토어와 상대적으로 덜 알려진 앱토이드(Aptoide), APK퓨어(APKPure)에서도 발견됐다. 신뢰하는 앱 스토어에서 앱을 다운로드하면 모바일 장치의 공격 확률을 낮출 수 있지만, 절대적인 해법은 아니며 추가 보호 방안과 모니터링이 필요하다는 점을 일깨운다. 정기 OS 보안 패치가 적시에 배포되는 기기를 선택하고, 장치에 사용하는 앱 수를 제한하고, 불필요한 앱을 제거하는 것이 아주 중요하다.  자금 탈취 목적의 글로벌 작전일 가능성 있어 룩아웃에 따르면, 앱스트랙에뮤는 비밀번호 관리 도구, 앱 런처, 데이터 세이버, 주변 조명 관련 도구, 광고 차단 도구, 기타 유틸리티 앱으로 가장한 19개 앱에서 발견됐다. 구체적인 앱 명칭은 안티 애드 브라우저(Anti-ads Browser), 데이터 세이버(Data Saver), 라이트 런처(Lite Launcher), 마이 폰(My Phone), 나이트 라이트(Night Light), 올 패스워드(All Passwords), 폰 플러스(Phone Plus)다. 라이트 런처는 구글 플레이 스토어에서 1만 회 이상 다운로드된 앱이다. 앱스트랙에뮤에 감염된 앱은 모...

트로이목마 악성코드 2021.11.04

이란계 APT 공격 단체, 셸클라이언트 트로이목마로 항공우주·통신업체 공격

이란 기반 해커 그룹이 지난 2018년 개발된 트로이목마 프로그램을 사용해 항공우주 업체와 통신 업체를 공격한 것으로 조사됐다. 보안 업체 사이버리즌(Cybereason)이 고스트셸(GhostShell)이라고 이름 붙인 이번 공격 작전은 중동뿐만 아니라 미국과 유럽, 러시아까지 공격 대상으로 삼았다. 피해 기업의 인프라와 기술, 중요 자산에 대한 정보를 탈취하는 것이 목적이었다.   사이버리즌 조사에 따르면, 이번 작전은 멀카막(MalKamak)이라는 새로운 사이버 스파이 단체가 수행한 것으로 보인다. APT39(Chafer APT)와 아그리오스 APT(Agrius APT)처럼 이란 정부의 지원을 받는 조직과 연관됐을 가능성도 발견됐다. 셸클라이언트(ShellClient) RAT 멀카막이 사용한 악성코드 도구는 셸클라이언트(ShellClient)라고 불리는 RAT(remote access Trojan)다. 멀카막은 지난 2018년부터 이를 사용했으며, 기능을 개선한 다양한 버전을 최근까지 개발했다. 사이버리즌 조사팀은 “공격 단체는 바이러스 백신 프로그램이나 기타 보안 도구의 탐지를 피하기 위해 셸클라이언트 개발에 많은 노력을 기울인 것으로 보인다. 여러 난독화 기술과 악성코드 C&C를 위한 드롭박스 클라이언트를 적용해 탐지하기 어렵게 개발했다”라고 설명했다. 셸클라이언트는 오픈소스 도구 코스투라(Costura)를 활용해 제작된 것으로, 독립적인 압축 실행 파일이 포함돼 있어 외부 종속성이 없다. 지난 3년간 셸클라이언트가 발견되거나 문서화되지 않은 것도 이런 특성 때문이거나 혹은 여러 지역에 걸친 공격이라도 목표 지점을 매우 신중하게 소규모로 지정했기 때문으로 보인다. 셸클라이언트에는 실행 인자로 제어되는 3가지 배포 방식이 있다. 하나는 윈도우 설치 관리자 도구(InstallUtil.exe)를 사용해 시스템 서비스인 nhdService(Network Hosts Detection Service)를 설치하는 방법이다. 다른 하나는 ...

트로이목마 사이버스파이 멀카막 2021.10.07

솔라윈즈 트로이목마, 핫 패치와 손상된 모든 장비 격리 필요

솔라윈즈(SolarWinds)는 오리온 네트워크 모니터링 플랫폼 업데이트 버전에 포함된 트로이목마(Trojan)에 감염된 기업 고객에게 마이크로소프트, 시스코 등이 참여하는 새로운 소프트웨어 릴리스로 업데이트할 것을 권장했다.    솔라윈즈 오리온 네트워크 모니터링 소프트웨어를 사용하는 기업은 트로이목마의 심각한 영향에서 벗어나기 위해서는 핫 패치 및 잠재적으로 영향을 받을 수 있는 리소스를 격리해야 한다.  최근 로이터가 보도하고 파이어아이와 마이크로소프트의 보안 연구원이 자세히 설명한 이 공급망 공격은 국가 후원의 정교한 공격자가 솔라윈즈의 오리온 네트워크 모니터링 및 관리 소프트웨어 업데이트에 트로이목마를 심어 다양한 정부, 공공 및 민간 네트워크에 접속할 수 있게 된 것이다. 파이어아이에 따르면, 이 캠페인은 빠르면 2020년 봄부터 시작됐으며, 현재 진행 중이다.  시스코의 보안연구부서인 탈로스(Talos)의 연구원은 “솔라윈즈는 30만 명의 고객 가운데 1만 8,000명 미만이 손상된 업데이트를 다운로드했음을 확인했다”라며, “하지만 이 캠페인의 효과는 엄청날 것으로 보인다. 이 업체의 제품이 여러 고부가가치 기업에서 사용되고 있기 때문이다. 파이어아이에 따르면, 피해 기업은 북미, 유럽, 아시아, 중동의 정부기관과 컨설팅, 기술, 통신, 석유 및 가스회사 등이다. 또한 여러 보고서에 따르면, 미 재무부와 상무부도 포함되어 있는 것으로 알려졌다.  이 공격에 대응해 솔라윈즈는 핫 패치를 연이어 발표했다. 추가 핫픽스 릴리스인 2020.2.1 HF2는 12월 15일 제공됐다. 솔라윈즈 측은 2020.2.1 HF2 릴리스는 해킹된 구성 요소를 대체하고 몇 가지 추가 보안 향상 기능을 제공하기 때문에 모든 기업 고객은 오리온 플랫폼 2020.2.1 HF2로 업데이트할 것을 권장했다. 솔라윈즈는 “우리는 자사의 모든 소프트웨어 제품의 코드를 스캔해 오리온 플랫폼 제품에 대한 공격에 사용된 것과 유사한 ...

솔라윈즈 트로이목마 공급망공격 2020.12.21

루비 개발자를 공격하는 '루비젬스 타이포스쿼팅' 공격

프로그래밍 언어인 루비(Ruby)의 인기 서드파티 컴포넌트 리포지터리인 루비젬스(RubyGems)에 적법한 이름으로 가장한 악성 패키지 700여 개가 업로드됐다.   연구원에 따르면, 2월 한 주 동안 악성 패키지들이 업로드됐다. 이 악성 패키지에는 윈도우 컴퓨터에 실행할 때, 암호화폐 트랜잭션을 하이재킹하는 악성 스크립트가 포함되어 있었다. 수령인의 지갑 주소를 공격자가 통제하는 주소로 바꾸는 스크립트다. 최근 몇 년, 서드파티 컴포넌트 및 라이브러리를 통한 공급망 공격이 오픈소스 컴포넌트 리포지터리 사용자들에게 많은 피해를 줬다. 자바스크립트 및 파이썬 개발자들이 각각 사용하는 NPM과 PyPI(Python Package Index) 공격을 예로 들 수 있다. 가장 최근 루비젬스 공격에도 사용됐던 공격 기법 가운데 하나는 타이포스쿼팅(Typosquatting)이다. 이는 기존 패키지와 유사한 이름을 갖고 있지만, 실제는 개발자가 패키지 이름을 수동으로 입력하면서 잘못 입력해 발생하는 흔한 오자들을 이름으로 사용하는 악성 패키지를 퍼블리싱하는 공격 기법이다. 예를 들어, rspec-mocks 대신 rspec-mokcs를 사용하는 방식이다. 보호책이 거의 없는 소프트웨어 리포지터리 위협 인텔리전스 업체인 레버싱랩스(ReversingLabs) 공동 창업자 토미슬라프 페리신은 본지에 “소프트웨어 개발자가 리포지터리에서 다운로드받아 설치한 패키지에 악성코드가 포함되어 있지 않도록 만들 보호책이 거의 없다. 악성코드 탐지가 전문인 소프트웨어 공급업체들은 통상 개발자 환경과 통합되어 있지 않다. 현재 악성코드 탐지 임무는 엔드포인트 보호 솔루션으로 아웃소싱 되는데, 이런 솔루션은 최종 사용자를 표적으로 하는 여러 종류의 악성코드에 초점이 맞춰져 있다. 시장에 허점이 있고, 악성코드 개발자들이 이를 악용한다”라고 설명했다. 공격자가 암호화폐를 훔치는 데 관심을 뒀던 이번 공격의 경우에도, 이들이 사용한 클립보드 하이재킹 스크립트를 손쉽게 바꿔 피해자가 ...

트로이목마 루비 개발자 2020.04.21

신종 안드로이드 뱅킹 트로이목마, 오버레이 공격이 여전히 유효함을 입증

연구원들이 지난 몇 개월 동안 빠른 속도로 발전 중인 안드로이드 트로이 목마를 예의주시하고 있다. 이 트로이목마는 오버레이 공격을 사용해 뱅킹 및 기타 애플리케이션 사용자로부터 로그인 인증 정보와 결제 카드 정보를 훔친다.    긴프(Ginp)라는 트로이목마가 처음 발견된 시점은 2019년 10월이지만, 네덜란드 사이버보안 업체 스렛패브릭(ThreatFabric)에 따르면, 늦어도 6월부터는 활동을 시작했다. 긴프는 지난 5개월 동안 많은 부분이 개선됐는데 이 가운데에는 과거의 상용 뱅킹 트로이목마 아누비스(Anubis)에서 가져온 기능도 몇 가지 포함된다. 진화하는 위협, 긴프 긴프는 구글 플레이 베리피케이터(Google Play Verificator)라는 이름의 앱으로 위장한, 새롭게 만들어진 트로이 목마이며 디바이스에서 송수신되는 SMS 메시지를 훔친다. 8월에 나온 최근 버전에는 다른 열린 애플리케이션 위에 창을 표시하는 방식의 오버레이 공격이 추가됐다. 초기에는 구글 플레이, 페이스북, 왓츠앱, 크롬, 스카이프, 인스타그램, 트위터와 같은 인기있는 앱을 열 때 사용자에게 결제 카드 정보를 묻는 범용 오버레이 창을 사용했지만 이후 버전에는 탐지를 더 어렵게 하는 페이로드 난독화와 함께 대상 앱 목록에 스냅챗, 바이버가 추가되고 특정 뱅킹 앱을 위한 전용 오버레이도 추가됐다. 이달 초에 나온 최신 버전에서는 많은 부분이 바뀌었다. 제작자들은 올해 초에 유출된 다른 안드로이드 트로이목마인 아누비스의 코드를 복사해 오버레이 공격을 강화했다. 이제 공격 대상 앱이 스페인 은행 7개를 포함해 24개이며, 각 앱에 맞는 고유한 오버레이가 지휘 서버로부터 동적으로 로드된다. 이전의 범용 오버레이 방식도 여전히 사용되지만 대상은 구글 플레이에 한정되고 다른 소셜 및 유틸리티 앱에는 더 이상 범용 오버레이가 사용되지 않는다. 2019년 11월 버전은 공격 수법이 소셜 앱 사용자를 무작위로 노리는 방식에서 온라인 뱅킹 고객을 특정해 노리는 방...

트로이목마 뱅킹 오버레이 2019.11.26

이셋, 암호화폐 훔치는 ‘카스바네이로’ 뱅킹 트로이목마 주의 권고

이셋코리아(www.estc.co.kr)는 이셋(ESET) 본사가 라틴아메리카 뱅킹 트로이 목마인 카스바네이로(Casbaneiro)를 발견했으며 중남미 지역 뱅킹 이용자의 주의를 요한다고 권고했다.  카스바네이로는 이전에 발견된 아마발도(Amavaldo) 악성코드와 동일한 암호화 알고리즘을 사용하며 유사한 이메일 도구를 배포하고 있다. 이 악성코드는 사회공학기법을 이용해 피해자를 속이면서 아마발도의 가짜 팝업창 및 입력 폼을 모방한다. 이러한 공격은 일반적으로 소프트웨어 업데이트 설치, 신용카드 또는 은행 계좌 정보 확인과 같이 긴급하거나 필요한 조치를 취하도록 피해자를 유도한다.  피해자의 기기에 침투한 후에는 백도어 명령을 사용해 스크린샷을 찍고 다양한 은행 웹사이트에 대한 액세스를 제한하며 키 입력을 기록한다. 또한 카스바네이로는 암호화폐 지갑데이터에 대한 클립보드 내용을 모니터링하는 기술을 통해 암호화폐를 훔치는 데 사용되는 것으로 밝혔졌다. 이러한 데이터가 발견되면 악성코드는 해당 데이터를 공격자의 암호화폐 지갑으로 대체한다.  카스바네이로 악성코드는 여러 암호화 알고리즘을 이용해 실행 파일 내의 문자열을 가리고 다운로드한 페이로드 및 구성 데이터를 해독하는 데 사용된다. 카스바네이로의 초기 매개체는 악성 이메일인데, 이것은 아마발도가 사용한 것과 같은 수법이다.  카스바네이로의 가장 흥미로운 측면 중 하나는 C&C 서버 도메인과 포트를 숨기려는 운영자의 활동이라고 업체 측은 설명했다.  C&C 서버는 가짜 DNS 항목이나 구글 독스에 저장된 온라인 문서에 내장되거나 합법적인 기관을 모방하는 가짜 웹사이트에 내장되는 등 다양한 장소에 숨겨져 있다. 경우에 따라 C&C 서버 도메인은 암호화되어 합법적인 웹사이트에 숨겨져 있는 경우도 있는데, 특히 유튜브에 저장된 여러 동영상의 설명에서 두드러진다. 카스바네이로는 주로 브라질 및 멕시코 은행 애플리케이션을 대상으로 한다. editor...

트로이목마 이셋 2019.10.15

트로이목마의 의미와 동작 방법

트로이목마(Trojan horse)는 사용자가 원하는 무언가로 변장해 시스템 방어망을 뚫고 들어가는 악성코드의 한 종류다. 트로이목마의 목적은 다른 형태의 악성코드와 마찬가지로 컴퓨터를 장악하거나 손상을 가하는 데 있다. 트로이목마라는 명칭도 컴퓨터를 감염시키는 방식에서 유래됐다. 즉, 사용자가 원할 만한 무언가로 변장해 사용자 스스로 방어망 안쪽으로 가지고 들어오도록 유도한다.   트로이 전쟁 이야기에서 그리스 군은 트로이의 성벽을 뚫지 못하자 나무로 만든 커다른 말 안에 병력을 숨긴 다음 이 말을 트로이 도시 성문 바깥에 뒀다. 트로이 군은 이 나무 말이 신의 선물이라고 생각해 도시 안으로 가지고 들어왔고, 그 안에 숨은 그리스 병사들은 밤을 틈타 오디세우스의 지휘 아래에 도시를 파괴하고 사람들을 학살했다. 사이버 공격자도 오디세우스와 마찬가지로 탐스러운 미끼를 던져 놓고 사용자가 이 미끼를 물어 네트워크 내부로 악성코드를 가지고 들어가기를 기다린다. 선물을 들고 있는 그리스인을 조심하라는 말이 있듯이 선물을 든 온라인의 낯선 사람 역시 조심해야 한다. 트로이목마와 바이러스 트로이목마는 바이러스일까. "트로이목마 바이러스"라는 말을 종종 볼 수 있지만 엄격히 말하면 정확하지 않은 표현이다. 트로이목마와 바이러스는 서로 다른 방식으로 컴퓨터를 감염시키는 서로 다른 유형의 악성코드를 가리킨다(악성코드 유형에 대한 본지의 기사를 참조하라).  트로이목마 악성코드는 트로이 전쟁사의 트로이목마와 마찬가지로 안에 악의적인 내용물을 숨긴 채 무해한 무언가로 변장해 사용자가 안으로 가지고 들어가게끔 유도한다. 반면 바이러스는 생물학적 의미의 바이러스와 마찬가지로 숙주 프로그램의 코드 안에 침입한 다음, 이 숙주를 사용해 스스로를 퍼뜨리고 복제한다. 이 과정에서 사용자의 개입은 필요 없다(웜은 또 다른 유형의 악성코드로, 숙주 애플리케이션 없이 복제, 확산되는 프로그램이다). 정확하게 알기 위해서는 이와 같은 차이점의 구분이 중요하다. 본지는...

트로이목마 trojan Trojan horse 2019.06.24

악성코드의 9가지 유형과 이를 탐지, 제거하는 방법

사람들은 보안 용어를 아무렇게나 사용하는 경향이 있다. 하지만 얼마나 다양한 악성코드(Malware)가 확산되어 있는지 알아야 차단하고 제거할 수 있다. 때문에 악성코드 분류를 간소화하는 것이 중요하다. 이번 기사는 전문가들과 대화할 때 악성코드 용어를 이해하는데 도움이 될 것이다.   1. 바이러스 대부분의 매체와 일반 최종 사용자는 뉴스에 보도되는 모든 악성코드 프로그램을 컴퓨터 바이러스라고 부른다. 다행히도 대부분의 악성코드 프로그램은 바이러스가 아니다. 컴퓨터 바이러스는 피해자의 파일이 실행되었을 때 바이러스도 실행되어 다른 정상적인 호스트 파일(또는 이에 대한 포인터)를 수정한다. 요즘은 순수한 컴퓨터 바이러스가 흔하지 않으며 전체 악성코드의 10%가 되지 않는다. 좋은 일이다. 바이러스는 다른 파일을 "감염"시키는 유일한 유형의 악성코드다. 해당 악성코드는 정상적인 프로그램에서 실행하기 때문에 특히 청소하기가 어렵다. 항상 쉽지 않은 일이었고 지금은 거의 불가능에 가깝다. 최고의 안티바이러스 프로그램도 이와 관련해 어려움을 겪고 있으며 많은 경우에 단순히 감염된 파일을 격리하거나 삭제한다. 2. 웜(Worm) 웜은 컴퓨터 바이러스보다 훨씬 오래 전인 메인프레임(Mainframe) 시대부터 있었다. 이메일로 인해 1990년대에 유행했고 컴퓨터 보안 전문가들은 메시지 첨부 파일로 도착하는 악성 웜에 약 10년 동안 시달렸다. 한 사람이 웜에 감염된 이메일을 열면 기업 전체가 즉시 감염되었다. 웜의 감염 특성은 자기 복제다. 악명높은 아이러브유(Iloveyou) 웜을 예로 들어보자. 발생 당시에 전 세계의 거의 모든 이메일 사용자가 감염되어 전화 시스템이 (사기 전송 문자 메시지로 인해) 과부하되고 텔레비전 네트워크가 다운되었으며 필자의 석간 신문도 반나절이나 지연되었다. 이 외에도 SQL 슬래머(SQL Slammer)와 MS 블래스터(MS Blaster) 등의 웜이 컴퓨터 보안 역사에 한 획을 그었다. 효과적인 웜은 ...

바이러스 악성코드 애드웨어 2019.05.09

지금 ‘핫’한 사이버보안 트렌드 7가지와 열기가 식고 있는 트렌드 4가지

기술 산업은 역동적이고, 끊임없이 변화한다. IT 보안 산업에 종사하고 있다면, 악성 해커들이 개발한 기법 때문에 변화가 강요될 수도 있는 특이한 상황에 놓인다. 이 산업에는 항상 새로운 무엇이 등장하고, 반대로 유용도가 크게 떨어지는 기법과 도구들도 있다. 기술 보안 트렌드의 온갖 ‘하이프’ 가운데 진짜를 파악하기 정말 힘들 수 있다. 판매할 제품이 있는 회사들은 자신이 시장의 첨단을 걷고 있다고 설득하려 들기 때문이다. 우리는 진짜 ‘핫’한, 또는 열기가 식은 보안 트렌드를 파악하는 데 도움을 주기 위해, 비용부터 효과성까지 중요한 통계들을 조사해 이런 트렌드들을 선정했다.   11가지 ‘핫'한(그리고 핫하지 않은) 사이버보안 트렌드: 1. Hot - 크리덴셜 스터핑 2. Hot - 협업 앱 보안 3. Not - 랜섬웨어 4. Hot - 은행(금융) 트로이 목마 5. Hot - 사물 인터넷 6. Not - 인공 지능 7. Hot - 양자 암호화 8. Hot - 피싱 9. Not – 바이러스 백신(안티바이러스) 10. Hot - 다중 인증 11. Not - 블록체인   Hot - 크리덴셜 스터핑(Credential stuffing) 매년 대기업에서 수백만 개의 사용자 이름과 암호가 침해당하는 중대 해킹 사고가 연이어 발생한다. 이런 해킹 공격은 공격자가 훔친 수 많은 크리덴셜을 이용해 다양한 웹사이트에 자동 로그인 공격을 하는 이른바 크리덴셜 스터핑을 초래한다. 많은 사람들이 여러 사이트에서 동일한 사용자 이름과 암호를 사용하고 있는 데, 공격자가 이를 악용하는 것이다. 자동 공격이기 때문에 훔친 로그인 크리덴셜 가운데 아주 적은 비율만 일치해도 공격할 가치가 있다. 패스워드핑(PasswordPing)을 공동 창업한 크리스텐 란타 하이칼 윌슨 제품 관리 책임자 겸 CMO는 “사용자 크리덴셜을 더 안전하게 만들어야 한다. 기업과 기관은 로그인, 비밀번호 재...

트로이목마 블록체인 다중인증 2019.03.14

“2018년 2분기, 모바일 뱅킹 트로이목마 기승”…카스퍼스키랩

카스퍼스키랩의 2분기 IT 위협 진화 보고서를 인용해, 모바일 뱅킹 트로이목마가 2018년 2분기 사이버 보안의 새로운 골칫거리로 부상하고 있다고 밝혔다. 보안 솔루션의 탐지를 피해 악성코드를 유포하기 위한 트로이목마의 변종인 모바일 뱅킹용 설치 패키지의 수가 6만 1,000개를 넘어 사상 최고치를 기록했다. 이 숫자는 2018년 1분기 대비 3배 이상, 2017년 1분기의 설치 건수 대비 2배 이상 증가한 것이다. 모바일 뱅킹 트로이목마는 모바일 사용자의 은행 계좌에서 바로 돈을 훔칠 수 있도록 설계된 악성코드 가운데 가장 악명 높은 유형으로 꼽힌다. 쉽게 돈을 벌 수 있는 방법을 찾고 있는 사이버 범죄자들에게 이런 유형의 공격은 매력적인 수단이 아닐 수 없다. 악성코드는 주로 합법적인 앱으로 위장해 사람들을 유인한다. 일단 사용자가 뱅킹 앱을 실행하면 트로이목마가 뱅킹 앱의 인터페이스 위에 가짜 인터페이스를 덧씌워 사용자가 자격 증명을 입력할 경우 악성코드가 이 정보를 훔친다. 2018년 2분기에 이런 유형의 트로이목마가 6만 1,045개로 크게 증가하면서 카스퍼스키랩이 이 유형의 악성코드를 추적한 이래 가장 높은 수치를 기록했다. 이 가운데 가장 많은 수를 차지하고 있는 것이 Hqwar라는 트로이목마 제작자가 만든 것으로, 발견된 변종의 약 절반이 이 악성코드와 관련되어 있다. 2위는 Agent라는 트로이목마로, 약 5,000개의 패키지가 발견되었다. 2018년 2분기, 전체 모바일 악성코드 피해자 대비 모바일 뱅킹 악성코드의 피해를 가장 많이 입은 상위 3개국은 미국(0.79%), 러시아(0.7%) 및 폴란드(0.28%)이다. 2018년 1분기와 비교하면 러시아와 미국의 순위가 바뀌었으며 폴란드는 Trojans.AndroidOS.Agent.cw 및 Trojan-Banker.AndroidOS.Marcher.w 변종의 광범위한 확산으로 인해 9위에서 3위로 순위가 대폭 상승했다. 카스퍼스키랩의 전문가에 따르면 이러한 결과는...

트로이목마 카스퍼스키랩 2018.08.20

“다 같은 바이러스가 아니다” 악성코드의 8가지 유형과 차이점

사람들은 보안 용어를 아무렇게나 사용하는 경향이 있다. 하지만 얼마나 다양한 악성코드(Malware)가 확산되어 있는지 알아야 억제하여 제거할 수 있기 때문에 악성코드 분류를 간소화하는 것이 중요하다. 이 간략한 악성코드 목록은 전문가들과 대화할 때 악성코드 용어를 이해하는데 도움이 될 것이다. 1. 바이러스 대부분의 매체와 일반 최종 사용자는 뉴스에 보도되는 모든 악성코드 프로그램을 컴퓨터 바이러스라고 부른다. 다행히도 대부분의 악성코드 프로그램은 바이러스가 아니다. 컴퓨터 바이러스는 피해자의 파일이 실행되었을 때 바이러스도 실행되어 다른 정상적인 호스트 파일(또는 이에 대한 포인터)를 수정한다. 요즘은 순수한 컴퓨터 바이러스가 흔하지 않으며 전체 악성코드의 10%가 되지 않는다. 좋은 일이다. 바이러스는 다른 파일을 "감염"시키는 유일한 유형의 악성코드이다. 해당 악성코드는 정상적인 프로그램에서 실행해야 하기 때문에 특히 청소하기가 어렵다. 항상 쉽지 않은 일이었고 지금은 거의 불가능에 가깝다. 최고의 백신 프로그램도 이와 관련하여 어려움을 겪고 있으며 많은 경우에 단순히 감염된 파일을 격리하거나 삭제한다. 2. 웜(Worm) 웜은 컴퓨터 바이러스보다 훨씬 오래 전인 메인프레임(Mainframe) 시대부터 있었다. 이메일로 인해 1990년대에 유행했고 컴퓨터 보안 전문가들은 메시지 첨부 파일로 도착하는 악성 웜에 약 10년 동안 시달렸다. 한 사람이 웜에 감염된 이메일을 열면 기업 전체가 즉시 감염되었다. 웜의 감염 특성은 자기 복제이다. 악명 높은 아이러브유(Iloveyou) 웜을 예로 들어보자. 발생 당시에 전 세계의 거의 모든 이메일 사용자가 감염되어 전화 시스템이 (사기 전송 문자 메시지로 인해) 과부하되고 텔레비전 네트워크가 다운되었으며 필자의 석간 신문도 반나절이나 지연되었었다. 이 외에도 SQL 슬래머(SQL Slammer)와 MS 블래스터(MS Blaster) 등의 웜이 컴퓨터 보안 역사에 한 획을...

바이러스 악성코드 트로이목마 2018.07.26

카스퍼스키랩, 스위처 트로이목마의 출현 발견

카스퍼스키랩은 진화된 형태의 안드로이드 OS 악성코드인 스위처(Switcher) 트로이목마를 발견했다고 발표했다. 이 스위처 트로이목마는 먼저 안드로이드 기기 사용자를 매개체로 삼아 Wi-Fi 라우터를 감염시킨다. 그런 다음 해당 라우터의 DNS 설정을 변경시켜 해당 Wi-Fi 라우터와 연결된 기기를 해커가 제어하는 웹사이트로 트래픽을 교묘하게 접속하게 해 결국 많은 사용자가 피싱이나 악성코드, 애드웨어와 같은 공격에 노출된다고 업체 측은 설명했다. 현재까지 스위처 트로이목마에 감염된 무선 네트워크는 중국을 중심으로 1,280개에 달하는 것으로 알려져 있다. DNS(Domain Name System)는 ‘x.com’과 같이 읽을 수 있는 문자로 구성된 웹 주소를 숫자로 이뤄진 IP 주소로 변환하는 서비스이다. 스위처 트로이목마가 이 변환 과정에 침투하면 인터넷 트래픽과 같이 주소 변환 시스템을 사용하는 네트워크 활동을 고스란히 장악한다. 일반적으로 무선 라우터는 네트워크 내 모든 기기의 DNS 설정을 자체적으로 재구성하므로 이 같은 공격 방법은 효과적이다. 모든 사용자가 하나의 악성 DNS를 사용할 수밖에 없도록 강제하기 때문이다. 스위처 트로이목마는 주로 사용자들이 해커가 운영하는 웹사이트에서 악성코드를 다운로드하는 방식으로 감염된다. 정상적인 프로그램으로 가장한 이 악성코드는 두 가지로, 하나는 중국 검색 엔진인 바이두의 안드로이드 클라이언트로 위장한 버전이며 또 하나는 Wi-Fi 네트워크 정보를 공유하는 중국의 유명 앱인 WiFi만능월시를 위조한 버전이다. 감염된 기기가 무선 네트워크와 연결되고 나면, 스위처 트로이목마는 라우터를 공격하고 사전에 정의된 암호 목록과 로그인 조합을 무작위로 대입해 라우터의 관리자 인터페이스로 침투하려는 시도를 한다. 침투 시도가 성공하면 기존 DNS 서버를 해커 조직에서 제어하는 악성 DNS로 교체하고, 메인 DNS가 다운될 경우에 대비해 보조 DNS까지 마련해 놓는다. 해커...

트로이목마 카스퍼스키랩 2017.01.05

중국발 안드로이드 악성코드 '허머', "세계 최대 규모로 확산"

포르노 앱을 은밀히 설치하는 악성코드가 수백만 대의 기기에 설치된 상태다. 이 규모는 모바일 트로이 목마 가운데 세계 최대 규모라는 분석이다. 보안 및 유틸리티 앱 제조업체 치타 모바일(Cheetah Mobile)에 따르면, '허머(Hummer)'라고 불리는 이 악성코드는 일반적인 안드로이드 앱을 흉내내는 일련의 트로이목마다. 이 연구원들은 "허머를 2014년부터 추적해왔다"며, "이 악성코드는 하루에 100만 대 이상 감염시키는 등 다른 모바일 트로이목마를 압도하고 있다"고 블로그 포스트를 통해 밝혔다. Credit: Cheetah Mobile 주요 감염 지역은 인도, 인도네시아, 터키, 중국, 멕시코다. 미국과 유럽 지역에도 감염자가 있다. 허머 트로이목마에 감염된 이후, 사용자는 유튜브나 여타 구글 서비스에 접근할 수 있게 됐다고 생각하게 된다. 그러나 실은 허머가 사용자가 기기를 '루팅'해 관리자 권한을 획득하는 것이다. 허머는 이후 게임나 포르노 관련 앱 등 사용자가 원하지 않는 여러 앱을 설치하거나 또 수많은 팝업 광고를 띄운다. 심지어 1시간 내에 2GB 용량의 데이터를 소진시키기도 한다는 설명이다. 이 악성코드를 감지해 삭제해도 재설치되는 기능도 갖췄다. 치타 측은 특히 공장 초기화를 하더라도 삭제되지 않는다며, 이 악성코드를 삭제할 수 있는 앱을 제시했다. 치타 측은 악성코드 개발자가 광고 및 앱 설치의 대가로 약 50만 달러를 벌어들였을 것으로 추정하며, 연관 이메일 계정으로 볼 때 중국에서 개발된 것이 유력하다고 분석했다. 허머를 비롯해 여러 안드로이드 악성코드에 감염되지 않기 위해서는 신뢰할 수 없는 출처에서 다운로드한 앱을 설치하지 않는 것이 가장 중요하다. 그러나 이는 특히 중국에서 쉽지 않은데, 중국에서는 구글 플레이에 접속할 수 없기 때문이다. 한편 카스퍼스키도 허머 악성코드를 탐지했다고 밝혔는데, 이...

악성코드 트로이목마 허머 2016.07.01

시만텍, 스팸메일로 금융 관련 트로이목마 ‘드라이덱스’ 확산 경고

시만텍(www.symantec.com)이 금융 정보를 수집하는 트로이목마 ‘드라이덱스(Dridex)’가 매일 수 백만 건의 스팸 메일을 통해 대규모 확산되고 있다며 사용자의 각별한 주의를 당부했다. 금융 정보 탈취가 주목적인 드라이덱스(W.32.Cridex)는 현재 활동 중인 금융 관련 트로이목마 중에서 가장 위험한 유형에 속하며, 전세계 40여 개 지역의 300여 기업의 고객을 타깃으로 하고 있다. 2015년 ‘다이어(Dyre)’와 함께 가장 맹위를 떨친 금융 트로이목마인 드라이덱스는 특히 대규모 스팸 캠페인을 통해 확산되고 있어 위험도가 높다. 시만텍의 분석 보고서에 따르면, 10주 기준으로 최소 145건의 드라이덱스 스팸 공격 캠페인이 발견됐다. 공격 한 건 당 시만텍이 차단한 메일은 평균 27만1,019건으로, 이는 하루에만 발송되는 스팸 메일이 수 백만 건에 달한다는 것을 보여준다. 드라이덱스 공격자들은 지속적으로 악성코드를 강화하고, 적법한 이메일로 위장하기 위해 다양한 방법을 사용하고 있다. 실제 드라이덱스 스팸 공격의 74%는 발신인 주소뿐만 아니라, 이메일 본문에도 실제 기업명을 빈번하게 노출시켰다. 또한, 대다수의 스팸 공격이 인보이스, 영수증, 주문서 등과 같은 금융 관련 이메일로 위장해 피해자들을 속였다. 시만텍은 지난 한 해동안 다양한 지역에서 드라이덱스 감염이 탐지됐다고 밝혔다. 특히 미국, 영국, 호주와 같은 영어권 국가의 은행 고객을 표적으로 삼고, 영어로 된 스팸 공격 건수가 많아 해당 지역에서 높은 감염률을 보였다. 이러한 영어권 국가 외에도, 유럽 및 아시아태평양 지역의 국가들도 공격자들의 타깃이 되고 있었다. 한국에서도 감염 사례가 보고되었다. 현재도 활발한 드라이덱스 공격의 활동 수준을 볼 때, 그 배후에는 대규모 사이버 범죄 집단이 있는 것으로 파악된다. 미 법무부는 동유럽의 몰도바와 그 외 지역에 있는 범죄자들이 드라이덱스 봇넷을 운영하고 있다고...

시만텍 트로이목마 2016.03.07

지금껏 출현한 악성코드 가운데 27%, 2015년에 만들어졌다

2015년은 악성코드의 해라고 할 만큼 기록적인 수치를 보였다. 판다시큐리티(Panda Security)의 한 보고서에 따르면, 2015년에 8,400만 개 이상의 새로운 악성코드 샘플이 수집됐다. 판다시큐리티의 판다랩스 기술책임 루이 콜론스는 "이런 수치는 하루 평균 약 23만 개의 새로운 악성코드 샘플들이 만들어진 것으로, 지금껏 출현한 모든 악성코드 가운데 27%가 지난해에 만들어진 것"이라고 밝혔다. 주요 악성코드 가운데 트로이목마(51.45%)가 1위를 유지했으며, 뒤를 이어 바이러스(22.79%), 웜(13.22%), 애드웨어와 같은 원하지 않는 프로그램(10.71%), 스파이웨어(1.83%) 순이었다.  콜론스에 따르면, 다수의 악성코드 변종이 급증하고 있는 반면, 안티바이러스 소프트웨어도 탐지, 방어 기술이 나날이 증가하고 있다. 콜론스는 "요즘 공격자들은 방어 시스템에게 다르게 보이는 악성코드를 좀더 빠르게 변형할 수 있는 자동화된 소프트웨어를 갖고 있다"고 말했다. "이로 인해 감염된 웹사이트는 접속한 사용자들은 조금씩 다른 버전의 트로이 목마에 감염된다"고 설명했다. 17년 전, 그가 처음 악성코드를 연구할 때 공격자들은 하루당 100개의 새로운 변형 악성코드를 보았다. 콜론스는 "당시 우리는 이를 미쳤다고 생각했다. 연구소 내 모든 프로세스들이 꽤나 수동적였기 때문에 그것도 미친 짓이었다"고 말했다. 콜론스는 "그러나 방어자들은 좀더 나아지고 있다. 예를 들어, 판다랩스는 이전에 본 적이 없는 파일을 보고 있다면 그것은 추가적인 정밀조사를 해야 하는 지표가 된다. 이는 클라우드 기술의 급속한 확산으로 가능해졌다"고 설명했다. "우리가 지금껏 본적이 없었던 새로운 파일을 본다는 것은 이 파일이 세상 어느 곳에서도 본적이 없던 것을 보는 것"이라고 말했다. 게다가 안티바이러스 개발업체들은 악성코드 샘플...

악성코드 트로이목마 2016.02.01

시만텍, 한국 겨냥한 신종 트로이목마 '듀저' 확산 경고

시만텍(www.symantec.co.kr)이 최근 한국 기업을 겨냥한 신종 백도어 트로이목마 ‘듀저(Duuzer)’를 발견, 국내 이용자의 각별한 주의를 당부했다. 듀저는 웜(worm) 바이러스 ‘브램블(Brambul)’과 백도어 트로이목마 ‘조납(Joanap)’과 같이 한국을 겨냥한 악성코드들과 연관성이 있는 것으로 분석됐다. 시만텍 보안위협대응센터(Symantec Security Response)에 따르면, ‘백도어·듀저(Backdoor.Duuzer)’ 악성코드는 표적 공격에 이용되는 위협으로서 주로 스피어 피싱(spear-phishing) 이메일이나 워터링홀(watering-hole) 공격을 통해 확산되는 것으로 추정된다. 현재까지의 분석에 따르면, 이 악성코드는 한국 기업 및 기관을 주로 겨냥해 컴퓨터를 완전 장악하고 데이터를 탈취하는 것으로 밝혀졌다. 듀저 트로이목마 악성코드는 32비트와 64비트 컴퓨터에서 모두 작동하며, 일단 컴퓨터를 감염시키면, 컴퓨터의 백도어를 통해 ▲시스템 및 드라이브 정보 수집 ▲프로세스 생성, 나열 및 종료 ▲파일 접근, 변경 및 삭제 ▲파일 업로드 및 다운로드 ▲파일의 시간 속성 변경 ▲명령어 실행 등 거의 모든 작업을 수행할 수 있다. 시만텍의 분석 결과, 듀저 공격자들은 악성코드의 이름을 컴퓨터에 설치돼 있는 합법적인 소프트웨어와 비슷하게 변경해 감염을 은닉하는 것으로 나타났다. 시만텍은 듀저 공격자들은 경험이 많고, 보안 전문가의 분석 기법에 대해 잘 알고 있는 것으로 예상된다며, 표적 대상 기업의 컴퓨터에서 중요한 정보를 탈취하려는 의도를 가진 것 같다고 밝혔다. 또한, 듀저 공격자들은 더 많은 한국기업들을 공격하기 위해 웜 바이러스 ‘브램블’과 백도어 트로이목마 ‘조납’도 함께 활용한 것으로 나타났다. 브램블에 감염된 컴퓨터 중 일부는 듀저에도 감염됐으...

시만텍 트로이목마 2015.10.27

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.