Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

멀웨어

"다운로드 조심!" 1달 동안 숨었다 작동하는 암호화폐 채굴 멀웨어 발견

인기 소프트웨어 다운로드 사이트의 합법적 애플리케이션 설치 프로그램에 함께 묻어서 설치되는 다단계 멀웨어가 발견돼 사용자 주의가 요구된다. 암호화폐 채굴 프로그램이 포함된 악성 페이로드는 최대 1개월 동안 천천히 단계적으로 실행될 수 있다. 보안업체인 체크포인트 소프트웨어 테크놀로지스(Check Point Software Technologies)의 연구팀은 새로운 보고서에서 “소프트웨어 초기 설치 이후 공격자는 감염 과정을 몇 주 동안 지연시키면서 원래 설치된 흔적을 삭제했다. 따라서 수 년 동안 눈에 띄지 않고 성공적으로 작동할 수 있었다”라고 분석했다.   트로이 목마 형태의 멀웨어, 2019년부터 시작돼 체크포인트 리서치 부서에 따르면, 니트로코드(Nitrokod)라는 터키어를 구사하는 소프트웨어 개발자가 이 암호화폐 채굴 멀웨어의 배후인데, 이 멀웨어는 최소 2019년부터 확인된다. 니트로코드 웹사이트는 2017년부터 비디오 및 음악 변환기, 비디오 다운로더, 음악 플레이어 등의 무료 소프트웨어 애플리케이션을 제작해왔으며 설치 사용자 수가 약 50만 명이라고 주장하고 있다. 니트로코드의 트로이 목마형 프로그램 중 일부는 소프트피디아(Softpedia)나 업투다운(Uptodown) 같은 앱 다운로드 사이트에서 찾아볼 수 있다. 체크포인트가 분석한 앱은 구글 번역 데스크톱으로 불리며, 보통 브라우저형 웹 서비스로 사용할 수 있는 구글 번역 서비스의 데스크톱 애플리케이션 버전이다. 실제로 구글 번역 데스크톱 앱 자체는 앱 개발자가 자사 앱에 크롬 브라우저를 구현해 웹 콘텐츠를 표시할 수 있도록 하는 오픈소스 크롬 임베디드 프레임워크(CEF) 프로젝트를 이용해 만들어졌다. 따라서 니트로코드는 어렵지 않게 잘 작동하는 앱을 만들 수 있었다. 구글 번역 데스크톱 외에, 개발자는 얀덱스 번역 데스크톱(Yandex Translate Desktop), 마이크로소프트 번역기 데스크톱, 유튜브 뮤직 데스크톱, MP3 다운로드 관리자, PC 오토 셧다운(PC...

멀웨어 암호화폐채굴기 악성프로그램 2022.09.01

OT 기기 취약점 대량 발견 "표준 인증도 소용없어"…포어스카우트

최근 한 조사에 따르 10곳의 업체가 만든 운영 기술(Operational Technology, OT) 기기에서 56가지의 결함이 드러났다. 모두 프로그래밍 오류가 아니라 안전하지 않게 설계되거나 구현된 기능이 원인이었다. 지난 10년 동안 보안 연구자와 악의적 공격자의 OT 기기에 대한 관심이 증가했음에도 불구하고, 업계가 아직도 근본적인 ‘설계부터 안전을 고려한 보안 내재화(secure-by-design)’ 원리를 준수하지 않고 있음이 극명하게 드러난 것이다.  는 최신 보고서에서 “공격자가 취약점을 악용하면서 표적 OT 기기에 네트워크를 통해 액세스한 후 코드를 실행하거나, OT 기기의 로직, 파일, 펌웨어를 변경하고 인증을 우회하며, 인증 정보를 훼손하고 서비스 거부를 유발하는 등 다양한 악영향을 미칠 수 있다”라고 밝혔다.   통칭 ‘OT:ICEFALL’으로 알려진 이 보안 문제는 불안전한 엔지니어링 프로토콜, 부실한 암호 구현 또는 파손된 인증 체계, 안전하지 않은 펌웨어 업데이트 메커니즘, 그리고 원격 코드 실행으로 악용될 수 있는 부실한 네이티브 기능에 기인한다. 실제로 공개된 취약점 중 14%는 원격 코드 실행으로, 21%는 펌웨어 조작으로 이어질 수 있다.    이 연구에서 밝혀진 또 다른 흥미로운 사실은 취약 기기 대부분이 OT 환경에 적용되는 각종 표준에 따라 인증을 받았다는 점이다. 예를 들어 IEC62433, NERC CIP, NIST SP 800-82, IEC 51408/CC, IEC62351, DNP2 시큐리티, 모드버스 시큐리티 (Modbus Security) 등이다.  보고서는 “이들 표준이 주도한 견실화 노력은 분명 보안 프로그램 개발, 위험 관리, 그리고 아키텍처 수준 설계 및 통합 활동에서의 큰 개선에 기여했으나, 개별 시스템 및 컴포넌트의 보안 개발 수명주기를 성숙시키는 데는 미흡했다”라고 결론지었다.    OT의 ‘보안 비내재화’ 역사&nb...

OT 운영기술 보안내재화 2022.06.24

“또 하나의 바이러스” 팬데믹 속 악성코드 급증

사이버 보안 소프트웨어 업체 멀웨어바이트(Malwarebytes)가 지난 주 공개한 보고서에 따르면, 2020년 팬데믹이 잠잠해진 이후, 2021년에 개인과 조직을 겨냥한 악성코드가 급증했다. 보고서에서 전체 악성코드가 2020년보다 77% 증가한 것으로 나타났다. 기업과 소비자를 겨냥한 위협은 각각 143%, 65% 늘어 총 1억 5,200만 건 이상을 기록했다.   또한, 이번 보고서는 팬데믹 초기 안드로이드폰의 스파이웨어 탐지율이 1,600% 올랐지만 2021년에는 수치가 점점 감소했다고 밝혔다. 작년 동안 안드로이드 모니터링 앱 탐지 수는 7.2% 증가한 54,677건이었으며, 스파이웨어 앱 탐지 수는 1,106건으로 4.2% 올랐다. 전체 모니터링 및 스파이웨어 앱 수는 증가했지만 탐지 수는 2021년 정점을 찍은 이후 감소했다. 보고서에 따르면, 스토커웨어에 대한 우려는 안드로이드폰에만 국한된 것이 아니다. 작년 페가수스(Pegasus) 스파이웨어는 언론인과 정부 관리의 아이폰을 감염시켜 이들의 위치와 데이터를 감시했다. 또한, 일반 사용자는 위협 행위자가 자신을 감시할 수 있는 애플 위치 추적기인 에어태그(AirTag)의 장단점으로 고심하기 시작했다.   장치를 손상시키는 정교한 애드웨어 애드웨어는 안드로이드 악성코드의 판도를 지배한다. 탐지된 악성코드의 80%가 애드웨어와 관련이 있다. 애드웨어는 위협보다는 골칫거리로 간주되는 경우가 많지만 항상 그렇지는 않다. 멀웨어바이트 연구소의 사고 리더십(Thought Leadership) 대표 아담 쿠와자는 “애드웨어는 휴대폰에 위협을 추가하는 촉매제로 작용할 수 있다”라고 경고했다. 모바일 보안 업체 룩아웃(Lookout)의 선임 위협 연구원 크리스티나 발람은 "애드웨어는 정교할수록 장치를 더욱 크게 손상시킬 수 있으며, 전체 장치 공장을 초기화하거나 사용자가 기업 계정과 애플리케이션에 액세스할 수 없도록 해야 한다. 일부 애드웨어는 캠페인의 일환으로서 사용자와 이들의 장치에 ...

악성코드 멀웨어 애드웨어 2022.03.29

“멀웨어 감염 여부 확인이 관건” 멀웨어 공격의 유형과 이에 대처하는 방법

멀웨어(Malware)는 악성 소프트웨어(Malicious software)의 약자로, 바이러스와 웜, 트로이 목마, 기타 유해한 컴퓨터 프로그램이다. 공격자가 파괴력을 행사하고 기밀 정보에 접근하는 데 사용된다. 핵심은 멀웨어가 특정한 기법이나 기술이 아닌, 의도된 악의적 사용을 기반으로 식별된다는 것이다. 멀웨어와 바이러스의 차이에 관한 질문은 그다지 적절하지 않다. 바이러스는 멀웨어의 일종이다. 즉, 모든 바이러스가 멀웨어인 것이다. 다만, 반대로 모든 멀웨어가 바이러스는 아니다.   멀웨어의 확신 및 사용자 기기 침투 방법 사용자는 바이러스, 트로이 목마, 웜이라는 단어를 혼용하는 경우를 많이 봤을 것이다. 실제로 이들 용어는 각 3가지 다른 멀웨어를 지칭하는 것으로, 복제 및 확산되는 방식이 서로 다르다.     웜 : 스스로 복제하고 컴퓨터 간에 확산되는 독립적인 악성 소프트웨어이다. 웜 제작자는 운영체제의 취약점을 파악한 후 웜을 생성한다. 웜 프로그램은 실행 중인 모든 컴퓨터에서 운영체제 취약점을 탐색하고, 불안정한 컴퓨터에서 스스로를 복제한다. 최초의 웜 프로그램은 스스로를 플로피 디스크와 같은 리무버블 미디어에 복사하고, 이 디스크가 다른 컴퓨터에 삽입될 때 또 한 번 스스로를 복제하도록 설계됐다. 하지만 오늘날 웜은 대부분 기업 네트워크나 인터넷을 통해 호스트에 연결된 취약한 컴퓨터를 찾는다. 바이러스 : 컴퓨터 코드 조각으로, 스스로를 다른 독립형 프로그램 코드 안에 주입한다. 그런 다음 해당 프로그램이 악의적 행위를 하도록 강제하며 스스로를 확산시킨다. 감염된 프로그램이 확산되는 방식은 웜과 동일하다. 다시 말해, 인터넷이나 로컬 네트워크를 통해 다른 컴퓨터에서 취약점을 찾는 것이다. 하지만 바이러스 코드는 합법적으로 보이는 프로그램 내부에 잠복해 있기 때문에 확산될 수 있는 다른 경로가 있다. 해커가 애플리케이션을 감염시킬 수 있다면, 바이러스 코드를 포함한 애플리케이션은 오픈소스 리포지토리, 앱 ...

멀웨어 바이러스 2022.02.17

글로벌 칼럼 | 전쟁 위험성 커지는 러-우 갈등, 사이버 공격은 이미 진행 중

사이버 전쟁은 총알은 발사되지 않지만 수많은 희생자를 낳는다. 많은 사람이 정전된 응급실이나 끊어진 의료 통신망, 폭동으로 사망한다. 이런 사건은 예전에도 있었지만 또 다시 발생할 것이다.   현재 러시아가 우크라이나를 침투할 태세를 갖추고 있고 러시아의 사이버 공격이 이미 진행 중인가운데, 제2차 세계 대전 이후 최초의 주요 유럽 국가 간 전쟁으로 번질 것으로 보인다. 지금으로서는 이를 계기로 제3차 세계 대전이 발발하지 않기를 바라는 것 외에 손쓸 방법이 없다. 만약 제3차 세계 대전이 실제로 발생한다면, 러시아 주력 전차인 T-90 때문이 아닐 것이다. 러시아 정보총국(GRU) 산하 해커 집단인 샌드웜(Sandworm)이 유럽 연합 회원국의 전력망을 파괴하거나 구글과 페이스북, 마이크로소프트와 같은 미국의 주요 인터넷 사이트를 마비시키고, 4G 및 5G 셀룰러 서비스를 중단하는 사이버 공격을 감행할 것으로 보인다. 이 모든 것이 톰 클랜시의 현대판 군사 소설이면 좋겠지만, 실제로 현실에서 일어나고 있다. 지난주 미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)은 중요한 인프라의 운영자는 사이버 위협에 대응해 긴급하게, 빠른 시일 내로 조치를 취해야 한다고 공시했다. 과거 러시아가 우크라이나의 IT 인프라를 표적으로 삼았을 때 서방 국가 역시 공격을 받았을 때만큼 러시아가 미국이나 영국의 기술 자원을 노릴 가능성에 대한 우려는 그렇게 크지 않다. 멀웨어는 국경을 넘나들며 전파된다. 낫페트야(NotPetya), 워너크라이(WannaCry)와 같은 과거의 멀웨어는 단일 국가를 시초로 원래 표적을 넘어 빠른 속도로 퍼졌다. 이들은 지금도 문제를 일으키고 있다. 우크라이나를 겨냥한 러시아의 사이버 공격은 이미 시작됐다. 1월 14일, ‘두려워하라 그리고 최악을 예상하라’라고 경고하며 우크라이나 정부 웹사이트에 대규모 공격을 가했다. 이 경고는 기사 제목에 많...

사이버공격 러시아 해커 멀웨어 2022.01.26

프로메테우스 트래픽 통제 시스템, 멀웨어 배포의 ‘키 플레이어’

사이버 범죄를 움직이는 힘은 각기 다른 최종 공격망에 특화된 범죄 조직으로 구성된 복잡한 생태계에 있다. 여기에는 멀웨어 개발자와 액세스 브로커, 스패머, 개인정보 판매자, 봇넷 운영자, 멀버타이저(Malvertizer) 등이 포함된다.   종종 간과되지만 멀웨어 전파에서 중요한 역할을 하는 한 가지 서비스는 바로 트래픽 방향 시스템(Traffic Direction System, TDS)이다. TDS는 피해자를 멀웨어나 피싱 페이지로 유도하는 악성 웹사이트 및 기타 서버로 구성된 네트워크이다. 최근 몇 년 사이 웹 기반 익스플로잇 키트와 드라이브 바이 다운로드(Drive by Download) 형태의 공격이 감소하면서 TDS와 같은 서비스에 대한 관심도 줄었지만, 프로메테우스(Prometheus)라는 TDS를 조사한 결과 랜섬웨어 및 기타 맬웨어 배포에서 TDS가 여전히 중요한 역할을 하고 있는 것으로 나타났다.   프로메테우스 TDS란? 블랙베리(Blackberry) 연구진의 최근 보고서에 따르면, 프로메테우스 TDS는 2020년 9월경 Ma1n이라는 사용자가 지하 러시아 포럼에 광고를 올리면서 처음 모습을 드러냈다. Ma1n은 최소 2018년부터 사이버 범죄 영역에서 활동해왔으며, 이전에는 SPF, DKIM, DMARC 헤더가 포함된 수십만 통의 이메일을 보내는 데 사용할 수 있는, 블랙리스트에 오르지 않은 기업용 SMTP 서버와 대량 이메일 서비스를 홍보했다. 또한, Ma1n은 블랙 tds(Blacktds), 케이타로 TDS(KeitaroTDS)와 같은 기존 TDS 솔루션을 통한 웹 트래픽 리디렉션 서비스도 판매한 적도 있다. 몇 년 동안 이런 식으로 활동하면서 습득한 전문 지식을 통해 프로메테우스라는 자체 솔루션을 만든 것으로 추정된다. 이런 트래픽 통제 시스템의 목적은 정상적인 웹 사용자를 멀웨어나 피싱 페이지, 기술 지원 사기 또는 기타 악성 서비스로 리디렉션하는 것이다. 트래픽을 가로채는 악성 스크립트를 침해된 웹사이트에 ...

프로메테우스 TDS 멀웨어 2022.01.21

MSRT vs. MSERT, 윈도우 멀웨어 도구 비교 분석

마이크로소프트는 2가지 멀웨어 검사 및 복구 서비스를 제공한다. 모두 사용자 PC에 복구가 필요한 문제점이 있는지 검사하는 서비스다. 하나는 악성 소프트웨어 제거 도구(Malicious Software Removal Tool, MSRT)이며, 다른 하나는 실행 파일 형태의 마이크로소프트 안전 스캐너(Microsoft Safety Scanner, MSERT)다. 마이크로소프트는 왜 2가지 도구를 제공하는 것일까? 각 도구의 유사점과 차이점을 파악해봤다.   악성 소프트웨어 제거 도구(MSRT) 마이크로소프트는 매달 둘째 주 화요일에 윈도우 보안 및 버그 수정 업데이트를 배포한다. 시간이 흐르면서 이날은 ‘패치 화요일(Patch Tuesday)’ 혹은 ‘업데이트 화요일(Update Tuesday)’로 불리게 됐다. 업데이트는 윈도우 최신 버전에 탑재된 윈도우 업데이트 기능을 통해 배포된다.  패치 화요일에 배포되는 업데이트에는 MSRT가 항상 포함된다. 마이크로소프트는 홈페이지 다운로드 센터 페이지에서 다음과 같이 설명했다. “MSRT는 일반적인 멀웨어에서 윈도우 컴퓨터를 보호한다. MSRT는 위험 요소를 찾아 제어하고, 위험 요소로 인해 변경된 사항을 원상태로 되돌린다. 일반적으로 MSRT는 윈도우 업데이트 일환으로 매달 배포되며, 이 페이지에서 단독 프로그램도 다운로드 할 수 있다.”   소속 조직의 서버에서 업데이트를 받는 사용자를 제외하면, 윈도우 사용자 대부분이 업데이트를 받는 매월 둘째 주 화요일 MSRT가 정기적으로 실행된다. 최소 한 달에 한 번은 윈도우 데스크톱에서 멀웨어 검사 및 복구 작업이 이뤄진다는 의미다. MSRT를 단독으로 실행할 수도 있지만, 그런 경우는 드물다. 어쨌든 MRST는 항상 다운로드할 수 있으며, 매월 업데이트되고, 언제든지 접근할 수 있다. 마이크로소프트 안전 스캐너(MSERT) 한때 MSERT는 ‘마이크로소프트 긴급 대응 도구(Microsoft Emergency Response ...

MSRT MSERT 멀웨어 2021.09.28

아틀라시안 컨플루언스 취약점 노린 공격 증가···가상화폐 채굴 멀웨어 위험

최근 패치된 아틀라시안 컨플루언스 서버와 데이터센터의 원격 코드 실행(Remote code execution, RCE) 취약점을 악용하는 사례가 증가하기 시작했다. 이 중에는 가상화폐 채굴 멀웨어를 배포하는 공격도 발견됐다. 아틀라시안 제품은 과거에도 사이버 스파이 단체의 표적이 됐었다.   사이버 위협 인텔리전스 전문업체 배드 패킷(Bad Packet)은 자사 허니팟이 러시아와 홍콩, 브라질, 네팔, 루마니아, 에스토니아, 미국, 이탈리아 호스트에서 아틀라시안 컨플루언스 RCE 취약점 CVE-2021-26084를 겨냥한 대규모 스캔과 악용 활동을 감지했다고 밝혔다. 또한, 취약점 악용 방법을 공식 시연한 여러 개념 증명이 공개됐다고 덧붙였다. 아틀라시안에 따르면, CVE-2021-26084는 인증 또는 미인증 사용자가 취약점에 영향을 받는 아틀라시안 제품 버전을 실행하는 서버에서 임의 코드를 실행할 수 있는 OGNL(Object-Graph Navigation Language) 인젝션 취약점이다. OGNL은 자바 객체의 속성을 가져오거나 설정하기 위한 오픈소스 표현 언어다. 아틀라시안 컨플루언스는 자바로 작성한 웹 기반 팀 협업 플랫폼으로, 기업이 자체 서버에서 운영하는 작업 영역과 프로젝트를 관리한다. 아틀라시안 데이터센터는 더욱 다양한 기능을 갖춘 컨플루언스 버전으로, 팀 캘린더, 애널리틱스, 보다 더 발전한 권한 관리, 콘텐츠 전송 네트워크 등을 지원한다. 이번 취약점은 8월 25일에 출시된 7.13.0을 비롯해 6.13.23, 7.4.11, 7.11.6, 7.12.5 이전의 모든 아틀라시안 컴플루언서와 데이터센터 버전에 영향을 미친다. 아틀라시안은 지원 기간이 긴 7.13.x 버전을 사용하는 경우, 가능하면 최신 버전으로 업그레이드할 것을 권장했다. 리눅스 또는 윈도우 호스트에서 작동하는 매뉴얼 패치 스크립트는 완전한 업그레이드를 실행할 수 없는 사용자를 위한 임시 차선책으로 제공됐다. 아틀라시안에 따르면, 베니 제이콥이라는 연구자가...

아틀라시안 컨플루언스 가상화폐 2021.09.06

'해킹이 국가 재난 될 수 있다' 인도 핵발전소 해킹 사건의 전말

민간 기반시설 공격은 전쟁 범죄가 맞다. 그런데 세계 각국의 첩보원들은 민간 기반시설(예: 에너지를 생산하는 민간 핵발전소)에 침투해 사전 배치하기 위한 소리 없고 비열한 전쟁을 치르고 있다. 지정학적 긴장이 발생하는 동안 파괴 공작을 저지르기 위해서다.   다음은 인도의 쿠당쿨람 핵발전소(Kudankulam Nuclear Power Plant, KNPP) 해킹 사건이 어떻게 발생했으며 어떻게 쉽게 예방할 수도 있었는지에 대한 설명이다. KNPP 해킹 사건 소식이 알려진 것은 요즘에는 흔히 그렇듯 트위터를 통해서였다. 뉴 인디언 익스프레스(The New Indian Express)에 따르면, ‘저명한 사이버 첩보 전문가’이자 ‘인도 국립기술연구조직(NTRO)의 사이버전 작전 센터 수립에 중요한 역할’을 한 푸크라 싱은 본인의 트위터 계정에 다음과 같은 글을 올렸다. “자, 이제 공개된 사실이다. KNPP에 도메인 컨트롤러 수준 접근 발생. 정부는 이미 오래전에 이 사실을 통보받았다. 임무 수행에 지극히 중요한 목표물이 공격받았다.” 그는 인용 트윗에서 이 공격에 대해 2019년 9월 7일부터 이미 알고 있었다면서 ‘전쟁 명분(causus belli)’(전쟁을 도발할 정도로 심각한 공격)이라고 규정했다. 싱은 그 이후 트윗에서 본인이 직접 악성코드를 발견한 것은 아니라고 밝혔다. 제3자가 “본인에게 연락을 취했고 나는 9월 4일(날짜가 중요)에 국가사이버보안담당자(NCSC)에게 통보했다. 제3자는 그 후 침해지표(IoC)들을 NCSC 사무실과 공유했다. 카스퍼스키는 이를 나중에 보고했고 디트랙(DTrack)이라고 불렀다.” 인도 핵발전소공사는 처음에 이 사실을 부인했다. 보도자료를 통해, SNS에 나돌고 있는 ‘잘못된 정보’라고 매도했으며 KNPP 핵발전소는 “독자적인 네트워크로, 외부 사이버 네트워크와 인터넷에 연결되어 있지 않아 핵발전소 제어 시스템에 대한 사이버 공격은 불가능하다”라고 주장했다.  그러나 나중에 이 주장을 철회했...

맬웨어 인도 핵발전소공사 사이버비트 2019.12.12

AV-TEST 선정, 업계 최고의 안티 바이러스 소프트웨어 14선

AV-TEST 연구소는 최근 가장 인기 있는 윈도우 10 클라이언트 안티바이러스 제품을 3가지 기준, 즉 보호(protection), 성능(performance), 사용성(usability) 측면에서 테스트했다. 18종의 테스트 제품 가운데 각 기준의 최고 점수인 6점을 모두 획득한 제품은 6개에 불과했다. 즉, 비트디펜더 엔드포인트 시큐리티 6.6(Bitdefender Endpoint Security 6.6), 카스퍼스키 랩 엔드포인트 시큐리티 11(Kaspersky Lab Endpoint Security 11), 카스퍼스키 스몰 오피스 시큐리티 6(Kaspersky Small Office Security 6), 마이크로소프트 윈도우 디펜더 안티바이러스 4.18(Microsoft Windows Defender Antivirus 4.18), 그리고 시만텍 엔드포인트 프로텍션 14.2(Symantec Endpoint Protection 14.2) 및 엔드포인트 프로텍션 클라우드 22.15(Endpoint Protection Cloud 22.15)였다. 여기서 알파벳 순으로 나열된 상위 14개 안티바이러스 제품은 최대 점수인 18점으로부터 최소 17점을 얻은 제품들이다.   링크의 인포그래픽에서 테스트 결과 요약본과 윈도우 7 및 윈도우 8에 대한 이전의 테스트 정보도 볼 수 있다. 결과에 대한 자세한 사항은 AV-TEST 연구소 웹사이트에서 얻을 수 있다.  최고의 윈도우 10 안티바이러스  1. 어베스트 안티바이러스 비즈니스 18.5 및 18.6  어베스트 안티바이러스 비즈니스(Avast Antivirus Business)18.5 및 18.6은 성능 및 보호 측면에서 조금만 향상되면 최고 점수를 받을 수 있을 것이다. 모든 제로 데이 악성코드 공격의 99.3%를 중지시켰지만, 가장 큰 문제는 인기 웹사이트를 시작할 때 느려지는 현상이다. 업계 평균 보다 표준 PC에서 6%포인트가 더 느렸다. 그 외의 경우 허위 경고, ...

악성코드 안티바이러스 백신 2018.12.10

팔로알토 네트웍스, 신종 멀웨어 드로퍼 캐롯뱃 탐지

팔로알토 네트웍스가 자사의 위협 인텔리전스 연구소 유닛42(Unit42) 발표를 인용해 암호화폐, 암호화폐 거래소, 정치 사건 등의 내용을 담은 멀웨어 드로퍼(dropper) ‘캐롯뱃(CARROTBAT)’에 유의할 것을 발표했다. 캐롯뱃은 2017년 12월 처음 발견된 공격으로, 당초 영국 정부 기관을 노리고 SYSCON 멀웨어를 사용한 것으로 알려졌다. 영국 고위 공무원들을 대상으로 ‘미, 북과 조건 없는 대화 원한다'는 제목의 이메을 통해 처음 배포된 SYSCON은 단순 원격 트로이 목마(RAT) 일종으로 네트워크 통신에 FTP를 사용한다. 캐롯뱃 드로퍼가 영국 정부기관 공격에 사용되었던 증거가 발견되지는 않았으나, 유닛42는 두 가지 멀웨어의 공격 인프라 구조가 유사하며, 기타 연결 고리가 존재하는 것으로 분석했다. 캐롯뱃은 현재까지 총 29개의 고유 샘플이 식별됐으며, 여기에는 확인된 총 12개의 고유 유인(decoy) 문서가 포함돼 있다. 이 샘플들은 올해 3월부터 발견되기 시작했으며, 대부분의 활동은 최근 3개월 내에 이루어졌다. 이전에 SYSCON을 제공한 경우와 같이 페이로드가 다양하며, 새로운 인스턴스는 이전에 보고된 적이 있는 오션솔트(OceanSalt) 멀웨어 제품군을 제공하는 것으로 밝혀졌다. 팔로알토 네트웍스는 캐롯뱃과 관련 페이로드로 구성된 공격 캠페인을 ‘균열된 블록(Fractured Block)’이라고 명명했다. 현재까지 수집된 모든 캐롯뱃 샘플은 균열된 블록 캠페인 내에 포함된다. 캐롯뱃은 공격자가 내장된 유인(decoy) 파일을 열고, 타깃 머신에서 페이로드를 다운로드 받아 실행시키는 명령을 내리는 드로퍼로, 현재 캐롯뱃에서 지원하는 디코이 문서 파일 형식은 11개(.doc, .docx, .eml, .hwp, .jpg, .pdf, .png,.ppt, .pptx, .xls, xlsx)이다.  내장된 디코이 문서를 열면 난독화된 명령이 시스템에 실행되며...

멀웨어 팔로알토 네트웍스 2018.11.30

팔로알토 네트웍스, 신종 악성코드 드로퍼 캐롯뱃 탐지

팔로알토 네트웍스는 자사의 위협 인텔리전스 연구소 유닛42(Unit42) 발표를 인용해 암호화폐, 암호화폐 거래소, 정치 사건 등의 내용을 담은 악성코드 드로퍼(dropper) ‘캐롯뱃(CARROTBAT)’에 유의할 것을 발표했다. 캐롯뱃은 2017년 12월 처음 발견된 공격으로, 당초 영국 정부 기관을 노리고 SYSCON 악성코드를 사용한 것으로 알려졌다. 영국 고위 공무원들을 대상으로 ‘미, 북과 조건 없는 대화 원한다'는 제목의 이메을 통해 처음 배포된 SYSCON은 단순 원격 트로이목마(RAT) 일종으로 네트워크 통신에 FTP를 사용한다. 캐롯뱃 드로퍼가 영국 정부기관 공격에 사용되었던 증거가 발견되지는 않았으나, 유닛42는 두 가지 악성코드의 공격 인프라 구조가 유사하며, 기타 연결 고리가 존재하는 것으로 분석했다. 캐롯뱃은 현재까지 총 29개의 고유 샘플이 식별됐으며, 여기에는 확인된 총 12개의 고유 유인(decoy) 문서가 포함돼 있다. 이 샘플들은 올해 3월부터 발견되기 시작했으며, 대부분의 활동은 최근 3개월 내에 이뤄졌다. 이전에 SYSCON을 제공한 경우와 같이 페이로드가 다양하며, 새로운 인스턴스는 이전에 보고된 적이 있는 오션솔트(OceanSalt) 악성코드 제품군을 제공하는 것으로 밝혀졌다. 팔로알토 네트웍스는 캐롯뱃과 관련 페이로드로 구성된 공격 캠페인을 ‘균열된 블록(Fractured Block)’이라고 명명했다. 현재까지 수집된 모든 캐롯뱃 샘플은 균열된 블록 캠페인 내에 포함된다. 캐롯뱃은 공격자가 내장된 유인(decoy) 파일을 열고, 타깃 머신에서 페이로드를 다운로드 받아 실행시키는 명령을 내리는 드로퍼로, 현재 캐롯뱃에서 지원하는 디코이 문서 파일 형식은 11개(.doc, .docx, .eml, .hwp, .jpg, .pdf, .png,.ppt, .pptx, .xls, xlsx)이다.  내장된 디코이 문서를 열면 난독화된 명령이 시스템에 실행...

멀웨어 팔로알토 네트웍스 2018.11.30

“2018년 3분기, 조직의 1/4 이상이 모바일 멀웨어 공격 경험 보고” 포티넷 발표

포티넷코리아(www.fortinet.com/kr)는 자사 보안연구소인 포티가드랩이 발간한 ‘2018년 3분기 글로벌 위협 전망 보고서’를 발표했다. 이번 보고서에 따르면, 위협은 보다 정교해지고, 진화하고 있다고 강조했다. 또한, 독특한 보안 위협군과 변종들이 증가하고 있으며, 봇넷이 기업 조직에 지속적으로 침투해 감염 사고를 일으키고 있다고 밝혔다. 포티넷의 CISO(정보보호최고책임자) 필 쿼드는 “사이버 위협이 급속도로 증가하고 있고, 이전에는 랜섬웨어가 기승을 부렸으나, 최근에는 크립토재킹(cryptojacking), 모바일 멀웨어, 비즈니스 크리티컬한 공급망에 대한 사이버 공격이 확산되고 있다”며, “사이버 공격자들은 새로운 위협을 지속적으로 통합하고, 더 빠르고 확장가능한 방식으로 악의적인 활동, 분할, 통합을 위한 자동화 기술을 활용하고 있다”고 말했다. 보고서의 핵심 내용을 살펴보면, ▲사이버 범죄자, 끊임없이 위협을 개발하는데 주력 ▲모바일 장치가 타깃 ▲크립토재킹(Cryptojacking)은 또 다른 공격의 관문 ▲악성 네트워크 트래픽의 비율은 주말 및 휴일에 더 높아 ▲탐지 및 제거가 어려워진 봇넷 ▲암호화된 트래픽 증가 등이다.  사이버 범죄자들은 공격 무기를 확장할 뿐만 아니라, 방어 체계를 우회하는 새로운 전략을 지속적으로 개발하고 있다. 고유 악성코드 변종(malware variants)은 43% 증가했으며, 같은 기간 악성코드 변종군(malware families)은 약 32% 증가했다. 기업당 일일 악성코드 탐지 수도 62%나 증가했다. 이런 추세에 따라 고유 익스플로잇은 약 10% 증가했으며, 기업당 익스플로잇 탐지 수는 37% 증가했다. 사이버 범죄자들은 고유 악성코드 변종 및 변종군을 만들어 지속적으로 위협을 진화시키고 있다. 조직의 1/4 이상이 모바일 악성코드 공격을 경험했으며, 이들 대다수가 안드로이드 운영체제를 사용하고 있었다. 전체 악성...

포티넷 멀웨어 2018.11.28

“불법 소프트웨어 사전에 설치된 PC 84%에서 멀웨어 발견” MS 조사 결과 발표

마이크로소프트의 조사 결과, 사전에 불법 소프트웨어를 설치한 PC 5대 가운데 4대가 멀웨어에 감염된 것으로 나타났다. 마이크로소프트는 아시아 지역 9개 국가에서 시중 가격보다 훨씬 낮은 가격에 판매되거나, 무상으로 소프트웨어 번들을 제공하는 새 PC 166대를 구입해 자체 조사를 진행했다. 그 결과, 구매한 PC 가운데 83%는 불법 소프트웨어가 설치돼 있었고, 불법 소프트웨어가 설치된 PC 가운데 84%에서 트로이목마나 바이러스와 같은 멀웨어가 발견됐다. 새 PC에 불법 소프트웨어를 설치하는 과정에 이뤄지는 관행 가운데 하나는 컴퓨터 백신과 윈도우 디펜더(Windows Defender)와 같은 보안 기능을 해제하는 것이다. 불법 소프트웨어를 활성화하는 데 필요한 해킹 도구를 실행하기 위해서다. 사용자는 각종 멀웨어를 비롯한 사이버 위협에 노출될 뿐 아니라, PC가 보호받지 못하고 있다는 것을 인지하지 못하는 경우도 많다. 이로 인해 개인 문서나 금융 정보와 같은 민감한 정보를 잃을 수 있을 뿐 아니라, PC 성능도 저하될 수도 있다. 마이크로소프트는 PC를 구매하기 전에 판매처가 검증된 곳인지, 그리고 정품 소프트웨어가 설치된 지를 확인하길 권고했다. 이밖에도 소프트웨어를 최신 보안 상태로 유지하고, 보안 패치 등 업데이트가 종료된 소프트웨어의 사용 줄이는 것으로 PC를 보호할 수 있다고 전했다. 이번 조사는 한국을 비롯해 인도, 인도네시아, 말레이시아, 필리핀, 싱가포르, 대만, 태국 그리고 베트남을 대상으로 진행됐다. editor@itworld.co.kr

멀웨어 마이크로소프트 2018.10.31

글로벌 칼럼 | 컴퓨터 보안 10년…가장 큰 변화 5가지

이 글을 쓰는 현재 인포월드에 기고를 시작한 지 10년 째다. 10년째가 되는 지금, 그나마 그 동안 변한 것들을 정리해 본다. 지금 우리가 직면하는 위협도, 그에 대처하는 방어도 과거와는 많이 달라졌다. 보안 변화 1: 전문 직업이 된 해킹 초기에는 위협 요소의 대부분이 장난기 많은 어린 사용자들이 만든 바이러스, 웜, 트로이 목마 등의 멀웨어 프로그램이었다. 일부 멀웨어 프로그램은 디스크를 포맷하거나 데이터 파일을 삭제하는 등 실질적인 해를 끼치기도 했지만 대부분은 그냥 귀찮고 성가신 정도였다. 물론 전문적인 해커나 정부 지원을 받는 해커도 있긴 했으나 흔한 경우는 아니었다. 10년이 지나면서 무엇이 바뀌었을까. 지금은 거의 모든 멀웨어가 돈이나 기업 기밀을 훔치기 위한 목적으로 만들어진다. 장난으로 스크립트를 만들던 아이들은 일반 사용자와 기업을 희생양 삼아 거의 잡힐 위험도 없이 매일 수백만 달러의 돈을 벌어들이는 전문 해커 집단에 밀려나 사라졌다. 멀웨어는 한때 악의 없는 장난스러운 바이러스와 웜이었지만 이제 ID를 훔치는 프로그램과 랜섬웨어로 바뀌었다. 신용 카드를 소지한 사람이라면 누구나 금융 관련 ID가 유출되는 일을 겪어봤을 것이다. 이제는 1억 건의 기록이 유출되는 사건이 벌어져도 아무도 놀라지 않는다. 이제 모두가 무료 신용 모니터링을 이용하지 않는가? 지금은 공식적이든 비공식적이든 외국 정부의 후원을 받아 움직이는 지능적 지속 위협(APT)이 흔하다. 이들은 개인 문서와 이메일, 특허와 계약 등을 아이가 꽃밭에서 꽃을 따듯 쉽게 훔친다. 한 국가가 사이버 보안 공격을 이용해서 다른 국가 수장의 이메일을 읽거나 핵 원심분리기와 같은 물리적 자산을 파괴하는 일은 이제 일상적이다. 가장 뛰어난 해커를 보유한 국가가 새로운 냉전의 승리자가 된다. 무해한 부팅 바이러스, 그리고 장난스러운 스크립트를 짜던 10대 아이들, 그 시절이 그립다. 보안 변화 2: 누구도 침해를 피할 수 없다 지금은 모든 사람들...

해킹 멀웨어 보안 2015.08.20

어베스트 소프트웨어, 안티바이러스 소프트웨어 비즈니스 전략 발표

보안 소프트웨어 업체인 어베스트 소프트웨어(Avast Software)는 28일 서울 중구 웨스틴 조선호텔에서 기자 간담회를 열고, 한국 내 비즈니스 전략 및 최근 국내에 출시한 4가지 주요 제품을 소개했다. 어베스트 소프트웨어는 윈도우 데스크톱이나 맥 OS, 안드로이드용 무료 안티바이러스 소프트웨어를 제공하는 기업으로, 지난 1988년 설립된 이후 현재 전세계 2억 3,000만 명의 사용자를 확보한 상태다. 이날 간담회에 참석한 어베스트 소프트웨어 COO 온드레이 블체크는 “어베스트 소프트웨어는 지난 2014년 OEM 파트너십을 체결하고 본격적으로 활동을 시작했다”며, “어베스트 소프트웨어만의 차별화된 안티바이러스 프로그램을 한국에도 선보일 예정”이라고 말했다. 블체크는 실시간으로 위협을 탐지하고 대응할 수 있는 머신러닝 기반의 악성행위 탐지 네트워크에 대해 설명했다. 국내의 경우, 해외발(發) 악성코드에 감염되는 사례가 증가하고 있어 지능형 보안 시스템의 중요성이 대두하고 있는 상황이다. 블체크는 “기존의 안티바이러스 프로그램은 샘플을 하나씩 분석해서 시그니처를 만들고, 바이러스 시그니처 정의 데이터베이스를 구축해야만 바이러스를 탐지할 수 있었다”며, “전통적인 방식은 이미 발생한 사건에 대해서만 수동적으로 대응할 수 있고, 바이러스를 분석하고 대응책을 마련하는 데 상당한 시간이 필요하다는 한계가 있다. 또한, 기하급수적으로 늘어나는 멀웨어에 대응할 수 있는 수준으로 바이러스 대응팀의 규모를 늘리는 것도 어려운 일”이라고 말했다. 블체크의 설명에 따르면, 사용자가 의심스러운 파일을 발견하거나 의심스러운 행동을 할 경우 어베스트 시스템이 모든 데이터 비트를 클라우드 시스템으로 보낸다. 전세계 1,000개의 서버가 이 의심스러운 행동을 실시간으로 분석해 보안을 위협하는지 아닌지를 판단하게 된다. 실제로 어베스트 소프트웨어는 매년 8조 5,000...

안티바이러스 어베스트 멀웨어 2015.05.28

악성 애드웨어, 지난해보다 '2배'이상 증가

G 데이터 소프트웨어(G Data Software)의 최신 악성코드 보고서에 따르면, 사이버 해커들이 산업 전반에 걸친 보안 강화 추세에 맞도록 맞춤형 해킹 전략을 펼친 가운데 악성 애드웨어의 수가 지난해보다 2배 이상 증가했다. 전체 최신 멀웨어 가운데 애드웨어 비중은 2014년 상반기 14.1%에서 하반기 31.4%로 급증했다. 악의적인 다운로드를 유도하기 위해 기존 광고에 악성코드를 주입하거나 팝업 광고를 띄우고, 웹사이트에 새로운 광고를 주입하는 멀웨어 등이 바로 애드웨어에 포함된다. 애드웨어는 현재 멀웨어 가운데 두 번째로 많은 형태의 프로그램으로, 지난해 처음 다운로드형 악성웨어의 수를 넘어섰다. 현재 1위를 차지한 트로이 목마와는 차이가 거의 나지 않는다. 애드웨어는 지난 2013년 말에는 5위, 2012년에는 7위를 기록한 바 있다. G 데이터 보안 에반젤리스트 앤디 헤이터는 “해커들은 지금이 기회임을 자각하고 있다”며, “또한, 다른 방식으로는 돈을 벌 수 있는 시장이 점차 줄어들고 있다는 것도 알고 있다”고 말했다. 예를 들어, 산업 트렌드가 은행 트로이 목마를 사용하기 어렵게 만드는 방향으로 전이하고 있다. G 데이터 소프트웨어 보고서에 따르면, 해커들의 표적이 된 미국 뱅킹 이용자 수는 12%로 감소했으며, 사전에 차단된 은행 트로이 목마 공격은 45%로 증가했다. G 데이터 보안연구소장인 랄프 벤쥴러는 “더욱 향상된 보안 조치는 온라인 은행 강도들이 은행 잔고 탈취하는 것을 더욱 어렵게 만들고 있다”고 말했다. 예를 들어, 은행은 점점 2단계 인증을 강화하고 있는데, 이는 해커들이 고객의 로그인 자격증명 정보를 소유하고 있다 하더라도 은행 계좌에서 돈을 빼돌리는 것을 더 어렵게 만든다. 또한, 더 많은 분석 기술을 적용하고 있다. 예를 들어, 새로운 계좌로의 비정상적이거나 큰 금액의 송금을 자동으로 차단한다. 헤이터는 또한 뱅킹 트...

CSO 멀웨어 악성웨어 2015.05.21

블루코트, 신종 다계층 멀웨어 공격 ‘인셉션 프레임워크’ 확인

블루코트코리아(www.bluecoat.co.kr)는 자사의 보안 연구소 블루코트 랩(Blue Coat Labs)이 타깃 컴퓨터에 접근해 중요 기밀을 빼내는데 쓰이는 신종 사이버 공격 프레임워크 ‘인셉션(Inception)’을 확인했다고 밝혔다. 타깃의 꿈에 잠입해 잠재의식 내 숨겨진 기밀을 훔치는 영화 ‘인셉션’의 이름을 딴 이 프레임워크는 여러 계층으로 설계된 멀웨어를 사용해 공격을 실행한다. 인셉션 프레임워크는 일반 개인은 물론 정유 및 금융, 제조, 국방, 외교 등 기밀 정보를 다루는 조직의 중역들을 타깃으로 하는 것으로 알려졌다. 공격 초기에는 러시아 및 러시아 관계 인사들을 주 타깃으로 삼았으며, 현재에는 지역에 관계없이 전세계 인사들을 대상으로 공격을 실행하고 있다. 주요 침입 경로는 트로이 목마 문서를 첨부한 피싱 이메일로 조사됐다. 이 공격은 WebDAV 프로토콜을 사용하는 스웨덴의 클라우드 서비스 제공업체를 통해 윈도우 플랫폼의 커맨드&컨트롤 트래픽을 간접 실행시키는 방식으로 이뤄진다. 이를 통해 공격자는 자신의 신원을 은폐하고 다양한 침입 탐지 메커니즘을 우회할 수 있다. 공격자들은 간접 실행을 위해 계층을 추가해 신원을 숨기는데, 이 때 사용되는 프록시 네트워크가 대부분 한국에 위치한 라우터들로 구성돼 있는 것으로 밝혀졌다. 이러한 방식을 통해 구성이 빈약하거나 잘못된 계정 정보가 입력된 기기를 공격하고 있는 것으로 추정되고 있다. 위장형 간접 다계층 구조의 멀웨어인 인셉션 프레임워크는 공격자와 타깃 간 제어 메커니즘을 제공해, 공격자가 그림자(shadows)를 만들어 정체를 숨기는 것이 가능하다. 또한 진화를 거듭하여 최근에는 안드로이드, 블랙베리, iOS 기기에 대한 공격을 실행하는 한편 타깃의 모바일 기기로 계획된 피싱 MMS를 지속적으로 발송하고 있는 것으로 조사됐다. 인셉션 멀웨어 프레임워크의 특징은 RTF(Rich Text Format) 파일에 임베...

블루코트 멀웨어 2015.01.12

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.