올해 1분기 랜섬웨어의 감염보고 건수는 감소하는 추세에 있는 것으로 확인 되었다. 이것은 분명 좋은 소식이지만 다음 분기에도 감소 추세에 있을 것이라고는 확신 할 수 없다. 왜냐하면 랜섬웨어 변형은 계속 증가하는 추세를 보이고 있기 때문에 안심 할 수는 없다.

안랩은 홈페이지 <www.ahnlab.com> -> 보안정보 -> 월간 ’ 201704호에 <20171분기 랜섬웨어 기상도 매우 나쁨’> 이란 글을 게시하였다. 여기도 밝혔듯이 랜섬웨어는 여전히 증가하고 있으며 그 변형 또한 매우 다양한 것을 알 수 있다.

다음은 2016.10 ~ 2017.03 기간 동안 ASD (AhnLab Smart Defence) 인프라로 수집된 랜섬웨어의 샘플수량과 감염보고 건수 이다.

[그림1] 2016 4분기, 2017 1분기 랜섬웨어 통계 (샘플 및  감염보고 건수)

위 [그림1] 그래프를 보면 작년 4분기 감염보고 건수는 상승 후 올해 1분기 감소하는 추세 인데 이것은 Locky 와 TeslaCrypt 가 자취를 거의 감춘것과 관련이 있다. 작년 한 해를 통틀어 가장 많은 변형과 감염 보고건수를 차지하는 랜섬웨어는 Cerber, CryptXXX, Locky, TeslaCrypt 였다. 이중에서 CryptXXX 는 작년 3분기까지 왕성한 활동을 보이다가 4분기에 들어서면서 샘플과 감염보고 수가 급격히 감소했다.

 

Locky 랜섬웨어 경우 작년 초에 처음 보고 되었다. 초기에는 Exploit Tool Kit 으로 유포 되었고 하반기에는 다운로더 증상을 가지는 악성 자바 스크립트 (진단명: JS/Nemucod 또는 JS/Downloader 또는 JS/Obfus.S<number>) 가 포함된 스팸 메일 유형으로 대량 유포 되었다. Locky 도 작년 하반기부터 변형 발견 수가 급감 하기 시작하여 올해 1분기에는 거의 자취를 감추었다. 이러한 이유 작년 러시아내에서 사이버범죄자 체포 이후 특정 Exploit Took Kit 을 더 이상 사용 할 수 없었기 때문으로 추정된다.

 

 

작년과 올해 1분기 랜섬웨어 유포에 주로 사용된 취약점 공격 툴킷의 종류와 대표 취약점은 다음

과 같다.

 

 취약점 공격 툴킷명

 사용된 대표 취약점

 유포된 랜섬웨어

 Angler Exploit Kit

  Adobe Flash 취약점 (CVE-2015-8651)

 Locky

 Neutrino Exploit Kit

 Adobe Flash 취약점 (CVE-2015-8651)               IE 취약점 (CVE-2016-0189)

 Locky

 Magnitude Exploit Kit

  Adobe Flash 취약점 (CVE-2015-8651)

 Cerber

 

[1] 랜섬웨어 유포에 사용된 취약점 공격 툴킷명

 

 

작년 하반기부터 랜섬웨어을 제작 및 유포하는 공격자들은 취약점 이외에 위와 같은 악성 스팸 메일 형태로 유포하는 방식으로 전환 했거나 이 두가지 방법을 병행하여 사용한다. 그 예로 취약점과 결합된Malvertising 기법을 이용하여 2년 전 국내 대형 온라인 커뮤니티에서 감염 되었던 Cryptolocker (다른 이름 Teerac 또는 TorrentLocker) 는 최근 다운로더 기능이 있는 자바 스크립트 및 악성 매크로가 포함된 워드문서 파일 또는 엑셀문서 파일이 첨부된 악성 스팸 메일 형태로 유포 되고 있다. 국내에서 악명을 떨치고 있는 Cerber 랜섬웨어의 경우 작년 초는 취약점으로만 유포 되었다가 작년 하반기 취약점과 악성 스팸 메일형태 두 가지 유포 경로를 가진 적이 있었다.

 

취약점 유포 방식은 다소 감소 하는 추세에 있으며 이는 보안패치에 대한 사용자 인식이 높아진 것으로 보여진다. 하지만 악성 스팸 메일 형태의 유포 방식은 취약점 보안패치와 무관하게 사회공학기법을 이용하여 사용자들로 하여금 메일에 첨부된 파일을 실행하도록 유도 한다. 따라서 보안 패치율이 높아질수록 해당 방식의 공격은 더욱 기승을 부릴 전망으로 보인다.

 

다음 201610월부터 20173월까지 주요 랜섬웨어 변형들의 발견 현황이다.

 

 

[그림2] 주요 랜섬웨어 변형 발견 현황

 

몇 가지 랜섬웨어를 살펴보면 Cerber 가 다른 랜섬웨어 보다도 월등히 많은 변형이 보고 되었다. Cerber 2016 1분기경 처음 보고 되었으며 Magnitude Exploit Kit 을 이용하며 Malvertising 기법 으로 유포 된다. 작년 하반기부터는 .HWP 확장자도 암호화 대상 목록에 추가 되기도 했다. 최근 변형은 설치된 보안 제품을 검사하여 해당 프로그램의 모든 실행파일을 대상으로 인터넷 연결을 방해 하도록 하는 증상이 확인 되었다.

 

Locky 는 위에서 언급한 것처럼 작년에 처음 보고된 이후 Cerber 과 함께 맹위를 떨친 이후 하반하부터 급격히 변형 발견 건수가 감소 했다.

 

Nabucur 랜섬웨어는 바이러스 증상을 포함하고 있어 변형 수량은 많지만 실제 감염보고 건수는 매우 적은 편이다.

 

SageCrypt 2017 1분기 Cerber 다음으로 변형발견 및 감염보고 건수가 많았다. SageCrypt 유포지가 국내 특정 인터넷 스포츠 및 연예 언론사 웹 사이트로 확인 되었다. 플래시 취약점 (CVE-2016-4117)을 이용하여 유포 되었으며 언론사 사이트 특성상 SNS 와 같은 서비스를 통해서 기사가 공유 되므로 이와 같은 이유로 국내 감염 보고 건수와 변형 발견이 많았다.

 

SageCrypt CryLocker 변형으로 알려져 있으며 Cerber 와 유사하게 특정 VBS 파일을 생성하고 음성으로 감염 사실을 알려준다. 또한 Google MAP API 를 사용하여 감염 시스템의 SSID, MAC 주소를 쿼리한다. 이를 통해 해당 랜섬웨어의 감염분포를 파악하는 것으로 보여진다.

 

[그림2] 주요 랜섬웨어 변형 발견 현황에는 포함 되지 않았지만 약 50개의 다양한 이름으로 명명된 랜섬웨어 변형들이 발견 되었으며 그 수는 점점 증가 하고 있어 단일 랜섬웨어로 가장 변형을 가지고 있는 Cerber 보다 어떤 달은 더 많이 보고 되기도 했다. 여기서는 그 중 다음과 같은 랜섬웨어들을 간단히 언급 하도록 한다.

 

VenusLocker 는 한글로 작성된 악성 스팸 메일 형태로 주로 국내 관공서를 대상으로 유포가 되었다. 메일에 랜섬웨어가 압축파일 형태로 첨부되는 경우와 다운로더 증상이 있는 악성 매크로가 포함된 문서를 첨부하는 형태로 유포 되기도 했다. 한편 암호화된 일부 파일은 복구가 가능하다. (블로그 링크)

 

CryptoMix CryptoShield  랜섬웨어도 국내 발견 보고 되었다. 두 랜섬웨어는 랜섬노트 및 암호화 확장자가 유사하거나, 자기 복제본 생성, 윈도우 기본 유틸리티를 이용한 윈도우 복구 무력화, 암호화 대상에서 제외 되는 확장자 및 폴더 경로등이 거의 같았다. 또한 CryptoShield 랜섬노트에 자신은 CryptoMix 변형이 아니라는 내용을 담기도 했다.

 

Spora 는 바로가기 (.lnk) 파일을 생성하여 지속적인 감염을 유도한다. 일반적으로 랜섬웨어는 한번 암호화된 이후에 자신을 재실행 하도록 하는 전략은 사용하지 않는다. 그러나 Spora CryptoMix, CryptoShield 는 재부팅 이후 자신을 재실행 할 수 있도록 해둔다.

 

Spora 는 취약점을 통해서 유포 되기도 하며 Chrome 사용자들을 타켓으로 특정 사이트 방문시 허위 Popup 창을 보여주고 클릭을 유도하여 감염 되기도 한다. 또한 Cerber  유포지에서도 발견 되기도 하며 외형이 Cerber 와 유사한 변형들도 종종 발견 되었다. 해당 랜섬웨어는 암호화 이후 생성되는 랜섬노트내 정보를 이용하여 제작자와 채팅을 할 수 있도록 되어 있기도 했다. 또한 암호화된 파일 종류에 따라서 제작자에게 지불하는 비용이 달라지는 특징이 있다.

 

위에서도 살펴보았지만 랜섬웨어의 유포방식은 크게 두 가지로 최근에는 악성 스팸메일 형태로 유포 되는 경향을 주로 보인다. 그리고 Malvertising 기법을 이용하여 사용자를 의도하지 않는 웹 사이트로 유도하고 취약점을 이용하여 악성코드를 감염 시킨다. 이러한 공격에는 여러 감염 단계가 있으며 이중 하나라도 성공하지 못하면 악성코드에 감염 될 수 없다. 안티 바이러스 연구가들은 이러한 감염 단계를 연구하고 무력화 하는 방법을 개발하여 이를 제품에 반영하고 있다. 이제 사용자 스스로 조심하는 단계는 이미 지났으며 보안 제품을 이용한 보호만큼 자동화 되고 안전한 것은 없다.

 

 

 
신고
Creative Commons License
Creative Commons License
Posted by L0REAL

2016년 9월 브라이언 크렙스의 블로그 크렙스온시큐리티(KrebsOnSecurity)와 프랑스 인터넷 호스팅 업체 OVH에 대해 기록적인 DDoS 공격이 발생하고 2016년 10월 21일 금요일 오전 미국 인터넷 호스팅 서비스업체 딘(Dyn)이 DDoS 공격을 당한 사건이 일어났다. 이로 인해 에어비앤비(Airbnb), 페이팔(PayPal), 넷플릭스(Netflix), 사운드 클라우드(SoundCloud), 트위터(Twitter), 뉴욕타임스(The New York Times) 등 여러 사이트에서 접속 장애가 발생했다. 이들 공격에는 사물인터넷(Internet of Things, IoT)을 감염시키는 미라이(Mirai)라는 악성코드가 이용되었음이 밝혀진다.


현재 여러 운영체제가 IoT의 주도권을 놓고 경쟁하고 있으며 이중 임베디드 리눅스(Embedded Linux)가 많이 사용되고 있다. 우리가 흔히 접할 수 있는 인터넷 공유기, 셋톱 박스, NAS(Network Attached Storage), 디지털 비디오 레코더, IP 카메라 등에 임베디드 리눅스가 이용되고 있다. 이들 시스템은 데스크톱과 비교했을 때는 저성능이지만 다른 IoT 제품보다는 컴퓨터에 가까워 공격자들의 우선 목표가 되고 있다.

이러한 임베디드 리눅스 시스템을 겨냥한 악성코드는 2008년 처음 보고되었다. 


초기 임베디드 리눅스 악성코드는 밉스(MIPS) 프로세스를 사용하는 인터넷 공유기만 감염시킬 수 있었지만, 2012년 발견된 에이드라(Aidra) 웜은 밉스 외 다양한 프로세스를 지원해 인터넷 공유기뿐 아니라 셋톱 박스 등 다양한 임베디드 리눅스 환경에서 활동할 수 있었다. 많은 임베디드 리눅스 악성코드는 DDoS 공격 기능이 주 목적이지만 2013년 발견된 달로즈(Darlloz)는 비트코인과 같은 가상 화폐 채굴이 주목적이다. 2014년 말 리자드 스쿼드(Lizard Squad)란 그룹에서 가프지트(Gafgyt) 변형으로 일으킨 DDoS 공격으로 게임 관련 웹 사이트 장애가 발생하기도 했다. 2016년에는 미라이에 의해 9월과 10월 대규모 DDoS 공격이 발생한다. 공격에는 기존 인터넷 공유기뿐 아니라 DVR(Digital Video Recorder), IP 카메라 등의 사물인터넷 기기가 이용되었다


이 가운데 특정 기기만 감염시키는 악성코드나 지속적으로 변형이 나오지 않는 악성코드를 제외하고 많이 발견되고 있는 악성코드는 에이드라(Aidra), 달로즈(Darlloz), 가프지트(Gafgyt), 피엔스캔(Pnscan), 미라이(Mirai) 등이다. 이들 5 종류 악성코드 발견 현황을 보면 2012년 36개, 2013년 26개, 2014년 348개, 2015년 1,180개, 2016년 9,125개다. 참고로 2016년 통계는 10월 31일까지의 집계로, 연말까지 1만 개 이상의 악성코드가 보고될 것으로 예상된다. 이처럼 임베디드 리눅스 기반 악성코드는 2014년 이후 폭발적인 증가세를 보이고 있다.

V3에서는 이들 파일을 Linux/Aidra, Linux/Darlloz, Linux/Gafgyt, Linux/Pnscan, Linux/Mirai 등으로 진단하고 있지만 사물인터넷에는 백신 프로그램을 설치 할 수 없이 사물인터넷에 감염된 악성코드를 직접 진단할 수는 없다.

이들 악성코드 예방을 위해 사물인터넷의 취약한 암호를 변경해줘야 한다. 



보다 상세한 사물인터넷 관련 악성코드 동향은 다음 주소에서 확인 할 수 있다.

- IoT 환경 위협하는 ‘리눅스 악성코드 Top 5’ (월간 안 201612호)
http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=25779


- '임베디드 리눅스 기반 사물인터넷(IoT) 보안위협 동향 보고서' 전문

http://download.ahnlab.com/kr/site/library/[AhnLab]_Embedded_Linux_Malware_201612.pdf



저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by mstoned7

1. 개요

멀버타이징(Malvertising)은 악성 프로그램을 뜻하는 멀웨어(Malware) 혹은 악성 행위를 의미하는 멀리셔스(Malicious)와 광고 활동을 뜻하는 애드버타이징(Advertising)의 합성어 이다. 멀버타이징(Advertising)은 광고 서비스의 정상적인 네트워크를 이용하여 악성코드를 유포 및 감염 시키는 방법이다.

예를 들면 악성코드 제작자는 그럴 듯한 도메인 이름 - 예를 들어 호텔예약 정보 및 게임정보 - 을 갖는 위장된 광고 웹 사이트를 제작 후 광고 서비스에 이를 광고 한다. 제작된 웹 사이트 내용은 단지 취약점 페이지로 리다이렉트 그 이후 알려진 정상 웹사이트로 이동 - 되도록 설정 해둔다.

광고 서비스를 하는 업체는 일반적으로 사용자들에게 광고를 많이 노출 하도록 하기 위해서 동적으로 광고를 받아 올 수 있는 특정 파라미터를 갖는 URL 제공 한다. 제공 된 URL은 여러 웹 사이트에서 사용 되는데 보통 웹 서핑 중 방문 하지 않는 웹 사이트가 새로운 창의 웹 브라우저를 이용해서 보여지는 경우가 이와 같다.

멀버타이징 애드웨어는 (PUP/Win32.EoRezo) 동적으로 광고를 받아 올 수 있는 특정 파라미터를 갖는 URL 을 인코딩하여 내부적으로 가지고 있으며 주로 다음과 같은 웹 사이트에서 팝업을 통한 설치, 또는 크랙파일, 무료게임파일로 위장 되어 설치를 유도한다.

- 토렌트 관련 사이트

- 크랙 관련 사이트

- 음란물 관련 사이트

- 무료 게임 사이트

- 무료 동영상 플레이어 다운로드 유도 사이트

- 허위 플래시 플레이어 다운로드 유도 사이트


                      멀버타이징 (Malvertising) 애드웨어를 이용한 악성코드 감염방법


멀버타이징으로 악성코드에 감염 되는 경우는 크게 2가지로 웹 서핑시 웹 브라우저의 팝업으로 보여지는 광고 사이트에 노출 되거나,  멀버타이징 애드웨어가 사용된 경우, 사용자가 서핑을 하지 않아도 설치된 애드웨어가 불규칙하게 브라우저를 자동 실행한 광고를 받아 오는 특정 파라미터를 갖는 URL 접속 하여 광고를 보여준다.  

사이트가 정상적인 광고 사이트라면 이런 자동 실행이 문제가 되지 않을 수도 있다. 하지만 보안이 취약한 브라우저 또는 플래시 플레이어(Flash Player), 아크로뱃 리더(Acrobat Reader), 실버라이트(Silverlight), 자바(Java) 설치된 경우라면 상황이 다르다. 사용자 의도와 상관 없이 애드웨어가 보여주는 사이트가 취약점이 있는 사이트로 리다이렉트 앞서 열거한 어플리케이션 플러그인 취약점을 이용하여 악성코드에 감염이 있다. 멀버타이징을 이용한 방법은 불특정 다수를 대상으로 감염 시킬 수 있고웹 사이트 (도메인)를 자주 변경하여유포지를 찾거나 차단하기 어렵게 만든다.


2. 감염사례

Angler Exploit Kit 에 의한 Cryptolocker 감염 사례

공격자에 의해서 제작된 booking(제거됨).pw  웹사이트는 위에서 언급한 광고 관련 특정 파라미터_내부 URL' 중 하나인 다음 광고 서비스의 www.fh(제거됨).com/(특정 파라미터) 로부터 받아온다.


                                                   멀버타이징 감염사례_Fiddler_로그


이러한 공격 뒤에는 ‘익스플로잇 킷(Exploit Kit, EK)’이라는 악성코드를 제작, 관리, 유포를 자동화 할 수 있는 도구가 있으며 최근 공격에는 다음 익스플로잇 킷이 주로 사용 되고 있다.

 

- 앵글러(Angler) EK

- 리그(Rig) EK

- 매그니튜드(Magnitude) EK


3. 진단명


해당 멀버타이징 애드웨어에 대한 V3 진단명은 다음과 같다.

- PUP/Win32.EoRezo

- Win-PUP/EoRezo

신고
Creative Commons License
Creative Commons License
Posted by L0REAL

 

  1. Mac OS X

얼마 전 Mac 의 운영체제인 OS X 요세미티(Yosemite)가 업데이트 되었고 아이폰 6는 여전히 큰 인기를 끌며 판매되고 있다. 이전에 음악, 디자인 등 예술계 종사자들 혹은 소수의 매니아들만 사용하던 애플사의 Mac 컴퓨터는, 아이팟과 아이폰의 성공에 힘입어 사용자 계층이 크게 확대되고 대중화되었으며, 이에 따라 OS X 악성코드 또한 증가하고 있는 추세이다.

다만, 다음 통계에서 확인할 수 있듯이, 국내의 OS X 점유율은 아직 10%가 채 안 되어, 국내에서는 비교적 파급력이 크지 않다.

 

[그림 1] 국내 OS 점유율 (출처: StatCounter)

 

그러나 과거 수년간 대형 보안사고 발생에 따른 피해가 점점 커지고, 보안의 중요성에 대한 인식이 확대되면서, 종전의 사용하던 시스템 기반을 리눅스나 맥 등으로 변경을 고려하는 기업과 기관들이 증가하고 있다. 현재 국내에는 맥과 관련된 백신 사용률이 매우 낮고 보급 속도 또한 더딘 상태라, 표적 공격에 매우 취약할 수 있기 때문에, 만약 사고가 나면 그 위험성과 피해는 예상보다 훨씬 클 수 있다. 따라서 당장 큰 위협은 없어 보여도, 이전과 같은 대형 보안 사고가 반복되기 전에, 미리 맥 관련된 악성코드에 대해 짚어둘 필요가 있다. WIL 의 지면을 통해 간략하게나마, 2014년에는 어떤 Mac 악성코드가 발견되었는지 살펴보자.

 

  2. 2014 Mac Malware

지난 2014년의 보안 이슈 키워드로는 '멀티 플랫폼, 금융, 취약점, 고도화' 등을 꼽을 수 있다. 윈도우뿐만 아니라 모바일, POS (Point of Sales), Mac 등 다양한 플랫폼을 공격하는 악성코드들이 발견되었고, 파밍을 비롯하여 메모리 해킹을 이용해 인터넷 뱅킹의 금융정보를 탈취하는 기술까지 다양했고 '하트블리드(Heartbleed)'나 '쉘쇼크(ShellSock)' 와 같은 오픈 소스 취약점도 연이어 공개가 되었다.

2014년에 발견된 Mac 악성코드들은, 물론 기술적인 차이는 있지만 그 형태가 윈도우 악성코드와 비교해서 크게 다르지 않다. 애플사도 과거와는 다르게 GateKeeper 와 같은 보안 기능을 추가하는 등, 마이크로소프트사와 마찬가지로 보안을 크게 염두에 두고 있다. 또한 현재 발견되는 맥 악성코드는 불법다운로드와 프로그램의 취약점, 피싱, 앱스토어 등을 주된 유포 경로로 삼아 감염되는데, 이 또한 윈도우의 사례와 유사하다.

 

GateKeeper

윈도우의 사용자 계정 컨트롤(UAC) 와 유사한 기능으로, 인터넷을 통해 다운로드한 앱이나 써드 파티(Third-party) 앱들로부터 Mac 을 보호하는 기능이다.

 

  (1) Cross Platform - Flashback & Icefog

2012년 발견된 Flashback 악성코드는 맥 사용자들에게는 유명한 악성코드이다. 이때만 해도 애플사는 Java를 기본 패키지로 맥 OS를 배포했는데, Flashback 악성코드는 바로 이 자바의 취약점(CVE-2012-0507, CVE-2011-3544) 을 통해 감염되었다. 이 악성코드는 약 60만대의 맥을 감염시킬 정도로 파급력이 컸기 때문에, 애플사는 Mac OS Lion (10.7) 버전 이후로 Java를 기본 패키지에서 제외했다. 해외 보안 업체 Intego의 통계에 따르면, Flashback 악성코드로 인한 피해는 2014년 초반까지도 계속되었다.

한편 악성코드의 C&C (Command-And-Control) 서버 문자열로 이름 붙여진 Icefog 악성코드는, 한국과 일본의 주요 기업과 기관 대상으로 한 소규모 APT(Advanced Persistent Threat) 악성코드로 당시 매우 위협적이었다. 본격적인 표적공격이라 할 수 있는 이 Icefog 악성코드는 Java의 취약점뿐만 아니라 HWP, Microsoft Office 등의 취약점을 이용하였다.

 

[그림 2] Flashback 악성코드

 

위의 두 악성코드는 Java의 취약점을 감염 경로로 이용했는데, 특히 Icefog 악성코드는 Java 뿐 아니라 다양한 프로그램의 취약점을 이용하여 윈도우와 OS X 플랫폼을 감염시켰다. 이른바 크로스 플랫폼(Cross platform) 공격인데, 하나의 취약점을 통해 다양한 플랫폼을 공격함으로써 피해자가 사용하는 플랫폼에 제약 없이 악성코드를 감염시키는 형태였다. 과거에 이어, 2014년 역시 이러한 크로스 플랫폼 공격 형태의 악성코드는 다양한 형태로 발견되었다.

 

  (2) RAT - LaoShu

2014년 1월에 발견된 LaoShu 악성코드는 피싱 메일을 통해 유포되었다. 이 메일은 유명 운송업체를 가장하고 다운로드 링크를 포함하여 사용자가 파일을 다운로드 하도록 유도하였다. PDF 아이콘으로 위장한 Laoshu 악성코드는 RAT (Remote Access Trojan) 악성코드로 분류되며, 다른 RAT 류의 악성코드와는 달리 사용자의 컴퓨터 정보, 인터넷 연결 정보, 데이터들을 탈취하는데 그 기능이 집중되어 있었다. 데이터 명의 확장자가 DOC, DOCX, XLS, XLSX, PPT and PPTX, ZIP 인 파일 정보를 탈취하였고 또 다른 파일을 다운로드 하여 스크린샷 이미지들 또한 탈취하였다.

[그림 3] (좌)유포된 이메일 전문 (출처: Sophos) / (우)스크린샷 이미지 전송 코드

 

이러한 RAT류의 악성코드들은 주로 APT(Advanced Persistent Threat) 형태로 특정 기업, 기관을 대상으로 배포, 감염되었지만, 2014년부터 대상 범위가 불특정 다수의 일반인들까지 확대되었다. 2014년에 발견되었던 뱅킹류의 악성코드에 CyberGate RAT, Gh0st RAT 등이 포함된 것이 그 예이다. LaoShu 악성코드도 주로 기업이나 기관을 대상으로 하던 기존과는 달리 일반인들을 대상으로 유포된 RAT류 악성코드의 대표적 예로, Mac 또한 윈도우와 그 흐름을 같이 하고 있다.

 

  (3) BitCoin – CoinThief

CoinThief, CoinStealer라 불리는 이 악성코드는 2014년 2월경 발견되었으며, 주 목적은 비트코인을 채굴하는 것이다. 온라인 가상 화폐의 일종인 '비트코인(Bitcoin)' 은 P2P(파일공유 시스템)를 기반으로 발행 및 거래가 이루어지는데, 이러한 비트코인의 가치가 상승하면서 이를 탈취하기 위해 Mac 에 배포된 것으로 보인다. 2014년 8월경 리눅스에서도 같은 형태의 악성코드가 Ssabobot, Bossabot 이라는 이름으로 발견되었다.

CoinThief 악성코드는 정상 애플리케이션으로 가장하여 유포되었다. 해킹으로 인해 2014년 3월에 파산한 Mt.Gox (당시 세계 최대 비트코인 거래소) 관련 애플리케이션과 유명한 게임인 'Angry Birds' 애플리케이션이 대표적이다. 또한 CoinThief 악성코드 종류 중에는 OS가 Windows인지 Mac인지 체크 후, 각 OS에 맞는 악성코드를 배포하여 감염시키기도 하였다.

 

[그림 4] (좌) Mt.Gox 를 위장한 윈도우 악성코드 실행화면 / (우) Angry Birds

 

Mt.Gox 사가 파산한 뒤, 얼마 전 세계 최대의 비트코인 거래소로 자리잡은 비트스탬프가 출금 거래를 중단했다. '거래 과정에서 문제가 감지되었다' 는 것이 그 이유인데, 이러한 불안함 속에서도 비트코인의 가치는 하락하지 않고 있다. 또한 2015년에도 인터넷 뱅킹, 모바일 뱅킹과 관련된 악성코드는 물론이며, 가상화폐 비트코인 관련 악성코드 또한 크게 증가할 것으로 보인다. 이에 Mac 또한 예외없이 이 악성코드에 대한 대비책이 있어야 할 것이다.

 

  (4) BotNet - Luaddit

iWorm이라는 이름으로도 알려진 Luaddit 악성코드는 2014년 9월 해외 보안업체 Dr. Web에 의해 발견되었다.

[그림 5] Luaddit (출처: Dr. Web)

 

Luaddit 악성코드는 일반적인 Trojan 악성코드와 유사하나, 감염된 Mac과 관련되어 확인된 IP 가 1만 7천여 개 이상이라는 것이 특이점이다. 이는 윈도우뿐만 아니라 Mac 에서도 대규모 Botnet에 감염될 수 있다는 것을 의미한다. 물론 Flashback 악성코드와 같은 Mac의 대규모 악성코드 감염 사례가 이미 있었지만, 이 Luaddit 악성코드는 윈도우와 마찬가지로 Mac 또한 악성코드로 인한 대규모 피해로부터 안전지대가 아니라는 것을 다시 한 번 확실히 보여주었다. 당시에 해당 악성코드는 애플사의 XProtect 에도 'iWorm'이라는 이름으로 업데이트되었고, 자사에서는 'Luaddit'로 진단이 가능하다.

 

  (5) Modular & Open Source - Ventir

2014년 10월에 발견된 Ventir는 다양한 기능이 모듈화된 악성코드로 확인되었다. 보통 악성코드들은 정보탈취, 원격제어 등 하나의 기능과 목적을 위해 제작되는 반면, Ventir 악성코드는 Dropper 파일 안에 키로거, 백도어, 이벤트 모니터 등의 기능들이 모두 모듈화되어 있었다. 아래 그림은 하나의 Dropper 안에서 각각의 기능을 수행하는 파일들의 위치를 보여준다.

 

[그림 6] 각 모듈의 파일 위치 (출처: Kaspersky)

 

Ventir 악성코드의 대표적 특징은 모듈들 중 오픈 소스가 사용된 점이다. 이러한 오픈 소스는 사용자들이 자유롭게 이용이 가능하며, Github 과 같은 사이트를 통한 코드 공유가 매우 편리하다. 위에서 언급한 Gh0st RAT 툴도 이러한 오픈 소스의 한 예로 볼 수 있다. 이러한 오픈 소스를 적극 활용한 악성코드 배포가 증가하게 되면, 상대적으로 악성코드로부터 안전하다고 여겨지는 Mac OS X 를 대상으로 한 새로운 악성코드 제작도 매우 쉬워진다. 따라서 이 악성코드는 그 자체로 끼치는 피해로만 그치는 것이 아니라, 다양한 악성코드 증가에도 큰 영향을 끼칠 것으로 보인다.

 

  (6) New Era - Wirelurker

가장 최근인 11월에 발견된 악성코드 Wirelurker 는 기존과 다른 새로운 형태의 악성코드였다. 윈도우가 아닌 OS X, iOS 만을 타깃으로 하여 제작되었고, 아래 그림과 같이 1. 사용자가 3rd 파티 앱스토어에서 악성코드를 다운로드 받아 설치를 하면, 2. 감염된 Mac 은 이미 감염되어 있는 악성앱을 다시 다운로드하고 USB 연결을 모니터링 한다. 3. 이후, 사용자가 아이폰을 Mac 컴퓨터와 연결했을 때 4. 악성앱이 아이폰에 설치된다.

 

[그림 7] iOS 감염 과정

 

중국에서 만든 것으로 추정되는 이 악성코드는, 기존의 정상앱 리패키징을 이용한 점, USB 연결을 통해 iOS 를 감염시킨 점, 그리고 탈옥하지 않은 스마트폰도 감염시킨다는 것이 특이점이다. 그리고 이러한 점은 과거에 발견되지 않은 형태로, 일반적으로 악성코드로부터 상당히 안전하다고 평가받는 iOS 도 안드로이드와 다름없이 위협하고 있다. 당시에 해당 악성코드로 인해 큰 피해가 발생한 것은 아니지만, OS X 와 iOS 시스템과 관련해 종전보다 한층 정교한 기술을 보여주기 때문에, 이후 나올 악성코드에 많은 영향을 끼칠 것으로 보인다.

 

 

  3. Conclusion

보통 맥 사용자들은 윈도우가 아닌 OS X를 사용한다는 이유 때문에 악성코드로부터 자유로울 수 있다고 생각할지 모른다. 물론 윈도우에 비해 맥 악성코드가 많지 않고 그 파급력 역시 현재는 크지 않기에 틀린 말은 아니다. 그러나2014년에 발견된 맥 관련 악성코드들을 살펴보면, Mac 역시 앞으로 악성코드의 위협에서 결코 자유로울 수 없다는 것을 확인할 수 있다.

위에서 언급했던 Mac 악성코드의 대표적 양상인 크로스 플랫폼 공격 형태는 2014년에 새로 등장한 게 아니라, 과거부터 현재까지 계속적으로 발견되어 온 형태의 악성코드다. 더 나아가 위에서 말했듯이 Wirelurker 악성코드처럼 기술적으로 수준이 높은 Mac의 OS만을 대상으로 한 악성코드 또한 이미 등장했다. 즉 OS X, iOS의 악성코드는 계속 진화하고 있으며, 그 속도는 점점 빨라진다는 것을 알 수 있다. 또한 RAT, Bitcoin, 오픈 소스 등을 이용한 악성코드를 통해 확인했듯이, Mac 악성코드 또한 사회적 흐름에 따라 파급 분야는 다양해지고, 기술적으로는 점점 체계화되고 정교해지고 있다.

 

이러한 악성코드 예방을 위해 최소한 아래 세 가지는 반드시 기억하도록 하자.

(1) 검증된 소프트웨어 다운로드 및 설치, 최신 업데이트

(2) 시작 시, 등록된 App 확인

 

[그림 8] (좌) 검증되지 않은 App 실행 / (우) 시작 시, 실행되는 App 설정


(3) 백신 소프트웨어 설치

 

[그림 9] 자사의 V3 for Mac

 

끝으로 윈도우든 Mac 이든 모든 기술은 완벽할 수 없다. 2015 년에는 핀테크, 사물인터넷 등 새로운 기술들이 우리 생활에 더 가까이 다가올 것이다. 그러나 국내 사용자들의 보안 인식과 패러다임을 바꾸지 않는다면 아무리 최고의 기술도, 편리한 기술도 보안 문제로 인해 자유롭게 사용할 수 없을지 모른다. 충분한 보안 인식을 토대로 했을 때에만, 사용자들은 새로운 기술을 완벽하게 누릴 수 있을 것이다.

 

V3 for Mac 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

OSX64-Trojan/Laoshu

OSX32-Dropper/Luaddit

OSX64-Trojan/Wirelurker 외 다수.

저작자 표시 비영리 동일 조건 변경 허락
신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

 

1. 스마트폰 뱅킹 사용자 대상 공격 심화

2. 스마트폰 결제 서비스 노린 새로운 위협 등장

3. 스미싱(Smishing) 고도화

4. 사물인터넷(IoT)에 대한 스마트폰 보안의 중요성 대두

 

- 2014년 한 해 안랩이 수집한 스마트폰 악성코드 총 143만 247개로 보안위협 증가

 

안랩(대표 권치중, www.ahnlab.com)이 2014년 스마트폰 악성코드 통계와 2015년에 예상되는 국내 모바일 보안 위협 트렌드 4가지를 분석해 발표했다. 

 

먼저, 안드로이드 기반 스마트폰 사용자를 노리는 악성코드는 지난 해 누적 총 143만 247개로 나타났다. 이는 2013년(125만 1,586개) 대비 14.2% 증가한 수치이며, 2012년(26만 2,699개)보다 444%(5.4배) 증가한 수치이다.

 

또한, 스마트폰 악성코드는 2011년 8,290개에서 2012년 약 26만개로 폭발적으로 증가했고, 2013년에 100만개를 돌파한 이후 지속적으로 증가하고 있다(보충자료 참조).

 

이 중(스마트폰 악성코드 143만 247개) 스미싱 악성코드의 경우, 2014년 한 해 동안 총 10,777개가 발견됐다. 이는 2013년(5,206개) 대비 약 107%(2배), 2012년(29개) 대비 37,062%(371배) 증가한 수치이며, 역시 꾸준히 증가세를 보이고 있다(보충자료 참조).

 

올해도 모바일 악성코드의 양적인 증가추세는 이어질 것으로 보이는 가운데, 안랩은 ▲스마트폰 뱅킹 사용자 대상 공격 심화 ▲스마트폰 결제 서비스 노린 새로운 위협 등장 ▲스미싱(Smishing) 고도화 ▲사물인터넷(IoT)의 중심으로서의 스마트폰 보안의 중요성 대두 등의 2015년 모바일 보안 위협 트렌드를 발표했다.

 

1. 스마트폰 뱅킹 사용자 대상 공격 심화

2014년에 많이 발견된 뱅킹 악성코드는 양적인 증가와 함께 주로 문자메시지나 SNS에 URL 사용에서 공유기 DNS를 변조하거나, 정상마켓을 통해 악성 앱을 유포시키는 방식으로 발전을 보였다. 이렇게 스마트폰 뱅킹 관련 악성코드가 진화함에 따라, 금융기관에서는 다채널 인증 도입 등 인증절차를 강화하고 있다. 하지만, 공격자도 이러한 강화된 보안기법들의 취약점을 다양한 방법으로 분석해 이를 우회 시도할 것으로 보인다.

 

2. 스마트폰 결제 서비스 노린 새로운 위협 등장

'핀테크(FinTech, Financial + Technology, 금융과 IT의 융합)' 개념이 적용된 여러 스마트폰 결제 서비스가 본격적으로 도입됨에 따라 이를 노리는 보안 위협 또한 증가할 수 있다. 국내 금융기관(출처: 키움증권 '2015년 유통산업 전망' 보고서)의 조사에 따르면, 2014년 3분기에 모바일 쇼핑 거래액은 3조9천억원이었고, 올해 4분기까지 8조1천억원까지 증가할 것으로 예상했다. 이런 추세에 맞춰 해외에서는 모바일 결제를 노린 공격이 발생한 바 있고, 국내에서도 모바일 앱카드 명의도용이 발생하기도 했다. 스마트폰 결제 서비스의 편리함으로 사용자가 늘어나는 만큼, 이를 노리는 보안위협도 증가할 것으로 예상된다.

 

3. 스미싱(Smishing) 고도화

올해 스미싱 악성코드는 양적 증가와 함께 유포방식 및 유형 등도 더욱 고도화 될 것으로 보인다. 초기 스미싱은 이벤트 당첨, 선물 증정과 같은 단순 문구에 URL을 포함시켜 악성 앱 다운로드를 유도했다. 하지만 최근에는 민원발생 등 생활밀착형 스미싱, 시즌별 맞춤형 스미싱 문구와 함께, 정상 모바일 사이트와 구분하기 어려운 정교한 가짜 사이트를 제작해 사용자를 속이는 방식 등 사용자를 속이기 위한 다양한 방식으로 진화를 거듭하고 있다. 2015년에는 사용자를 속이기 위한 방식의 고도화와 스미싱 탐지 보안제품을 우회하기 위한 시도도 증가할 것으로 보인다. 특히, 최근에는 스미싱 형태로 유포되는 악성코드 중 상당수가 스마트폰 뱅킹을 노리는 악성코드로, 실제 금융피해를 발생 시킬 수 있다.

 

4. 사물인터넷(IoT)의 중심로서 모바일 보안의 중요성 대두

IoT(사물인터넷, Internet of Things)는 유/무선 망으로 연결된 기기들끼리 서로 통신을 하며 정보를 주고 받으며 다양한 편익을 제공하는 것으로, 많은 전문가들이 2015년에는 IoT환경이 생활 속에 녹아들 것으로 예상하고 있다. 스마트폰으로 조종하는 보일러나 TV, 조명 등에서와 같이 IoT 환경에서 스마트폰은 각 기기의 컨트롤과 정보흐름에 있어서 중심으로 성장할 가능성이 높다. 따라서, 앞으로 펼쳐질 IoT환경에서 사회혼란이나 생활불편 초래를 노리는 공격자는 각 기기에 대한 개별 공격이 아니라, 그 중심에 서있는 스마트폰에 대한 보안위협을 가할 가능성이 높다.

 

안랩은 스마트폰 보안위협을 최소화 하기 위해서 3대 보안수칙을 제시했다.

1)문자 메시지나 SNS(Social Networking Service)등에 포함된 URL 실행을 자제해야 한다. 만약 수상한 URL을 실행하고 앱을 설치 했을 시에는 모바일 전용 보안 프로그램을 통해 스마트폰을 검사하는 것이 필수다.

2)반드시 모바일 전용 보안 앱(V3 Mobile 등)나 스미싱 탐지 앱을 설치하고 자동업데이트 등으로 항상 최신 엔진을 유지한다. 또한, 보안 앱으로 주기적으로 스마트폰을 검사하는 것이 좋다.

3)공식 마켓 이외의 출처의 앱 설치 방지를 위해 "알 수 없는 출처[소스]"의 허용 금지 설정을 하고, 공식 마켓에도 악성 앱이 등록되어 있을 수 있어 평판 정보를 반드시 확인해야 한다.

 

안랩 ASEC 이승원 책임연구원은 "최근 스마트폰은 금융 결제, 쇼핑, 업무정보 저장 등 활용범위가 대단히 늘어났고, IoT환경에 발맞춰 더욱 확대될 것으로 예상된다. 이에 따라, 사용자와 기업과 같은 모든 보안 주체에서 보안에 대해 진지하게 생각하는 것이 중요하다."고 말했다.

 

 

[보충자료]

1. 2012~2014년 스마트폰 악성코드 통계



 

2. 2012~2014년 스미싱 악성코드 통계



 

3. 스마트폰 사용자 3대 보안수칙



저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

안랩 ASEC에서 2013년 11월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2013 Vol.47을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2013년 11월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

PC 내 파일을 암호화하는 랜섬웨어 CryptoLocker

악성 매크로를 포함한 엑셀 파일

USB에 생성되는 ‘바로가기’ 파일

MS 오피스 제로데이 취약점(CVE-2013-3906) 주의

새터민 자기소개서로 위장한 악성 한글 파일 출현

신용카드 명세서로 위장한 악성코드 변종 유포

가짜 음성 메시지가 첨부된 악성 스팸 메일 등장

동영상 파일로 위장한 악성코드

이력서 문서 파일로 위장한 실행 파일


2) 모바일 악성코드 이슈

정상 앱을 가장한 광고 앱 주의

신뢰할 수 있는 기업의 웹사이트로 위장한 모바일 사이트

음란 페이지로 가장해 모바일 악성 앱 배포

웹서핑 중 자동으로 다운로드 되는 앱


3) 보안 이슈

비트코인 지갑 저장소를 노린 공격 발생

Apache Struts 2 취약점 업데이트 권고


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2013 Vol.47 발간



저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안랩 ASEC에서 2013년 10월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2013 Vol.46을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2013년 10월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

IE 취약점(MS13-080) 주의보!

웹하드 사이트에서 유포된 백도어 악성코드 발견

반복 감염 유발하는 USB 악성코드 발견

일반 사용자에게도 유포된 이력서 첨부 파일

화면보호기 확장자(.scr)를 이용한 악성 파일


2) 모바일 악성코드 이슈

모바일 메신저 피싱 앱 설치하는 악성 앱 등장

암호화된 안드로이드 악성코드의 등장

공공기관 및 기업 사칭 스미싱 증가


3) 보안 이슈

스팸 메일을 발송하는 다리미?

PHP.net 해킹으로 인한 악성코드 유포

DNS 하이재킹을 통한 홈페이지 해킹

어도비 해킹 피해자, 3800만 명으로 증가


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2013 Vol.46 발간

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안랩 ASEC에서 2013년 9월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2013 Vol.45을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2013년 9월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

ZeroAccess 악성코드의 지속적인 등장

구글 업데이트를 위장한 ZeroAccess 악성코드

IE 실행 시 중국 사이트 접속?!

대형 인터넷 쇼핑몰을 겨냥한 금융 피싱 악성코드 기승

난독화된 스크립트 악성코드 감염 주의

최신 음악 토렌트 파일을 위장한 PUP 유포

홍콩금융관리국 위장 악성 스팸 메일

페이징 파일에 잔존하는 데이터


2) 모바일 악성코드 이슈

한국인터넷진흥원을 사칭한 스미싱 주의!

금융사 피싱 앱 변종 발견

금융 예방 서비스?


3) 보안 이슈

제로데이 IE 취약점, CVE-2013-3893 

어도비사 고객정보 및 소스코드 유출 사건


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2013 Vol.45 발간

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

- 악성코드와 공격기법의 고도화, 국가간 사이버보안 위협 증대, 침투경로의 다양화 등 사이버 공격이 더욱 교묘해지고 심화될 것으로 예측


안랩[대표 권치중, www.ahnlab.com]은 ‘2014년 예상 7대 보안 위협 트렌드’를 발표했다. 이에 따르면 2014년 예상되는 주요 이슈는 ►APT방식의 악성코드 고도화와 표적[target] 확대 ► 전자금융사기와 사이버범죄의 산업화 가속 ►악성코드 유포 방법의 다양화 및 고도화 지속 ►윈도XP 지원 종료에 따른 보안 위협 증가 ►특정 표적을 노린 소규모 모바일 악성코드 ►사이버 보안에 대한 국가적 인식 변화 ►펌웨어 업데이트에 악성코드 포함 시도 증가 등이다.

 

1] APT방식의 악성코드 고도화와 표적[target] 확대

2013년까지 기업이나 기관 등 특정 표적만을 노려 고도화된 악성코드를 이용해 정보유출이나 시스템 파괴를 노린 APT[Advanced Persistent Threat, 지능형 지속 공격] 공격이 큰 문제로 등장했다. 2014년에는 APT와 같은 지능형 공격의 표적이 확대되어, 일반 PC사용자를 노린 악성코드도 기존 APT 공격과 구분이 되지 않을 정도로 고도화될 것으로 예상된다. 이와 함께, 게임머니 탈취하기 위한 온라인 게임핵[OnlineGameHack] 부류와 금융정보를 탈취하기 위한 금융 악성코드 부류의 기능이 구분되지 않을 정도로 유사해져 가는 것, 혹은 APT공격과 제로데이 취약점을 노리는 워터링홀[보충설명 참조] 공격의 구별이 없어지는 등 악성코드 간의 기능이 융합될 것으로 예상된다. 특히 금전적 이익을 위해 무차별적인 악성코드 유포를 통해 비트코인 채굴을 시도하는 사례가 국내에도 등장할 것이다.

[보충자료] 워터링 홀[Watering hole] 공격: 알려지지 않은 취약점을 활용해 악성코드를 유포하는 방법 중 하나로, 악성코드를 특정 웹사이트에 심어두고 사용자가 해당 사이트에 접속하면 악성코드가 PC로 배포되는 형태의 공격 기법

 

2] 전자금융사기와 사이버범죄의 산업화 가속

2013년 악성코드를 이용한 전자금융사기 피해사례들을 보면 피싱, 파밍, 보이스 피싱, 스미싱, 메모리 해킹 등 다양한 수법들이 사용되었다. 이렇듯 매년 사용자의 금융정보와 예금을 탈취하기 위해서 악성코드에 사용한 기술들이 점차 정교화, 고도화되고 있다. 2014년에도 악성코드 제작자들은 응용 프로그램 취약점, 정상 프로그램 변조, USB와 같은 외부 저장 매체 접근 등 다양한 방법을 통해서 악성코드 유포를 시도할 것을 보인다. 또한, 지금의 인터넷뱅킹과 같은 온라인상에서 돈을 취급하는 특정 금융 서비스를 대상으로 하는 공격이 증가할 것으로 예상된다. 따라서 금전을 노린 사이버 범죄의 산업화가 가속화될 것이다.

 

3] 악성코드 유포 방법의 다양화 및 고도화 지속

2014년에는 악성코드 유포 방법이 더 다양해지고 고도화될 것으로 예상된다. 지금까지는 불특정 다수에게 악성코드를 대량으로 유포하고 목적에 따라 변종을 유포하는 방식이 많았다. 2014년에는 기존의 방식 외에 손쉽게 악성코드를 대량으로 유포할 수 있는 새로운 형태의 유포 방법이 등장할 가능성이 높다. 예를 들어, 다수 사용자가 접속하는 CDN[Content Delivery Network, 컨텐츠 전달 네트워크]이나 도메인 관리업체, ISP[Internet Service Provider, 인터넷 서비스 제공자]업체를 통해 다수 악성코드를 배포하는 공격방식이 증가할 수 있다. 따라서 2014년에는 인터넷 서비스 관리자들의 주의가 필요할 것으로 보인다.

 

4] 윈도XP 지원 종료에 따른 보안 위협 증가

2014년 4월 8일, 윈도XP에 대한 모든 지원이 종료되며, 이후 발견된 취약점에 대한 보안 업데이트도 더는 제공되지 않는다. 따라서 지원 종료 이후 보안 위협에 대한 보호는 백신, 방화벽 등 PC용 보안 솔루션에 전적으로 의존할 수 밖에 없다. 또한, 현재 윈도XP는 인터넷 익스플로러[IE] 9 이상 버전을 지원하지 않고, 악성코드 감염에 취약한 IE 6~8 버전이 주로 사용되고 있어 보안위협에 노출될 가능성이 높다. 윈도우 XP사용자는 윈도7 또는 8 등으로 업그레이드하는 것이 필요하다.

 

5] 특정 표적을 노린 소규모 모바일 악성코드

2014년에는 모바일 악성코드를 활용해 특정 대상을 감시하거나 정보를 유출하는 소규모 모바일 악성코드가 등장할 가능성이 높아질 것으로 예상된다. 2013년에 사회적 문제로 떠오른 다양한 스미싱 악성코드는 대량 유포를 목적으로 했기 때문에 발견이 빠른 측면이 있었다. 하지만 만약 악성코드 제작자가 악성코드를 불특정 다수에 유포하지 않고, 특정 기업 내부 기밀유출이나 감시를 목적으로 소량만 유포한다면 발견이 어려워질 수 있다. 이런 점을 노린 ‘다품종 소량’ 스파이앱이 등장할 수 있다.

 

6] 사이버 보안에 대한 국가적 인식 변화

2013년 미국 국가안보국[NSA]의 광범위한 정보수집을 폭로하는 문건과 특정 국가가 미국을 거점으로 하는 기업과 최소 141개 기관의 데이터 유출을 시도하는 등 다양한 국가간 정보수집 사건이 발생했다. 국가를 대상으로 하는 수 많은 정보 수집 전쟁의 실체가 드러난 것처럼, 2014년에는 이러한 국가 간 사이버 전쟁이 더욱 정교화 되고 가속화 될 것으로 예상된다. 이에 따라 사이버 공격과 데이터 유출의 피해를 줄이기 위한 암호화와 보안기술 역시 요구될 것으로 보인다.

 

7] 펌웨어 업데이트에 악성코드 포함 시도 증가

펌웨어는 기본적으로 소프트웨어지만 하드웨어적인 요소도 포함되어 있다. 즉, 하드웨어에 내장되어 기본 동작을 관리하는 프로그램이다. 2013년 4월에 펌웨어의 일종인 바이오스[BIOS]를 만드는 한 업체의 소스코드 유출이 있었고, 10월에는 특정 회사의 제품 속 펌웨어에 백도어가 포함된 것이 확인되었다. 러시아에 수출된 중국산 가전제품에 무선 인터넷에 접속해 악의적인 기능을 할 수 있는 칩이 포함되어있다는 일부 외신 보도도 있었다. 국가 간 사이버 위협이 현실화되는 환경에서 하드웨어나 펌웨어 등에 악의적인 기능을 수행하는 코드를 포함하는 공격이 시도될 것으로 예상된다.

 

안랩 시큐리티대응센터 이호웅 센터장은 "사이버공격은 점점 지능화, 고도화되며 사용자를 위협하고 있다. 2014년에 예상되는 보안위협의 큰 흐름은 악성코드와 공격기법의 고도화, 국가간 사이버보안 위협 증대, 침투경로의 다양화로 정리할 수 있다. 개인과 기관, 기업은 충분한 보안의식을 가지고 이에 대비해야 한다”고 말했다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안랩 ASEC에서 2013년 8월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.44을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2013년 8월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

메모리 패치형 Banki의 온라인 뱅킹 정보 탈취 기법 분석

고객님, 영수증이 발급되었습니다

아마존 구매 관련 메일로 위장한 스팸 메일

특정 은행 대출 승인 메일로 위장한 스팸 메일

휴가철, 사용자의 휴가비를 노려라!

동영상 재생 프로그램을 이용한 악성코드 유포

토렌트 파일로 위장한 악성코드 주의

Your reservation is now confirmed!’

델타 항공 메일로 위장한 악성코드 유포


2) 모바일 악성코드 이슈

V3 모바일 설치 위장 스미싱 주의!

금융사 피싱 앱 주의


3) 보안 이슈

자바 취약점과 결합된 메모리 해킹

인터넷 뱅킹 보안 대책


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2013 Vol.44 발간



저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원