악성코드 정보1153 주요 정부기관 DNS 서버 대상으로 DNS 증폭 DDoS 공격 6월 25일 주요 정부 기관을 대상으로 한 DDoS(Distributed Denial of Service) 공격이 발생한 이후 새로운 형태의 DDoS 공격 형태가 6월 27일 추가 발견되었다. 이번 발견된 DDoS 공격 형태는 다수의 PC에서 ANY를 요청하던 방식에서, DNS ANY Query를 요청하는 것으로 위장(IP Spoofing) 한 후 ripe.net의 ANY 레코드의 결과를 Open Resolver(Reflector, 일종의 중계 DNS 서버)를 통해 정부 종합 센터의 네임 서버(Name Server)로 전송되도록 하는 전형적인 DNS 증폭 DDoS 공격 (DNS Amplification DDoS Attack) 형태이다. 1. 공격 과정 악성코드에 감염된 다수의 PC에서 IP Spoofin.. 2013. 6. 27. 웹 사이트 접속만으로도 디도스 공격 발생시키는 공격방식 확인 - 청와대, 국정원, 새누리당 사이트는 악성 스크립트 방식의 새로운 디도스 공격 받아 - 정부통합전산센터는 좀비PC방식의 기존 디도스 방식 공격 받아 안랩[대표 김홍선 www.ahnlab.com]은 25일 일부 정부기관을 공격한 디도스[DDoS: Distributed Denial of Service, 분산 서비스 거부] 공격에 대한 분석내용을 추가 발표했다. 안랩은 이번 정부기관에 대한 디도스 공격은 악성스크립트를 이용한 새로운 방식과, 악성코드에 감염된 좀비PC를 이용하는 기존 디도스 공격 방식이 혼재되어 있다고 밝혔다. 안랩은 청와대, 국정원과 새누리당 웹 사이트는 ‘악성스크립트 방식’의 디도스 공격을 받았고, 이는 국가적 대형 디도스 공격에 처음으로 사용된 기법이라고 밝혔다. 또한 안랩은 정부통합전.. 2013. 6. 26. 6.25 DDoS 공격에 사용된 악성코드 상세 분석 6월 25일 오전 10시에 일부 정부 기관 홈페이지를 대상으로 DDoS(Distributed Denial of Service) 공격을 수행하도록 제작된 악성코드가 발견되었다. ASEC에서는 해당 DDoS 공격 수행 기능을 가진 악성코드들을 신속하게 확보하여 상세한 분석을 진행 중에 있다. 현재까지 분석된 정보들은 아래와 같으며, 추가적으로 분석된 정보들은 ASEC 블로그를 통해 지속적으로 업데이트 할 예정이다. [업데이트 히스토리]1) 2013.06.25 - 6.25 DDoS 공격에 사용된 악성코드 상세 분석 내용 최초 작성2) 2013.06.26 - 6.25 DDoS 공격에 사용된 악성 스크립트 상세 분석 내용 추가 1. 공격 시나리오 특정 웹하드 업체(www.simdisk.co.kr)의 설치 파일(R.. 2013. 6. 25. "일부 정부기관 디도스 공격" 분석내용 중간발표 - 안랩, 25일 00시부터 웹하드를 통해 디도스 유발 악성코드 배포 확인 - 좀비PC를 치료하는 것이 근본적인 해결책, 백신 업데이트 후 검사 필요 - 안랩 V3에 긴급 엔진업데이트 완료, 추후 지속적 업데이트 및 상세분석 예정 안랩[대표 김홍선 www.ahnlab.com]은 금일 일부 정부기관을 공격한 디도스[DDoS; Distributed Denial of Service, 분산 서비스 거부] 악성코드에 대한 분석내용을 중간 발표했다. 안랩은 이번 디도스 공격을 유발한 악성코드는 25일 00시부터 배포되었으며, 25일 오전 10시에 DDoS 공격을 수행하도록 C&C서버로부터 명령을 받은 것으로 확인되었다. 또한, 2011년 3.4 DDoS 때와 같이 웹하드를 통해 악성코드가 배포된 것으로 분석했다. .. 2013. 6. 25. ARP Spoofing 유발 악성코드 최근 인터넷 사용시 어떠한 사이트를 접속을 해도 ActiveX 보안 경고가 발생한다는 피해가 보고되었다. 이는 ARP Spoofing을 유발하는 악성코드에 감염된 시스템으로 인해 동일 네트워크상의 정상 PC에서 인터넷 사용시 악성코드 유포 URL이 iframe으로 삽입되어 발생한 증상으로 확인되었다. 아래 [그림 1]은 ARP Spoofing이 감염된 시스템이 있는 동일 네트워크상의 정상 PC에서 악성코드 유포사이트가 아닌 정상 사이트인 www.ahnlab.com 사이트를 접속을 할 경우 ActiveX 보안 경고가 나타난 화면이다. 이때 신뢰할 수 있는 사이트라고 해서 무의식적으로 ActiveX 컨트롤러를 설치하면 이 악성코드에 감염될 수 있으니 주의가 필요하다. [그림 1] 정상 사이트 접속 시 삽입된.. 2013. 6. 11. 과속 범칙금 메일로 위장한 악성코드 유포 최근 과속 범칙금 메일을 위장하여 유포되는 악성코드가 발견되었다. 국내 거주하는 사용자들에게는 위험성이 다소 낮지만 유포되는 악성코드가 최근 해외 금융 사 등의 메일로 배포되는 악성코드와 유사한 악성코드로 사용자들의 주의가 요구된다. 본문 내용은 다음과 같다. [그림 1] 과속 범칙금 메일로 위장한 메일 본문 위의 내용을 보면 메일에 첨부된 파일을 실행하도록 유도하는 내용을 확인할 수 있으며, 메일에 첨부된 파일은 아래와 같다. [그림 2] 첨부된 악성코드 해당 파일을 실행하면 아래와 같은 자신의 파일을 복제하여 방화벽을 우회하고, 자동으로 실행 될 수 있도록 레지스트리에 특정 값을 등록한다. 특히, 자신의 파일을 복제할 때는 5자리 임의의 폴더 및 파일 이름으로 복제하며 악성코드 감염 시, 생성되는 배.. 2013. 6. 11. 금융사 정보로 위장한 스팸메일 금융사 계정 정보로 위장하여 악성코드를 유포하는 스팸메일이 확산되어 사용자들의 주의가 필요하다. 이 스팸메일은 아래와 같이 chase사의 사용자 계정 정보와 관련된 내용이지만 Zbot 악성코드가 압축 파일의 형태로 첨부되어 있다. [그림 1] 금융사 정보로 위장한 스팸메일 압축 해제된 파일을 실행하면 C:\Documents and Settings\ahnmaru78\Application Data 폴더에 랜덤한 폴더를 생성한 후 자신을 복사한 후 실행하여 감염시킨다. 또한, 복사한 파일이 부팅 시 실행되도록 레지스트리의 아래 경로에 자신을 등록한다. HKCU\Software\Microsoft\Windows\CurrentVersion\Run\{E55555F5-9C43-AD7D-DE5D-26A4FBAA05B6}.. 2013. 6. 10. 모바일 청첩장으로 위장한 악성 앱 발견 최근 모바일 청첩장으로 위장한 문자 메시지의 첨부된 링크를 통해 악성 앱이 유포되어 사용자들의 주의가 요구된다. 이러한 스미싱 문자는 사용자가 관심을 가질 수 있는 다양한 내용으로 유포되고 있기 때문에 악성 앱에 쉽게 감염될 수 있다. 다음은 사용자에게 수신된 모바일 청첩장을 위장한 스미싱 메시지 화면이다. 문자 메시지의 단축 URL을 연결할 경우 특정 APK 파일(http://126.***.***.217/danal.apk)이 다운로드 된다. [그림 1] 모바일 청첩장을 위장한 스미싱 문자 악성 앱이 설치되면 다음과 같이 소액결제를 유발하는 악성 앱을 확인 할 수 있다. [그림 2] 악성 앱 아이콘 해당 앱은 휴대전화 상태, SMS 정보, 네트워크 통신, 내장 메모리를 접근하는 수행 권한을 사용한다. [.. 2013. 6. 10. 이전 1 ··· 45 46 47 48 49 50 51 ··· 145 다음
