안랩 ASEC에서 2013년 8월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.44을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2013년 8월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

메모리 패치형 Banki의 온라인 뱅킹 정보 탈취 기법 분석

고객님, 영수증이 발급되었습니다

아마존 구매 관련 메일로 위장한 스팸 메일

특정 은행 대출 승인 메일로 위장한 스팸 메일

휴가철, 사용자의 휴가비를 노려라!

동영상 재생 프로그램을 이용한 악성코드 유포

토렌트 파일로 위장한 악성코드 주의

Your reservation is now confirmed!’

델타 항공 메일로 위장한 악성코드 유포


2) 모바일 악성코드 이슈

V3 모바일 설치 위장 스미싱 주의!

금융사 피싱 앱 주의


3) 보안 이슈

자바 취약점과 결합된 메모리 해킹

인터넷 뱅킹 보안 대책


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2013 Vol.44 발간



저작자 표시 비영리 변경 금지
신고
Posted by 비회원

- APT 공격 경로 지능화, PC 악성코드 수준의 스마트폰 악성코드 등장 
- 애플리케이션 취약점 공격 국지화, 가상화/클라우드 환경 및 스마트TV도 공격 타깃

글로벌 보안 기업인 안철수연구소[대표 김홍선, www.ahnlab.com, 약칭 ‘안랩’]는 2일 ‘2012년 예상 7대 보안 위협 트렌드’를 발표했다. 이에 따르면 올 한 해 예상되는 주요 이슈는 ▶APT 공격 경로 지능화 ▶PC 악성코드 수준의 스마트폰 악성코드 등장 ▶SNS 통한 보안 위협 증가 ▶애플리케이션 취약점 공격 국지화 ▶특정 국가 산업/기관 시스템 공격 시도 증가 ▶가상화 및 클라우드 환경 공격 본격화 ▶네트워크로 연결되는 시스템에 대한 공격 증가 등이다.

 
1] APT 공격 경로 지능화
 
기업과 기관을 겨냥한 APT 공격이 2012년에도 지속적으로 이어지는 한편, 공격 경로가 지능화할 것으로 예상된다. 이제껏 주된 공격 방식은 타깃 기업/기관의 특정 구성원에게 업무 메일로 위장하는 것이다. 즉, SNS[소셜 네트워크 서비스] 등에서 이메일을 손쉽게 수집해 신뢰할 수 있는 사람으로 위장해 취약점이 포함된 문서를 첨부하거나, 취약점이 존재하는 웹 사이트 주소를 본문에 삽입해 악성코드를 감염시키는 것이다. 널리 사용되는 소프트웨어의 업데이트 관련 파일을 변조한 경우도 있었다. 앞으로는 조직 내부로 반입하기 쉬운 스마트폰이나 보안 관리가 어려운 기술지원 업체의 장비나 소프트웨어 등을 이용한 내부 침입도 발생할 것으로 예측된다.
 
2] PC 악성코드 수준의 스마트폰 악성코드 등장
 
스마트폰, 특히 안드로이드 겨냥 악성코드는 2010년에 악성코드 제작/유포의 가능성을 점쳐 보는 수준이었다면, 2011년에는 금전적 이득을 취할 수 있는 방법을 찾아 대량 제작된 시기였다. 2012년에는 감염의 효율을 높이기 위해 과거 PC용 악성코드에 사용된 기법이 본격적으로 활용될 것으로 예측된다. 즉, 스마트폰 내부에서 자신을 숨기는 은폐 기법과, 모바일 운영체제에 존재하는 취약점을 악용한 루트 권한 탈취 등이 있을 수 있다. 그리고, 사회공학기법을 악용해 웹사이트에서 악성코드 다운로드를 유도하거나, 모바일 웹 브라우저에 존재하는 취약점으로 인해 악성코드가 자동 감염되게 하는 기법도 등장할 것으로 예측된다. 스마트폰에 설치된 인터넷 뱅킹 및 온라인 쇼핑 관련 앱에서 금융/신용카드 정보를 탈취하는 기법도 나올 것으로 예측된다.
 
3] SNS 통한 보안 위협 증가
 
SNS가 정보를 전세계인 빠르게 공유하는 창구인 만큼 악용 사례도 급증하고 있다. 단축 URL이 전체 주소가 다 보이지 않는다는 점을 악용해 악성코드 유포 사이트나 피싱 사이트를 단축 URL로 유포하는 경우가 있었다. 2012년에는 단축 URL 악용 사례가 더 증가하는 한편, SNS가 APT[Advanced Persistent Threat] 공격의 경유지로 이용될 가능성도 있다.
 
4] 애플리케이션 취약점 공격 국지화

2011년에는 운영체제 같은 범용적 애플리케이션의 취약점을 공격하는 경우는 줄어든 반면, 특정 지역에서만 사용되는 애플리케이션의 취약점을 악용한 사례는 증가했다. 아래아한글을 비롯해 동영상 재생 소프트웨어, P2P 및 웹하드 프로그램의 취약점을 악용한 악성코드 유포가 대표적이다. 취약점을 가진 파일을 이메일로 전송하거나 웹 사이트 접속 시 자동으로 악성코드를 감염시키는 방식으로 유포된다. 이런 추세는 2012년에도 이어지는 한편, 애플리케이션 취약점이 APT 공격 등 다양한 보안 위협에 악용되리라 예측된다.
 
5] 특정 국가 산업/기관 시스템 공격 시도 증가

금전적 이익이나 정치적, 종교적 이유로 특정 국가의 산업/기관 시스템을 공격하는 시도가 더욱 증가할 것이다. 이런 공격에 직간접적으로 국가 기관이 개입돼 국가 간 사이버 전쟁으로 확대될 수도 있다. 사용자 부주의로 내부 시스템이 인터넷이나 외부 시스템에 연결되어 있을 때 이를 통해 공격이 들어올 수 있다. 또한 국가 산업/기관 시스템용 특정 소프트웨어의 취약점을 이용해 공격이 이루어질 것으로 예측된다.
 
6] 가상화 및 클라우드 환경 공격 본격화

최근 가상화 기술을 기반으로 클라우드 서비스 등을 사업 모델을 삼는 기업이 증가하고 있다. 그러나 가상화와 클라우드 서비스는 자원 활용의 극대화라는 장점이 있지만, 악용될 경우는 또 하나의 보안 위협이 될 수 있다. 실제로 2011년에 대표적인 가상화 제품의 보안 취약점이 다수 발견됐으며, 실제 금융 정보 탈취를 위한 스파이아이[SpyEye] 악성코드가 아마존 클라우드 서비스를 악용해 배포되기도 했다. 2012년에는 가상화 및 클라우드 서비스의 본격화에 맞추어 다양한 공격이 시도될 것으로 예상된다.
 
7] 스마트 TV 등 네트워크로 연결되는 시스템에 대한 공격 증가  

스마트폰, 스마트 TV를 비롯해 네트워크에 연결되는 임베디드 소프트웨어가 탑재된 기기에 대한 보안 위협이 증가할 것으로 예측된다. 특히 교체 주기가 비교적 길고 실생활과 밀접한 가전 제품은 지속적인 공격에 노출될 가능성이 높다. 실제로 인터넷 접속이 가능한 DVD 리코더를 악용한 공격이 일본에서 있었고, 한 보안 컨퍼런스에서는 닌텐도DS 단말기에 리눅스를 설치해 외부에서 특정 시스템을 제어하는 것을 시연하기도 했다. 단순 반복 작업만을 담당했던 임베디드 시스템이 네트워크에 연결됨에 따라 해킹 또는 디도스 공격의 타깃이 될 가능성이 점차 높아지고 있다.
 
이 밖에 정치적/사회적 목적을 이루고자 시스템을 해킹하거나 디도스 공격을 시도하는 행위인 핵티비즘[Hacktivism] 활동이 2012년에 특히나 많이 발생할 것으로 예측된다. 우리나라의 대선과 총선, 미국과 러시아의 대선 등 전세계적 이슈가 많기 때문이다.

안철수연구소 시큐리티대응센터 이호웅 센터장은 "IT 기기나 인터넷 환경이 발전할수록 보안 위협의 기술이나 확산 경로도 복잡다단해진다. 새로운 기기를 개발하거나 인프라를 구축할 때 보안을 함께 고려하는 것이 중요하다. 또한 개인이나 기업/기관은 정보보안을 일상 생활 및 업무로 인식할 필요가 있다.”라고 강조했다.
 
<참고> 안철수연구소 선정 ‘2011년 예상 7대 보안 위협 트렌드’
▶SNS 활용한 다양한 공격 범용화
▶디도스[DDoS] 공격 지능화
▶사회 기반 시설 겨냥한 타깃형 공격 증가
▶금전 노린 스마트폰 위협 증가
▶무선 인터넷 취약점 노린 위협 등장
▶클라우드, 가상화 기술 이용한 보안 위협 등장
▶제로 데이 공격 기법 고도화 
저작자 표시
신고
Posted by 비회원
1. 서론
 최근 메일을 통해 전파되는 악성코드가 다수 발견되어 해당 문서를 작성합니다.


2. 전파 경로
 해당 악성코드의 전파경로는 메일을 통해 전파가 됩니다. 메일은 아래와 같은 5가지 유형의 메일로 발송되게 되며 모두 정상적인 메일로 위장을 하고 있습니다.

유형 1) Facebook 에서 발송한 메일로 위장한 경우

[그림] Facebook 에서 발송한 메일로 위장한 악성코드가 첨부된 스팸메일



유형 2) 구글에서 발송한 메일로 위장한 경우
 
[그림] Google에서 발송한 메일로 위장한 악성코드가 첨부된 스팸메일


유형 3) 초대 E-Card로 위장한 경우
 
[그림] 초대 E-Card 로 위장한 악성코드가 첨부된 스팸메일


유형 4) hi5 사이트에서 발송한 메일로 사칭한 경우

 
[그림] hi5 사이트에서 발송한 메일로 사칭한 악성코드가 첨부된 메일


유형 5) 아마존 사이트에서 발송한 메일로 위장한 경우

 
[그림] 아마존 사이트에서 발송한 메일로 위장한 악성코드가 첨부된 메일


위 5가지 유형의 메일이 현재 발견된 메일이며 첨부된 ZIP 파일 목록은 아래와 같습니다.


[그림] 첨부된 악성코드 파일명


위 압축 파일을 해제하면 아래와 같은 파일이 존재합니다. 해당 파일의 특징은 “document.[pdf 또는 jpg 또는 chm][다수의 스페이스].exe” 파일명을 가지고 있으며 다수의 스페이스를 파일명에 삽입하여 EXE 파일을 다른 파일처럼 위장을 하고 있는 것이 특징입니다.


[그림] 다수의 스페이스를 삽입하여 jpg, chm. pdf 파일로 위장하고 있는 악성코드



3. 감염 증상
 우선 해당 악성코드 감염이 되면 가장 두드러 지게 나타나는 증상은 25번 포트로 다수의 패킷이 발생하는 증상입니다. 이유는 해당 악성코드 감염 시 다수의 스팸메일을 발송하기 때문입니다.

[그림] 25번 포트로 다수의 패킷이 발생하는 화면


그리고 아래와 같은 파일을 생성하게 됩니다.


C:\WINDOWS\system32\HPWuSchd10.exe   
C:\WINDOWS\system32\hp-14570.exe   
C:\Documents and Settings\사용자명\Application Data\SystemProc\lsass.exe
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest
C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul
[표] 악성코드로 인해 생성되는 파일


생성되는 파일 중 눈에 띄는 특징은 Firefox 브라우져 경로에 몇몇 파일을 생성한다는 점입니다. 해당 파일들은 Firefox 애드온 관련 파일로 아래와 같은 애드온이 설치되게 됩니다.


[그림] 악성코드로 인해 설치되는 Firefox 애드온


해당 애드온은 Adobe 사의 Flash Plugin으로 위장을 하고 있지만 실제로은 악성 애드온이며 해당 애드온의 기능은 Google 이나 Bing 등의 검색엔진에서 검색 시 검색결과를 조작하여 보여주는 기능입니다.



4. 대응 현황
 현재 V3 제품군에서는 아래와 같은 진단명으로 해당 악성코드를 진단하고 있습니다. 스마트 업데이트를 통해 엔진을 최신버전으로 업데이트 하신 후 검사 및 치료를 진행해 보시기 바랍니다.

ASD.Prevention
Win-Trojan/Banload.610304.D
[표] 해당 악성코드에 대한 V3 제품군 진단명



5. 수동 조치 방법

 가급적 V3 제품을 통해 조치하는 것을 권장드리지만 수동으로 조치를 하고자 하신다면 아래 안내해 드리는 방법대로 조치하시기 바랍니다.

1) 아래 안내해 드리는 링크에서 GMER 프로그램을 다운로드 합니다.
GMER 다운로드 링크 : http://gmer.net/gmer.exe

2) GMER 프로그램 실행 후 상단의 “>>>” 탭을 선택하면 메뉴가 나타나게 됩니다. 메뉴 중 [Files] 탭으로 이동합니다.


 
3) File 탭에서 아래 안내해 드리는 파일을 찾아 삭제를 하시기 바랍니다. 만약 아래 안내해 드리는 파일이 존재하지 않는다면 무시하셔도 됩니다.

C:\WINDOWS\system32\HPWuSchd10.exe   
C:\WINDOWS\system32\hp-14570.exe   
C:\Documents and Settings\사용자명\Application Data\SystemProc\lsass.exe



4) 파이어폭스 실행 후 부가기능에서 악성코드로 인해 설치된 부가기능을 제거 하시기 바랍니다.

 


5) 위 작업을 모두 마치셨다면 시스템을 재부팅 하시기 바랍니다.



6. 결론
 최근 메일을 통해 유명 SNS인 Facebook이나 Twitter 혹은 유명 기업을 사칭하여 메일을 발송해 악성코드를 전파하는 메일이 다수 발견되고 있습니다. 사용자들은 아래와 같은 내용을 항상 유의하여 메일을 통해 첨부되는 악성코드로 부터 미연에 방지하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
[표] 메일 열람 안전 수칙

신고
Posted by 비회원