안랩 ASEC에서 2013년 10월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2013 Vol.46을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2013년 10월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

IE 취약점(MS13-080) 주의보!

웹하드 사이트에서 유포된 백도어 악성코드 발견

반복 감염 유발하는 USB 악성코드 발견

일반 사용자에게도 유포된 이력서 첨부 파일

화면보호기 확장자(.scr)를 이용한 악성 파일


2) 모바일 악성코드 이슈

모바일 메신저 피싱 앱 설치하는 악성 앱 등장

암호화된 안드로이드 악성코드의 등장

공공기관 및 기업 사칭 스미싱 증가


3) 보안 이슈

스팸 메일을 발송하는 다리미?

PHP.net 해킹으로 인한 악성코드 유포

DNS 하이재킹을 통한 홈페이지 해킹

어도비 해킹 피해자, 3800만 명으로 증가


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2013 Vol.46 발간

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

6월 25일 오전 10시에 일부 정부 기관 홈페이지를 대상으로 DDoS(Distributed Denial of Service) 공격을 수행하도록 제작된 악성코드가 발견되었다. 


ASEC에서는 해당 DDoS 공격 수행 기능을 가진 악성코드들을 신속하게 확보하여 상세한 분석을 진행 중에 있다. 현재까지 분석된 정보들은 아래와 같으며, 추가적으로 분석된 정보들은 ASEC 블로그를 통해 지속적으로 업데이트 할 예정이다.


[업데이트 히스토리]

1) 2013.06.25 - 6.25 DDoS 공격에 사용된 악성코드 상세 분석 내용 최초 작성

2) 2013.06.266.25 DDoS 공격에 사용된 악성 스크립트 상세 분석 내용 추가


1. 공격 시나리오


특정 웹하드 업체(www.simdisk.co.kr)의 설치 파일(RARSFX)을 변조하여 압축 해제 후 SimDiskup.exe 가 실행 되도록 해두었다. 


아래 이미지는 이 번에 유포된 악성코드들의 전체적인 상관 관계를 도식화한 이미지이다.



2. 주요 파일 분석 정보


1) servmgr.exe (4,383,232 바이트)


해당 파일은 전체적인 구조에서 드롭퍼(Dropper) 역할을 수행하도록 제작된 악성코드이다. 해당 파일의 리소스(Resource) 영역에는 다른 PE 파일 4개를 포함하고 있으나, 실제로는 동일한 기능을 수행하는 32비트(Bit)와 64비트(Bit) 악성코드로 나누어져 있다. 


아래 이미지는 해당 파일에 대한 구조를 도식화 한 것 이다. 



해당 악성코드가 실행이 되면 우선 감염된 시스템의 운영체제 버전 정보를 체크한 후, OpenFileMappingA 함수를 호출하여 동일한 악성코드에 이미 감염되어 있는지를 확인하게 된다.


MappingName = "Global\MicrosoftUpgradeObject9.6.4"

 

그리고 감염된 시스템의 윈도우가 32비트인지 64비트 운영체제인지를 확인하여, 해당 윈도우 운영체제  환경에 맞는 파일들을 생성하게 된다. 그리고 GetVersionExA 함수를 이용하여 윈도우 운영체제의 버전 정보가 6.0 (Vista) 이상일 경우에는 UAC(User Access Control)를 무력화 한 후 다른 파일들을 추가로 생성하게 된다.


우선 32비트 윈도우 운영체제에서는 %Temp% 폴더에 ~DR(임의의 숫자).tmp (1,995,776 바이트) 파일을 생성 한 후에 별도의 인자값 없이 LoadLibaray 함수를 호출하여 자신을 로드 하게 된다.


이후 다시 Ole(윈도우 정상 서비스명).dll (936,448 바이트) 파일을 생성하고 윈도우 서비스로 등록 한다. ~DR(임의의 숫자).tmp가 생성한 파일은  "Ole" 문자열과 감염된 시스템의 윈도우 서비스명을 조회하여 이를 조합하여 파일명을 생성하게 된다.  


해당 Ole(윈도우 정상 서비스명).dll 파일은 특정 파일을 다운로드 한 이 후, 다운로드 한 파일에서 특정 조건이 확인 되면 DoS(Denial of Service) 공격을 수행하는 파일을 생성하고 실행하게 된다.


그리고 64비트 윈도우 운영체제에서는 다음 2개 파일 생성 한 이후에 CreateProcessA 함수를 이용하여 실행하게 된다.


* 사용자 계정의 임시 폴더(Temp)에 ~ER6.tmp (215,048 바이트)

64비트 윈도우 운영체제에서 UAC 무력화 기능을 수행하는 파일이다.


사용자 계정의 임시 폴더(Temp)에 ~DR7.tmp (146,170 바이트)

32비트 윈도우 운영체제에서 로드 한 파일과 동일한 기능을 수행하는 파일로 Ole(정상윈도우서비스명).dll 파일을 윈도우 서비스로 등록하게 된다.


그리고 해당 파일들을 실행하기 위한 인자값으로 다음을 사용한다.


"C:\DOCUME~1\(사용자 계정)\LOCALS~1\Temp\~ER6.tmp" 

"C:\DOCUME~1\(사용자 계정)\LOCALS~1\Temp\~DR7.tmp"

 

해당 파일들이 정상적으로 실행이 되면 이 후 다음 배치(Batch) 파일을 생성하여, 자기 자신을 삭제하게 된다.


C:\DOCUME~1\(사용자 계정)\LOCALS~1\Temp\ud.bat


2) Ole(윈도우 정상 서비스명).dll (936,448 바이트) 


해당 악성코드는 윈도우 시스템 폴더(system32)에 ole(윈도우 정상 서비스명).dll 라는 파일 형태로 생성하여 실행 된다. 


그러나 드로퍼에 의해 감염 될 때 마다 임의의 문자열을 사용하여 파일명이 달라지게 된다. 파일의 첫 문자열인 Ole는 접두어로 항상 일정하게 생성되나, 나머지 문자열은 감염된 시스템에 존재하는 정상 윈도우 시스템 파일들 중 하나의 DLL 파일명을 조합하여 사용하는 것으로  추정 된다. 


그리고 해당 파일은 윈도우 서비스로 동작 하며, 다음의 URL로 접속을 시도하여 성공하게 될 경 다른 파일을 다운로드 하게 된다.


webmail.genesyshost.com/mail/images/ct.jpg

www.hostmypic.net/pictures/e02947e8573918c1d887e04e2e0b1570.jpg


파일 다운로드가 성공하게 될 경우에는 사용자 계정의 임시 폴더(Temp)에 ~MR(임의의 숫자 2자리).tmp 파일을 생성하게 된다. 


해당 파일은 시그니쳐('BM6W')와 시간 정보(6월 25일10:00)를 포함하고 있는 데이터 파일로서, 감염된 시스템의 시간 정보를 비교하여 동일 할 경우에는 윈도우 시스템 폴더(system32)에 wsauieop.exe(847,872 바이트) 파일을 생성하고 실행하게 된다.


3) wuauieop.exe (847,872 바이트)


윈도우 시스템 폴더(system32)에 생성된 wuauieop.exe (847,872 바이트) 파일은 DDoS 기능을 수행한다. 


해당 파일 내부에는 DDoS 공격의 대상이 되는 시스템의 IP 2개가 하드코딩되어 있으며, 각각 쓰레드로 무한루프를 돌면서 DDoS 공격이 이루어 지게 된다.


* Thread Function(1) (=401110) 공격 대상 IP: "152.99.1.10:53"



* Thread Function(2) (=4012A0) 공격 대상 IP: "152.99.200.6:53"


이 외에 추가로 2개의 쓰레드 루틴을 더 생성하여 임의의 도메인명을 생성하게 된다. 이는 임의의 도메인명들을 생성하여 DDoS 공격효과를 증대 시킨 것으로 추정 된다. 

 

생성하는 임의의 도메인명들은 "[임의의 문자열].gcc.go.kr" 을 가지고 있으며, 사용하는 임의의 문자열은  a~z 까지의 ASCII로 무작위로 채워진다.


그리고, 도메인명에 사용하는 임의의 문자열은 최대 길이는 28자를 넘을 수가 없도록 제작 되었다.



4) ~SimDisk.exe (3,405,824 바이트)


해당 파일은 인터넷에 공개되어 있는 토르(Tor) 프로그램의 소스코드를 사용하여 제작된 파일로 네트워크 접속 정보의 감시, 추적 및 분석을 어렵게 하기 위한 목적으로 제작 된 것으로 추정된다.


다음 경로에 다수의 파일들을 생성하며 생성한 파일들의 파일명은 윈도우 시스템 폴더(System32)를 조회하여 사용하는 것으로 추정된다.


C:\Documents and Settings\(사용자 계정명)\Application Data\Identities\{e38632c0-f9a0-11de-b643-806d6172696f}


cmd.exe (Npkcmsvc.exe) - conime.exe (tor.exe) 를 구동하는 런처 프로그램

config.ini - cmd.exe 가 참조하는 구성 설정 파일

conime.exe - 토르(Tor) 프로그램의 소스코드를 사용하여 제작한 파일


3. DNS(Domain Name Service) DDoS 트래픽 분석


1) DNS DDoS


DNS DDoS는 DNS 서버에 과도한 양의 네트워크 트래픽(Network Traffic)을 전송하여, 정상적인 DNS 조회가 성공하지 못하도록 서비스 거부를 유발하게 된다.


발생하는 트래픽은 2 개의 DNS 서버를 목표로 공격하였으며, 공격 대상이 되는 해당 네임 서버는 주요 정부 기관에서 사용하는 것으로 이로 인해 이번 공격의 대상이 된 것으로 추정된다.


ns.gcc.go.kr (152.99.1.10)

ns2.gcc.go.kr (152.99.200.6)


해당 악성코드에 의해 발생한 DDoS 공격 트래픽의 특징을 정리하면 다음과 같다.


일반적인 경우 A Query인데 반해, 모두 ANY Query를 전송

질의는 하나의 NS에 전송하는 데 반해, 152.99.1.10, 152.99.200.6 을 동시에 요청

일반적인 DNS Query는 소량의 트래픽이지만, DNS 서버 부하를 위해 데이터 크기를 1300~1400 Byte로 조정


ANY 레코드가 사용 된 점은 "gcc.go.kr" 의 주 네임 서버를 효과적으로 공격하기 위한 것이며, [임의의 문자열].gcc.go.kr 를 쿼리(Query)에 사용한 점은 랜덤 호스트명을 사용하여 캐쉬(Cached) 된 정보 재사용으로 인해 공격 효과가 떨어지는 것을 막기 위해서 이다. 그리고 약 1400 bytes 의 데이터를 사용한 것은 공격 네임 서버로의 밴드위쓰(Bandwidth)  소모하기 위해서이다.


악성코드에 의해 생성된 패킷(Packet)에서는 초당 약 712회의 DNS Query를 전송하는 것으로 확인 되었다.



DNS Query의 형식은 아래 이미지와 같이 [임의의 문자열의 호스트 이름].gcc.go.kr로 되어 있다.



4. DDoS 공격 악성 스크립트 분석


1) 스크립트 기반의 DDoS 공격 시나리오


이번 6.25 DDoS 공격에는 기존의 좀비 PC를 이용한 공격 외에 악성 스크립트를 이용한 공격 방식이 이용됐다. 이 경우, 일반 사용자가 웹 브라우저를 통해 변조된 서버를 방문하는 것만으로 악성 트래픽을 발생하게 된다.



위 이미지는 스크립트(Script) 기반의 DDoS 공격의 시나리오를 재구성한 것으로, 주요 공격 진행 과정은 다음과 같다.


* 공격자는 사전에 다수의 불특정 사용자들이 방문하는 경유지 서버를 해킹

* 경유지 서버에서 사용하는 정상적인 페이지에 DDoS 공격 스크립트 삽입

* 불특정 다수 사용자들이 웹 브라우저로 경유지 서버 방문시, 사용자 PC 상에서 DDoS 공격 스크립트 실

* 스크립트에 설정된 공격 대상 서버에 다량의 HTTP GET을 요청해 악성 트래픽 유발


2) 경유지/공격대상 서버 정보


* 경유지 서버


경유지로 이용된 서버는 외국인들이 주로 이용하는 하숙/고시원 정보 제공 사이트로, 공격 목적에 따라 다음과 같이 일부 파일이 변조되었으나 현재 정상화되었다.



* 공격 대상 서버

공격 대상인 3개 사이트의 총 60개 하위 URL을 대상으로 DDoS HTTP GET 공격이 이루어졌다.



3) 공격 트래픽 분석


* HTTP GET 패킷 정보


아래 이미지는 HTTP GET 요청 패킷 정보로, 아래 표의 HTTP GET 요청의 특징적인 부분을 확인할 수 있다.




* DDoS 트래픽 통계 정보


공격 스크립트는 아래 이미지와 같이 0.25 ms 단위로 공격 대상 URL을 랜덤으로 선택하여 HTTP GET 요청을 시도하도록 구현되어 있다.



분석 환경에서 재현한 결과, 아래 이미지과 같이 대략 초당 60회의 HTTP GET 요청을 시도하는 것으로 분석되었으나, 사용자 시스템에 따른 영향이 있을 수 있다.



4) 공격 스크립트 구성


공격자는 다음과 같이 다수의 사용자가 방문하는 경유지 서버(www.********.co.kr)를 해킹하여 DDoS 공격을 수행하는 스크립트를 삽입하였다.


[메인 페이지]

www..*********.co.kr/index.html - 청와대 공격용 스크립트 삽입



위 이미지는 경유지 서버의 메인 페이지가 변조 전의 코드들이며, 아래 이미지는 공격자에 의해 변조된 메일 페이지 모습을 나타낸다.



[공통 자바 스크립트 파일]

www..*******.co.kr/common/js/common.js - 새누리당/국정원 공격용 스크립트 삽입



위 이미지는 경유지 서버의 변조 전의 자바 스크립트(Java Script) 코드이며, 아래 이미지는 공격자에 의해 변조된 자바 스크립트 코드 모습을 나타낸다.



아래 이미지와 같이 makeHTTPRequest 함수에서 실제 공격 URL을 구성해 HTTP GET 요청 트래픽을 발생시킨다.



아래 이미지와 같이 setInterval 함수를 이용해 일정 시간 단위로 공격 URL을 요청하는 settingUrl 함수를 호출한다.



5) 공격 대상 상세 정보


아래 표와 같이 공격 대상인 3개 사이트의 하위 URL 총 60개를 대상으로 HTTP GET 요청을 반복적으로 수행한다.



6월 25일 오전 정부 기관 홈페이지를 대상으로 발생한 DDoS(Distributed Denial of Service) 공격을 수행하도록 제작된 악성코드들은 2013.06.25.04 버전 이후의 최신 엔진으로 업데이트 한 V3 제품군들에서는 모두 다음과 같이 진단한다.


Trojan/Win32.Ddkr 

Trojan/Win32.XwDoor


앞서 언급한 바와 같이 ASEC에서는 상세한 분석을 진행 중에 있으며, 추가적으로 확인 된 정보들에 대해서는 본 블로그를 통해 지속적으로 업데이트 할 예정이다.


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

온라인 뱅킹에 사용되는 개인 금융 정보를 탈취하는 Banki 트로이목마 변형들이 지속적으로 유포되고 있는 것이 금일 새벽 다시 발견되었다.


ASEC에서는 Banki 트로이목마 변형이 유포 중인 사실을 7월 11일과 16일 공개하였으며, 그 유포 방식에 있어서도 7월 11일 취약한 웹 사이트를 통해 웹 브라우저와 자바(JAVA) 취약점을 악용한 형태로 유포되었으며, 7월 16일 공개시에는 14일과 15일 주말 사이 사용자가 많은 웹 하드 프로그램의 웹 사이트를 통해 유포되었다.


금일 새벽 다시 발견된 Banki 트로이목마 변형은 아래 이미지와 같이 구글(Google)에서 운영하는 구글 코드 웹 페이지를 통해 유포되었다.



ASEC은 구글 시큐리티(Google Security) 팀과 협력으로 현재 Banki 트로이목마 변형이 업로드 되어 있는 해당 구글 코드의 특정 웹 페이지 자체를 삭제한 상태이다.


이번 구글 코드의 특정 웹 페이지를 통해 유포된 Banki 트로이목마 변형은 기존에 발견된 변형들과 유사한 형태로 제작 및 구성 되어 있으며, 아래 이미지와 같은 형태로 동작하게 되어 있다.



금일 새벽 발견된 Banki 트로이 목마 변형은 기존 변형들과 동일하게 RARSfx로 압축되어 있으며, aax.exe (167,310 바이트)이 실행되면 윈도우 시스템 폴더에 다음 파일들을 생성하게 된다.


C:\WINDOWS\system32\WindowsDirectx.exe (180,224 바이트)

C:\WINDOWS\system32\ServiceInstall.exe (61,440 바이트)


그리고 생성된 WindowsDirectx.exe (180,224 바이트)은 일본에 위치한 특정 시스템으로 접속을 시도하게 되며 접속이 성공하게 될 경우에는 RARSfx로 압축된 74.exe (413,304 바이트)를 다운로드 후 실행하게 된다.


다운로드 된 74.exe (413,304 바이트)가 실행되면 윈도우 폴더에 다음 파일들을 생성하게 된다.


C:\WINDOWS\HDSetup.exe (442,368 바이트) 

C:\WINDOWS\CretClient.exe (720,896 바이트)


그리고 CONFIG.INI (29 바이트)에는 홍콩에 위치한 특정 시스템의 IP가 기록되어 있으며, 생성된 HDSetup.exe (442,368 바이트) 는 이를 참조하여 감염된 PC에 존재하는 hosts 파일을 다음과 같이 변경하게 된다.



그러나 금일 새벽에 발견된 변형은 특이하게 안랩의 도메인을 포함하여 탐지 및 발견을 우회하고자 한 점이 특이 사항이라고 볼 수 잇다.


금일 발견된 Banki 트로이 목마 변형들과 관련 악성코드들은 모두 V3 제품군에서 다음과 같이 진단한다.


Dropper/Win32.Banki

Trojan/Win32.Banki

Trojan/Win32.Scar


해당 Banki 트로이목마 변형이 유포 중인 구글 코드 웹 페이지의 다운로드 수가 300건이 넘는 것으로 미루어 해당 악성코드 제작자는 다른 취약한 웹 페이지와 연동하여 다운로드 가능 하도록 설정한 것으로 추정된다.


그러므로 사용하는 운영체제와 일반 어플리케이션들의 취약점을 제거할 수 잇는 보안 패치 설치와 함께 사용하는 보안 제품을 최신 버전으로 유지하는 것이 중요하다.

저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

ASEC에서는 7월 11일 취약한 웹 사이트를 통해 온라인 뱅킹에 사용되는 개인 금융 정보 탈취를 목적으로하는 Banki 트로이목마 변형이 유포되었음을 공개하였다.


개인 금융 정보 탈취를 목적으로하는 Banki 트로이목마 변형이 7월 14일과 15일 주말 사이 사용자가 많은 웹 하드 프로그램 웹 사이트의 설치 파일을 변경하여 유포된 사례가 발견되었다.


이번에 유포된 Banki 트로이목마 변형은 보안 관리가 상대적으로 취약한 웹 하드 프로그램의 웹 사이트에서 배포 중인 설치 파일을 RARSfx로 악성코드와 정상 설치 파일을 압축한 파일을 배포 중인 정상 설치 파일과 변경하여, 사용자로 하여금 악성코드가 포함된 변경된 설치 파일을 다운로드하도록 하였다.



정상 웹 하드 설치 파일을 변경하여 유포된 Banki 트로이목마 변형이 동작하는 전체적인 구조를 도식화 한 이미지는 아래와 같다.



웹 하드 프로그램의 웹 페이지에서 배포 중인 웹 하드 프로그램의 설치 파일은 RARSfx 파일로 압축된 파일로 변경되어 있으며, 변경된 파일 내부에는 아래와 같이 정상 설치 파일과 함께 RARSfx로 압축된 btuua.exe (174,624 바이트)이 포함되어 있다.



해당 변경된 파일을 실행하게 되면 윈도우 폴더의 임시 폴더(temp)에 다음 파일들을 생성하게 된다.


C:\winodws\temp\btuua.exe (174,624 바이트)

C:\winodws\temp\******_Setup.exe (9,918,872 바이트)


그리고 아래 이미지와 같이 정상 웹 하드 프로그램인 ******_Setup.exe의 설치가 진행된다.



그리고 정상 웹 하드 프로그램 설치와 동시에 생성된 RARSfx로 압축된 btuua.exe (174,624 바이트) 파일 내부에는 아래 이미지와 같이 ServiceInstall.exe (69,632 바이트)와 WindowsDirectx.exe (172,032 바이트)가 포함되어 있다.



btuua.exe (174,624 바이트)는 내부에 포함된 파일들을 다음과 같이 윈도우 시스템 폴더에 생성하고 실행하게 된다.


C:\WINDOWS\system32\ServiceInstall.exe (69,632 바이트)

C:\WINDOWS\system32\WindowsDirectx.exe (172,032 바이트)


생성된 ServiceInstall.exe (69,632 바이트)는 WindowsDirectx.exe (172,032 바이트)를 레지스트리 변경을 통해 윈도우 서비스로 등록시켜, 감염된 시스템이 재부팅 하더라도 자동 실행되도록 구성한다.


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

ImagePath = C:\windows\system32\WindowsDirectx.exe


그리고 WindowsDirectx.exe (172,032 바이트)가 실행이 되면 일본에 위치한 특정 시스템으로 접속을 시도하여 접속이 성공하게 될 경우에는 RARSfx로 압축된 58.exe (517,112 바이트)를 다운로드하게 된다. 


다운로드된 RARSfx로 압축된 58.exe (517,112 바이트) 파일 내부에는 아래 이미지와 같이 CONFIG.INI (29 바이트), CretClient.exe (708,608 바이트)와 HDSetup.exe (458,752 바이트) 파일들이 포함되어 있다.



58.exe (517,112 바이트) 파일이 실행되면 다음 경로에 내부에 포함된 파일들을 생성하게 된다.


C:\WINDOWS\CretClient.exe (708,608 바이트)

C:\WINDOWS\HDSetup.exe (458,752 바이트)


생성된 파일 HDSetup.exe (458,752 바이트)은 기존 변형들과 동일하게 동일하게 아래 이미지와 같이 hosts 파일을 변조하여 온라인 뱅킹을 위해 금융 기관 웹 사이트에 접속하게 될 경우, 홍콩에 위치한 시스템으로 연결하도록 구성하게 된다.



이 번에 발견된 온라인 뱅킹을 위한 개인 금융 정보 탈취를 노리는 Banki 트로이목마 변형들과 관련 악성코드들 모두 V3 제품군에서 다음과 같이 진단한다.


Dropper/Win32.Banki

Trojan/Win32.Scar

Trojan/Win32.Banki


현재까지 온라인 뱅킹 관련 개인 금융 정보 탈취를 노리는 Banki 트로이목마가 유포되는 방식은 2가지로 나누어 볼 수 있다.


첫 번째는, 취약한 웹 사이트를 통해 기존 온라인 게임 관련 개인 정보를 탈취하던 악성코드와 동일한 기법으로 취약한 일반 어플리케이션의 취약점을 악용해 유포되는 방식으로 사용되었던 취약점들은 다음과 같다.



두 번째로는 이 번과 같이 상대적으로 보안 관리가 취약한 웹 하드 프로그램 배포 웹 사이트를 해킹한 후 웹 하드 프로그램의 설치 파일을 악성코드가 포함되어 있는 파일로 변경하는 것이다.


이러한 두 가지 유포 사례들로 인해 웹 하드 프로그램을 자주 사용하는 사용자들은 배포그램의 자동 업데이트나 설치 파일의 재설치시 각별한 주의가 필요하다.


그리고 이와 동시에 윈도우 시스템과 자주 사용하는 일반 어플리케이션들의 취약점을 제거할 수 있는 보안 패치 설치에 주의를 기울여야 된다.


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

- APT 공격 경로 지능화, PC 악성코드 수준의 스마트폰 악성코드 등장 
- 애플리케이션 취약점 공격 국지화, 가상화/클라우드 환경 및 스마트TV도 공격 타깃

글로벌 보안 기업인 안철수연구소[대표 김홍선, www.ahnlab.com, 약칭 ‘안랩’]는 2일 ‘2012년 예상 7대 보안 위협 트렌드’를 발표했다. 이에 따르면 올 한 해 예상되는 주요 이슈는 ▶APT 공격 경로 지능화 ▶PC 악성코드 수준의 스마트폰 악성코드 등장 ▶SNS 통한 보안 위협 증가 ▶애플리케이션 취약점 공격 국지화 ▶특정 국가 산업/기관 시스템 공격 시도 증가 ▶가상화 및 클라우드 환경 공격 본격화 ▶네트워크로 연결되는 시스템에 대한 공격 증가 등이다.

 
1] APT 공격 경로 지능화
 
기업과 기관을 겨냥한 APT 공격이 2012년에도 지속적으로 이어지는 한편, 공격 경로가 지능화할 것으로 예상된다. 이제껏 주된 공격 방식은 타깃 기업/기관의 특정 구성원에게 업무 메일로 위장하는 것이다. 즉, SNS[소셜 네트워크 서비스] 등에서 이메일을 손쉽게 수집해 신뢰할 수 있는 사람으로 위장해 취약점이 포함된 문서를 첨부하거나, 취약점이 존재하는 웹 사이트 주소를 본문에 삽입해 악성코드를 감염시키는 것이다. 널리 사용되는 소프트웨어의 업데이트 관련 파일을 변조한 경우도 있었다. 앞으로는 조직 내부로 반입하기 쉬운 스마트폰이나 보안 관리가 어려운 기술지원 업체의 장비나 소프트웨어 등을 이용한 내부 침입도 발생할 것으로 예측된다.
 
2] PC 악성코드 수준의 스마트폰 악성코드 등장
 
스마트폰, 특히 안드로이드 겨냥 악성코드는 2010년에 악성코드 제작/유포의 가능성을 점쳐 보는 수준이었다면, 2011년에는 금전적 이득을 취할 수 있는 방법을 찾아 대량 제작된 시기였다. 2012년에는 감염의 효율을 높이기 위해 과거 PC용 악성코드에 사용된 기법이 본격적으로 활용될 것으로 예측된다. 즉, 스마트폰 내부에서 자신을 숨기는 은폐 기법과, 모바일 운영체제에 존재하는 취약점을 악용한 루트 권한 탈취 등이 있을 수 있다. 그리고, 사회공학기법을 악용해 웹사이트에서 악성코드 다운로드를 유도하거나, 모바일 웹 브라우저에 존재하는 취약점으로 인해 악성코드가 자동 감염되게 하는 기법도 등장할 것으로 예측된다. 스마트폰에 설치된 인터넷 뱅킹 및 온라인 쇼핑 관련 앱에서 금융/신용카드 정보를 탈취하는 기법도 나올 것으로 예측된다.
 
3] SNS 통한 보안 위협 증가
 
SNS가 정보를 전세계인 빠르게 공유하는 창구인 만큼 악용 사례도 급증하고 있다. 단축 URL이 전체 주소가 다 보이지 않는다는 점을 악용해 악성코드 유포 사이트나 피싱 사이트를 단축 URL로 유포하는 경우가 있었다. 2012년에는 단축 URL 악용 사례가 더 증가하는 한편, SNS가 APT[Advanced Persistent Threat] 공격의 경유지로 이용될 가능성도 있다.
 
4] 애플리케이션 취약점 공격 국지화

2011년에는 운영체제 같은 범용적 애플리케이션의 취약점을 공격하는 경우는 줄어든 반면, 특정 지역에서만 사용되는 애플리케이션의 취약점을 악용한 사례는 증가했다. 아래아한글을 비롯해 동영상 재생 소프트웨어, P2P 및 웹하드 프로그램의 취약점을 악용한 악성코드 유포가 대표적이다. 취약점을 가진 파일을 이메일로 전송하거나 웹 사이트 접속 시 자동으로 악성코드를 감염시키는 방식으로 유포된다. 이런 추세는 2012년에도 이어지는 한편, 애플리케이션 취약점이 APT 공격 등 다양한 보안 위협에 악용되리라 예측된다.
 
5] 특정 국가 산업/기관 시스템 공격 시도 증가

금전적 이익이나 정치적, 종교적 이유로 특정 국가의 산업/기관 시스템을 공격하는 시도가 더욱 증가할 것이다. 이런 공격에 직간접적으로 국가 기관이 개입돼 국가 간 사이버 전쟁으로 확대될 수도 있다. 사용자 부주의로 내부 시스템이 인터넷이나 외부 시스템에 연결되어 있을 때 이를 통해 공격이 들어올 수 있다. 또한 국가 산업/기관 시스템용 특정 소프트웨어의 취약점을 이용해 공격이 이루어질 것으로 예측된다.
 
6] 가상화 및 클라우드 환경 공격 본격화

최근 가상화 기술을 기반으로 클라우드 서비스 등을 사업 모델을 삼는 기업이 증가하고 있다. 그러나 가상화와 클라우드 서비스는 자원 활용의 극대화라는 장점이 있지만, 악용될 경우는 또 하나의 보안 위협이 될 수 있다. 실제로 2011년에 대표적인 가상화 제품의 보안 취약점이 다수 발견됐으며, 실제 금융 정보 탈취를 위한 스파이아이[SpyEye] 악성코드가 아마존 클라우드 서비스를 악용해 배포되기도 했다. 2012년에는 가상화 및 클라우드 서비스의 본격화에 맞추어 다양한 공격이 시도될 것으로 예상된다.
 
7] 스마트 TV 등 네트워크로 연결되는 시스템에 대한 공격 증가  

스마트폰, 스마트 TV를 비롯해 네트워크에 연결되는 임베디드 소프트웨어가 탑재된 기기에 대한 보안 위협이 증가할 것으로 예측된다. 특히 교체 주기가 비교적 길고 실생활과 밀접한 가전 제품은 지속적인 공격에 노출될 가능성이 높다. 실제로 인터넷 접속이 가능한 DVD 리코더를 악용한 공격이 일본에서 있었고, 한 보안 컨퍼런스에서는 닌텐도DS 단말기에 리눅스를 설치해 외부에서 특정 시스템을 제어하는 것을 시연하기도 했다. 단순 반복 작업만을 담당했던 임베디드 시스템이 네트워크에 연결됨에 따라 해킹 또는 디도스 공격의 타깃이 될 가능성이 점차 높아지고 있다.
 
이 밖에 정치적/사회적 목적을 이루고자 시스템을 해킹하거나 디도스 공격을 시도하는 행위인 핵티비즘[Hacktivism] 활동이 2012년에 특히나 많이 발생할 것으로 예측된다. 우리나라의 대선과 총선, 미국과 러시아의 대선 등 전세계적 이슈가 많기 때문이다.

안철수연구소 시큐리티대응센터 이호웅 센터장은 "IT 기기나 인터넷 환경이 발전할수록 보안 위협의 기술이나 확산 경로도 복잡다단해진다. 새로운 기기를 개발하거나 인프라를 구축할 때 보안을 함께 고려하는 것이 중요하다. 또한 개인이나 기업/기관은 정보보안을 일상 생활 및 업무로 인식할 필요가 있다.”라고 강조했다.
 
<참고> 안철수연구소 선정 ‘2011년 예상 7대 보안 위협 트렌드’
▶SNS 활용한 다양한 공격 범용화
▶디도스[DDoS] 공격 지능화
▶사회 기반 시설 겨냥한 타깃형 공격 증가
▶금전 노린 스마트폰 위협 증가
▶무선 인터넷 취약점 노린 위협 등장
▶클라우드, 가상화 기술 이용한 보안 위협 등장
▶제로 데이 공격 기법 고도화 
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원