유명 비즈니스 중심 소셜 네트워크 서비스인 링크트인(Linkedin)에서 보낸 메일로 가장해 링크트인 계정 정보를 훔치려는 피싱 메일이 발견되었다.


- 발신자: no-reply@linkedin.com

- 제목: Linkedin Alert.





‘View Now’를 클릭하면 다음 주소로 연결되고 링크트인 로그인 페이지가 뜬다. 


http://drum*****.com/htp/www/linkedin_com






하지만, 해당 웹사이트 주소는 파키스탄의 병원으로 공격자는 특정 병원 홈페이지를 해킹해 공격에 이용했다. 


꾸준히 발견되고 있는 간단한 피싱 공격이지만 사용자가 착각해 로그인 정보를 입력하면 그대로 계정 정보가 유출되고 인적 관계가 알려져 또 다른 공격에 이용 될 수 있다. 따라서, 서비스 업체에서 보낸 메일 중 로그인을 요구하는 사이트는 주소를 다시 한번 확인해야 한다.



저작자 표시
신고
Posted by mstoned7

 

 지난 4월 16일 수요일 아침. 대한민국 국민들은 믿기지 않는 소식을 접하게 된다. 그것은 세월호 침몰 사고 였다. 지금도 그 당시의 충격이 가시지 않고 있다. 유가족 뿐만 아니라 대한민국 국민 모두가큰 슬픔에 잠겨 있었지만, 세월호와 관련된 허위사실이 SNS로 유포되거나, 악용된 '스미싱' 등이 슬픔에 잠긴 국민들에게 다시한번 돌이킬 수 없는 상처를 주고 있다.

 

'스미싱' 이란 문자메시지에 포함된 인터넷 주소를 클릭하면 악성 앱(apk)을 다운로드 받게되고,이 앱을 스마트폰 사용자가 설치/실행하게 되면,사용자의 개인정보 및 금융정보를 탈취 당하게 된다.

 

세월호 관련 '스미싱' 문자는 "실시간 속보…", "침몰 그 진실..", "생존자 확인…" 등과 같은 문구를 이용했으며, "세월호 사칭 스미싱 대처 방법" 같은 어처구니 없는 어휘를 사용하기도 했다.

실제 원문은 아래와 같이 다양하게 발견되었다.

스미싱 발송 날짜

원문

5 01 목요일

세월호기부상황 조회 3**.net/y7A

4 23 수요일

23 9시경 실종자6 구조성공이다.ㅊㅋㅊㅋ http://goo.gl/**mMVX

4 22 화요일

[속보]세월호 3호창 생존자 2 발견 http://goo.gl/**Wgnd

4 21 월요일

단원고 학생·교사 78 생존 확인 http://ww.tl/**m

4 21 월요일

세월호 사칭 스미싱 문자 추가 발견..주의 당부 스미싱 대처방법 t.**t99.info

4 20 일요일

세월호 침몰  진실은... http://ww.tl/**so

4 20 일요일

믿기 어려운 세월호 침물 관련 충격 영상 공개 !!http://goo.gl/**kuii

4 20 일요일

세월호 침몰  진실 ...  http://goo.gl/**uX6D[FW]

4 19 토요일

세월호 사칭 스미싱 문자 추가 발견…주의 당부 스미싱 대처방법http://goo.gl/**X4r1

4 19 토요일

[GO! 현장세월호 구조된 6 어린이 http://126.107.**.204/

4 19 토요일

*실시간속보[세월호]침몰사망자55명더늘어*동영상보기 hosisting.**fo

4 18 금요일

[여객선침몰청해진해운 "승선자 명단 없는 사망자명단 kowa.**rtit.com

4 18 금요일

세월호 침몰  진실은...~http://ztc.me/**d

4 18 금요일

세월호 침몰  진실은...http://ww.tl/**ws

4 18 금요일

[연합뉴스]여객선 (세월호)침몰사고 구조현황 동영상 http://goo.gl/**buRb

4 18 금요일

*(실시간속보세월호침몰 사망자 25명으로 늘어..검색더보기 www.sto**paint**.net

4 18 금요일

*실시간속보세월호침몰 사망자 25 늘어 더보기 http://psm8060.h**web.net/ADT.apk

  [표1] 세월호 관련 스미싱 


악성 앱이 사용한 아이콘은 구글 마켓과 세월호 사진 등으로 만들어져 있었다.

 

[그림1] 악성 앱이 사용한 아이콘

 

이러한 세월호 관련 스미싱 악성 앱은 사용자의 연락처 정보, 디바이스 정보, 금융정보를 탈취하여 외부 서버로 전송 하도록 설계되어 있었다.

 

이번 세월호 사건을 악용한 스미싱 제작자는 지난 2014년 1월 카드사 정보유출 사건을 악용하기도 했다.

당시 사용된 메시지와 아이콘은 아래와 같다.

[그림2] 카드사 정보 유출 스미싱(좌) / 악성 앱 아이콘(우)

 

 악성 앱은 스마트폰에서 사용중인 은행 앱을 체크하여, 해당 은행 앱으로 위장한 악성앱을 다운로드 받는 기능이 존재하는데, (카드사 정보유출 사건과)대상 패키지명(은행 앱)이 동일하며, 정보를 탈취하고 전송하는 서버주소의 매개 변수 값도 동일하게 구성되어 있다. 또한 서버주소는 수시로 변경 가능하도록 C&C 명령을 받아 수행하도록 설계되어 있다.

[그림3] 대상 패키지 및 정보 탈취 서버정보의 일부 코드, 카드사 정보유출 사건(좌) / 세월호 사건(우)

 

스미싱 피해를 막기 위해서는 의심스러운 문자메시지의 URL은 클릭하지 않고 스마트폰에 백신 앱을 항상 최신 버전으로 유지해야 한다.또한, "안전한 문자"와 같은 스미싱 예방을 도와주는 앱을 설치하면 좀더 안전하게 스마트폰을 사용할 수 있다.

https://play.google.com/store/apps/details?id=com.ahnlab.safemessage

 

뿐만 아니라, 세월호 사건을 악용한 피싱 사이트도 발견 되었다.

트위터에 수많은 사용자의 이름으로 해당 내용이 게시된 것을 확인 할 수 있었다.

[그림4] 세월호 사건의 허위 SNS내용

 

또한 해당 피싱 사이트는 유명 커뮤니티에서도 발견되었다.

[그림5]세월호 사건을 악용한 피싱 사이트

 

 

작성자의 다른 글도 세월호 사건을 언급하고 있다.

[그림6] 동일 작성자에 의해 5/8일 게시된 글

 

해당 피싱 사이트는 NAVER 로그인 페이지로 위장되었으나,자세히 보면 로그인 FORM 과 위치가 맞지 않다.

[그림7] 정상적인 네이버 로그인 페이지(좌) / 악의적인 피싱 사이트(우)

 

사용자가 입력한 아이디와 패스워드는 대만에 위치한 서버(피싱 사이트)로 전송한 후, 정상적인 네이버 페이지에 접속 한다.

 

[그림8] 사용자가 입력한 ID/PW 를 피싱 사이트로 전송하는 페이지 소스코드

 

해당 데이터 패킷을 보면, 아이디와 패스워드가 전송되는 것을 볼 수 있다.

[그림9] 사용자의 계정정보가 전송되는 네트워크 패킷

 

 특히,이번 세월호 관련 스미싱 악성 앱은 국민적 관심과, 슬픔을 돈벌이로 이용하려는 범행 수법으로, 아주 악렬하기 때문에 꼭 검거되어, 강하게 처벌 받기를 바란다.

 

 스미싱 범죄는 '정보통신망이용 촉진 및 정보보호 등에 관한 법률'에 의거 처벌 받을 수 있으며,개인정보 무단 수집의 경우 5년 이하의 징역 또는 5000만원 이하의 벌금형에 처할 수 있다.

 


신고
Posted by DH, L@@

안랩 ASEC에서 2013년 10월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2013 Vol.46을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2013년 10월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

IE 취약점(MS13-080) 주의보!

웹하드 사이트에서 유포된 백도어 악성코드 발견

반복 감염 유발하는 USB 악성코드 발견

일반 사용자에게도 유포된 이력서 첨부 파일

화면보호기 확장자(.scr)를 이용한 악성 파일


2) 모바일 악성코드 이슈

모바일 메신저 피싱 앱 설치하는 악성 앱 등장

암호화된 안드로이드 악성코드의 등장

공공기관 및 기업 사칭 스미싱 증가


3) 보안 이슈

스팸 메일을 발송하는 다리미?

PHP.net 해킹으로 인한 악성코드 유포

DNS 하이재킹을 통한 홈페이지 해킹

어도비 해킹 피해자, 3800만 명으로 증가


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2013 Vol.46 발간

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

안랩 ASEC에서 2013년 9월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2013 Vol.45을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2013년 9월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

ZeroAccess 악성코드의 지속적인 등장

구글 업데이트를 위장한 ZeroAccess 악성코드

IE 실행 시 중국 사이트 접속?!

대형 인터넷 쇼핑몰을 겨냥한 금융 피싱 악성코드 기승

난독화된 스크립트 악성코드 감염 주의

최신 음악 토렌트 파일을 위장한 PUP 유포

홍콩금융관리국 위장 악성 스팸 메일

페이징 파일에 잔존하는 데이터


2) 모바일 악성코드 이슈

한국인터넷진흥원을 사칭한 스미싱 주의!

금융사 피싱 앱 변종 발견

금융 예방 서비스?


3) 보안 이슈

제로데이 IE 취약점, CVE-2013-3893 

어도비사 고객정보 및 소스코드 유출 사건


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2013 Vol.45 발간

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

 국내에서 온라인 뱅킹 사용자를 타깃으로 한 악성코드가 발견된 것은 오래 전 일이지만, 최근들어 폭발적인 증가를 보여주고 있었다. 해외에서도 오래 전부터 피싱이나 파밍과 같은 온라인 사기 수법이나 인터넷 뱅킹 관련 정보 수집을 목적으로 악성코드를 이용한 공격에 의한 피해가 지속적으로 발생하고 있었다.

 

 해외 기사에서 보고된 AlbaBotnet은 인터넷 뱅킹 정보를 탈취하기 위한 목적으로 제작된 악성코드의 좋은 예이다. 이 봇넷은 칠레 은행의 온라인뱅킹을 이용하는 사용자를 타깃으로 제작된 악성코드로 이메일 등 다양한 경로를 통해 유포된 것으로 보고 있다.

 

이 봇넷의 한 변형을 분석한 결과 다음과 같은 감염행위가 이루어지는 것을 확인할 수 있었다.

 

  • system32폴더에 wincal.exe 이름으로 자신을 복사한 후 실행
  • 레지스트리에 아래의 데이터를 추가하여 부팅 시 실행

    HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

    "C:\WINDOWS\system\wincal.exe"

  • hosts 파일을 변조하기 위한 정보가 있는 111.**.***.208 IP에 접속
  • 서버에서 받아온 정보를 참조하여 Hosts 파일을 변조
  • 웹 브라우저로 은행 사이트 접속 시 위장된 피싱 사이트로 이동

 

변조되는 host파일에 등록된 은행 사이트들의 목록은 아래와 같고 공격자가 타깃으로 하는 사이트들이 칠레의 금융기관인 것을 알 수 있다.

 

111.***.159.2* www.santander.cl

111.***.159.2* santander.cl

111.***.159.2* www.bci.cl

111.***.159.2* bci.cl

 

감염된 악성코드는 hosts 파일의 변경이 이루어졌는지 주기적으로 접속을 하고 감염된 사용자가 hosts파일에 등록된 웹사이트에 접속 시 피싱 사이트로 접속하여 사용자의 금융 관련 정보를 가져오기 위한 시도를 한다.

 

[그림 1] 피싱 사이트 접속 정보

 

남미에서는 이러한 유형의 인터넷 뱅킹 관련 악성코드들을 지속적으로 유포하는 봇넷이 다수 등장하고 있는 것으로 보인다. KAV의 보고서에 의하면 PiceBOT, S.A.P.Z (Sistema de Administración de PCs Zombi - Zombie PCs Administration System) 등 비슷한 유형의 악성코드들이 지속적으로 유포되고 있고 피해 또한 증가하고 있다고 한다. 이러한 봇넷 샘플들 또한 Albabotnet 관련 악성코드와 비슷하게 hosts 파일을 변조시키는 방식으로 악성 사이트로 사용자를 유도하는 것으로 보인다.

 

이와 같은 남미 국가들의 인터넷 뱅킹 악성코드의 급격한 증가 상황은 국내와 유사하고 악성코드의 동작 방식 또한 유사한 면이 많다. 최근 국내에서 유행하는 악성코드들이 대부분 hosts 파일을 변조하여 사용자를 피싱사이드로 유도하는 식으로 개인 정보를 노리고 있다. 비슷한 악성코드의 변형들을 지속적으로 유포하여 다수의 사용자를 감염시키고 웹 사이트에서 hosts파일의 정보를 받아 업데이트를 해줌으로써 사용자를 계속 피해에 노출될 수 있는 환경으로 유지시킨다.

 

이러한 악성코드로부터 고객의 정보를 보호하고 정보 유출로 인한 피해를 예방하기 위해서는 기업들도 다양한 방식으로 보안 강화를 위한 노력을 해야 하고 PC 사용자 또한 백신프로그램 및 OTP 사용 등 개인정보를 안전한 상태로 유지하기 위한 노력을 지속해야 할 것이다.

 

V3 제품에서는 아래와 같이 진단이 가능하다.


Trojan/Win32.Xema

신고
Posted by DH, L@@

 국내 온라인 뱅킹 사용자를 타깃으로 보안카드 등의 금융 정보를 노리는 악성코드(Banki) 변종이 지속적으로 발견되는 가운데, 최근 이름과 주민번호를 체크하는 루틴까지 추가된 변종이 발견되면서 그 수법이 점차 고도화되고 있어 사용자의 주의가 필요로 하다.

 '파밍' 이라고도 부르는 해당 악성코드는 가짜 뱅킹 사이트로 연결되도록 조작해 금융정보를 빼내는 신종 사기 수법으로, 최근 거액의 사기사건이 보고되면서 사회적인 이슈가 되고 있다.

보통 악성 스크립트가 삽입된 취약한 웹사이트를 통해 감염되며, 감염 시 hosts 파일을 변경하여 악성코드 제작자가 만든 가짜 뱅킹 사이트로 접속됨으로써 사용자의 금융정보를 입력 하도록 유도하고 있다.

 

이번에 발견된 변종이 유포되는 유포지 와 [9090.exe] 다운로더 에 의해 생성되는 파일은 아래와 같다.

 

[Download URL]

http://125.***.***.5/9090.exe (Downloder)

http://sk*******3.g****.net/asd.txt (다운로드되는 파일 목록)

http://125.***.***.4:8080/26.exe (hosts 파일 변조)

http://125.***.***.5/8888.exe (021F0552\svchsot.exe 생성)

http://125.***.***.5/23.exe (hosts 파일 변조)

 

다운로드 된 [26.exe], [23.exe] 악성파일에 의해 hosts파일이 아래와 같이 변조된 것을 확인할 수 있는데, 변조된 hosts파일에 의해서 정상적인 뱅킹 사이트에 접속하여도 가짜 사이트로 리다이렉트(redirect)시켜 사용자도 모르게 피싱사이트에 접속되어 피해를 입을 수 있는 것이다.

 

[그림 1] 악성 파일에 의해 변조된 hosts 파일

감염된 PC에서 뱅킹 사이트에 접속한 모습이다.

정상적인 방법으로 뱅킹 사이트를 방문하였지만 피싱 사이트로 리다이렉트 되었으며, 하나같이 보안관련 인증절차를 요구하며, 사용자로 하여금 금융정보를 입력하게끔 유도하고 있다.

 

[그림 2] 가짜 뱅킹 사이트

 

기존의 Banki 악성코드와 마찬가지로, 사용자의 이름, 주민번호, 보안카드 정보 등을 요구하고 있다. 기존에는 임의의 문자와 랜덤 한 숫자로 주민번호를 입력하면 다음 단계로 넘어갔었는데, 이번 변종에서는 사용자의 이름과 주민번호가 정상적으로 입력되었는지 체크하는 루틴이 추가되었다는 것이다.

    

[그림 3] 이름과 주민번호를 체크하는 소스부분

 

또한, 다운로드 된 다른 [8888.exe] 파일은 아래와 같은 경로에 [svchost.exe]을 생성하며 자기 자신을 자동 실행되게끔 tasks(예약작업)에 등록한다.

 

8888.exe CREATE C:\WINDOWS\021F0552\svchsot.exe (Tasks 작업 생성파일)    

svchost.exe CREATE C:\WINDOWS\Tasks\At1.job    

svchost.exe CREATE C:\WINDOWS\Tasks\At2.job    

svchost.exe CREATE C:\WINDOWS\Tasks\At3.job

 

 

[그림 4] 악성코드에 의해 생성된 예약작업들

 

이러한 파밍에 대한 피해를 막기 위해서는, 무리한 개인정보를 요구할 경우 의심을 해야 하며, 무엇보다 보안카드 번호 전체를 요구한다면 100% 파밍이라고 볼 수 있다.

최신 엔진의 백신으로 시스템을 주기적으로 정밀검사 함으로써 금전적인 피해를 예방해야 한다.

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

Trojan/Win32.Banki

 

 

 

신고
Posted by DH, L@@

-APT 공격 기법 진화, 대상 확대..문서 파일 악용 지능화 

-정치 이슈 이용한 악성코드 유포, 해킹 등 기승 

-모바일 악성코드, 국내 금융사 이용 피싱 사이트 급증


글로벌 정보보안 기업인 안랩[구 안철수연구소, 대표 김홍선, www.ahnlab.com]은28일 올 한 해 동안의 보안 위협의 주요 흐름을 분석해 ‘2012년7대 보안 위협 트렌드’를 발표했다. 이에 따르면 올 한 해 주요 이슈는 ▲APT 기승 ▲소프트웨어의 취약점 악용 지속 증가 ▲정치적 이슈 두드러진 사회공학 공격 기법 ▲모바일 악성코드 급증 ▲악성코드의 고도화 ▲핵티비즘과 기업 정보 탈취 목적 해킹 빈발 ▲국내 피싱 웹사이트 급증 등이었다.


 

1. APT 기승

 

APT[Advanced Persistent Threat; 지능형 타깃 공격]는 전년보다 공격 기법이 진화했으며 공격 대상 역시 광범위해졌다.

 

APT 공격은 그동안 어도비PDF, 마이크로소프트[MS]의 워드 등 문서 파일에 존재하는 취약점을 악용해 왔다. 취약점을 악용해 취약한 전자 문서 파일을 제작한 뒤 공격하고자 하는 대상이나 기관에 이메일로 보내는 것이다. 이 같은 전통적 형태의APT 공격 기법은2012년에도 여전히 기승을 부렸다.

 

이와 동시에 좀더 진화한 형태도 나타났다. 정상 전자문서나 이미지 파일을 악성코드와 함께 압축 파일[RARSfx]로 만들어 이메일에 첨부한 것이 대표적이다. RARSfx 파일은 압축을 풀지 않아도 실행이 되기 때문에, 사용자가 전자문서나 이미지 파일이라 생각하고 실행한 경우 뜻하지 않게 악성코드에 감염될 수 있다. 이 밖에 윈도우의 도움말 파일[HLP]에 악성코드를 삽입해 이메일로 전달하는 형태도 등장했다.


또한 공격 대상이 되는 기관[기업]에서 사용 빈도가 높은 운영체제를 파악한 뒤, 그에 맞는맞춤형 악성코드를 제작하거나 모바일 기기에서 작동하는 악성코드를 제작, 유포하는 형태도 발견됐다. 특히 국내에서는 기업이나 공공기관에서 자주 사용하는 소프트웨어의 업데이트 파일을 악성코드로 변경, 유포한 사례도 있었다.

 

공격 대상의 범위도 다각화했다. 과거에는 첨단 산업 분야에서 각 기업의 내부 기밀 자료를 탈취하고자 하는 목적으로 이뤄졌다. 그러나 이제는 정치적인 사안이나 군사 정보를 확보하기 위한 목적으로 정부 기관과 민간 단체에도 공격이 시도되면서 그 폭이 넓어졌다.

 

2. 소프트웨어의 취약점 악용 지속 증가

 

올해 소프트웨어의 취약점을 악용한 보안 위협은 특정 지역에서 주로 사용되는 소프트웨어를 악용하는 형태가 증가했다.

 

국내에서 가장 눈에 띄는 것은 국산 문서 프로그램을 악용한 공격이다. 특히 올해는 제로데이 취약점이 발견되었으며, 이를 활용한 공공 및 정부기관 내부 직원들 타깃의 공격도 가해져 주목을 끌었다. 이는 해당 문서 프로그램이 국내에서 사용 빈도가 높다는 점에서 국내 타깃 공격이 증대되고 있는 징후로 해석할 수 있다.


이 밖에 세계적으로 사용빈도가 높은 소프트웨어의 취약점을 악용한 보안 위협도 지속적으로 발견됐다. 어도비 플래시를 비롯해 MS사의 소프트웨어에서 윈도우 미디어, XML 코어 서비스, 윈도우 공용 콘트롤 취약점, 인터넷 익스플로러 버전7과8의 취약점을 악용한 위협이 다수 발견됐다. 지난해부터 위협 대상으로 떠오른 자바 역시JRE 7에 존재하는 취약점을 악용한 형태가 등장했다.

 

3. 정치적 이슈 두드러진 사회공학 공격 기법


사회공학적 공격 기법에서는 정치적인 이슈를 악용한 보안 위협이 크게 늘었다. 미국과 한국의 대선 등 올해가 세계적으로정치의 해였기 때문에 세간의 관심과 호기심을 자극할 수 있는 정치 이슈를 악용한 공격이 증대된 것으로 풀이된다.


올해 사회공학적 공격 기법에 악용된 정치 이슈는 한국의4.11 총선과 미국의 대선, 한국의 대선 등을 들 수 있다. 또한 북한 광명성3호 발사 및 핵실험, 2012 서울핵안보정상회의 등이다. 사회적으로 이슈가 된 현안들도 공격에 자주 이용됐다. 세계적인 이목이 집중됐던 런던올림픽과, 국내서 뜨거운 화제가 됐던 한 걸그룹의 멤버왕따 사건도 활용됐다.


이 밖에 유명 패스트푸드 업체에서 제공하는 프리미엄 환불 서비스, 한 보안 업체의 보안 관련 소식, 남성이 주로 읽는 무협지, 자동차 업체가 제공하는 경품 이벤트 등의 주제로 이메일이 발송된 사례 등도 있다.

 

4. 모바일 악성코드 급증

 

모바일 악성코드는 수적 증가뿐 아니라 유포 방식의 다변화, 기능의 지능화, 공격 지역의 국지화를 특징으로 꼽을 수 있다.

 

수적 증가는 악성코드 제작자에게 모바일 환경이 금전 탈취가 가능한 새로운 시장으로 인식됐기 때문으로 보인다.

 

유포 방식은 과거 안드로이드 공식 마켓이나 서드 파티 마켓 중심이었으나, 올해는 유용한 애플리케이션이나 유명한 게임으로 위장해 허위 안드로이드 마켓에서 유포되는 방식이 등장했다. 또한 트위터나SMS[휴대전화 문자]를 통해 단축URL을 유포하는 형태도 등장했다.

 

기능의 지능화는 스마트폰의 하드웨어 정보, 사용자 개인정보는 물론이고 온라인 뱅킹 인증번호를 포함한SMS를 탈취하는 데까지 이르렀다. 모바일 백신으로 위장해 금전적 대가를 요구하는 형태도 등장했다.

 

공격 지역의 국지화는 이스라엘 사용자를 겨냥해 히브리어로 제작한 악성코드, 국내 공공기관을 사칭하거나 스마트폰 청구서로 위장한 악성코드 등에서 나타났다.

 

5. 악성코드의 고도화

 

올해 발견된 악성코드들은 과거보다 자체 보호 기능이 강해진 한편, 부팅 관련 영역까지 감염시킬 정도로 고도화했으며, 금융 정보를 직접 탈취할 정도로 과감해졌다.

 

과거에는 실행 압축과 암호화 기법 등을 사용해 보안 소프트웨어의 탐지를 회피하는 비교적 소극적인 방법을 택했다. 그러나2012년에는 보안 소프트웨어 관련 파일을 직접 삭제하거나, 보안 소프트웨어가 실행되지 않도록 운영체제의 커널[Kernel] 영역에 접근하는 적극적인 방법이 나타났다.

 

부팅 관련 영역인MBR[Master Boot Record]을 감염시키는부트킷[Bootkit] 형태의 악성코드도 올해 지속적으로 발견됐다. MBR은PC가 부팅하는 데 필요한 정보들이 저장된 물리적인 하드 디스크 영역이다. MBR은 구조가 복잡하고 크기도 제한적이라 이를 겨냥한 악성코드를 제작하기가 어렵다. 그만큼 백신 프로그램으로 진단/치료하기도 매우 까다롭다. 그러나 최근 들어 이런 유형의 부트킷 형태의 악성코드가 속속 제작되는 추세이다. 부트킷은 러시아와 중국에서 주로 제작되는 것으로 알려졌으며, 주로 온라인 게임 관련 개인정보 탈취가 목적이다.

 

또한 기존 악성코드는 키보드로 입력되는 개인정보를 이용해 간접적으로 이익을 취했다. 그러나 올해 유포된 뱅키[Banki] 악성코드는 개인 금융 정보를 직접 탈취하는 것이 특징이다. 뱅키[Banki] 트로이목마는PC에 있는 호스트[hosts] 파일을 변조해 가짜 금융권 웹사이트로 사용자를 유도해 개인정보는 물론 공인인증서까지 가로챈다.

 

6. 핵티비즘과 기업 정보 탈취 목적 해킹 빈발

 

2012년에 발생한 해킹 사고들은 크게 두 가지 목적이었다. 정치적인 의사를 표시하기 위해 사용하는 이른바 ‘핵티비즘[Hacktivism]’과, 기업이 가진 내부 정보를 탈취하기 위한 해킹이다.

 

올해4.11 총선과12.19 대선 등 정치 이슈가 많았던 만큼, 각 정당 및 정치단체 홈페이지나 언론사 홈페이지 해킹 등 핵티비즘 성격의 사건이 많았다. 기업 정보를 겨냥한 해킹은 한 방송사의 홈페이지가 해킹돼 회원400만명의 개인정보가 유출된 사고, 대형 통신사가 해킹돼 가입자870만명의 개인정보가 유출된 사고, 문서 프로그램의 업데이트 서버를 통해 악성코드를 유포한 사고 등이 있었다.

 

7. 국내 피싱 웹사이트 급증

 

그동안 해외에서는 흔했지만 국내에서는 거의 없었던 피싱 사이트가 급증했다. 201년에만 국내 대표적 금융사20여 곳이 피싱 사이트에 이용됐다. 피싱 사이트의 유포에는SMS가 주로 활용됐다. 이는 스마트폰 뱅킹의 대중화에 따른 현상으로 보인다. 일부에서는 모바일 브라우저 형태의 피싱 사이트도 등장해 ‘모바일 맞춤형’ 피싱 사이트가 기승을 부리고 있음을 보여주었다.

 

안랩 시큐리티대응센터 이호웅 센터장은"장기간에 걸쳐 지능적인 공격을 하는APT나 각종 악성코드, 해킹, 피싱 등이 노리는 것은 개인정보이다. 개인정보를 이용해 금전적 이익을 취할 수 있기 때문이다. 개인, 기업, 기관 모두 다각적이고 입체적인 대응을 해나가야 한다.”라고 강조했다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

안랩 ASEC에서 2012년 7월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.31을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 7월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

Banki 트로이목마의 공습

구글 코드를 악용한 악성코드 유포

국외 은행 피싱 메일

아래아한글 취약점을 악용한 파일 추가 발견

링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷

BHO에 등록되는 온라인 게임핵 악성코드

WinSocketA.dll 파일을 이용하는 온라인 게임핵

Cross-Platform 악성코드

위구르족을 타깃으로 한 맥 악성코드


2) 모바일 악성코드 이슈

APT 공격과 관련된 안드로이드 악성코드 발견

스마트폰에도 설치되는 애드웨어


3) 보안 이슈

DNS changer 감염으로 인한 인터넷 접속 장애 주의

BIND 9 취약점 발견 및 업데이트 권고

어느 기업의 데이터 유출 후, 고객에게 보내진 ‘보안 패치’ 메일의 비밀


4) 웹 보안 이슈

GongDa Pack의 스크립트 악성코드 증가

해킹된 동영상 사이트를 통한 악성코드 유포

XML 코어 서비스 취약점 악용으로 온라인 게임 악성코드 유포


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.31 발간


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

안랩 ASEC에서 2012년 6월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.30을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 6월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

악성코드, 당신의 계좌를 노린다

이메일로 시도되는 APT 공격 주의

문서 파일을 이용한 끊임없는 악성코드 유포

아래아한글 제로데이 취약점을 악용한 악성코드 - 1

아래아한글 제로데이 취약점을 악용한 악성코드 - 2

알려진 한글 취약점을 악용한 악성코드 유포

안랩 사칭한 광고 스팸 메일 주의

정부 기관에서 발송된 메일로 위장한 스팸 메일

FedEx Post Office 메일로 위장한 악성 스팸 메일

변형된 형태의 XML 코어 서비스 취약점 (CVE-2012-1889) 악용


2) 모바일 악성코드 이슈

zsone 안드로이드 악성코드 변종 발견

스마트폰 사진을 변조하는 악성코드

스마트폰 앱 이용할 땐 항상 주의하세요


3) 보안 이슈

IE 동일한 ID 속성 원격 코드 실행 취약점(CVE-2012-1875)

XML 코어 서비스의 취약점으로 인한 원격 코드 실행 문제점 (CVE-2012-1889)

XML 코어 서비스 취약점(CVE-2012-1889) 악용 증가


4) 2012년 상반기 보안 위협 동향

정보 유출 목적의 APT(Advanced Persistent Threat) 공격 증가

개인정보 탈취용 악성코드 지속

애플리케이션 취약점을 이용한 악성코드 기능

모바일 악성코드 유포 경로 다양화

PC와 모바일 동시 겨냥한 피싱 사이트 등장


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.30 발간


저작자 표시
신고
Posted by 비회원

안랩 ASEC에서 2012년 5월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.29을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 5월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

이력서로 위장한 악성코드

LinkedIn 스팸 메일을 위장한 악성코드 유포

DHL운송 메일로 위장한 악성코드

런던 올림픽 개최를 이용한 악성코드

ws2help.dll 파일을 패치하는 온라인게임핵 변종 악성코드

AV Kill 기능을 가진 온라인게임핵 악성코드

플래시 플레이어의 제로데이 취약점(CVE-2012-0779)을 이용하는 악성코드

Python으로 제작된 맥 악성코드

프로그램 설치 화면 놓치지 마세요

어린이날에도 쉬지 않는 악성코드 제작자


2) 모바일 악성코드 이슈

안드로이드 Notcompatible 악성코드 발견

어도비 플래시 플레이어로 위장한 안드로이드 악성 앱

허위 안드로이드 모바일 백신 유포

허위 유명 안드로이드 앱 배포 웹 사이트

Talking Tom Cat 사이트로 위장한 앱 사이트를 통해 유포되는 악성코드


3) 보안 이슈

어도비 플래시 플레이어 CVE-2012-0779 취약점 발견

'LOIC' 툴을 이용한 DDoS 공격 주의!


4) 웹 보안 이슈

꾸준히 발견되는 농협 피싱 사이트


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.29 발간


저작자 표시
신고
Posted by 비회원