본문 바로가기

악성코드 정보1153

e-mail 을 이용하는 APT 공격 주의 최근 이메일을 통해 문서파일(DOC, HWP, PDF 등)의 취약점을 이용하여 상대방의 시스템을 공격하는 일종의 APT 공격 시도가 많이 포착되고 있다. 공격이 되는 대상은 기존에 불특정 다수에게 e-mail 을 유포하는 방식이 아닌 특정 집단(기관, 학교, 회사 등) 을 주로 하고 있으며 사전에 수집된 e-mail 을 바탕으로 악성 파일을 drop 하는 문서파일을 첨부하며 열람을 유도해 표적 공격을 시작한다. 표적공격시 발송하는 e-mail 의 특징들은 아래와 같다. 1. 제목이 자극적이거나 중요한 메일인 것 같은 뉘앙스를 띔 2. 취약점을 사용할 수 있는 문서파일을 첨부하며 첨부파일 이름도 중요성을 띈 것처럼 표기 3. 메일 내용은 자세히 적지 않고, 첨부파일을 확인하라고 하여 문서파일 열람을 유도 .. 2012. 6. 22.
Zitmo 변형으로 알려진 안드로이드 악성코드 ASEC에서는 "2012 예상 스마트폰 보안 위협 트렌드"를 발표하며 윈도우 PC에서 감염 및 동작하는 제우스(Zeus) 악성코드의 모바일 버전인 Zitmo[Zeus In The Mobile]가 발견되었으며 심비안(Symbian), 블랙베리(Blackberry)를 거쳐 최근엔 안드로이드(Android) 플랫폼으로까지 확장되었다고 언급한 바가 있다. 금일 러시아 보안 업체 캐스퍼스키(Kaspersky)에서는 블로그 "Android Security Suite Premium = New ZitMo"를 통해 새로운 Zitmo 변형이 발견되었음을 공개하였다. ASEC에서는 추가적인 조사를 통해 해당 새로운 Zitmo 변형은 구글(Google)의 공식 안드로이드 앱스토어(Appstore)를 통해 유포 된 것이 아니라.. 2012. 6. 19.
PC를 안전하게 사용하기 위해 알아두면 좋을 V3의 옵션들 요즘 악성코드는 인터넷 생활의 일부가 되고 있습니다. 평소에 자주 방문하는 유명 포털 사이트에서 어느 날 악성코드를 유포해 감염되기도 하고 이메일 보관함에 악성코드가 첨부된 파일이 몇 개 정도는 있을 정도로 감염의 위협은 일상화되어 있습니다. 이러한 악성코드로 인한 피해 예방을 위한 여러 가지 방법들이 있겠습니다만 이 중에서 PC를 좀더 안전하게 사용하기 위해 참고하면 좋을 V3의 옵션을 알려드립니다. 1. 검사 전 엔진 업데이트 하기 최근에는 하루에 발견되는 악성코드의 개체 수가 수 만개에 이를 정도로 많고 단기간에 다수의 사용자들에게 감염을 유발하고 사라지는 것을 반복하고 있습니다. 자사에서는 이와 같이 매일 대량으로 유포되는 악성코드에 대응하기 위해 악성코드의 치료기능을 메일 수 차례 업데이트하고 .. 2012. 6. 19.
한글 제로데이 취약점을 악용한 악성코드 유포 한국에서 많이 사용되는 한글 소프트웨어에 존재하는 알려지지 않은 제로데이(0-Day, Zero-Day) 취약점 또는 기존에 알려진 취약점을 악용한 악성코드 유포는 2010년 무렵부터 국내에서 발견되기 시작하였다. 이러한 취약점이 발견될 때마다 한글 소프트웨어를 개발하는 한글과 컴퓨터에서는 발견된 해당 취약점을 제거하는 보안 패치도 꾸준히 배포하였다. 금일 다시 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이 취약점을 악용하여 악성코드 감염을 시도한 사례가 발견되었다. 이 번에 발견된 취약점을 포함하고 있는 취약한 한글 파일(HWP)은 986,624 바이트의 크기를 가지고 있으며, 전자 메일의 첨부 파일 형태로 유포된 것으로 파악하고 있다. 해당 취약한 파일은 아래 이미지와 같은 구조를 가지고 있으며,.. 2012. 6. 15.
MS12-037(CVE-2012-1875) 취약점을 악용한 악성코드 유포 마이크로소프트에서는 한국 시각으로 6월 13일 해당 업체에서 개발한 소프트웨어에 존재하는 보안 취약점들을 제거하기 위한 보안 패치를 배포하였다. 이와 동시에 보안 업체인 맥아피(McAfee)에서는 마이크로소프트가 배포한 보안 패치 "Microsoft Security Bulletin MS12-037 - Internet Explorer 누적 보안 업데이트 (2699988)"에 포함된 CVE-2012-1875 취약점을 악용하는 공격이 실제 발생하고 있음을 블로그 "Active Zero-Day Exploit Targets Internet Explorer Flaw"를 통해 공개하였다. ASEC에서는 추가적인 조사를 통해 해당 CVE-2012-1875 취약점을 악용하는 악성코드는 아래 이미지와 동일한 스크립트 형태.. 2012. 6. 14.
스팸 메일과 결합된 웹 익스플로잇 툴킷 이메일에 첨부되어 스팸 메일(Spam Mail)처럼 유포되는 악성코드들은 대부분이 ZIP으로 압축된 EXE 파일이 첨부되거나 EXE 또는 SCR 등의 파일 확장자를 가진 첨부 파일 형태로 유포되는 것이 일반적이다. 그러나 최근에 와서는 이메일 본문에 단축 URL(URL Shortening) 또는 하이퍼 링크를 제공하여, 특정 악성코드를 유포하는 웹 사이트 또는 피싱(Phishing) 웹 사이트로 연결을 유도하는 형태들도 발견되고 있다. 금일 새벽 국내에 유명 IT 업체인 HP를 사칭하여 악성코드 감염을 유도하는 악의적인 스팸 메일들이 대량으로 유포되었다. 이번에 유포된 악성코드 감염을 목적으로하는 악의적인 스팸 메일은 다음과 같은 형태를 가지고 있다. * 메일 제목 - 다음 중 하나Scan from a .. 2012. 6. 5.
독일 은행을 노리는 스파이아이 변형 발견 ASEC에서는 4월 4일 온라인 뱅킹 정보 탈취를 위해 제작된 스파이아이(SpyEye) 트로이목마가 이제는 온라인 뱅킹외에 다양한 국가에 위치한 다양한 산업군의 웹 사이트들에서 사용자 계정 정보들의 탈취를 노린다는 정보를 전달한 바가 있다. 이러한 스파이아이 트로이목마가 감염 형태가 기존에 발견되었던 스파이아이 변형들과 다른 새로운 형태의 스파이아이 변형이 발견되었다. 이 번에 발견된 스파아이 트로이목마는 전체적인 동작면에서는 기본적으로 동일한 것으로 미루어 현재까지 언더그라운드에 공개된 다양한 온라인 뱅킹 정보 탈취 트로이목마들의 소스코드 중 스파이아이의 소스코드를 사용된 것으로 추정된다. 추가적으로 ASEC에서는 2012년 5월 중순부터 해당 새로운 스파이아이 트로이목마 변형이 유포되기 시작한 것으로.. 2012. 6. 1.
디아블로3 출시를 누가 가장 기다렸을까? 2012년 05월 15일! 디아블로 매니아들은 열광했다. 고대하던 디아블로 3의 정식 출시 일이며, 많은 사용자들이 예약판매 등을 통해 플레이하는 즐거운 상상에 빠져 있었다. 그것도 잠시.. 서비스 논란에 이어 인터넷 상에는 자신의 디아블로 계정정보가 유출되었다는 글이 심심치 않게 올라왔다. 디아블로의 출시일로부터 11일 이후인 26일경, 일부 언론사를 통해서 유포된 게임핵 악성코드에 대하여 알아보자. (디아블로와 관련된 모든 피해가 이 문서에서 언급한 게임핵 악성코드에 의해서 발생한 것이라고 단정지을 수는 없다.) 26일 당시 게임핵 악성코드를 유포했던 특정 언론사의 경우 상위 도메인을 기준으로 서비스 별로 여러 개의 하위 도메인이 존재하고, 각 하위 도메인 별로 각각 다른 페이지에 악성코드를 다운로드.. 2012. 6. 1.