본문 바로가기

악성코드 정보1153

아이폰, 아이패드에서 동작하는 상용 키로거 해외에서 애플(Apple)사에서 제작해 판매되는 아이폰(iPhone)과 아이패드(iPad)에서 동작하는 키 입력을 가로채는 키로거(Keylogger)가 상용으로 제작되어 판매되는 것이 발견되었다. 이 번에 발견된 상용 키로거는 애플사의 iOS에 동작하도록 되어 있으나 범용적으로 모든 아이폰과 아이패드에서 동작하는 형태는 아니다. 해당 상용 키로거는 아이폰과 아이패드를 순정 상태가 아닌 사용자에 의해 탈옥(JailBreak)된 상태에서만 설치되어 키 입력을 가로채도록 되어 있다. 그리고 가로채 키 입력들을 지정한 특정 메일 주소로 가로챈 키 입력들 모두를 전송하도록 설정 할 수 있다. 이 번에 발견된 상용 키로거외에도 아이폰 및 아이패드가 순정 상태가 아닌 사용자에 의해 탈옥(JailBreak)된 상태에서.. 2011. 10. 27.
새로운 imm32.dll 패치 기법을 적용한 악성코드 2011년 3월 2일 ASEC에서는 온라인 게임의 사용자 정보를 유출하는 악성코드에서 보안 제품인 V3의 설치 여부에 따라 다른 감염 기법들을 가지고 있는 악성코드의 사례에 대해 이야기 한 바 있다. 최근에 지속적으로 발견되고 있는 정상 시스템 파일인 imm32.dll에 대한 패치를 수행하는 악성코드들이 발견되고 있으나 그 패치 기법이 변경된 것을 ASEC에서 확인 하였다. 2월 말과 3월 초에 발견된 imm32.dll의 패치를 수행하는 악성코드는 아래 이미지에서와 같이 imm32.dll 파일의 익스포트(Export) 함수 모두를 포워드(Forward)하고 있다. 그러나 최근에 발견되고 있는 악성코드들에서는 아래 이미지와 같이 imm32.dll 파일의 익스포트(Export) 함수들을 포워드 하지 않고 있.. 2011. 10. 27.
Lizamoon로 명명된 대규모 SQL 인젝션 공격 2011년 3월 29일 미국 보안 업체인 웹센스(Websense) 블로그 "LizaMoon mass injection hits over 226,000 URLs (was 28,000) including iTunes"를 통해 대규모 SQL 인젝션(Injection) 공격이 발생하였으며 이로 인해 226,000 웹 페이지가 침해 사고를 입은 것으로 알려졌다. 웹센스를 통해 알려진 대규모 SQL 인젝션 공격은 해당 공격을 통해 삽입된 도메인명인 lizamoon.com에서 따와 Lizamoon으로 명명 되었다. ASEC에서는 추가적인 조사 및 분석을 위해 구글(Google) 검색을 이용하여 해당 Lizamoon 인젝션 공격으로 인해 한국 웹 사이트들이 얼마나 많은 웹 사이트가 피해를 입었는지 파악하였다. 그 결과.. 2011. 10. 27.
한국어로 표기된 허위 윈도우 라이센스 랜섬웨어 발견 2011년 3월 22일 윈도우(Windows) 운영체제의 라이센스 경고 메시지로 위장한 랜섬웨어(Ransomware)가 발견되었다. 이 번에 발견된 랜섬웨어는 사용하는 윈도우 운영체제의 라이센스가 복사본이며 새롭게 인증을 받으라며 특정 전화로 연결하도록 유도하고 있다. 해당 랜섬웨어의 감염 및 동작 형태로 미루어 3월 13일 발견된 한국어로 표기된 사이버 범죄 경고 랜섬웨어의 다른 변형으로 추정된다. 해당 랜섬웨어가 시스템에서 실행이 되면 감염된 시스템의 언어 코드를 획득하여 아래와 같이 한국어 윈도우일 경우에는 한국어 메시지를 표기 해주고 있다. 표기된 메시지는 윈도우 라이센스가 사본이며 정상 라이센스 구매를 한 것이 아님으로 차단하였다 허위 문구를 보여주며 인증이 활성화 될 때까지 컴퓨터를 정상적으로.. 2011. 10. 27.
UPS 운송 메일로 위장한 허위 백신 설치 악성코드 2011년 3월 24일부터 국내로 유입되기 시작한 UPS(United Parcel Service) 운송 메일로 위장한 악성코드가 현재까지도 다양한 변형들이 첨부되어 유포되고 있다. 이 번에 발견된 UPS 운송 메일로 위장한 악성코드는 2009년 6월부터 다양한 변형들이 첨부되어 유포 되었으며 DHL 운송 메일로 위장한 악성코드 변형들 역시 2009년 8월부터 현재까지 다양햔 변형들이 유포되고 있다. 그러므로 ZIP 압축 파일이나 실행 파일 그리고 웹 사이트 링크 등이 포함된 UPS와 DHL 등의 우편 운송 안내 메일을 수신할 경우에는 각별한 주의가 필요하다. 이 번에 유포된 UPS 운송 메일로 위장한 악성코드는 다음과 같은 크게 2가지 메일 형태를 가지고 있다. * 메일 제목 United Parcel S.. 2011. 10. 27.
사진 파일이 첨부된 메일로 위장한 허위 백신 해외에서 제작된 허위 백신들은 다양한 경로로 유포를 시도하고 있다. 여러 유포 경로 중에서는 검색 엔진의 결과를 조작하는 블랙햇 SEO(BlackHat Search Engine Optimization) 기법을 포함하여 유튜브(Youtube)의 동영상 웹 페이지로 위장하여 유포하는 사례까지 다양하다. 그 중에서도 가장 전통적이며 오랜된 방법으로는 사회 공학(Social Engineering) 기법을 이용해 이메일의 첨부 파일로 유포하는 방법을 들 수가 있다. 최근 지속적으로 발견되고 있는 사진 파일을 첨부한 메일로 위장해 유포를 시도한 허위 백신 역시 이러한 사회 공학 기법을 악용하여 2월 중순 처음 발견되어 현재까지 이어지고 있다. 사진 파일 첨부 메일로 위장한 허위 백신은 다음과 같은 메일 형태로 유포.. 2011. 10. 27.
일본 쓰나미와 대지진을 악용한 보안 위협들의 생산 2011년 3월 11일 오후 2시 46분 이웃 나라인 일본에 유래 없는 대지진이 발생하여 수 많은 인명 피해와 큰 규모의 재산 피해가 발생한 사실이 언론 등을 통해 알려지게 되었다. 현재에도 원자력 발전소의 폭팔로 방사선 노출 등의 심각한 문제가 야기 될 수 있어 일본의 대지진에 대해 전 세계적으로 높은 관심을 보이며 뉴스 매체와 인터넷 뉴스 매체 등을 통해 많은 정보들을 접하고 있다. 이렇게 일본 대지진과 같이 전 세계적으로 많은 관심이 있었던 사건들을 악용하여 악성코드와 같은 보안 위협들을 유포하였던 다양한 사례들로는 다음들이 존재한다.2009년 7월 마이클 잭슨의 사망 소식을 악용한 악성코드 유포 2010년 3월 김연아 선수의 동계 올림피 피겨 우승 소식을 악용한 악성코드 유포 2010년 3월 남아.. 2011. 10. 27.
라우터 장비를 DoS 공격하는 악성코드 2011년 3월 10일 중남미 지역을 중심으로 라우터(Router) 장비들을 대상으로 서비스 거부 공격(Denial of Service)을 수행하는 악성코드가 유포되었다. 해당 악성코드는 유닉스(Unix)와 리눅스(Linux) 시스템에서 동작하는 ELF 파일이며 ARM CPU 연산을 통해 실행되도록 제작되었다. 해당 악성코드가 유닉스나 리눅스 시스템에서 실행이 되면 제작자가 하드코딩한 러시아와 미국에 위치한 특정 시스템에 존재하는 IRC 채널로 접속을 수행하여 오퍼(Oper)가 내리는 명령들을 수행하도록 제작 되어 있다. IRC 채널로 해당 악성코드가 성공적으로 접속을 성공하게 되면 다음의 명령들을 수행하게 된다. 라우터 관리자 계정에 대한 암호 대입 특정 IP에 대한 UDP Flooding 공격 라우터.. 2011. 10. 27.