전체 글보기1301 Poisonivy를 이용한 지속적인 공격 우리말로 덩굴옻나무로 해석되는 Poisonivy는 정상 원격제어 프로그램으로 2005년부터 제작되었으며 서버 생성과 원격제어 기능을 가지고 있는 클라이언트를 생성한다. 2008년 11월까지 업데이트가 되었으며 현재는 개발이 중단된 상태이다. 하지만 Poisonivy 제작자의 의도와는 다르게 뛰어난 기능 및 편리한 플러그인 설치 기능으로 인해 악의적인 목적으로 많이 사용되고 있다.[그림-1] Poison Ivy 제작자 홈페이지 (현재는 폐쇄)Poisonivy를 이용한 주요 공격 사례는 다음과 같다. 일시 내용 2008년 해외 금융 서비스 업계 2009년 미국 및 해외의 방위산업 계약자 2011년 3월 EMC RSA 해킹 2011년 The Nitro Attacks 2012년 Molerats (aka Gaza.. 2017. 7. 18. 국내 방위산업체 공격 동향 보고서 지난 2010 년부터 본격화된 국내외 방위산업체에 대한 공격은 현재까지 꾸준히 지속되고 있다. 방위산업체는 방위산업물자를 생산하는 업체로, 단순 산업 분야가 아니라 국가 안보와 밀접히 연관되어 있으며, 경쟁국 혹은 적대국가에서 이들 업체의 정보를 노릴 가능성도 배제할 수 없다. 최근 국내 방위산업체에 대한 공격도 지속적으로 확인되고 있으며, 일부 공격 그룹은 방위산업체뿐 아니라 국내 정치, 외교 분야에 대해서도 공격을 가하고 있다. 한편, 공격자들이 특정 국가의 지원을 받고 있는지는 확인되지 않았다. 방위산업체 공격 사례를 분석한 결과, 공격자는 주로 스피어피싱(Spear Phishing) 이메일과 워터링 홀(Watering-hole) 방식을 통해 악성코드를 유포하였다. 특히 국내 업체 공격의 경우 중앙.. 2017. 7. 3. [주의] WannaCryptor와 동일한 취약점 이용한 Petya 랜섬웨어 유포 2017년 6월 27일, 우크라이나에서 Petya 이름의 랜섬웨어 감염 피해가 보고되었다. 사실 Petya 랜섬웨어는 파일을 암호화하는 다른 랜섬웨어와 달리 부팅을 불가능하게 하는 유형(MBR, MFT 암호화)으로 이미 알려진 형태이다. 하지만, 이번에 이슈 된 Petya는 지난 5월 WannaCryptor 랜섬웨어에서 사용한 SMB 취약점(CVE-2017-0144)을 사용하여 네트워크 전파기능이 추가되면서 피해가 큰 것이 특징이다. 또한, 기존 형태와 달리 일부 확장자 파일들에 대한 암호화도 진행하는 등 다양한 기능이 추가된 것을 확인할 수 있다. SMB 취약점(CVE-2017-0144)은 MS 보안패치 MS17-010에 포함되었으므로 감염 확산을 막기 위해서는 보안패치 적용이 필요하다. 1. 동작과정.. 2017. 6. 28. 국내 웹호스팅 업체 리눅스 서버 감염시킨 에레버스(Erebus) 랜섬웨어 2017년 6월 10일 국내 모 유명 웹 호스팅 업체의 리눅스 웹 서버 및 백업 서버 153대가 랜섬웨어 에레버스(Erebus)에 감염되어 서버 내 주요 파일이 암호화되었다고 알려졌다. 이로 인해 현재까지 해당 업체에서 호스팅하는 일부 사이트의 정상적인 접속이 불가능하다. 이번 공격에 현재까지 총 2개의 에레버스(Erebus) 랜섬웨어 파일이 확인되었으며, 각각 32비트 그리고 64비트 환경에서 동작하는 리눅스용 ELF 파일이다. 악성 파일 내부에 EREBUS 문자열과 암호화 관련 문자열을 다수 포함하고 있다. 악성코드 감염 직후에는 다음과 같은 증상이 확인된다. - 암호화 대상 파일명 변경: "[영문과숫자조합].ecrypt" - 랜섬노트 파일 생성: "_DECRYPT_FILE.txt" "_DECRYPT.. 2017. 6. 12. SMB 취약점으로 전파되는 워너크립터 (WannaCryptor) 랜섬웨어 워너크립터(WannaCryptor)는 워너크라이(Wanna Cry), W크립트(Wcrypt) 등으로도 불리는 랜섬웨어(Ransomware)로 2017년 5월 12일(현지 시간 기준) 스페인, 영국, 러시아 등을 시작으로 전 세계에서 감염 보고되고 있다. * 현황 WannaCryptor는 2017년 2월 최초 발견 되었다. 악성코드 제작자는 ShadowBrokers가 NSA로부터 해킹 해 2017년 4월 공개한 SMB(Server Message Block) 취약점(MS17-010) EternalBlue를 이용한 변형을 2017년 5월 제작했다. 관련 SMB 취약점은 마이크로소프트사가 2017년 3월 보안 업데이트를 공개했지만 보안 업데이트가 적용되지 않은 시스템은 위험에 노출되며 패치 되지 않은 시스템이 .. 2017. 5. 14. 2017년 1분기 랜섬웨어 동향 올해 1분기 랜섬웨어의 감염보고 건수는 감소하는 추세에 있는 것으로 확인 되었다. 이것은 분명 좋은 소식이지만 다음 분기에도 감소 추세에 있을 것이라고는 확신 할 수 없다. 왜냐하면 랜섬웨어 변형은 계속 증가하는 추세를 보이고 있기 때문에 안심 할 수는 없다. 안랩은 홈페이지 -> 보안정보 -> 월간 ‘安’ 201704호에 이란 글을 게시하였다. 여기도 밝혔듯이 랜섬웨어는 여전히 증가하고 있으며 그 변형 또한 매우 다양한 것을 알 수 있다. 다음은 2016.10 ~ 2017.03 기간 동안 ASD (AhnLab Smart Defence) 인프라로 수집된 랜섬웨어의 샘플수량과 감염보고 건수 이다. [그림1] 2016년 4분기, 2017년 1분기 랜섬웨어 통계 (샘플 및 감염보고 건수) 위 [그림1] 그래프.. 2017. 4. 21. 파일의 엑세스 권한을 변경하는 Matrixran 랜섬웨어 지난 4월 7일 Matrixran 랜섬웨어가 국내로 유포되고 있음을 안랩의 악성코드 위협 분석 및 클라우드 진단 시스템인 ASD(AhnLab Smart Defense)에서 확인되었다. 해당 랜섬웨어는 RIG-Exploit Kit에 의해 유포되었으며 유포에 사용된 취약점은 CVE-2016-0189 / IE_VB, CVE-2015-2419 / IE _JSON이다. 위 취약점에 노출된 사이트에 접속하는 사용자는 RIG-Exploit Kit에 의해 사용자 모르게 시스템에 랜섬웨어가 감염될 가능성이 있다. 해당 랜섬웨어가 Matrixran 랜섬웨어라고 불리는 이유는 랜섬웨어의 첫 번째 버전에 감염되었을 경우 암호화 파일 확장자를 .matrix로 변경시켰기 때문이다. 하지만 현재 유포되고 있는 버전은 세 번째 버전.. 2017. 4. 19. 유포 경로가 다양한 디도스 공격 목적의 악성코드 디도스(DDoS) 공격을 목적으로 하는 악성코드가 주로 중국산 디도스 공격 툴과 빌더 프로그램으로 국내에서 제작되어 다양한 경로로 유포되는 정황이 지속해서 확인되고 있다. 악성코드는 감염된 사용자 즉, 봇 PC 내에 상주하여 공격자가 내리는 원격 명령에 따라 작동하고 공격 대상 시스템을 대상으로 디도스 공격을 수행할 수 있다. 안랩에서는 해당 파일을 원격 제어(Remote Access)가 가능한 악성코드란 뜻으로 코렛(Korat) 으로 진단한다. 코렛 악성코드는 디도스 공격을 하기 위한 최대한 많은 수의 봇을 확보할 목적으로 사회공학기법을 이용하여 사용자가 많이 다운받거나 사용하는 파일을 위장하여 각종 국내 웹 하드 자료실이나 개인 블로그 등을 통해 유포된다. 대표적으로 주요 소프트웨어 프로그램, 불법 .. 2017. 4. 6. 이전 1 ··· 35 36 37 38 39 40 41 ··· 163 다음
