본문 바로가기

APT

SafeSvcInstall, 4년 째 공격 시도 중 보통 APT (Advanced Persistent Threat)로 분류되는 위협은 지속적인 공격을 특징으로 꼽는다. 하지만, 공격자가 지속적으로 매번 새로운 공격 방식을 사용하는 경우는 드물다. 공격에 이용하는 악성코드 역시 보통 자신들의 악성코드를 조금씩 바꿔 공격에 이용한다. 이 글에서 언급한 Backdoor/Win32.Etso 변형도 예외가 아니다. 2014년 9월 표적공격(targeted attack)으로 추정되는 백도어 샘플을 분석하던 중 유사 악성코드를 이용한 공격이 2011년부터 진행되었음을 확인했다. 2011년 MS 워드 문서 취약점 (CVE-2010-3333)을 이용한 공격이 있었다. 취약점이 존재하는 MS 워드로 해당 RTF 파일을 열어보면 중국어를 포함한 문서 내용이 열린다. 취약점을..
2014년 예상 7대 보안 위협 트렌드 발표 - 악성코드와 공격기법의 고도화, 국가간 사이버보안 위협 증대, 침투경로의 다양화 등 사이버 공격이 더욱 교묘해지고 심화될 것으로 예측 안랩[대표 권치중, www.ahnlab.com]은 ‘2014년 예상 7대 보안 위협 트렌드’를 발표했다. 이에 따르면 2014년 예상되는 주요 이슈는 ►APT방식의 악성코드 고도화와 표적[target] 확대 ► 전자금융사기와 사이버범죄의 산업화 가속 ►악성코드 유포 방법의 다양화 및 고도화 지속 ►윈도XP 지원 종료에 따른 보안 위협 증가 ►특정 표적을 노린 소규모 모바일 악성코드 ►사이버 보안에 대한 국가적 인식 변화 ►펌웨어 업데이트에 악성코드 포함 시도 증가 등이다. 1] APT방식의 악성코드 고도화와 표적[target] 확대2013년까지 기업이나 기관 등 특정 표..
The “Kimsuky” Operation로 명명된 한국을 대상으로 한 APT 공격 2013년 9월 12일 새벽 러시아 보안 업체인 캐스퍼스키(Kaspersky)에서는 해당 업체 블로그 "The “Kimsuky” Operation: A North Korean APT?"를 통해 한국을 대상으로 한 고도의 APT(Advanced Persistent Threat) 공격이 발견되었음을 공개하였다. 해당 블로그에서는 총 31개의 악성코드 MD5 해쉬(Hash) 값을 공개하였으며, 공격자는 불가리아의 무료 이메일 서버스인 mail.bg 를 이용해 감염된 시스템에서 탈취한 데이터를 보관하고 있다고 밝히고 있다. ASEC에서는 해당 블로그에서 공개한 총 31개의 악성코드에 대해 2013년 6월부터 발견되고 있음을 파악하고 다양한 방안으로 대응을 진행 중에 있다. 아래 그래프는 이번에 캐스퍼스키에서 명..
안랩 MDS(국내명:트러스와처), NSS의 정보유출 진단 테스트에서 높은 점수 획득 - 안랩 MDS, 94.7 퍼센트의 정보유출 방지 및 진단율을 기록 글로벌 정보보안 기업인 안랩[대표 김홍선, www.ahnlab.com]의 APT대응 전문 솔루션 ‘안랩 MDS [AhnLab Malware Defense System, 국내제품명 트러스와처]’가 권위있는 글로벌 독립 보안테스트 기관인 NSS Labs[www.nsslabs.com,이하 NSS]가 7월에 실시한 ‘정보유출 진단 제품 분석[Breach Detection System Product Analysis]’테스트에서 높은 점수를 획득했다. 최근 몇 개월 간, NSS는 미국 텍사스에 위치한 자사 연구소에서 APT성 공격으로 인한 정보유출 대응에 대한 심도있는 테스트를 실시했다. 이번 테스트는 인터넷 및 이메일로 전파되는 악성코드, 취약점..
‘3.20 APT공격’ 관련 고객정보보호 후속조치 - 1차 : 25일 APT 트레이스 스캔- 2차 : 주중 MBR 프로텍터 제공- 3.20 APT 공격 노출 여부 및 잔여 흔적 추적하는 ‘APT 트레이스 스캔’ 고객사 제공- 비상대응체제 유지 및 고객 피해 최소화 노력 지속 글로벌 보안 기업 안랩(대표 김홍선, www.ahnlab.com)은 오늘, 지난 3월 20일 14시경 발생한 특정 방송사/금융사 대상 APT 공격에 대한 ‘고객정보보호 후속조치’를 발표했다. 이는 안랩이 공격발생 당일인 3월 20일 17시 49분에 긴급 V3 엔진 업데이트 및 18시 40분에 전용백신을 배포한 데 이은 후속조치이다. 안랩이 발표한 고객정보보호 후속조치는 △3.20 APT 공격 노출 여부 및 잔여 흔적을 추적하는 ‘APT 트레이스 스캔(APT Trace Scan)’ 제..
국내 방산업체 APT 공격 포착 최근 취약한 PDF 파일이 국내 방산업체 직원을 사칭하여 내부 직원 대상으로 이메일 통해 유포된 것이 보고되었다. PDF 파일의 내용을 보면 알 수 있듯이 사회공학적 기법을 이용하여, 방산진흥본부에서 방산업체로 업무협조 문서를 발송한 것처럼 위장하고 있다. [그림 1] PDF 파일 내용 해당 PDF 파일은 지난 2012년 8월에 ASEC 블로그의 "이메일을 이용한 어도비 CVE-2009-0927 취약점 악성코드 유포"와 유사한 형태로 공격자는 방산업체로 수신되는 문서를 이용하여 꾸준히 APT 공격을 하는 것으로 보인다. 이러한 공격으로 인해 내부 기밀 정보가 외부 공격자에게 유출되는 피해가 발생할 수 있기 때문에 국가 기관 및 방산업체에서는 심각하게 받아들여지고 있다. 따라서, 이와 같은 보안 위협에 대..
한글 파일 제로 데이(Zero-Day) 취약점 악용 공격 2012년도에는 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 취약점을 악용한 타깃 공격(Target Attack)이 예년에 비해 비교적 크게 증가하였다. 이 중에는 기존에 알려지지 않은 제로 데이(Zero Day, 0-Day)을 악용한 공격 형태도 2012년 6월과 11월에 발견될 정도로 한글 소프트웨어 취약점을 악용한 공격의 위험성이 증가하고 있다. 2012년 6월 - 한글 제로데이 취약점을 악용한 악성코드 유포 2012년 11월 - 국방 관련 내용의 0-Day 취약점 악용 한글 파일 이러한 한글 소프트웨어에 존재하는 기존에 알려지지 않은 제로 데이 취약점을 악용한 공격이 1월 25일경 다시 발견되었다. 이 번에 발견된 한글 소프트웨어의 제로 데이 취약점을 악용하는 취약한 한글 파일은 아래 이..
2012년 7대 보안 위협 트렌드 발표 -APT 공격 기법 진화, 대상 확대..문서 파일 악용 지능화 -정치 이슈 이용한 악성코드 유포, 해킹 등 기승 -모바일 악성코드, 국내 금융사 이용 피싱 사이트 급증 글로벌 정보보안 기업인 안랩[구 안철수연구소, 대표 김홍선, www.ahnlab.com]은28일 올 한 해 동안의 보안 위협의 주요 흐름을 분석해 ‘2012년7대 보안 위협 트렌드’를 발표했다. 이에 따르면 올 한 해 주요 이슈는 ▲APT 기승 ▲소프트웨어의 취약점 악용 지속 증가 ▲정치적 이슈 두드러진 사회공학 공격 기법 ▲모바일 악성코드 급증 ▲악성코드의 고도화 ▲핵티비즘과 기업 정보 탈취 목적 해킹 빈발 ▲국내 피싱 웹사이트 급증 등이었다. 1. APT 기승 APT[Advanced Persistent Threat; 지능형 타깃 공격]..