본문 바로가기

IOT4

Tsunami 변종 악성코드 분석 - AK-47 Tsunami는 Kaiten이라고도 불리는 DDoS 봇이며, Mirai 및 Gafgyt와 함께 꾸준히 유포되고 있는 악성코드들 중 하나이다. 모두 DDoS 봇이라는 공통점이 있지만, Tsunami는 다른 것들과 달리 IRC를 이용해 공격자와 통신하는 형태의 IRC 봇이라는 점이 특징이다. 초기 Kaiten의 소스 코드가 공개된 후로 기존의 소스 코드에 다양한 기능을 더한 여러 악성코드가 만들어졌으며, 그 소스 코드들 또한 공개됨에 따라 현재까지 다수의 Tsunami 변종 악성코드들이 확인되고 있다. 여기에서 다루는 악성코드는 제작자가 AK-47이라는 시그니처를 C&C 서버와의 통신에 사용함에 따라 간단하게 AK-47이라고 언급하도록 한다. 최근 유포되고 있는 다른 IoT 악성코드들처럼 이 악성코드 또한 .. 2020. 10. 15.
Gafgyt 변종 악성코드 분석 - Yakuza Bot Gafgyt는 현재 Mirai와 함께 가장 많이 유포되고 있는 IoT 악성코드다. 그 목적도 동일하게 DDoS 공격이며 봇넷을 확보하기 위해 취약한 다른 IoT 장비들을 감염시킨다는 점도 동일하다. Gafgyt는 Bashlite 또는 Qbot이라고도 불리며 Mirai 처럼 소스 코드가 공개되어 있어서 수많은 변종들이 지금까지 발견되고 있다. 원본 소스 코드뿐만 아니라 악성코드 제작자들이 기능을 더한 변종들의 소스 코드들도 다수 확인된다. 여기에서는 악성코드 제작자가 Yakuza라는 이름을 붙인 변종 악성코드를 다룬다. 초기 루틴 실행 시 먼저 현재 실행 중인 프로세스의 이름을 변경하는 형태의 분석 방해 기법 2가지가 사용된다. 첫 번째 방식은 현재 프로세스의 메모리 상에서 argv[0] 위치의 문자열을 .. 2020. 10. 14.
Mirai 변종 악성코드 - KiraV2 과거 Mirai 악성코드의 소스 코드가 공개된 이후로 수많은 변종들이 아직까지 유포되고 있다. Mirai를 기반으로 하는 악성코드들뿐만 아니라 gafgyt와 같은 다른 악성코드들 까지도 Mirai의 소스 코드를 일정 부분 차용하는 경우도 다수 존재한다. KiraV2라는 이름을 갖는 이 악성코드는 Mirai의 소스 코드를 기반으로 만들어진 변종이며, 2020년 3분기 ASEC리포트에서 상세한 내용을 다루었다. - ASEC 리포트 Vol.100 PDF : https://image.ahnlab.com/file_upload/asecissue_files/ASEC%20REPORT_vol.100.pdf 원본 Mirai와의 차이점이라고 한다면 전파와 관련된 부분이 있다. Mirai는 취약한 계정 정보를 갖는 telne.. 2020. 10. 12.
2015 모바일 보안위협 예상 트렌드 Big 4 1. 스마트폰 뱅킹 사용자 대상 공격 심화 2. 스마트폰 결제 서비스 노린 새로운 위협 등장 3. 스미싱(Smishing) 고도화 4. 사물인터넷(IoT)에 대한 스마트폰 보안의 중요성 대두 - 2014년 한 해 안랩이 수집한 스마트폰 악성코드 총 143만 247개로 보안위협 증가 안랩(대표 권치중, www.ahnlab.com)이 2014년 스마트폰 악성코드 통계와 2015년에 예상되는 국내 모바일 보안 위협 트렌드 4가지를 분석해 발표했다. 먼저, 안드로이드 기반 스마트폰 사용자를 노리는 악성코드는 지난 해 누적 총 143만 247개로 나타났다. 이는 2013년(125만 1,586개) 대비 14.2% 증가한 수치이며, 2012년(26만 2,699개)보다 444%(5.4배) 증가한 수치이다. 또한, 스마.. 2015. 1. 16.