'디스크'에 해당되는 글 7건

ASEC 보안 위협 동향 리포트 2011 Vol.17 발간 :: 2011/06/14 09:45

/보안 위협 동향

안철수연구소 ASEC에서 2011년 5월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2011 Vol.17을 발간하였다.


사용자 삽입 이미지

이 번에 발간된 ASEC 리포트는 2011년 5월 주요 보안 위협 이슈를 다음과 같이 분석하고 있다.

* 5월 주요 보안 위협 이슈

페이스북을 도배하는 스팸 광고 주의
스팸메일을 통해 유포되는 AntiVirus AntiSpyware 2011 허위백신
주문 확인 메일로 위장한 악성코드 유포
사진 메일로 위장한 악성코드 다시 유포
오사마 빈 라덴 사망 소식으로 위장한 악성코드 유포
국외 인터넷 뱅킹을 노리는 Zeus 소스 유출과 SpyEye 동향
뱅킹 트로잔 CoreFlood
국내 금융권 사이트 해킹, 인터넷 뱅킹 악성파일
디스크 볼륨 Open 후 직접 Write 하는 루트킷 분석 정보

안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있으며 PDF 파일을 통해서도 전문을 확인 할 수 있다.


크리에이티브 커먼즈 라이센스
Creative Commons License
Writer profile
AhnLab ASEC님의 글입니다.

2011/06/14 09:45 2011/06/14 09:45
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
Trackback(27) : Comment(3)
Trackback Address :: http://blog.ahnlab.com/asec/trackback/548

  • karting

    Tracked from karting | 2013/04/27 10:50 | DEL

    ASEC Threat Research - ASEC 보안 위협 동향 리포트 2011 Vol.17 발간

  • SEO

    Tracked from SEO | 2013/04/28 05:35 | DEL

    ASEC Threat Research -

  • monokini

    Tracked from monokini | 2013/05/07 09:48 | DEL

    ASEC Threat Research - ASEC 보안 위협 동향 리포트 2011 Vol.17 발간

  • bar plastic

    Tracked from bar plastic | 2013/05/10 02:23 | DEL

    ASEC Threat Research - ASEC 보안 위협 동향 리포트 2011 Vol.17 발간

  • twitter hack

    Tracked from twitter hack | 2013/05/11 15:15 | DEL

    ASEC Threat Research - ASEC 보안 위협 동향 리포트 2011 Vol.17 발간

  • qwer | 2012/06/20 17:12 | PERMALINK | EDIT/DEL | REPLY

    <p>It is really nice of you to share the excellent shoes information to others.<a href="http://www.hervelegerdressshop.com">Herve leger bandage dresses</a> with beautiful clothes,<a href="http://www.hervelegerdressshop.com/christian-louboutin-shoes-c-1050.html">herve leger dresses </a>have the best durability, is to use artificial silk, nylon,<a href="http://www.hervelegerdressshop.com/roger-vivier-c-1049.html">herve leger dress shop</a> spandex clothing popular with the people around the world of harmony. Ladies, show the perfect body for clothes. You <a href="http://www.hervelegerdressshop.com/charlotte-olympia-pumps-c-1048.html">herve leger dress</a> clothing close friends as human beings, especially women, is necessary and important to the modern women <a href="http://www.hervelegerdressshop.com/herve-leger-swimsuit-c-1046.html">shop herve leger dress</a>. Once you wear this beautiful, elegant, sexy <a href="http://www.hervelegerdressshop.com/herve-leger-skirts-c-1045.html">herve leger sale</a> shop, you will immediately love it. Buy now cheap<a href="http://www.hervelegerdressshop.com/herve-leger-bandage-dresses-c-1044.html"> herve leger shop</a> enjoy take one week to your door. They have become the most loyal fans in <a href="http://www.hervelegerdressshop.com/herve-leger-strapless-dresses-c-1043.html">herve leger dress sale</a>. Herve leger is equal to the charm of the Hollywood stars. Buy now herve leger dress free shipping.</p><p><a href="http://www.christianlouboutinsale4us.com/christian-louboutin-2012-c-1103.html">Christian Louboutin 2012</a> is fashionable and beautiful, recently new appearance of new women's sandals, presenting an one colour profusion, design and material collocation also ingenuity, pretty, both restoring ancient ways, full of female lasting appeal, sweet call a person fondle admiringly.Delicate the luxury of girl for oneself of each clothes to acquire a pair of high heels to match, but always than a double take <a href="http://www.christianlouboutinsale4us.com/christian-louboutin-ankle-boots-c-1104.html">Christian Louboutin Ankle Boots </a> to reality. A pair of shoes match different dress, you can mature, can also be lovely, shoes with a woman share experience, no matter you are in the life which stage, whether a portly figure or thin, louboutin pumps sale store always with you.But this kind of pretty woman flavour, just a kind of thin with the <a href="http://www.christianlouboutinsale4us.com/christian-louboutin-high-boots-c-1105.html">Christian Louboutin High Boots </a> predraft high-heeled shoes peculiar patents.Christian Louboutin Pumps foot that one wipe enthusiastic red, no matter how plain clothes, they were unable to hide the hostess as fire the lively personality.<a href="http://www.christianlouboutinsale4us.com/christian-louboutin-sandals-c-1108.html">Christian Louboutin Sandals </a> is fashionable and beautiful, recently new appearance of new women's sandals, presenting an one colour profusion, design and material collocation also ingenuity, pretty, both restoring ancient ways, full of female lasting appeal, sweet call a person fondle admiringly.Choose the woman wearing louboutin slingback, often has realised that many men somehow to high-heeled shoes have deep interest, wear cheap <a href="http://www.christianlouboutinsale4us.com/christian-louboutin-sneakers-c-1101.html">Christian Louboutin Sneakers </a> can easily outright conquest many men, can easily get many men worship,can easily make many men excited.In fashionable arena occupies a place of christian louboutin ankle boot forever and always makes women fascination.</p>
    <p>Thank you for giving the awesome suggestions for us to order. summer comes, want to follow the trend of the front line, still please read the article. <a href="http://www.christianlouboutinshoes2012us.com/">christian louboutin sale</a> and clothes, the fire and <a href="http://www.hervelegerdress4us.com/">herve leger dress</a> is popular all over the world. Women like the bandage as the sexy details, they use <a href="http://www.hervelegerdress4us.com/">replica herve leger</a> bundle out of sexy figure concave and convex have send. Don't do the most brilliant and also don't do the lowest. <a href="http://www.christianlouboutinshoes2012us.com/">louboutin outlet</a> with its own language, confided women the curve of the gentle, sending out the mature female charm. <a href="http://www.hervelegerdress4us.com/">herve leger dress replica</a> a fair maiden temperament, both costly and qing li, both charm and cute. The summer came again, if you have love to choose a pair of <a href="http://www.christianlouboutinshoes2012us.com/">christian louboutin shoes</a> right now? <a href="http://www.christianlouboutinshoes2012us.com/">christian louboutin Pumps</a> daffodile match <strong>herve leger bandage</strong> will make you a shine at the moment.</p>
    </p>

  • Abercrombie Milano | 2012/10/23 11:19 | PERMALINK | EDIT/DEL | REPLY

    Da stili classici ma sobria che si basano su colori neutri e disegni di veramente stili occhio popping e innovativi che caratterizzano gli ultimi look per pezzi di tempo, si è sicuri di trovare proprio quello che serve per tutte le vostre occasioni importanti.

  • Abercrombie Milano | 2012/12/17 10:13 | PERMALINK | EDIT/DEL | REPLY

    Ero incredibilmente felice di trovare questo blog. Ho bisogno di dire grazie per il vostro tempo utilizzato sulla pubblicazione di questo pezzo di scrittura eccellente. Ho innegabilmente gustato quasi ogni singolo bit di esso e vi ho segnalibro a guardare nuovi articoli o post sul blog sul tuo sito.

[로그인][오픈아이디란?]
Name
Password
Homepage

Secret

디도스 악성코드로 인한 PC 손상 경보 :: 2011/03/04 22:54

/보안 업계 동향

'-오늘 오후 6시 30분 40개 사이트 추가 공격 개시...별 피해 없어 '


안철수연구소[대표 김홍선, www.ahnlab.com]는 4일 오전 10시와 오후 6시 30분에 각각 29개, 40개 웹사이트를 대상으로 발생한 2차 공격이 모두 큰 피해가 없는 것으로 추정했다. 하지만 이후 재발 가능성이 있으므로 무료 전용백신 설치 등을 통해 좀비PC의 수를 줄이는 것이 관건이라고 밝혔다.
 
또한, 안철수연구소는 국정원, 방통위, 한국인터넷진흥원[KISA]와 공동으로 분석한 결과 디도스 공격을 유발하는 악성코드가 특정 조건 하에서 하드 디스크와 파일을 손상시킨다고 밝혔다. 이런 증상은 3가지 조건 하에서 발생한다.
 
우선 악성코드가 생성하는 noise03.dat 파일의 시각과 PC 시스템의 시각을 비교해 noise03.dat 파일의 시각보다 PC 시스템의 시각이 과거인 경우에 발생한다. 또한 noise03.dat 파일이 생성됐다 삭제된 경우와, noise03.dat 파일에 설정된 감염 날짜+특정일[4일 혹은 7일]이 지났을 경우에도 발생한다. 가령 noise03.dat 파일의 날짜가 3월 4일이고 PC 날짜가 3월 8일, 3월 11일 이후일 경우이다. 특정일은 공격자에 의해 0에서 10까지 변경 가능하므로 noise03.dat 파일의 날짜가 3월 4일이고 PC 날짜가 3월 14일 이후인 경우도 해당된다.
 
파일 손상의 경우 A~Z까지 모든 드라이브를 검색하여 zip, c, h, cpp, java, jsp, aspx, asp, php, rar, gho, alz, pst, eml, kwp, gul, hna, hwp, pdf, pptx, ppt, mdb, xlsx, xls, wri, wpx, wpd, docm, docx, doc 파일들을 손상시킨다. 디스크 손상의 경우 A~Z까지 모든 고정 드라이브를 검색하여 시작부터 일정 크기만큼을 0으로 채워 디스크를 손상시킨다. 파일 손상은 이동식 디스크도 대상이며, 디스크 손상은 고정 디스크만 해당된다.
 
안철수연구소는 PC차원에서 디도스 공격 유발 악성코드를 진단/치료할 수 있는 긴급 전용백신[http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3removaltool.exe]을 배포 중이며, 전용백신 다운로드 수는 4일 오후 6시 현재 25만여 건이다. 개인용 무료백신 ‘V3 LIte’[http://www.V3Lite.com]를 비롯해 ‘V3 365 클리닉’[http://v3clinic.ahnlab.com/v365/nbMain.ahn], V3 Internet Security 8.0 등으로도 진단/치료 기능을 제공한다. 또한 서버 차원에서 디도스 공격을 막는 네트워크 보안 장비인 트러스가드 DPX, 트러스가드 제품군을 제공 중이다.
 
한편, 안철수연구소는 국정원, 방통위, KISA 등과 긴밀한 협조와 정보 공유로 피해를 최소화했다.

<보충 자료>
 
<3월 4일 오전 10시 디도스 공격 유발 악성코드 파일명과 V3제품군의 진단명>
setup_filecity.exe : Win-Trojan/Ddosagent.20480
mdomsvc.dll : Win-Trojan/Ddosagent.71008
ntgg55.dll : Win-Trojan/Ddosagent.126976
rtdrvupr.exe : Win-Trojan/Ddosagent.16384
ssaxsvc.dll : Win-Trojan/Ddosagent.46416
wricsvc.dll : Win-Trojan/Ddosagent.42320
mdomsvc.dll : Win-Trojan/Ddosagent.71008
ntgg55.dll : Win-Trojan/Ddosagent.126976
rtdrvupr.exe : Win-Trojan/Ddosagent.16384
ssaxsvc.dll : Win-Trojan/Ddosagent.46416
wricsvc.dll : Win-Trojan/Ddosagent.42320
 
<3월 4일 오후 6시 30분 디도스 공격 유발 악성코드 파일명과 V3제품군의 진단명>
ntcm63.dll : Win-Trojan/Agent.131072.WL
SBUpdate.exe : Win-Trojan/Agent.11776.VJ
ntds50.dll : Win-Trojan/Agent.118784.AAU
watcsvc.dll : Win-Trojan/Agent.40960.BOH
soetsvc.dll : Win-Trojan/Agent.46432.D
mopxsvc.dll : Win-Trojan/Agent.71008
SBUpdate.exe : Win-Trojan/Npkon.10240

크리에이티브 커먼즈 라이센스
Creative Commons License
Writer profile
AhnLab ASEC님의 글입니다.

2011/03/04 22:54 2011/03/04 22:54
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
Trackback(1) : Comment(0)
Trackback Address :: http://blog.ahnlab.com/asec/trackback/495
[로그인][오픈아이디란?]
Name
Password
Homepage

Secret

"Postcard from Hallmark" 제목의 가짜 바이러스 :: 2010/12/28 14:00

/악성코드 이슈

최근 개인 블로그와 트위터(Twitter)등을 통해 "Postcard from Hallmark"라는 제목으로 메일이 유포되고 있으며 해당 메일을 열어보게 되면 컴퓨터 시스템이 망가진다는 이야기들이 알려지고 있다.


해당 내용은 아래 이미지에서와 같은 내용이나 이와 유사한 내용으로 알려지고 있으며 메일 내용을 보면 "Postcard from Hallmark" 제목의 메일을 열어보게 되면 컴퓨터의 하드 디스크가 파괴된다는 내용을 담고 있다.

사용자 삽입 이미지

해당 내용에 대해 ASEC에서 조사한 바로는 위 해당 이미지를 공개한 About.com의 "'Postcard' or 'Postcard from Hallmark' Virus Hoax"에서와 동일하게 가짜 바이러스인 훅스(Hoax)로 한 종류이다.


이러한 형태의 가짜 바이러스 훅스들 대부분은 다음과 같은 특징을 가지고 있다.

1. 언론사, 마이크로소프트 및 보안 회사 처럼 공신력 있는 기관 및 회사에서 경고한 것으로 위장

2. 메일을 여는 것 만으로 시스템이 모두 파괴한다는 내용

3. 어떤 백신 프로그램으로도 치료 할 수 없다는 내용

4. 사본을 만들어 여러 친구에게 알리도록 권고

전자메일, 메신저 등으로 이러한 형태의 내용을 가지고 있는 메시지를 수신하게 되면 다른 사람에게 해당 내용 전파 자제를 요청하고 공신력 있는 보안 업체로 해당 사항을 정확하게 확인하는 것이 중요 하다.
크리에이티브 커먼즈 라이센스
Creative Commons License
Writer profile
AhnLab ASEC님의 글입니다.

2010/12/28 14:00 2010/12/28 14:00
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
Trackback(1) : Comment(0)
Trackback Address :: http://blog.ahnlab.com/asec/trackback/464
[로그인][오픈아이디란?]
Name
Password
Homepage

Secret

안철수연구소 2010년 10대 보안 위협 트렌드 발표 :: 2010/12/22 10:29

/보안 업계 동향

- 사회 기반 시설, 스마트폰, SNS 겨냥한 악성코드 등장
- 국제적 이슈, 유명 기업 사칭 등 사용자 현혹 방법 지능화
- 교묘한 은폐 기법과 다양한 피싱 방법으로 지속적인 금전 탈취 

글로벌 통합보안 기업인 안철수연구소[대표 김홍선, www.ahnlab.com, 약칭 ‘안랩’]는 22일 올 한 해 동안의 보안 위협의 주요 흐름을 분석해 ‘2010년 10대 보안 위협 트렌드’를 발표했다. 이에 따르면 올 한 해를 주요 이슈는 ▶사회 기반 시설 노린 스턱스넷, 사이버 전쟁의 서막 ▶스마트폰 보안 위협의 현실화 ▶정보의 허브 SNS, 악성코드의 허브로 악용 ▶DDoS 공격용 악성코드의 변종 등장 ▶국제적 이슈 악용한 사회공학 기법 만연 ▶악성코드 배포 방식의 지능화 ▶제로데이 취약점, 악성코드가 한 발 먼저 악용 ▶개인 정보 노출의 2차 피해, 돈 노린 피싱의 다양화 ▶금전 노린 악성코드에 ‘한류’ 열풍 ▶온라인 게임 해킹 툴 급증 등이었다.
 
1. 사회 기반 시설 노린 스턱스넷, 사이버 전쟁의 서막

사회 기반 시설 자체가 공격 대상이 될 수 있음을 증명한 ‘스턱스넷[Stuxnet]’ 악성코드가 올해 최대 이슈 중 하나였다. 스턱스넷은 교통, 전기, 수도, 발전소와 같은 사회 기반 시설의 제어 시스템[PCS; Process Control System]을 감염시켜 오작동을 유발한다. 실제로 이란 원전 시설에서 원심분리기의 오작동이 발생한 바 있다. 지금까지 이런 시스템은 외부와 단절된 폐쇄망 안에 있기 때문에 안전하다고 간주되었으나, 이제는 적극적인 보안 대책이 필요하다는 것을 경고한 사건이었다. 또한, 의도적으로 이란 원전을 노렸다는 의혹이 제기됨에 따라 스턱스넷의 출현은 사실상 ‘사이버 전쟁의 서막’으로 인식되었다.
 
2. 스마트폰 보안 위협의 현실화

스마트폰의 급속한 보급에 따라 스마트폰 보안 위협 또한 급증했다. 배경화면 변경, 동영상 플레이어, 유명 게임, 고전 게임 등 대중적인 애플리케이션으로 위장한 악성코드가 다수 발견됐다. 주요 증상은 스마트폰 기기 정보와 사용자 정보를 외부로 유출하는 것부터 유료 문자를 임의 발신해 금전적 피해를 주는 것까지 다양하다. 이월스[Ewalls], SMS센드[SmsSend], 스네이크[Snake], SMS리플리케이터[SMSReplicator], 모바일포넥스[Mobilefonex] 등이 대표적이다. 또한 스마트폰 운영체제나 웹 브라우저 등의 취약점이 발견되고, 이 취약점을 이용해 관리자 권한을 획득하는 툴이 공개되기도 했다. 그런가 하면 스마트폰 내부의 개인 정보를 유출하고 사생활을 감시하는 상용 스파이웨어가 버젓이 판매되기도 한다. 상용 스파이웨어는 사용자가 악의적인 기능이 있으리라 짐작하기 어려우므로 피해가 지속될 수밖에 없다.
 
3. 정보의 허브 SNS, 악성코드의 허브로 악용

올해는 SNS가 악성코드의 플랫폼으로 본격 악용되기 시작한 해이다. 트위터와 페이스북 등 ‘정보의 허브’의 역할까지 하는 SNS[소셜 네트워크 서비스]가 악성코드 유포의 경로로 악용되는 역기능이 나타났다. 대량의 스팸 메일을 발송하는 브레도랩[Win32/Bredolab]은 트위터, 페이스북에서 발송하는 이메일로 위장해 악성코드 유포 사이트로 접속하게 하며, 변종이 지속적으로 제작됐다. 또한 트위터의 다이렉트 메시지[DM, Direct Message]로 피싱 사이트 URL을 유포하는 사례, 페이스북의 채팅 창이나 쪽지로 악성코드 유포 사이트의 단축 URL을 전송하는 경우, 페이스북에 설치되는 애플리케이션[앱] 형태의 악성코드 등 다양한 형태가 발견됐다. 또한 트위터나 미투데이를 봇넷 조정용 C&C[명령 및 제어] 서버로 악용하는 악성코드도 등장했다.
 
4. DDoS 공격용 악성코드의 변종 등장

2010년에도 좀비 PC를 이용한 크고 작은 DDoS 공격이 이어졌다. 좀비 PC를 만들어내는 대표적 악성코드인 팔레보[Win32/Palevo.worm]는 2009년 초부터 본격적으로 활동했고, 2010년에는 다양한 변종으로 크게 확산됐다. 팔레보는 C&C 서버로부터 공격 명령을 받아 자신을 전파하거나 혹은 원격지의 타깃 시스템을 공격해 또 다른 좀비 PC를 만든다.
 
5. 국제적 이슈 악용한 사회공학 기법 만연

2010년에는 사회공학기법에 이용될 만한 사회적 이슈가 많았기 때문에 이를 악용한 악성코드 유포가 많았다. SEO[Search Engine Optimization, 검색 엔진 최적화] 기법, 이메일, 파일 공유 사이트를 이용해 유포돼 피해가 확산됐다. 동계 올림픽, 월드컵, 아시안게임 등의 국제 스포츠 대회를 비롯해 아이티 지진, G20, 노벨 평화상 시상식 관련 문구로 사용자를 현혹했다. 이 밖에도 유튜브, 신용카드사, 온라인 쇼핑몰, 경찰청에서 보낸 메일로 위장해 악성코드 설치를 유도하는 메일도 다수 발견됐으며, 국내 유명 포털 사이트의 디지털 서명 인증서를 도용해 액티브X 형태로 설치되는 악성코드도 등장했다.
 
6. 악성코드 배포 방식의 지능화

ARP 스푸핑[Spoofing] 공격[보충 설명], 스팸 차단 회피, 유명 소프트웨어 모방 등 악성코드 배포 방식이 더 교묘해졌다. 2007년에 많았던 ARP 스푸핑 공격이 올해 다시 많아졌으며, 스팸 차단 제품의 탐지를 회피하기 메일 본문을 텍스트가 아닌 이미지로 처리한 악성코드가 다수 있었다. 이런 악성코드는 주로 DHL, UPS, FedEx 등 유명 운송 회사를 사칭했다. 또한 윈도우나 플래시 플레이어 등 유명 소프트웨어의 업데이트 사이트와 유사하게 만든 악성코드 사례도 있었다.
 
가짜 백신의 경우 사용 중인 윈도우와 동일한 언어로 동작해 사용자가 의심하지 않도록 제작됐거나, 설치되면 웹 브라우저와 가짜 백신을 제외한 모든 프로그램의 실행을 차단하고 유료 치료를 요구하는 등 지능적인 방법이 등장했다.
 
이 밖에 보안 소프트웨어의 진단을 회피하는 악성코드도 대거 제작됐다. 2009년에 등장한 TDL3는 보안 소프트웨어가 접근하지 않는 디스크 영역에 자신을 암호화해 저장하고 부팅 시점부터 동작한다. 최근 이 악성코드의 64비트 윈도우용 변형이 제작됐다. 은폐 기법을 사용해 자신을 숨기고 계속 변형을 만들어내 보안 소프트웨어가 진단/치료하기 어렵게 한다. 또한 크랩루트킷[Win-Trojan/KrapRootkit]은 자신이 진단/삭제되지 않도록 자기보호 기능을 갖고 있다. 메모리 진단/치료를 하지 않으면 계속 피해를 주는 팔레보[Palevo]와 지봇[ZBot] 또한 2009년에 이어 올해도 기승을 부렸다.
 
7. 제로데이 취약점, 악성코드가 한 발 먼저 악용

예년과 같이 어도비사의 어도비 리더, 플래시 플레이어와 MS사의 인터넷 익스플로러에서 다수의 제로데이 취약점이 보고되었다. 과거에는 제로데이[Zero-day] 취약점이 취약점 공개 사이트에 사전에 알려지는 경우가 일반적이었으나 최근에는 악성코드에 이미 이용됐거나 침해 사고가 발생한 후에 뒤늦게 파악되는 경우가 많아 그 위험성이 더욱 높아지고 있다.
 
8. 개인 정보 노출의 2차 피해, 돈 노린 피싱의 다양화

돈을 노린 피싱은 이제 사회 문제가 되었다. 피싱 메일을 비롯해 보이스 피싱, 메신저 피싱까지 다양한 경로로 시도된다. 또한 간단한 클릭 몇 번으로 실제 웹사이트와 구분이 안 될 정도로 정교하게 피싱 사이트를 제작할 수 있는 툴이 사이버 암시장에서 거래되는 실정이다. 특히 올해는 SNS의 활성화로 개인 정보 수집이 더 용이해져 피싱의 위협에 더 쉽게 노출되게 되었다.
 
9. 금전 노린 악성코드에 ‘한류’ 열풍

2009년까지는 금전을 노린 악성코드의 경우 국산의 비중이 극히 적었다. 하지만 올해는 하루에도 수천 개가 발견된 한편, 보안 소프트웨어의 진단을 회피하거나 진단되는 시간을 최대한 지연시켜 수익을 극대화하기 위한 지능적인 시도도 나타났다.
 
10. 온라인 게임 해킹 툴 급증

온라인 게임 해킹 툴은 비정상적인 방법으로 메모리, 게임 파일, 서버 등에 접근하여 데이터 등을 변조함으로써 게임 플레이를 불공정하게 이끄는 오토 플레이, 메모리 조작 등의 해킹 툴을 의미한다. 2010년 12월 2주까지 접수된 해킹 툴 건수는 총 4268건으로 2009년 2225건보다 약 91% 증가했다. 해킹 유형 별로는 국내에서는 오토플레이가, 북미와 중국에서는 메모리 조작이 급증했다. 오토플레이는 올해 1358건으로 전년 대비 약 95% 증가했고, 메모리 조작은 2709건으로 전년 대비 약 154% 증가했다.
 
안철수연구소 시큐리티대응센터 전성학 실장은 "스마트폰, SNS 등 사용자의 관심이 쏠리는 곳에 악성코드도 도사리고 있다고 볼 수 있다. 갈수록 교묘해지는 공격 기법과 유포 방식에 대응하기 위해 전문적이고 체계적인 보안 관리와 서비스가 중요하다.”라고 강조했다.
 
<보충설명-ARP 스푸핑 공격>
 
ARP 스푸핑 공격이란 통신 장비 간의 패킷을 가로채기[스니핑]한 후 ARP[Address Resolution Protocol; 주소 결정 프로토콜] 패킷을 조작하는 것이다. 이를 통해 웹사이트[HTTP 트래픽] 상에 아이프레임[iframe; HTML 문서에서 글 중의 임의 위치에 또 다른 HTML 문서를 보여주는 내부 프레임[inline frame] 태그]을 삽입해 악성코드를 유포한다. 한 PC가 이 공격을 받아 악성코드에 감염되면 동일 네트워크 상의 다른 PC에 악성코드가 빠르게 확산된다. 따라서 개인뿐 아니라 기업/기관에도 피해가 크다.
크리에이티브 커먼즈 라이센스
Creative Commons License
Writer profile
AhnLab ASEC님의 글입니다.

2010/12/22 10:29 2010/12/22 10:29
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
Trackback(1) : Comment(0)
Trackback Address :: http://blog.ahnlab.com/asec/trackback/463
[로그인][오픈아이디란?]
Name
Password
Homepage

Secret

허위 시스템 오류를 보여주는 허위 시스템 유틸리티 :: 2010/12/06 19:22

/악성코드 이슈

국내 및 해외에서는 몇 년 전 부터 정상 파일들을 악성코드로 진단하여 부당한 과금을 청구하는 형태의 허위 백신들이 지속적으로 발견되고 있어 이제는 사회적인 커다란 문제로까지 이어지고 있는 실정이다. 이러한 허위 백신들외에 이와 유사한 형태를 가지고 컴퓨터 시스템에 대해 잘모르는 사용자를 속이는 허위 시스템 유틸리티 프로그램이 발견되었다.


이러한 허위 시스템 유틸리티 프로그램과 관련하여 마이크로소프트(Microsoft)에서는 Malware Protection Center 블로그 "FakeSysdef: We can defragment that for you wholesale! / Diary of a scamware"를 통해 시스템에 존재하지 않는 허위 오류 메시지를 보여주고 이를 수정하기 위해서는 구매를 하도록 유도하는 허위 시스템 유틸리티 프로그램이 발견되었다고 밝히고 있다.

사용자 삽입 이미지

해당 허위 시스템 유틸리티 프로그램이 실행되면 위 이미지와 같이 시스템을 검사하고 하드 디스크(HDD)와 시스템에 문제가 있는 것으로 보여준다.

사용자 삽입 이미지

검사가 종료되면 위 이미지에서와 같이 11가지 시스템 에러가 발생하였고 시스템 하드 디스크의 조각 모임을 당장 실행해야 된다는 메시지를 보여준다.

사용자 삽입 이미지

조각 모음을 실행하면 위 이미지에서와 같이 실제 정상적인 윈도우 시스템의 하드 디스크 조각 모음 유틸리티와 유사한 진행 상태를 보여주며 정상적으로 하드 디스크 조각 모음이 진행되는 것 처럼 사용자를 속이게 된다.

사용자 삽입 이미지

조각 모음이 완료되면 위 이미지에서와 같이 총 11가지의 시스템 오류 중에서 6가지 오류를 해결하였지만 여전히 5가지 시스템 오류가 존재하며 이를 해결하기 위해서는 프로그램을 등록 하라고 유도하게 된다.

사용자 삽입 이미지

해당 허위 시스템 유틸리티 프로그램의 등록을 하지 않게 되면 위 이미지에서와 같이 시스템 오류 5가지가 탐지되었으며 하드 디스크 조각 모음이 필요하다는 허위 메시지를 보여주고 제품을 구매하도록 유도하고 있다.

이러한 허위 시스템 유틸리티가 등장하게 된 배경으로는 허위 백신들이 유포가 증가함에 따라 일반 컴퓨터 사용자들 역시 허위 백신에 대한 인지와 신뢰할 수 있는 보안 업체의 보안 제품이 아니면 설치 하지 않는 보안 의식의 향상에 따른 것으로 보여진다.

이 번 허위 시스템 유틸리티를 설치하는 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Fakesysdef.601088
Win-Trojan/Fakesysdef.641280
Win-Trojan/Fakesysdef.358912
Win-Trojan/Fakesysdef.354816

이러한 허위 시스템 유틸리티로 위장하는 악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 전에 주의를 하는 것이 중요하다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.
크리에이티브 커먼즈 라이센스
Creative Commons License
Writer profile
AhnLab ASEC님의 글입니다.

2010/12/06 19:22 2010/12/06 19:22
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
Trackback(0) : Comment(2)
Trackback Address :: http://blog.ahnlab.com/asec/trackback/448
  • 카레 | 2010/12/07 09:16 | PERMALINK | EDIT/DEL | REPLY

    외국 보안 포럼에서는 저런 허위 시스템 유틸리티 가 허위 안티 바이러스 제품 보다 더한 쓸개 빠진 X들이라는 사실을 상기시키고 있습니다.

    하는 짓도 ..일본 야쿠자 저리 갈 정도입니다.

    • AhnLab ASEC | 2010/12/07 15:35 | PERMALINK | EDIT/DEL

      허위 백신 제품에 대한 일반 사용자들의 인식이 높아지다 보니 이러한 허위 시스템 유틸리티까지 제작한 것으로 보여집니다. 이러한 사례 모두 금전적인 목적으로 제작되는 악성코드들이라 말씀하신 대로 시스템에 위험합니다.

[로그인][오픈아이디란?]
Name
Password
Homepage

Secret

마이크로소프트 2010년 10월 보안 패치 배포 :: 2010/10/13 10:27

/취약점 이슈

마이크로소프트(Microsoft)에서 9월 한달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 10월 13일 금일 배포하였다.

이번에 마이크로소프트에서 배포된 보안 패치들은 총 16건으로 다음과 같다.

Internet Explorer 누적 보안 업데이트(2360131)

SafeHTML의 취약점으로 인한 정보 유출 문제점(2412048)

Windows 커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점(981957)

MFC(Microsoft Foundation Class)의 취약점으로 인한 원격 코드 실행 문제점(2387149)

Media Player 네트워크 공유 서비스의 취약점으로 인한 원격 코드 실행 문제점(2281679)

Embedded OpenType 글꼴 엔진의 취약점으로 인한 원격 코드 실행 문제점(982132)

.NET Framework의 취약점으로 인한 원격 코드 실행 문제점(2160841)

OTF(OpenType Font) 드라이버의 취약점으로 인한 권한 상승 문제점(2279986)

Microsoft Word의 취약점으로 인한 원격 코드 실행 문제점(2293194)

Microsoft Excel의 취약점으로 인한 원격 코드 실행 문제점(2293211)

Windows 공용 컨트롤 라이브러리의 취약점으로 인한 원격 코드 실행 문제점(2296011)

Windows Media Player의 취약점으로 인한 원격 코드 실행 문제점(2378111)

Windows 셸 및 WordPad의 COM 유효성 검사 취약점으로 인한 원격 코드 실행 문제점(2405882)

Windows 로컬 프로시저 호출의 취약점으로 인한 권한 상승 문제점(2360937)

SChannel의 취약점으로 인한 서비스 거부 문제점(2207566)

Windows 공유 클러스터 디스크의 취약점으로 인한 변조 문제점(2294255)

다양한 악성코드들이 마이크로소프트의 윈도우 보안 취약점을 악용함으로 미리 보안 패치 설치를 통해 악성코드의 감염을 예방 하는 것이 좋다.

마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다.


크리에이티브 커먼즈 라이센스
Creative Commons License
Writer profile
AhnLab ASEC님의 글입니다.

2010/10/13 10:27 2010/10/13 10:27
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
Trackback(0) : Comment(0)
Trackback Address :: http://blog.ahnlab.com/asec/trackback/417
[로그인][오픈아이디란?]
Name
Password
Homepage

Secret

안철수연구소 ASEC 2009년 10대 보안 위협 발표 :: 2009/12/15 15:46

/보안 위협 동향

글로벌 통합보안 기업인 안철수연구소(대표 김홍선 www.ahnlab.com)는 15일 올 한 해 동안의 보안 위협의 주요 흐름을 분석해 ‘2009년 10대 보안 위협’을 발표했다.

▶7.7 DDoS 대란 및 DDoS 공격 유발 악성코드 다수 등장
▶웹 공격의 지능화
▶사회공학기법에 기반한 스팸봇(SpamBot)의 확산
▶몸체 없는 악성코드 발생
▶일반 애플리케이션의 제로데이(0-day) 취약점 지속 발견
▶SNS(소셜 네트워크 서비스) 및 소셜 메시징 인프라 이용한 피싱 기승
▶프로그래밍 도구 델파이 감염시키는 바이러스 등장
▶콘피커 웜, 바이럿 바이러스 등 변종 기승
▶가짜 백신 배포 방법의 지능화
▶온라인 게임 해킹 툴 급증이 선정됐다.


1. 7.7 DDoS 대란 및 DDoS 공격 유발 악성코드 다수 등장

2003년에 발생한 1.25 대란 이후 최대 사이버 재난으로 기록될 ‘7.7 DDoS(Distributed Denial of Service; 분산서비스거부) 공격이 발생했다. 이는 사전에 12개의 악성코드를 유포해 해당 악성코드가 설치된 다량의 좀비 PC를 이용해 국내외 주요 웹 사이트를 일주일 동안 DDoS 공격한 사건이다.
여기에 사용된 악성코드는 마이둠 변종 3개와, 네트워크 트래픽을 유발하는 에이전트 6개, 공격 대상 웹사이트 목록을 담은 파일(BinImage/Host), 또 다른 악성코드를 내려받는 다운로더, 공격 후 하드 디스크를 손상하는 트로이목마로 총 12개이다. 이후 이와 유사한 스케줄링 기능을 활용하여 예정된 시각에 특정 사이트를 공격하는 악성코드(Win-Trojan/SynAttack)나 DDoS 공격을 하도록 설계된 악성코드가 다수 등장했다.

2. 웹 공격의 지능화

웹사이트 공격 기법이 교묘해져 공격 목표 서버로 바로 연결되지 않고 중간에 다른 서버를 거치거나, 정상 링크와 매우 흡사한 링크를 사용하는 등의 기법이 등장했다. 다양한 공격 툴을 쓰거나 난독화, 우회 등의 지능적인 방법을 사용하기도 한다.
특히 2008년 매스 SQL 인젝션(Mass-SQL Injection) 공격으로 소수의 PC에서 다수의 웹사이트를 침해할 수 있게 된 후, 2009년에는 상반기부터 검블러(Gumblar,Geno), 나인볼(Nine-Ball)이라는 공격이 가시화했다. 하반기에는 이런 공격을 당한 웹사이트에서 다오놀(Win32/Daonol) 악성코드가 유포돼 피해 신고가 급증했다. 또한, 분석 및 추적을 방해하는 기법도 지능화했다. 이처럼 웹이 주요 공격 목표가 된 이유는 한 번의 공격으로 많은 좀비 PC를 확보할 수 있기 때문이다.
웹 취약점이 단순히 한 사이트의 웹 침해 사고로 끝나지 않고 대량 공격의 기반으로 확대될 수 있기 때문에 철저한 관리가 중요하다.

3. 사회공학기법에 기반한 스팸봇(SpamBot)의 확산

올해 기승을 부린 대표적인 스팸봇은 웨일닥(Waledac), 제트봇(ZBot), 브레도랩(Bredolab) 등이다. 이들은 주로 국제적인 이슈들을 가장한 소식이나 허위 운송장 메일 같은 사회공학적인 기법을 이용해 유포됐다. 이들은 단순히 스팸 메일을 보내는 것에 그치지 않고 가짜 백신이나 악성코드를 설치하기도 한다.
일부 스팸봇은 윈도우 시스템 파일을 감염시키고, 메모리 치료가 필요하거나 자기 보호 기능이 고도화한 형태가 부쩍 증가했다.

4. 몸체 없는 악성코드 발생

올해 발견된 콘피커(Conficker), 팔레보(Palevo), TDL루트킷(TDLRootkit) 같은 악성코드의 공통된 특징은 진단 및 치료가 매우 까다롭다는 것이다. 이들은 일반 응용 프로그램이 접근하지 않는 특정 메모리 영역에 자리잡고 악의적인 동작을 한다. 이런 악성코드는 파일을 진단/삭제하는 것으로는 완벽히 치료되지 않으므로 메모리를 치료해야 한다.
이 밖에 사용되지 않는 디스크 영역에서 동작하는 악성코드도 등장했다. 이처럼 파일 형태로 존재하지 않기 때문에 소위 ‘몸체 없는 악성코드’로 분류된다.

5. 일반 애플리케이션의 제로데이(0-day) 취약점 지속 발견

제로데이 취약점은 취약점은 발견됐는데 해당 소프트웨어 개발사의 공식 패치가 제공되기 전 상태에 있는 취약점을 말한다. 예방과 방어책이 존재하지 않는 상태이기 때문에 다른 위협에 비해 더 큰 피해를 일으킨다.
액티브X와 인터넷 익스플로러 제로데이 취약점은 과거부터 지속적으로 악용됐고, 최근에는 MS 오피스 제품군어도비 리더(PDF)플래쉬 플레이어(flash) 등 대중적인 애플리케이션의 취약점을 이용해 악성코드를 배포한다. 공격의 위협을 최소화하기 위해 이를 사전 탐지하는 보안 제품을 활용하는 것이 안전하다.

6. SNS 및 소셜 메시징 인프라 이용한 피싱 기승

타인의 계정으로 메신저에 로그인해 지인인 척 대화 상대에게 금전을 요구하는 사기가 증가했다. 계정 노출은 악성코드를 통해 이루어진다. 이 악성코드는 그림 파일이나 인터넷 주소를 대화 상대에게 보내 접속 시 계정을 입력하도록 한다.
이와 같이 메신저나 트위터, 페이스북 같은 소셜 메시징 인프라나 SNS(소셜 네트워크 서비스)의 사용자 계정을 탈취해 대화 상대에게 사기를 치는 사건이 빈발했다.

7. 프로그래밍 도구 델파이 감염시키는 바이러스 등장

인덕(Win32/Induc) 바이러스는 일반적인 실행 파일이 아닌 개발자들이 사용하는 프로그래밍 도구 ‘델파이’의 일부 파일을 감염시켜 이슈가 됐다. 이 바이러스는 델파이로 파일을 만들 때마다 해당 파일을 감염시킨다. 따라서, 사용자가 보안 제품으로 치료하는 것은 한계가 있어 델파이 개발자가 개발 소스를 수정해 재배포해야 한다. 한 외국 백신은 델파이로 개발한 파일을 모두 삭제하는 오진으로 큰 파장을 일으키기도 했다.

8. 콘피커 웜, 바이럿 바이러스 등 변종 기승

콘피커 웜(Win32/Conficker.worm)은 2008년 10월 말 첫 보고 이후 2009년 초부터 전세계로 급속 확산됐다. 취약점(MS08-067), USB 메모리, 네트워크 공유 폴더 등 다양한 전파 방법을 사용하기 때문에, 확산력이 뛰어나다. USB 자동 실행(Autorun)과 자기 보호 수단을 가지고 있어서 치료가 쉽지 않다. 특히, MS08-067 취약점에 대한 보안 업데이트를 하지 않은 기업은 콘피커 웜의 변종 때문에 피해가 많았다.
한편, 2006년 발견된 바이럿(Win32/Virut) 바이러스는 메모리 치료를 하지 않으면 반복 감염되고, 보안 제품의 진단을 회피하는 변형이 지속적으로 제작돼 올해도 많은 피해를 주었다.

9. 가짜 백신 배포 방법의 지능화

이들은 바탕화면을 변경하고 사용자가 바꿀 수 없게 만들거나, 컴퓨터의 보안 설정을 변경하거나 인터넷 익스플로러를 제외한 모든 프로세스를 동작할 수 없게 한다.

10. 온라인 게임 해킹 툴 급증

온라인 게임 해킹 툴은 비정상적인 방법으로 메모리, 게임 파일, 서버 등에 접근하여 데이터 등을 변조함으로써 게임 플레이를 불공정하게 이끄는 오토 플레이, 메모리 조작 등의 해킹 툴을 의미한다.
2008년에 급증했던 해킹 툴의 증가 추세가 2009년 들어서도 꺾이지 않고 있다. 11월 현재까지 접수된 해킹 툴 건수(1910건)는 안철수연구소가 온라인 게임 해킹 통계를 집계한 2005년 이후 최대 수치이며, 2008년 한 해 동안 접수된 건수(506개)의 4배를 넘는다.

안철수연구소 시큐리티대응센터 조시행 상무는 "최근의 보안 위협은 마치 지능범과 같아서 보안 제품의 진단을 회피하는 고도의 기법을 사용한다. 갈수록 교묘해지는 공격 기법에 대응하기 위해 전문적이고 체계적인 보안 관리와 서비스가 중요하다.”라고 강조했다.
크리에이티브 커먼즈 라이센스
Creative Commons License
Writer profile
AhnLab ASEC님의 글입니다.

2009/12/15 15:46 2009/12/15 15:46
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
Trackback(0) : Comment(5)
Trackback Address :: http://blog.ahnlab.com/asec/trackback/210
  • 요시 | 2009/12/15 18:12 | PERMALINK | EDIT/DEL | REPLY

    역시 77디도스대란이 핫이슈였군요^.^

    • AhnLab ASEC | 2009/12/15 20:26 | PERMALINK | EDIT/DEL

      해외에서도 한국의 7.7 DDoS 사태를 크게 보고 있고 ASEC에서도 2009년 한 해 가장 인상깊었던 대응이라고 생각해서 랍니다. :)

  • 도용아닌mbti | 2010/01/04 00:38 | PERMALINK | EDIT/DEL | REPLY

    2010년...새해 복 많이...받으셔유...^^;

    • AhnLab ASEC | 2010/01/04 17:04 | PERMALINK | EDIT/DEL

      네 감사합니다. 새해에도 복 많이 받으시고 하시는 일 모두 잘되시기를 기원하겠습니다. :)

  • Drug Forum | 2012/09/27 01:25 | PERMALINK | EDIT/DEL | REPLY

    I just wanna thank you for sharing your information and your site or blog this is simple but nice article I’ve ever seen i like it i learn something today.

[로그인][오픈아이디란?]
Name
Password
Homepage

Secret
< PREV |  1  |  NEXT >