2011.09.01
ASEC에서는 4월 4일 EMC/RSA에서 APT 형태의 침해 사고가 발생하였으며, 이로 인해 2 팩터 인증(2 Factor Authentication) 관련 정보들이 외부로 유출 되었다는 사실을 전한 바가 있습니다.
엑셀파일이 첨부된 메일을 이용한 타깃공격
당시 EMC/RSA에서는 해당 APT 형태의 침해 사고는 "2011 Recruitment plan.xls"라는 마이크로소프트(Microsoft)의 엑셀(Excel)파일이 첨부된 메일을 이용한 타깃 공격(Targeted Attack)으로부터 침해 사고가 발생하였다는 사실을 공개하였습니다.
이러한 사실 관계가 현지 시각 8월 26일 핀란드 보안 업체인 F-Secure의 "How we found the file that was used to Hack RSA" 블로그를 통해 공개되었습니다.
F-Secure에서는 밝힌 EMC/RSA에서 발생한 APT 형태의 침해 사고는 ASEC에서 확인한 아래 이미지와 같이 2011 Recruitment plan.xls(108,032 바이트) 파일이 첨부된, 타깃 공격을 위한 이메일로부터 시작되었습니다.
해당 엑셀 첨부파일은 당시 제로 데이(Zero-Day, 0-Day) 취약점이었던 어도비 플래쉬 플레이어(Adobe Flash Player)의 CVE-2011-0609 취약점을 악용하도록 제작되었습니다.
복합적인 형태의 공격
EMC/RSA에서 발생한 APT 형태의 침해 사고는 사람의 심리를 공격한다는 고도화된 사회 공학(Social Engineering)과 제로 데이 취약점을 악용해 원격 제어 형태의 악성코드 감염을 시도한 복합적인 형태로 볼 수가 있었는데요.
이번 EMC/RSA에서 발생한 침해 사고에 이용된 타깃 공격을 위한 이메일에 첨부된 엑셀 파일은 V3 제품군에서 다음과 같이 진단하고 있습니다.
Dropper/Cve-2011-0609
악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 전에 주의를 하는 것이 하다는 것, 이젠 모두 잘 아실거라 생각합니다. Ahn
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.
3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.
더 자세한 내용은 ASEC Threat Research팀 블로그 에서 확인해 주세요.
'AhnLab 보안in' 카테고리의 다른 글
우리 회사에 적합한 망분리 솔루션 찾기~! (0) | 2020.04.13 |
---|---|
숫자로 알아보는 7월 악성코드 통계 (0) | 2020.04.13 |
입는 컴퓨터의 역사 (0) | 2020.04.13 |
안전한 트위터ㆍ페이스북 이용을 위한 방법 (0) | 2020.04.13 |
모바일 위협의 진화, PC 위협과 닮았다? (0) | 2020.04.13 |