- 개인 및 기업 내 PC 좀비화 방지로 디도스 공격 근원 차단 

- 개인은 물론 기업/기관도 무료 사용..기존 V3 사용자는 최신 버전으로 치료 


정보보안 기업 안랩[대표 김홍선 www.ahnlab.com]은 25일 일부 정부기관에 대한 디도스[DDoS: Distributed Denial of Service, 분산 서비스 거부] 공격이 발생함에 따라 개인 사용자가 공격에 악용되지 않도록 디도스 공격 유발 악성코드를 진단/치료하는 전용백신을 개발해 무료 제공하고 있다. [http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=111]

 

26일 오후 17시 35분부터 제공 중인 1차 전용백신에는 정부통합전산센터 웹사이트를 디도스 공격한 8개의 악성코드에 대한 진단/치료 기능이 들어있다. 27일 오후 5시부터 제공 중인 2차 전용백신에는 청와대, 국정원, 새누리당 웹사이트를 디도스 공격한 악성스크립트[JS/Agent]에 대한 진단/치료 기능이 추가됐다.       

 

이번 전용백신은 개인은 물론 기업/기관에서도 무료 사용할 수 있다. 또한 개인용 무료백신 ‘V3 LIte’[http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=8&svccode=aa1001&contentscode=483]를 비롯해 ‘V3 365 클리닉’[http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=15], V3 Internet Security 8.0 등 V3 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료할 수 있다.

 

한편, 정부통합전산센터 웹사이트를 디도스 공격한 8개의 악성코드는 각기 역할이 나눠져 있다. 사용자가 웹하드 관련 업데이트 파일로 오인해 SimDiskup.exe 파일을 실행하면 ~simdisk.exe 파일이 생성되고 디도스 공격을 수행하는 oleschedsvc.dll 파일을 다운로드한다.

 

청와대, 국정원, 새누리당 웹사이트를 디도스 공격한 JS/Agent는 악성스크립트가 심어진 웹사이트에 접속했을 때 PC에 설치되는 악성코드이다. 이 악성코드는 악성스크립트가 심어진 웹사이트에 접속했을 때만 활성화하여 특정 웹사이트에 디도스 공격을 가한다.

 

안랩의 김홍선 대표는 “디도스 공격은 좀비PC에서 시작되므로, 개인용 PC와 기업 내 PC 모두 의도치 않게 공격자가 될 수 있다. 따라서 디도스 공격의 시발점인 PC에서 악성코드를 제거하는 것이 중요하다.”라고 강조했다. 또한 “웹사이트를 운영하는 기업/기관에서는 디도스 차단 기능이 있는 네트워크 보안 솔루션이나 보안관제 서비스를 이용해 피해를 최소화해야 한다.”라고 말했다.


----------<보충 자료>-----------

 

*디도스 공격 악성코드 파일명과 기능

파일명

기능

SimDiskup.exe

웹하드 사이트인 심디스크[Simdisk]의 설치 파일을 변조한 것으로 사용자를 속이기 위한 것이다.

servmgr.exe

드롭퍼[Dropper] 역할시스템의 운영체제 버전 정보를 체크한 후 동일한 악성코드에 이미 감염되어 있는지를 확인한다.

~simdisk.exe

네트워크 접속 정보의 감시추적 및 분석을 어렵게 한다.

ole[정상윈도우서비스명].dll

특정 URL로 접속해 디도스 공격 시각[6 25 10정보를 담은 파일을 다운로드한다.

wuauieop.exe

디도스 공격을 수행한다.

~DR.tmp

ole[정상윈도우서비스명].dll 파일을 생성하고 윈도우 서비스에 등록한다.

~ER.tmp

32비트 윈도우 운영체제에서 UAC[User Account Control, 사용자 계정 컨트롤]를 우회한다.

~ER.tmp

64비트 윈도우 운영체제에서 UAC를 우회한다.

  

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안랩 ASEC에서 2012년 7월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.31을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 7월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

Banki 트로이목마의 공습

구글 코드를 악용한 악성코드 유포

국외 은행 피싱 메일

아래아한글 취약점을 악용한 파일 추가 발견

링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷

BHO에 등록되는 온라인 게임핵 악성코드

WinSocketA.dll 파일을 이용하는 온라인 게임핵

Cross-Platform 악성코드

위구르족을 타깃으로 한 맥 악성코드


2) 모바일 악성코드 이슈

APT 공격과 관련된 안드로이드 악성코드 발견

스마트폰에도 설치되는 애드웨어


3) 보안 이슈

DNS changer 감염으로 인한 인터넷 접속 장애 주의

BIND 9 취약점 발견 및 업데이트 권고

어느 기업의 데이터 유출 후, 고객에게 보내진 ‘보안 패치’ 메일의 비밀


4) 웹 보안 이슈

GongDa Pack의 스크립트 악성코드 증가

해킹된 동영상 사이트를 통한 악성코드 유포

XML 코어 서비스 취약점 악용으로 온라인 게임 악성코드 유포


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.31 발간


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원
일반적으로 전자 서명은 특정 기업이나 단체에서 해당 파일은 자신들에 의해 개발 및 제작된 것이며 위, 변조가되지 않았다는 것을 증명하는 용도로 사용되고 있다.

이러한 전자 서명을 최근 몇 년 전부터 악성코드들은 보안 제품을 우회하기 위한 목적으로 전자 서명(Digital Signature)를 파일에 사용하기 시작하였다. 여기서 사용되는 전자 서명들 대부분이 특정 기업이나 단체로부터유출된 정상 전자 서명임으로 해당 정보를 이용해 정상 파일로 오판하도록 하고 있다.

이러한 악성코드의 전자 서명 악용 사례들로는 2011년 제우스(Zeus) 악성코드가 캐스퍼스키(Kaspersky)의 전자 서명을 도용한 사례2010년 7월 특정 포털에서 배포하는 정상 파일로 위장한사례가 존재한다.

이러한 전자 서명을 악용한 악성코드 유포 사례가 최근 캐스퍼스키 블로그 "Mediyes - the dropper with a valid signature"를 통해 공개 되었다.

해당 악성코드는 ASEC에서 확인한 아래 이미지와 같이 Conpavi AG 라는 스위스 업체의 전자 서명을 도용하고 있다. 


그리고 발급된 전자 서명은 아래 이미지와 같이 2011년 11월부터 2012년 11월까지 사용할 수 있도록 기한이 유효한 정상적인 전자 서명이었다.


이렇게 기업이나 단체의 전자 서명을 악성코드의 도용하는 사례들이 증가함에 따라 기업이나 단체에서는 전자 인증서 발급과 관련된 개인키(Private Key) 관리에 주의를 기울이고, 만약 유출된 사실이 확인된다면 전자 인증서를 폐기하고 새로 발급해야 전자 서명의 도용 사례를 막을 수가 잇다.

이번 스위스 기업의 전자 서명을 도용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Mediyes.628544 
Win-Trojan/Mediyes.436224
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
최근에 발생하는 APT(Advanced Persistent Threat) 같은 보안 사고들에서는 기업 내부 네트워크로 메일이나 메신저(Messenger), SNS(Social Network Service) 등을 이용해 백도어(Backdoor) 기능을 수행하는 악성코드를 전달하여 감염을 시도한다.
 

이렇게 전달 되는 악성코드들 대부분은 공격자에 의해 사전에 안티 바이러스(Anti-Virus) 소프트웨어에 의해 진단이 되는지 테스트 과정을 거쳐 공격 성공율을 높이고 있다.

이러한 테스트의 과정은 최근 러시아에서 발견된 아래와 같은 프라이빗 AV 체커(Private AV Checker) 웹 사이트를 통해 진행되며 모두 금전적인 댓가를 지불하게 된다.

이 번에 발견된 해당 웹 사이트에서 35개의 안티 바이러스 제품들의 검사가 가능하며 1회 검사에 1 센트이며 20 달러(한화 약 22,000원)를 지불할 경우에는 500회까지 검사가 가능하다고 광고 중 이다.
 

 
해당 웹 사이트를 조사하는 과정에서 해당 웹 사이트는 다시 아래 러시아 웹 사이트에서 제공하는 API(Application Program Interface)를 이용하여 제작하는 것으로 확인 되었다.

러시아어로 제작된 아래 웹 사이트 역시 35개의 안티 바이러스 소프트웨어를 검사가 가능하며 그 중에는 안랩의 V3 Internet Security 8.0도 포함이 되어 있었다. 그리고 1회 사용에는 15 센트, 한 달 사용에는 25 달러(한화 약 27,500원)라고 공개하고 있다.

 
이 외에도 악성코드를 유포하기 위한 웹 사이트가 보안 업체들의 블랙 리스트(BlackList)에 포함되어 있는가를 확인하는 기능과 별도의 사설 VPN(Virtual Private Network) 서비스를 제공하고 있다.

이러한 웹 사이트들에서는 공통적으로 검사되는 파일들에 대해서 보안 업체들로 전달 되지 않는다 점을 강조하고 있다.

이러한 점은 악성코드 제작자 등이 악성코드를 유포하기 전에 사전에 테스트 할 수 있어 특정 보안 소프트웨어에서 진단이 될 경우, 악성코드를 다시 제작하여 감염의 가능성을 더 높일 수 있는 환경을 만들어 주고 있다.

결국 블랙 마켓(Black Macket)에서 제공되는 이러한 서비스들로 인해 악성코드 제작자는 감염 성공율이 높은 악성코드를 제작할 수 있으며, 이로 인해 보안 사고 역시 증가 할 가능성이 높아지는 악순환이 발생하게 되다.
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원