- 안랩 V3모바일, 안드로이드 악성코드 99.99%진단율로 전체 공동 1위 기록 

- 배터리 사용량에서도 글로벌 제품과 어깨 나란히 

- 국제 인증에서 높은 성적 잇따라 획득, 글로벌 시장 진출 발판 


글로벌 정보보안 기업인 안랩[대표 김홍선, www.ahnlab.com]의 모바일 보안 제품인 V3 모바일 2.0[이하 V3 모바일]’이 독립 보안제품 성능 평가 기관인 ‘AV-Comparatives [http://www.av-comparatives.org, 이하 AV 컴패러티브]’에서 2013년 8월에 진행한 성능평가에서 전체 1위의 악성코드 진단율을 기록했다고 밝혔다.

 

이번 테스트는 AV 컴패러티브가 8월에 카스퍼스키, 트렌드마이크로 등 전세계 14개 모바일 보안 제품을 전세계에서 수집한 2,947개의 안드로이드 악성코드 샘플을 사용해 진행했다. 안랩은 이번 테스트에 국내 기업 중 유일하게 참가해 99.9%의 악성코드 진단율로 전체 참가 제품 중 ‘킹소프트[Kingsoft]’와 공동 1위를 기록해, 모바일 보안 분야에서도 글로벌 기술력을 인정받았다.

 

V3모바일은 함께 진행된 설치 시 배터리 사용량 테스트에서도 3%미만을 기록해, 글로벌 제품들과 어깨를 나란히 했다. 악성코드 탐지 이외에 도난 방지[Anti-Theft] 기능, 스팸 전화·문자 방지 기능 등으로 부가 보안 기능에서도 좋은 평가를 받았다.

 

안랩 김홍선 대표는 “전 세계적으로 모바일 보안이 더욱 중요해지고 있는 가운데, 안랩은 지난 AV-TEST에서 좋은 성적에 이어, 이번에 AV 컴패러티브 테스트에서 1위를 기록하는 등 권위있는 보안제품 테스트 기관을 통해 성능을 인정받고 있다. 안랩은 국제 인증으로 증명된 높은 기술력을 바탕으로 국내외 모바일 보안시장 공략을 강화할 것이다”라고 말했다.

 

한편, 이번 AV 컴패러티브의 모바일 보안제품 성능 평가에는 사전 테스트를 거친 글로벌 보안업체의 제품 14개가 참여했다.

 

V3 모바일은 다양한 국제 인증으로 검증된 악성코드 분석 능력과 글로벌 수준의 대응 체제를 바탕으로 신종 모바일 악성코드에 즉각 대응할 수 있다. 또한, 타사 대비 검사 속도와 진단율은 높고, 프로그램 설치 사이즈 및 메모리 사용량과 CPU 점유율은 낮은 것이 강점이다. 현재 삼성[갤럭시 제품군]과 LG[옵티머스 제품군]의 스마트폰에 기본 탑재되어 있다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

- 안랩, V3 탄생 25주년 맞아 탐지력-속도-무게감 대폭 향상한 ‘새로운 V3’ 오픈 베타 서비스 

- 새롭게 진화한 V3의 핵심 기능을 회사의 거의 모든 제품과 서비스에 반영해 시장 공략 예정 


안랩 V3 탄생 25주년, 진화한 ‘새로운 V3’로 2013년 공략한다!

안랩, 새로운 V3 오픈 베타 서비스 개시

- 안랩, V3 탄생 25주년 맞아 탐지력-속도-무게감 대폭 향상한 ‘새로운 V3’ 오픈 베타 서비스

- 새롭게 진화한 V3의 핵심 기능을 회사의 거의 모든 제품과 서비스에 반영해 시장 공략 예정

 

V3 탄생 25주년을 맞은 글로벌 보안 기업 안랩[구 안철수연구소, 대표 김홍선 www.ahnlab.com]은 28일 전용 웹사이트 [ http://www.ahnlab.com/kr/site/event/event/v325thEventForm.do ]를 통해 일반 개인 사용자를 대상으로 새로워질 V3의 오픈 베타 이벤트[가칭 V3베타]를 시작했다.  

 

V3 탄생 25주년을 맞아 공개된 새로운 ‘V3베타’는 악성코드 탐지력, 검사 속도, 엔진 크기의 세가지 부문에서 혁신적으로 향상된 기능을 선보인다. 안랩은 새로운 V3의 서비스 안정화 작업을 위해 3월 31일까지 사용자가 직접 참여하는 오픈 베타 서비스를 진행한다. 안정화 단계를 거친 ‘새로운 V3[V3베타]’는 별도의 제품으로 출시하지 않고, V3 Lite를 비롯한 개인용 제품군에서 보안관제, 융합형 APT대응 솔루션인 트러스와처에 이르기까지 안랩의 거의 모든 제품과 서비스에 광범위하게 적용될 예정이다.

 

강력한 악성코드 탐지력을 갖춘 다차원 대응 엔진 ‘MDP 프레임워크’ 도입

안랩의 새로운 ‘V3베타’는 안랩이 장기간에 걸쳐 개발한 새로운 엔진인 ‘MDP[Multi-Dimensional Protection] 프레임워크’가 최초 적용되었다. ‘MDP 프레임워크’는 기존 시그니처[악성코드의 진단값 리스트] 기반의 악성코드 탐지 엔진과 네트워크 스캔 엔진을 기본적으로 탑재했다. 여기에 악성코드를 배포하는 URL을 실시간으로 추적해 접근을 차단하는 네트워크 방역 엔진, 의심 파일의 행위를 분석해 알려지지 않은 악성코드의 실행을 사전 차단하는 행위 기반 엔진을 갖추었다.

 

또한, 파일에 대한 클라우드 평판 정보로 의심스러운 신규 파일을 분석하는 평판 엔진과, 의심스러운 파일에 대하여 사용자가 능동적으로 대응할 수 있는 액티브 디펜스[Active Defense] 기능을 탑재했다. ‘MDP 프레임워크’는 다년간 축적된 안랩의 악성코드 대응 능력[엔진]을 모두 담은 신기술이다. 입체적이고 다면적인 악성코드 탐지 기능으로 이미 알려진 악성코드는 물론, 알려지지 않은 악성코드까지 효과적으로 대응한다.

 

스마트 스캔 기술로 6배 이상 빠른 검사속도 구현

또한, ‘스마트 스캔’ 기능을 적용해 속도 면에서도 획기적인 발전을 이루었다. 스마트 스캔 기술에는 안전하다고 판단된 기존 파일 외에 사용자 PC에 새롭게 생성된 파일에 대한 검사[Incremental Scan]와, 윈도우 같은 운영체제[OS] 상의 변경 사항에 대한 검사[Fastway] 기능이 탑재돼 있다. 이 기술이 적용된 V3베타는 기존 V3의 검사 속도를 능가함은 물론, 글로벌 업체들에 비해서도 6배 이상 빠른[자체 테스트 결과 기준] 검사 속도를 제공한다.

 

기존 V3 대비 20% 수준 초경량 엔진 제공

방대한 악성코드 데이터베이스[DB]를 PC에 저장하는 기존 방식에서 벗어나, 악성코드의 고유정보[DNA]만을 추출하는 방식을 적용해 엔진 크기를 대폭 감소시켰다. 이번 V3베타의 용량은 20MB[메가바이트] 이하로 기존 V3 대비 20% 수준으로 경량화한 것이다. 이에 따라 사용자의 체감 무게는 한결 더 가벼워졌다.  

 

안랩 김홍선 대표는 “악성코드가 나날이 교묘하고 지능적으로 진화하는 만큼 보안제품도 진화해야 한다. 특히 1988년 탄생한 V3가 25주년 되는 올해, 이렇게 새로워진 V3 원천기술을 선보이게 된 점은 매우 의미 있다고 생각한다. 앞으로도 안랩은 보안을 주도하는 기업으로서 축적된 기술을 바탕으로 강력한 보안과 사용자 편의성을 모두 제공해 나가겠다.”라고 강조했다.

 

한편, 이번 오픈 베타 서비스에서는 사용 후기를 보내주는 사용자 중 1위에게는 아이패드 미니를 증정한다. 이 외에도 닥터드레 헤드폰, 안랩 V3 외장하드와 해피머니 상품권 등 다양한 상품을 제공한다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안랩 ASEC에서 2012년 6월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.30을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 6월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

악성코드, 당신의 계좌를 노린다

이메일로 시도되는 APT 공격 주의

문서 파일을 이용한 끊임없는 악성코드 유포

아래아한글 제로데이 취약점을 악용한 악성코드 - 1

아래아한글 제로데이 취약점을 악용한 악성코드 - 2

알려진 한글 취약점을 악용한 악성코드 유포

안랩 사칭한 광고 스팸 메일 주의

정부 기관에서 발송된 메일로 위장한 스팸 메일

FedEx Post Office 메일로 위장한 악성 스팸 메일

변형된 형태의 XML 코어 서비스 취약점 (CVE-2012-1889) 악용


2) 모바일 악성코드 이슈

zsone 안드로이드 악성코드 변종 발견

스마트폰 사진을 변조하는 악성코드

스마트폰 앱 이용할 땐 항상 주의하세요


3) 보안 이슈

IE 동일한 ID 속성 원격 코드 실행 취약점(CVE-2012-1875)

XML 코어 서비스의 취약점으로 인한 원격 코드 실행 문제점 (CVE-2012-1889)

XML 코어 서비스 취약점(CVE-2012-1889) 악용 증가


4) 2012년 상반기 보안 위협 동향

정보 유출 목적의 APT(Advanced Persistent Threat) 공격 증가

개인정보 탈취용 악성코드 지속

애플리케이션 취약점을 이용한 악성코드 기능

모바일 악성코드 유포 경로 다양화

PC와 모바일 동시 겨냥한 피싱 사이트 등장


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.30 발간


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안랩 ASEC에서 2012년 5월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.29을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 5월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

이력서로 위장한 악성코드

LinkedIn 스팸 메일을 위장한 악성코드 유포

DHL운송 메일로 위장한 악성코드

런던 올림픽 개최를 이용한 악성코드

ws2help.dll 파일을 패치하는 온라인게임핵 변종 악성코드

AV Kill 기능을 가진 온라인게임핵 악성코드

플래시 플레이어의 제로데이 취약점(CVE-2012-0779)을 이용하는 악성코드

Python으로 제작된 맥 악성코드

프로그램 설치 화면 놓치지 마세요

어린이날에도 쉬지 않는 악성코드 제작자


2) 모바일 악성코드 이슈

안드로이드 Notcompatible 악성코드 발견

어도비 플래시 플레이어로 위장한 안드로이드 악성 앱

허위 안드로이드 모바일 백신 유포

허위 유명 안드로이드 앱 배포 웹 사이트

Talking Tom Cat 사이트로 위장한 앱 사이트를 통해 유포되는 악성코드


3) 보안 이슈

어도비 플래시 플레이어 CVE-2012-0779 취약점 발견

'LOIC' 툴을 이용한 DDoS 공격 주의!


4) 웹 보안 이슈

꾸준히 발견되는 농협 피싱 사이트


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.29 발간


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안랩을 사칭하여 성인용품을 광고하는 스팸 메일이 무차별적으로 유포되고 있어 사용자들의 각별한 주의가 요구된다

 

[그림 1] 안랩을 사칭한 스팸 메일 원문

그림 1에서 발신인은 AhnLab [csadmin@rm.ahnlab.com]으로 되어 있다. 현재csadmin@rm.ahnlab.com 1주일에 한 번 발행되는 안랩 시큐리티레터의 발신 주소이다. 그러나 메일의 제목을 읽어보면 발신자와 매칭이 쉽게 되지 않는다.

[그림 2] 보안 회사와 큰 연관이 없는 자극적인 메일 제목

그림 2와 같이 대한민국을 대표하는 보안 회사와 선정적인 메일 제목은 이미지부터 서로 부합하지 않는다. 메일을 열어보지 않고 제목과 발신자만 보더라도 AhnLab에서 이런 메일을 보냈을까 하고 의심을 하게 된다. 이러한 경우 열지 않고 삭제하는 것이 가장 좋다.

특별한 정보 없이 연결된 링크를 클릭하라고 안내한다. 해당 링크를 클릭하면 그림 3과 같은 사이트에 연결된다. 홈페이지의 내용으로 보아 성인용 약품을 판매하는 인터넷 사이트이지만, 홈페이지에 언급된 약품은 의사의 처방이 있어야 구입할 수 있다. 또한 이러한 약품들의 인터넷을 통한 판매는 불법적인 사항이므로 처벌 대상이다. 따라서 정상적인 경로로 광고하기 어려운 물품이다 보니 스팸 메일과 같은 형태로 광고를 하는 것이다. 연결되는 사이트 주소는 다음과 같다.

http://www.k****r.com:80/

이번 사례의 경우 악성코드를 유포하는 사례는 아니었으나, 생각없이 링크를 클릭할 경우 악성코드를 유포하는 경우도 많으므로 주의를 기울여야 한다.

[그림 3] 메일 본문 링크 클릭시 이동하는 성인약품 판매 불법사이트

안랩은 이러한 스팸 메일과 연관이 전혀 없으며, 스팸메일을 보내는 사람들이 스팸메일발송기라는 프로그램으로 메일의 발송자를 조작하여 수신자를 속이는 것이다.

이번 사례에서는 크게 3가지 특징을 이용하여 사용자를 현혹했다.

1. 신뢰도 있는 이름 도용
  
- 보안 회사로 신뢰도가 높은 AhnLab의 이름을 도용하여 수신자를 속이려 함

2. 자극적인 메일 제목 사용
  
- 선정적이고 자극적인 제목을 사용하여 수신자의 호기심을 자극시킴

3. 단순한 메일 본문
  
- 단순 연결 링크만 제공하여 호기심이 발동한 사람들의 클릭 유도

자극적인 제목 뿐만 아니라 다른 메일 제목을 사용한 사례도 접수되었다.

이러한 스팸 메일의 수신을 예방하는 방법은 다음과 같다.

1. 출처가 불분명하거나 의심가는 제목일 때는 메일을 열지 말고 삭제한다. 또는 발신자와 제목을 비교하여 정상 메일이 아닐 확률이 높으면 삭제한다.

2. 사용 중인 보안 프로그램은 최신 버전으로 업데이트하고 실시간 감시 기능을 사용한다.

3. 메일에 첨부된 파일은 바로 실행하지 않고, 저장한 다음 보안 프로그램으로 검사한 후 실행한다.

4. 본문의 의심가거나 확인되지 않은 링크는 클릭하지 않는다.

5. 포털 사이트 메일 계정을 이용할 경우 스팸메일차단 기능을 적극 활용한다.

신고
Creative Commons License
Creative Commons License
Posted by 곰탱이푸우

안랩 ASEC에서 2012년 4월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.28을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 4월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

악성 DOC 문서를 첨부한 스피어 피싱 메일

북한 광명성 3호 발사 및 핵 실험을 주제로 한 악성코드

4.11 총선 이슈에 발견된 악성코드

런던 올림픽 개최를 이용한 악성코드

핵 안보 정상회담 PDF 문서로 위장한 악성코드

사회공학 기법을 이용하여 유포되는 악성 HWP 파일

국내 주요 금융기관 피싱 사이트 다수 발견

페이스북을 통해 유포되는 보안 제품 무력화 악성코드

보안 제품의 업데이트를 방해하는 Host 파일 변경 악성코드 주의

보안 제품 동작을 방해하는 온라인 게임핵 변종

Mac OS를 대상으로 하는 보안 위협의 증가

윈도우, Mac OS를 동시에 감염시키는 악성코드

자바, MS 오피스 취약점을 이용하여 유포되는 Mac OS X 악성코드

티베트 NGO를 타깃으로 하는 Mac 악성코드

낚시 포털 사이트를 통해 유포되는 온라인게임 계정 탈취 악성코드

스턱스넷 변형으로 알려진 듀큐 악성코드의 변형

스파이아이 공격 대상 기업들의 업종과 국가 분석


2) 모바일 악성코드 이슈

Another fake Angry birds


3) 악성코드 분석 특집

불필요한 옵션 사용으로 발생할 수 있는 스마트폰 보안 위협과 대응


4) 보안 이슈

윈도우 공용 컨트롤 취약점(CVE-2012-0158)을 악용하는 문서


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.28 발간


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

안랩에서는 4월 2일 "인터넷뱅킹 정보탈취 악성코드 스파이아이 트렌드 발표"라는 보도자료를 배포하고, 금전적인 목적으로 인터넷 뱅킹 정보를 탈취하는 악성코드인 스파이아이(SpyEye)에 대해 경고하였다.

스파이아이는 2010년 11월 ASEC에서 분석 및 연구한 결과에서 처럼 툴킷(Toolkit)을 통해 악성코드를 제작할 때 악성코드 제작자에 의해 어떠한 웹 사이트들 사용자 정보들을 탈취 할 것인지를 설정 파일을 통해 구성 할 수 있게 되어 있다.

ASEC에서는 2012년 1분기 동안 확보한 스파이아이 악성코드 샘플들을 대상으로 스파이아이가 어떠한 기업들의 사용자 계정 정보와 암호를 탈취를 노리는지 자세한 분석을 진행 하였다.

일반적으로 스파이아이는 악성코드가 첨부된 이메일 또는 취약한 웹 사이트 등을 통해 유포되고 있음으로 백신을 사용하지 않거나 최신 엔진으로 업데이트하지 않는 사용자와 취약점이 존재하는 윈도우 운영체제 사용자들의 감염이 비교적 높은 편이다.

ASEC에서 스파이아이 악성코드가 생성하는 암호화 되어 있는 설정 파일을 분석 한 결과로는 악성코드 제작자의 공격 대상이 되는 웹 사이트를 보유한 기업들의 지리적 위치는 아래 이미지와 같이 독일, 미국 그리고 캐나다 순서로 금융업이 발달한 국가들에 집중 되어 있었다.

그리고 해당 공격 대상이 되는 웹 사이트를 보유한 기업들의 업종별로 분류한 이미지는 아래와 같이 온라인 뱅킹을 지원하는 기업들에 대부분이 집중 되어 있으며 그 외에 전자 결제 서비스, 금융 투자 등의 순서로 구성되어 있다.

한 가지 특이한 사실로는 스파이아이 제작자의 공격 대상이 되는 웹 사이트들 중에는 온라인 항공권 구매 서비스를 지원하는 항공사도 포함되어 있다는 점이다.

ASEC에서 운영하는 패킷 센터(Packet Center)의 구성 시스템인 SpyEYE C&C Tracking 시스템을 통해 분석한 스파이아이가 탈취한 사용자 계정 정보와 암호를 전송하는 C&C(Command and Control) 서버가 위치해 있는 국가는 아래 이미지의 녹색 부분과 같다.



C&C 서버가 위치해 있는 국가는 대부분 미국에 집중 되어 있으며 그 외에 러시아와 우크라이나 순서로 집중 되어 있어, C&C 서버 대부분이 해킹된 시스템 또는 관리가 소흘한 시스템에 의해 설치되는 것으로 분석하고 있다.

다행스럽게도 스파이아이 제작자가 탈취를 노리는 웹사이트들에는 한국 금융 기업들이 포함되어 있지 않다. 이는 과거 몇 년전부터 진행되었던 보안 위협들의 국지화에 따른 현상으로 해석 할 수 있다. 그러나 외국 금융 기관과 온라인 뱅킹을 통해 거래를 하는 사용자들은 스파이아이 악성코드 감염에 따른 피해에 대해 많은 주의를 기울일 필요가 있다.


저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

- 앱, OS 취약점 노린 악성코드 대량 유포, 좀비폰 본격 등장 예상 
- 스마트폰 전용 백신, 공식 마켓 활용 등 사용자 주의 당부

글로벌 보안 기업인 안철수연구소[대표 김홍선, www.ahnlab.com, 약칭 ‘안랩’]는 5일 2011년에 발생했던 주요 스마트폰 악성코드 트렌드와 2012년에 예상되는 스마트폰 보안 위협을 발표했다.
 
이에 따르면 2011년의 주요 이슈는 ▶과금형 악성코드 폭발적 증가 ▶유명 어플리케이션으로 위장한 악성코드 ▶사생활 침해형 애플리케이션 증가 ▶ 온라인뱅킹정보 노리는 악성코드 발생 등을 꼽았다.
 
또한, 2012년 한 해 예상되는 주요 스마트폰 보안이슈는 ▶ 애플리케이션, OS 취약점 등을 이용한 악성코드 대량 유포 가능성 ▶커널을 공격하는 루트킷 기능의 발전 ▶ 좀비폰 및 봇넷 본격적 활성화 ▶국내를 겨냥하는 모바일 악성코드 등장 등이다.
 
2012년 예상 스마트폰 보안 위협
 
1] 애플리케이션, 운영체제 취약점 등을 이용한 악성코드 대량 유포 가능성
 
현재 윈도우 PC 기반 악성코드 배포 방식 중 가장 유행하는 것은, 웹사이트 변조를 통해 악성코드를 심어 관련 취약점이 패치 되지않은 다수의 사용자에게 악성코드를 유포하는 것이다. 이와 동일하게 스마트폰 사용자가 증가하고, 자연스럽게 이를 통해 인터넷 웹페이지를 보는 경우가 증가함에 따라 해커의 타깃이 될 가능성이 높다. 모바일 환경에서도 PC와 마찬가지로 모바일용 웹어플리케이션의 취약점을 이용해 다수의 사용자에게 한꺼번에 악성코드를 유포한다면 매우 위험해질 수 있다. 소셜네트워크서비스[SNS], 이메일 애플리케이션 등도 취약점이 발견된다면 역시 악용될 수 있다.
 
2] 스마트폰 커널을 공격하는 루트킷 기능의 발전
 
안드로이드의 루팅[rooting]이나, 아이폰의 해킹[hacking]은 애플리케이션의 취약점을 이용하는 것이다. 운영체계의 가장 중요한 핵심인 ‘커널’의 모든 것을 조작할 수 있는 일명 슈퍼유저[super user]의 권한을 취득하게 해준다. 수퍼유저 권한 획득은 일반적 사용자에게 스마트폰의 기능 중 다양한 이유로 제한된 부분을 임의로 조작할 수 있게 해준다. 반면, 악의적인 사용자나 어플리케이션이 이 방법을 악용한다면 치명적일 수 있다. 예를 들어, 시스템 자체를 삭제해서 스마트폰을 영원히 쓸 수 없게 만든다거나, 절대 삭제할 수 없는 악성 애플리케이션을 몰래 실행시킨다거나 하는 것이다. 모바일 악성코드가 증가할수록 이와 같은 스마트폰의 커널을 공격하는 발전된 기술이 유포될 가능성이 높다.
 
3] 좀비 스마트폰 본격적 활성화
 
스마트폰에 악성코드를 대량으로 유포하는 방식이 발전한다면, 좀비PC와 마찬가지로 ‘좀비스마트폰’이 활성화할 가능성이 높다. 7.7 이나 3.4 디도스 공격과 같은 사태가 스마트폰 감염으로 발생하지 않으리라는 보장은 없는 것이다. 올해 안드로이드 플랫폼에서도 스마트폰을 좀비화시키는 봇[bot]에 감염된 ‘좀비 스마트폰’의 네트워크인 ‘봇넷[botnet]을 구성하려는 시도를 보인 악성코드가 중국의 써드파티 마켓에서 발견되었지만, 제한적인 마켓에서만 유포됐기 때문에 피해는 크지 않았다. [http://asec.ahnlab.com/299 참고]
 
4] 국내를 겨냥하는 스마트폰 악성코드 등장
 
2011년에는 다양한 스마트폰 악성코드가 발생한 한 해였지만, 대부분의 악성코드가 유럽, 러시아, 중국 지역을 겨냥하여 만들어져 국내에서의 모바일 악성코드 피해는 크지 않았다. 그러나 한국의 스마트폰 사용률이 매우 높은 편이라는 것을 고려할 때, 악성코드 제작자의 주목을 받을 소지가 다분하다. 국내의 스파이웨어 방지법을 교묘히 피해 제작되는 애드웨어성 악성코드나, 각종 온라인게임계정 또는 민감한 개인정보를 탈취하는 류의 악성코드가 국내의 모바일 환경에 맞게 새롭게 등장할 수 있다.
 
2011년 주요 스마트폰 악성코드 트렌드

1] 과금형 악성코드 폭발적 증가

2011년을 대표하는 안드로이드 악성코드로는 과금형 악성코드를 꼽을 수 있다. 과금형 악성코드는 안드로이드 플랫폼이 전화나 문자기능이 포함된 스마트폰 운영체제[OS]라는 점을 악용한 예이다. 대부분 문자 과금 방식[premium call, 송신자에게 추가요금이 발생하는 번호 서비스]을 주로 이용한다. 즉, 악성코드 감염 시 추가 과금을 발생시키는 특정 번호로 사용자 몰래 문자를 보내 피해자에겐 금전적 피해를 주는 동시에 공격자에겐 직접 수익을 발생시킨다. 가장 최근에 발견된 과금 악성코드는 Android-Trojan/Pavelsms [http://asec.ahnlab.com/751 참고]로, 해외에선 ‘ruFraud’라는 이름으로 알려져 있다. 이 악성코드는 감염 시 스마트폰의 가입국가를 파악하고 유럽 내 스마트폰일 경우 각 국가에 맞는 프리미엄 문자를 보내는 것이 특징이다.
 
2] 유명 어플리케이션으로 가장한 위장형 악성코드
 
구글서치[Google Search], 구글플러스[Google+], 앵그리버드[Angry bird], 오페라[Opera], 스카이프[Skype] 등 사용자층이 많은 유명 어플리케이션으로 위장해 악성코드를 배포한 사례도 있다. 이런 위장형 악성코드는 주로 정식마켓이 아닌 사설마켓[써드파티마켓]을 통해 배포되었다. 또한 실제 정상 애플리케이션과 아이콘, 애플리케이션 이름이 완전히 동일하여 사용자가 쉽게 구분하기 어렵다. 다른 위장형 악성코드로는 정상 어플리케이션과 완전히 동일하게 동작하게끔 하면서 추가적으로 악성코드를 삽입하여 재배포 시키는 리패키징[repackaging]형 악성코드가 있다. [http://asec.ahnlab.com/258 참고]
 
3] 사생활 침해 형 어플리케이션 증가
 
스마트폰은 통화 및 문자 송수신, 카메라, GPS 기능 등으로 인해 PC보다 좀더 생활에 밀착된 민감한 정보들을 가지고 있다. 이러한 정보들이 유출될 시에는 심각한 사생활 침해가 된다. 예를 들어 진단명 ‘Android-Spyware/Nicky’와 같은 악성코드는 GPS를 통해 수집된 사용자 위치정보, 문자 송수신, 전화 송수신 내역뿐만 아니라 음성녹음 기능을 악용해 사용자의 통화내용까지도 훔쳐가는 기능을 내장하고 있어서 큰 충격을 주었다. [http://asec.ahnlab.com/320, http://core.ahnlab.com/290 참고] 2011년뿐 아니라 앞으로도 이러한 디지털 스토커[digital stalker]형 악성코드가 지속적으로 증가할 전망이다.
 
4] 온라인뱅킹정보 노리는 악성코드 발생
 
온라인뱅킹 정보를 갈취하는 것으로 유명한 Zeus 악성코드가 다양한 모바일 환경에서도 동작하도록 제작되어 유포된 것이 발견되었다. Zitmo[Zeus In The Mobile] 로 불리는 이 악성코드는 심비안, 블랙베리를 거쳐 최근엔 안드로이드 플랫폼까지 진화했다. 안드로이드의 Zitmo 악성코드는 해외의 뱅킹 보안 업체의 제품을 위장해 실행되었다. 온라인 뱅킹에 접속할 때 일회용 비밀번호[OPT]와 문자인증 등 두 가지의 인증요소로 본인임을 확인하는 이중인증[two-factor] 방식을 깨기 위해 문자 수신내역까지 감청하는 등의 치밀함을 보여준 것이 특징이다.
 
안철수연구소 시큐리티대응센터 이호웅 센터장은 "아직 국내에는 구체적 피해가 발생하지 않았지만 스마트폰 악성코드는 안드로이드를 중심으로 폭발적으로 증가하고 있다. 이는 스마트폰의 확산, 공격자의 직접수익 경로 확보 등의 이유로 2012년에도 증가세가 이어질 것으로 예상된다”라며, “사용자는 스마트폰 루팅이나 탈옥, 사설 마켓 이용 등을 자제하고, 애플리케이션을 다운받을 때 평판정보 확인, V3 모바일과 같은 스마트폰 전용 백신의 설치 및 최신 버전 유지 등의 주의를 기울이는 것이 좋다” 고 강조했다.
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
최근에 발생하는 APT(Advanced Persistent Threat) 같은 보안 사고들에서는 기업 내부 네트워크로 메일이나 메신저(Messenger), SNS(Social Network Service) 등을 이용해 백도어(Backdoor) 기능을 수행하는 악성코드를 전달하여 감염을 시도한다.
 

이렇게 전달 되는 악성코드들 대부분은 공격자에 의해 사전에 안티 바이러스(Anti-Virus) 소프트웨어에 의해 진단이 되는지 테스트 과정을 거쳐 공격 성공율을 높이고 있다.

이러한 테스트의 과정은 최근 러시아에서 발견된 아래와 같은 프라이빗 AV 체커(Private AV Checker) 웹 사이트를 통해 진행되며 모두 금전적인 댓가를 지불하게 된다.

이 번에 발견된 해당 웹 사이트에서 35개의 안티 바이러스 제품들의 검사가 가능하며 1회 검사에 1 센트이며 20 달러(한화 약 22,000원)를 지불할 경우에는 500회까지 검사가 가능하다고 광고 중 이다.
 

 
해당 웹 사이트를 조사하는 과정에서 해당 웹 사이트는 다시 아래 러시아 웹 사이트에서 제공하는 API(Application Program Interface)를 이용하여 제작하는 것으로 확인 되었다.

러시아어로 제작된 아래 웹 사이트 역시 35개의 안티 바이러스 소프트웨어를 검사가 가능하며 그 중에는 안랩의 V3 Internet Security 8.0도 포함이 되어 있었다. 그리고 1회 사용에는 15 센트, 한 달 사용에는 25 달러(한화 약 27,500원)라고 공개하고 있다.

 
이 외에도 악성코드를 유포하기 위한 웹 사이트가 보안 업체들의 블랙 리스트(BlackList)에 포함되어 있는가를 확인하는 기능과 별도의 사설 VPN(Virtual Private Network) 서비스를 제공하고 있다.

이러한 웹 사이트들에서는 공통적으로 검사되는 파일들에 대해서 보안 업체들로 전달 되지 않는다 점을 강조하고 있다.

이러한 점은 악성코드 제작자 등이 악성코드를 유포하기 전에 사전에 테스트 할 수 있어 특정 보안 소프트웨어에서 진단이 될 경우, 악성코드를 다시 제작하여 감염의 가능성을 더 높일 수 있는 환경을 만들어 주고 있다.

결국 블랙 마켓(Black Macket)에서 제공되는 이러한 서비스들로 인해 악성코드 제작자는 감염 성공율이 높은 악성코드를 제작할 수 있으며, 이로 인해 보안 사고 역시 증가 할 가능성이 높아지는 악순환이 발생하게 되다.
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

빈번하게 발견되는 악성코드를 첨부한 악성 스팸 메일은 facebook, twitter 등의 소셜네트워크  뿐만 아니라DHL, UPS, FedEx 등과 같은 택배회사를 위장하여 악성 스팸 메일을 유포하는 사례가 다수 발견되고 있다.

이 번에 FedEx 메일로 위장하여 악성코드를 첨부한 스팸메일이 발견되어 사용자들의 주의가 필요하다.

아래 링크는 블로그를 통해 기존에 FedEx 메일로 위장한 악성 스팸에 대해 포스팅 된 글이다.


참고로, UPS, DHL 등의 메일로 위장한 악성스팸도 다수 발견되고 있으며 블로그에 게시된 글들은 아래와 같다.



이번에 발견된 FedEx를 위장한 악성스팸메일의 자세한 정보는 아래와 같다.

메일 제목
 - FedEx notification #048128258

메일 본문
 - Dear customer!
The parcel was sent your home address! And  it will arrive within  3
business  day!
More  information  and  the traching number are attached in document
below!
Thank you.
Best regards.
2011 FedEx International GmbH. All rights reserved.
첨부된 파일
 - 첨부된 파일은 PDF 파일이 아닌 exe 확장자의 실행파일이다.




첨부된 파일을 실행하게 되면 아래와 같은 "WindowsRecovery" 라는 이름의 FakeAV (허위백신)에 감염되게 되며 사용자의 시스템이 악성코드에 감염되었다는 허위 경고를 계속적으로 노출시켜 사용자의 불안감을 조장시킨 후 결재를 유도한다.


[그림1] 허위백신 WindowsRecovery

현재 V3 제품에서는 아래 진단명으로 해당 악성코드를 진단하고 있다.

FedEx.exe (18,432 bytes)
 - Win-Trojan/Agent.18432.YR


스팸메일을 통해 유포되는 악성코드의 위험으로 부터 예방하기 위해 아래와 같은 사항들을 준수한다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 않는다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용한다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람한다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 않는다.










신고
Creative Commons License
Creative Commons License
Posted by 비회원