안랩 ASEC에서 2013년 8월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.44을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2013년 8월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

메모리 패치형 Banki의 온라인 뱅킹 정보 탈취 기법 분석

고객님, 영수증이 발급되었습니다

아마존 구매 관련 메일로 위장한 스팸 메일

특정 은행 대출 승인 메일로 위장한 스팸 메일

휴가철, 사용자의 휴가비를 노려라!

동영상 재생 프로그램을 이용한 악성코드 유포

토렌트 파일로 위장한 악성코드 주의

Your reservation is now confirmed!’

델타 항공 메일로 위장한 악성코드 유포


2) 모바일 악성코드 이슈

V3 모바일 설치 위장 스미싱 주의!

금융사 피싱 앱 주의


3) 보안 이슈

자바 취약점과 결합된 메모리 해킹

인터넷 뱅킹 보안 대책


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2013 Vol.44 발간



저작자 표시 비영리 변경 금지
신고
Posted by 비회원

안랩 ASEC에서 2012년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.36을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2012년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

포털 사이트 겨냥한 금감원 사칭 피싱 악성코드 주의’

택배 사이트 배송조회 페이지에서 유포된 악성코드

토렌트 사이트에서 유포된 hosts.ics 생성 악성코드

최신 영화 공유 파일을 이용한 악성코드 유포

다앙한 DDoS 공격 기능이 있는 악성코드

PUP(불필요한 프로그램)의 습격

한컴 엑셀 파일 취약점을 이용한 백도어 유포

전자 계정 명세서로 위장한 스팸 메일

이메일로 도착한 문자메시지


2) 모바일 악성코드 이슈

금융사 피싱 앱 주의

문자메시지 수집하는 사생활 침해 악성 앱 주의

성인 악성 앱 주의

안드로이드 랜섬웨어 주의 


3) 보안 이슈

주요 정부기관 DNS 서버 DDoS

국제 사회에 영향을 미치는 에드워드 스노든 효과


4) 2013년 상반기 보안 동향

* 상반기 보안 위협 동향

정부기관, 언론 및 금융기관을 대상으로 한 대규모 보안 사고

메모리 패치 기능을 이용한 인터넷 뱅킹 악성코드

국내 소프트웨어 대상 제로데이 취약점 증가

한국적 특색이 강해지는 모바일 악성코드

파밍과 결합된 온라인 게임 계정정보 탈취 악성코드

자바와 인터넷 익스플로러 취약점의 지속적인 악용

국가간 갈등을 유발하는 인터넷의 사이버 첩보전


* 상반기 모바일 악성코드 동향

2013년 상반기 모바일 악성코드 급증

정보 유출 및 과금 유발 트로이목마 다수

사용자 과금 유발 악성 앱 최다

국내 스마트폰을 노린 악성코드


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.42 발간


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

 인기게임 '심시티' 를 불법으로 즐길 수 있는, 크랙(crack) 파일로 위장한 악성코드가 발견되어 주의가 필요하다. 해당 악성코드는 '토렌트' 를 통하여 국내, 해외의 불법 파일공유사이트를 통해 유포 중 이고, 인기게임을 공짜로 즐기기 위해 불법 다운로드 하는 유저를 대상으로 하여 빠르게 확산 중이다.

 

[그림 1] 한창 인기몰이중인 '심시티' 신작 게임

 

악성코드는 'SimCityCrake.exe' 와 'mscsvc.dll' 2개의 파일로 구성되어 있다. Simcitycrake.exe 를 실행하면, mscsvc.dll 파일을 windows폴더에 mssyssrv.exe 로 복사 후에 아래와 같이 'Microsoft Windows System Service' 란 이름으로 서비스에 등록한다.

 

[그림 2] 서비스에 등록된 악성코드

 

mscsvc.dll 파일의 내부 코드를 살펴보면 IRC Bot 기능이 동작할 것을 예상 할 수 있다.

[그림 3] mscsvc.dll의 IRC 기능 코드

 

실제로 서비스에 등록된 프로세스는 일본에 위치한 IRC로 구성된 C&C서버에 접속 후, 지속적으로 명령을 전달 받는다. 아래와 같이 서버에 연결 시도중인 것이 확인된다.

 

[그림 4] C&C서버에 연결된 시스템

 

[그림 5] 일본에 위치한 C&C 서버

 

[그림 6] C&C서버와 통신 과정

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

Win-Trojan/Ircbot.108032

신고
Posted by DH, L@@