안랩 ASEC에서 2012년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.36을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2012년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

포털 사이트 겨냥한 금감원 사칭 피싱 악성코드 주의’

택배 사이트 배송조회 페이지에서 유포된 악성코드

토렌트 사이트에서 유포된 hosts.ics 생성 악성코드

최신 영화 공유 파일을 이용한 악성코드 유포

다앙한 DDoS 공격 기능이 있는 악성코드

PUP(불필요한 프로그램)의 습격

한컴 엑셀 파일 취약점을 이용한 백도어 유포

전자 계정 명세서로 위장한 스팸 메일

이메일로 도착한 문자메시지


2) 모바일 악성코드 이슈

금융사 피싱 앱 주의

문자메시지 수집하는 사생활 침해 악성 앱 주의

성인 악성 앱 주의

안드로이드 랜섬웨어 주의 


3) 보안 이슈

주요 정부기관 DNS 서버 DDoS

국제 사회에 영향을 미치는 에드워드 스노든 효과


4) 2013년 상반기 보안 동향

* 상반기 보안 위협 동향

정부기관, 언론 및 금융기관을 대상으로 한 대규모 보안 사고

메모리 패치 기능을 이용한 인터넷 뱅킹 악성코드

국내 소프트웨어 대상 제로데이 취약점 증가

한국적 특색이 강해지는 모바일 악성코드

파밍과 결합된 온라인 게임 계정정보 탈취 악성코드

자바와 인터넷 익스플로러 취약점의 지속적인 악용

국가간 갈등을 유발하는 인터넷의 사이버 첩보전


* 상반기 모바일 악성코드 동향

2013년 상반기 모바일 악성코드 급증

정보 유출 및 과금 유발 트로이목마 다수

사용자 과금 유발 악성 앱 최다

국내 스마트폰을 노린 악성코드


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.42 발간


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

- 안랩 V3모바일, 총 13.0 만점에 12.5점을 기록, AV-TEST 인증 획득 

- 악성코드 샘플 및 PUP(유해 가능 프로그램)를 100% 진단 


글로벌 정보보안 기업인 안랩[대표 김홍선, www.ahnlab.com]의 모바일 보안 제품인 V3 모바일 2.0[이하 V3 모바일]’이 독립 보안제품 성능 평가 기관인 AV-TEST[www.av-test.org]의 최근 7월 모바일 보안제품 테스트[보충자료 참조]에서 높은 점수로 인증을 획득했다.

 

안랩은 이번 테스트에 국내 기업 중 유일하게 참가해 연속 4회 인증을 획득해 모바일 보안 분야에서도 글로벌 기술력을 인정받았다. 특히, 서구권 위주의 악성코드 샘플이라는 불리한 상황에서도 악성코드 샘플 및PUP[Potentially Unwanted Program, 유해 가능 프로그램]를 100% 진단하고, 총 13.0 만점에 12.5점으로 인증을 획득[8점 이상 인증 통과]했다.

 

이번 테스트는AV-TEST가 7-8월에 시만텍, 맥아피 등 전세계 30개 모바일 보안 제품을 안드로이드 환경에서 진행했다. V3모바일은 이번 테스트에서 악성코드 및 PUP를 모두 진단해 탐지율[Protection]에서 6.0만점을 받았다.

 

또한, 오진 1개를 제외하고 제품 실행 시 단말기의 성능에 미치는 영향 평가에서도 상위권 점수를 기록해 사용편의성[Usability]에서도 6.0만점에 5.5점을 획득했다. 이밖에 악성코드 탐지 이외에 도난 방지[Anti-Theft] 기능, 스팸 전화·문자 방지 기능 등으로 부가 보안 기능에서도 추가 점수를 획득했다.

 

안랩 김홍선 대표는 “전 세계적으로 스마트폰이 보편화될 뿐만 아니라 이를 통한 업무 활동도 증가하면서 모바일 보안이 더욱 중요해지고 있다. 안랩은 국제 인증으로 증명된 높은 기술력을 바탕으로 국내외 모바일 보안시장 공략을 강화할 것이다”라고 말했다.

 

한편, 이번 AV-TEST의 모바일 보안제품 성능 평가에는 글로벌 보안업체 30곳이 참여해 27개가 테스트를 통과했다.

 

V3 모바일은 다양한 국제 인증으로 검증된 악성코드 분석 능력과 글로벌 수준의 대응 체제를 바탕으로 신종 모바일 악성코드에 즉각 대응할 수 있다. 또한, 타사 대비 검사 속도와 진단율은 높고, 프로그램 설치 사이즈 및 메모리 사용량과CPU 점유율은 낮은 것이 강점이다. 현재 삼성[갤럭시 제품군]과 LG[옵티머스 제품군]의 스마트폰에 기본 탑재되어 있다. 

 

<보충자료>

AV-TEST의 모바일 보안제품 테스트

모바일 보안제품 평가는 권위있는 글로벌 보안제품 성능 평가기관인 AV-TEST가 2013년 1월부터 새롭게 시작된 것으로, 현재까지 가장 신뢰할 수 있는 모바일 보안제품 성능 테스트다. 악성코드 탐지율, 오진, 모바일 디바이스 성능 저하율, 부가기능 등 다양한 측면에서 보안제품의 성능을 테스트한다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

 

 인터넷 사용이 일반화 되면서 인터넷뱅킹을 통해 은행을 직접 가지 않더라도 책상 앞에서 손쉽게 온라인 송금이 가능하고, 직접 매장에 가지 않더라도 온라인 쇼핑몰을 통해 손쉽게 물건을 구매할 수 있는 편리한 세상이 되었다. 그러나 이러한 기술 발전의 이면에는 조그만 부주의가 큰 손실을 가져오기도 한다.

 최근 올바른 홈페이지 주소를 입력하여도 가짜 홈페이지로 유도되어 개인의 금융거래 정보를 탈취하는 파밍 사고가 지속적으로 발생하고 있어 이러한 사고의 예방을 위해 파밍 기법에 대해 소개하고자 한다.

 

일반적으로 사용자들의 금융정보를 가로채기 위해 공격자들은 악성코드 감염을 통해 사용자의 hosts 파일을 변경하거나, 공격자가 만들어 놓은 서버 IP를 사용자 DNS 서버 IP로 변경하여 정상적인 금융권 사이트 접속 시 공격자가 만들어 놓은 가짜 사이트로 접속하도록 만든다. 그러나 이와 같은 방법은 이미 일반화 된 공격방법이기 때문에 대부분의 보안프로그램들은 사용자 시스템의 hosts파일을 모니터링 하여 변경사실을 사용자에게 알리거나 변경자체를 방어하기도 한다. 최근 피해사례가 증가하고 있는 파밍 사이트로 접속을 시도하는 피해 시스템들을 확인한 결과, DNS IP의 변경이나 hosts 파일의 변조도 일어나지 않은 상태에서도 공격자가 만들어 놓은 가짜 사이트로 접속을 시도하는 것을 확인할 수 있었다.

 

[그림1] 파밍 사이트 화면

우리가 원하는 웹사이트를 찾아갈 때, 사용자는 웹 브라우저에 해당 웹사이트의 URI정보를 입력하게 되지만, 웹 브라우저가 이 URI정보를 확인하고 해당 웹사이트를 직접 찾아가는 것이 아니라 DNS를 통해 해당 웹 서버의 IP를 확인해서 연결이 되는 것이다. 웹사이트를 찾아갈 때, 참조하는 정보와 우선순위를 살펴보면 아래와 같다.

① 로컬시스템의 DNS Cache 정보

② hosts.ics

③ hosts

④ DNS

 

여기에서 hosts.ics 파일은 일반적으로 사용하지 않는 인터넷 연결 공유(ICS: Internet Connection Sharing) 시 특정한 클라이언트의 IP를 강제로 지정하는 기능을 하는 파일이다. 위 순서와 같이 hosts.ics 파일이 존재하지 않을 경우, hosts 파일을 참조하게 되지만, 악성코드 제작자 입장에서는 각종 보안프로그램들이 주시하고 있는 hosts 파일을 굳이 변경하지 않더라도 우선순위가 높은 hosts.ics 파일을 변경하여 생성하게 되면 원하는 파밍 사이트로 얼마든지 유도가 가능하다는 것이 확인되었다.

 

최초 유포지는 지속적으로 변경되고 있지만, 수집되는 악성파일들을 분석한 결과 변조된 업데이트 파일들이 아래 경로의 악성코드를 다운로드 받아 동작하게 된다는 사실을 확인하였다.

 

☞ hxxp://www.*zs**.**m/e2.exe

 

 

위 악성파일이 다운로드 되면 C:\Windows\Tasks 폴더에 conime.exe 파일을 생성하게 되고, 이 악성코드가 서비스에 자신을 등록 후 외부 서버로부터 파밍에 이용될 사이트 정보를 지속적으로 참조한다.

[그림2] 지속적으로 갱신되는 파밍 사이트


[그림3] 악성코드 주요 기능

이 과정에서 해당 악성코드는 아래 경로에 hosts.ics 파일을 생성하게 되고, 지속적으로 모니터링하며 파밍 사이트를 갱신한다.

[그림4] 파밍 사이트 유도를 위한 hosts.ics 생성

hosts.ics 파일의 우선순위로 인해 악성코드 감염 시 사용자들은 정상적인 금융권 사이트의 주소를 입력하더라도 아래와 같이 악성코드 제작자가 만들어 놓은 파밍 사이트로 접속을 하게 되며, 파밍 사이트는 어떠한 메뉴를 선택을 하더라도 "전자금융 사기예방시스템" 신청을 위한 개인정보 입력화면으로 이동하게 된다.

 

[그림5] 개인정보 입력을 유도하는 파밍 사이트


[그림6] 개인정보 입력을 유도하는 파밍 사이트


개인정보 입력란에 위와 같이 쓰레기(TEST를 위한) 값을 입력할 경우, 입력되는 값들을 검증하여 정해진 형식과 일치하지 않을 경우 [그림7]과 같이 에러 메시지가 발생한다. 이러한 사실로 보아 최근에 발견되는 대부분의 피싱이나 파밍 사이트들은 입력되는 값들을 무조건 수집하는 것이 아니라, 필터링을 통해 의미 있는 데이터들을 수집하고 있다는 것을 확인할 수 있다.

[그림7] 입력되는 값이 형식과 맞지 않을 때의 에러화면

최근에 확인되는 온라인게임핵 이나 파밍 관련 악성코드들은 대부분 PUP(불필요한 프로그램)의 업데이트 파일들의 변조를 통해 유포되거나, 악성 스크립트가 삽입된 취약한 웹사이트 방문 시 감염되는 경우가 많다.

또한 웹사이트, 블로그를 방문 하는 경우에는 ActiveX와 P2P 프로그램의 설치를 더욱 세심히 살펴보고 설치 여부를 결정해야 한다.

[제어판]-[프로그램 추가/제거] 기능을 이용하여 PUP(불필요한 프로그램)은 사전에 제거하는 것이 바람직하다.

 

<V3 제품군의 진단명>

Trojan/Win32.Qhost


신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

 

 온라인 게임핵으로 인한 많은 피해사례들이 보고되고 있는 가운데, 악성코드 감염시스템을 확인해 보면 다수의 PUP 프로그램이 설치되어 있었다. 이러한 PUP프로그램을 통해 온라인 게임핵이 유포되는 경우가 종종 발견되고 있어 사용자의 주의가 필요하다.

 

많은 사람들이 무료 프로그램이나 특정 툴을 다운로드 받을 때, 제작사의 홈페이지를 통해서 프로그램을 다운로드 받는 것이 아니라, 특정 게시판이나 블로그를 통해서 다운로드 받기도 한다.

 

개인에게 무료로 제공되고 있는 V3 Lite의 설치파일(v3litesg_setup.exe)을 위장하여 V3 Lite설치와 동시에 다수의 PUP 프로그램을 설치하고, 이 중 특정 PUP 프로그램이 온라인 게임핵을 다운로드하여 설치하는 방식으로 유포되고 있었다.

 

- 악성코드 유포 블로그

[그림 1] 블로그에 게시된 악성파일

 

V3 설치파일로 위장한 파일을 다운로드 받은 후 속성을 살펴보면 안랩 홈페이지(http://www.ahnlab.com)에서 배포되는 V3 Lite의 설치버전과 다르다는 것을 알 수 있다.

 

[그림 2] V3 Lite 설치파일 비교(좌-악성 / 우-정상)

 

블로그에서 해당 파일을 다운로드 받아 설치를 진행하면 아래와 같이 다수의 제휴프로그램들의 설치에 대해 사용자 동의를 받으며, 동의를 하지 않을 경우 설치가 진행되지 않아, 사용자의 설치를 강요한다.

[그림 3] PUP 설치를 위한 사용자 동의

 

사용자가 이용약관에 동의하고 설치를 진행할 경우 V3 Lite 프로그램이 정상적으로 설치가 진행되지만, V3 Lite 설치와 동시에 바탕화면에 여러 P2P사이트와 쇼핑몰 사이트의 바로 가기 아이콘이 생성되고, 허위백신 프로그램이 설치가 된다.

 

여기서 PUP 란 불필요한 프로그램(PUP: Potentially Unwanted Program)으로 사용자가 동의하여 설치했지만 프로그램의 실제 내용이 설치 목적과 관련이 없거나 불필요한 프로그램으로, 시스템에 문제를 일으키거나 사용자에게 불편을 초래할 가능성을 가진 잠재적으로 위험한 프로그램을 말한다.

안랩은 허위 사실이나 과장된 결과로 수익을 얻는 경우나 프로그램 제작사 또는 배포지가 불분명한 경우 등 대다수 사용자가 불편을 호소한 프로그램을 불필요한 프로그램으로 진단하며, 사용자의 동의 하에 불필요한 프로그램을 검사하고 사용자가 선택적으로 삭제/허용할 수 있도록 한다.

 

설치파일 실행 시 다수의 PUP 프로그램이 설치되는데, 바탕화면에 P2P 사이트나 온라인 쇼핑몰 바로 가기 아이콘들이 생성되고, 수시로 광고 웹 페이지가 열리며, 아래와 같이 존재하지 않는 위협요소를 띄워서 사용자에게 공포심을 유발하여 결제를 유도하는 허위백신 프로그램도 함께 설치가 된다.

[그림 4] V3 Lite와 함께 설치되는 PUP 프로그램

 

이 중 "윈도우 유틸리티 업데이트(wuu_utilt*p.exe)가 온라인 게임핵을 다운로드 한 후 실행을 한다.

[그림 5] PUP 프로그램과 함께 설치되는 온라인 게임핵

[그림 6] 감염시스템의 MAC, OS, 백신프로그램 체크

 

해당 온라인 게임핵은 설치되는 과정에서 위와 같이 특정 서버로 사용 시스템의 MAC, OS, 백신프로그램의 정보가 체크되는 것이 확인되며, 최근 온라인 게임핵에서 자주 등장하는 ws2help.dll 정상파일 교체와 백신 프로그램을 무력화 하는 기능은 동일하게 나타났다.

 

이 글을 작성하는 시점에서 해당 블로그에 링크된 V3 Lite 설치파일을 다운로드 하여 설치할 경우 여전히 다수의 PUP 프로그램들이 설치가 되지만, 온라인 게임핵을 설치하는 기능을 하던 wuu_utilt*p.exe 파일이 변경되어 설치 진행 시 더 이상의 온라인 게임핵은 자동으로 설치가 되지 않았다.

 

이러한 피해사례를 사전에 예방하기 위해서는 반드시 해당 프로그램 제작사 홈페이지나 공식적인 다운로드 사이트를 통해서 내려 받아야 한다.

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

Trojan/Win32.OnlineGameHack 외 다수


신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

안랩 ASEC에서 2012년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.36을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

온라인 뱅킹 트로이목마 Banki(1)

온라인 뱅킹 트로이목마 Banki(2)

패스워드를 노리는 악성코드

악성코드의 3단 콤보 공격

온라인 게임핵 변종 악성코드

특정 후보의 정책관련 한글문서 위장 악성코드

부킹닷컴을 사칭한 악성코드

과다 트래픽을 발생시키는 악성코드

상품권 번호 탈취하는 온라인 게임핵 악성코드

Xerox WorkCentre를 사칭한 악성 메일

Facebook을 사칭한 악성 e-mail 주의


2) 모바일 악성코드 이슈

국내 스마트폰 사용자를 노린 Win-Android/Chest 악성코드

PUP 앱의 폭발적인 증가


3) 보안 이슈

Stuxnet 기술을 이용하는 MySQL 취약점

지속적으로 보고되는 인터넷 익스플로러 use-after-free 취약점


4) 2012년 보안 동향 분석

악성코드 통계

- 2012년 악성코드, 1억3353만1120 건

- 악성코드 대표 진단명 감염보고 최다 20

- 2012년 악성코드 유형 ‘트로이목마’가 최다

모바일 악성코드 이슈

- 월간 모바일 악성코드 접수량

- 모바일 악성코드 유형

- 모바일 악성코드 진단명 감염보고 최다

보안 통계  

- 2012년 4분기 마이크로소프트 보안 업데이트 현황

웹 보안 통계

- 웹 사이트 악성코드 동향

웹 보안 이슈


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.36 발간


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원