- 올해 8월, 스미싱 악성코드 전월 대비 2배 이상 급증 

- 소액결제에서 금융정보 훔치는 악성코드로 진화 

- 주소록 내 모든 연락처로 스미싱 문자 발송하는 신종 악성코드도 발견 

- 메시지 내 URL 실행 자제, ‘알 수 없는 출처(소스)’의 허용 금지 설정, 백신으로 주기적 검사, 앱 다운로드 전 평판 확인 등 필요 


안랩[대표 김홍선, www.ahnlab.com]은 최근 스미싱[보충자료1] 악성코드가 급증하고 있다며 스마트폰 사용자의 주의를 당부했다.

 

안랩은 내부 집계 결과[보충설명2] 지난 2012년 12월까지 스미싱 악성코드가 매월 각 1~10개 이내로 발견되었으나 2013년 1월 68개로 늘어난 이후 2월 174개, 3월 262개로 늘어났으며 5월 들어서 345개를 기록, 300개를 넘어선 이후 8월 들어 725개로 전월 대비 2배 이상 증가했다고 밝혔다. 2012년 한 해 동안 발견된 스미싱 악성코드가 전체 29개인 데 비해 2013년 1월부터 8월까지 총 2,433 개가 발견되어 무려 84배나 증가했다.

 

안랩은 특히 8월에 발견된 스미싱 악성코드 725개 중 실제 금전 피해를 입히는 체스트 악성코드가 252개에 달해 34.8%를 차지한다고 언급했다.

 

또한 8월에 발견된 체스트 악성코드 중 일부는 변종인 것으로 밝혀졌다. 변종 체스트 악성코드는 스마트폰 사용자의 모든 SMS[Short Message Service]를 탈취하며, 스마트폰에 저장된 정상적인 은행 앱을 삭제하고 악성 앱을 설치해 사용자의 금융정보를 탈취하는 것으로 분석됐다.

 

기존의 단순 소액결제[30만원 이하]를 노리던 것에서 금전 피해 규모가 커질 우려가 있는 [사용자의]금융정보를 훔치는 형태로 진화하였다. [변종 체스트 악성코드가 탈취하는 금융정보는 스마트폰 사용자의 계좌번호, 비밀번호, 보안카드 일련번호, 보안카드 번호 등[공인인증서 제외]이다.]

 

지난 해 처음 발견된 체스트는 스마트폰 사용자의 통신사 정보와 그에 따른 SMS를 탈취해 소액결제를 노리는, 실제 금전 피해를 야기한 최초의 모바일 악성코드이다.

 

8월에는 이 밖에도 인터넷으로부터 악성 앱을 다운로드해 설치하고, 스마트폰 내 주소록에 있는 모든 연락처로 스미싱 메시지를 배포하는 신종 악성코드 "뱅쿤"[보충자료 3]도 새롭게 확인되었다. [진단명:Android-Downloader/Bankun]

 

이호웅 안랩 시큐리티대응센터장은 “스미싱을 이용한 범죄가 날로 지능화하고 있다. 안랩 V3모바일 등 정상 앱을 사칭하는 것은 물론이고, 최근 모바일 청첩장이나 돌잔치 초대장을 가장해 사용자의 주소록을 활용하여 대량으로 유포하는 형태가 등장하고 있어, 각별한 주의가 필요하다”고 말했다.

 

스미싱 피해를 줄이기 위해 사용자는 SNS[Social Networking Service]나 문자 메시지에 포함된 URL 실행을 자제하고, 모바일 백신으로 스마트폰을 주기적으로 검사해야 한다. 또한 사용자들은 “알 수 없는 출처[소스]"의 허용 금지 설정을 해두어야 하며 반드시 정상 마켓을 이용해야 한다. 하지만, 정상 마켓에도 악성 앱이 올라오는 경우가 있어, 앱을 다운로드하기 전에 평판 등을 반드시 확인해 보는 것이 중요하다.

 

안랩은 현재 삼성[갤럭시 제품군]과 LG[옵티머스 제품군] 스마트폰에 기본탑재 방식으로 V3 모바일을 제공하고 있다.

 

--------<보충자료>--------

 

1. 스미싱

스미싱은 문자메시지[SMS]와 피싱[Phishing]의 합성어로 스마트폰 이용자가 인터넷 주소를 클릭하면 악성코드가 설치되며 이를 보낸 해커가 결제정보 등 개인정보를 빼돌리는 신종 사기 수법이다.

 

2. 스미싱 동향 조사 요약

안랩은 스미싱 동향 조사 결과 2013년 1월부터 8월까지 총 2,433 개의 악성코드가 수집되었다고 밝혔다. 2012년 한 해 동안 발생한 스미싱 악성코드는 29개로 작년 대비 무려 84배나 증가했다.

 

스미싱 악성코드는 2012년 말부터 본격적으로 발견되기 시작해 현재까지 매월 지속적으로 증가하고 있다. 2013년 5월부터는 급격히 증가하기 시작해 3 달간 월평균 330건~350건의 악성코드가 수집 되었으며, 특히 8월에는 700건 이상이 접수되는 등 스미싱을 노린 악성코드가 2배 이상 급증하였다.  


3. 뱅쿤[Bankun] 악성코드

스마트폰에 설치된 정상 은행 앱을 삭제한 후 악성 은행 앱 설치를 유도하는 악성코드. 또한 사용자의 주소록 정보를 외부로 유출하고 주소록에 저장된 번호로 스미싱 문자를 발송하는 것으로 밝혀진 악성코드이다. [진단명: Android-Downloader/Bankun]

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

- 페이스북을 사칭한 발신자로 첨부파일 실행유도 

- 첨부파일 실행 시 사용자 동의 없이 외부 통신을 위한 포트개방 

- 의심스러운 메일 첨부파일 실행 자제 및 백신 업데이트 철저


글로벌 보안 기업 안랩[구 안철수 연구소, 대표 김홍선, www.ahnlab.com]은 SNS[소셜네트워크서비스] 사용인구가 증가하는 가운데, 최근 유명 SNS 플랫폼 페이스북 알림메일을 사칭한 악성메일이 발견되어 사용자 주의가 요구된다고 밝혔다.

 

안랩의 월간 보안 보고서인 ASEC리포트 최신호에 따르면 ‘당신과 함께 찍은 사진을 업로드 했다[ALFRED SHERMAN added a new photo with you to the album]’라는 제목의 이 악성메일의 발신자는 자세한 주소 없이 ‘Facebook’으로만 표시되어 있다. 본문에는 “새로운 사진이 앨범에 등록되었으니 확인하려면 첨부된 파일을 확인하라[One of your friends added a new photo with you to the album, View photo with you in the attachment]”는 내용이 적혀있다. 첨부된 zip파일의 압축을 풀면 ‘NewPhoto-in_albumPhto_.jpeg.exe’라는 그림 파일을 위장한 실행파일이 나온다.

 

해당 파일을 실행하면 실행파일 내부에 포함된 악성코드가 설치된다. 이 악성코드는 사용자 몰래 외부 특정서버와 통신하기 위한 포트를 개방한다. 즉, 외부 서버와 통신해 추가 악성코드를 다운로드 받거나 PC 내부에 저장된 정보를 외부로 유출할 수도 있다. 또한, 악성코드를 사용자의 레지스트리에 등록해 부팅 시에 자동으로 실행되도록 한다. 현재 안랩 V3는 해당 악성코드를 진단 및 치료하고 있다.

 

안랩 김홍선 대표는 “페이스북이나 트위터 등 사용자가 많은 유명 SNS의 관리자인 것처럼 위장해 악성메일을 보내 악성코드를 배포하는 방식은 예전부터 자주 발견되고 있다. 이는 향후 첨부파일이나 내용을 다르게 해서 다시 확산될 수 있다. 이런 피해를 방지하기 위해서는 의심스러운 메일의 첨부파일을 실행하는 것을 자제하고 백신을 최신 버전으로 업데이트 하는 것이 필요하다”라고 말했다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

악성코드에서 USB와 같은 이동형 저장 장치를 자신의 복제본을 전파하기 위한 수단으로 사용되기 시작한 것은 이미 오랜전 일로 변해버렸다. 이러한 이동형 저장 장치를 악성코드 전파의 수단으로 사용되는 점은 과거 플로피 디스켓이 DOS 운영체제에 감염되는 바이러스의 전파 수단이 되는 것과 같은 동일한 선상에 있다고 할 수 있다.


이러한 USB와 같은 이동형 저장 장치로 인해 악성코드가 유포되었던 대표적인 사례들은 아래와 같이 정리 할 수 가 있다.


2010년 5월 21일 - 호주 보안 컨퍼런스에서 악성코드에 감염된 USB 배포


2010년 6월 2일 - 독일에 수출된 삼성 바다폰에 감염된 악성코드


2010년 9월 10일 - 해외에서 이메일을 이용해 대량 유포된 Swisyn 웜


이러한 대표적인 사례들 외에도 다수의 악성코드들에서 USB와 같은 이동형 저장 장치를 악성코드 유포의 매개체로 하여 사용되었던 사례들이 존재하며, 현재까지도 이러한 사례들이 적지 않게 발견되고 있다.


2012년 12월 4일 국내 기업 고객을 통해 확인된 DorkBot 변형에서는 기존 이동형 저장장치와는 다른 형태의 Autorun.inf 파일을 생성하는 것이 발견되었다.


이 번에 발견된 DorkBot 변형 제작자는 백신(Anti-Virus) 소프트웨어에서 이동형 저장 장치 루트에 생성되는 Autorun.inf 파일을 탐지하기 위한 다양한 기법들이 포함된 것을 파악하고, 아래 이미지와 같이 실제 Autorun 관련 명령어들 사이에 다수의 쓰레기 데이터를 채워 놓고 있다.




이러한 다수의 쓰레기 데이터를 채움으로써 백신 소프트웨어의 탐지와 함께 분석을 지연시킬 목적으로 사용하는 특징이 존재한다.


이 외에 해당 DorkBot 변형은 공개되지 않은 프라이빗 패커(Private Packer)로 실행 압축 되어 있으며, 이를 풀게 되면 Visual C++로 제작된 코드가 나타나게 된다.


해당 악성코드가 실행이 되면  자신이 실행되는 영역이 다음과 같은 가상화 공간인지 확인 후 가상화 공간일 경우 실행을 중단하게 된다.


Qemu

VMWrare

VirualBox


만약 가상화 공간이 아니라면 감염된 시스템에 존재하는 정상 시스템 프로세스인 explorer.exe의 프라이빗 메모리(Private Memory) 영역에 자신의 코드 전체를 삽입하게 된다. 



그리고 자신의 복사본을 rwrttxx.exe (90,112 바이트) 라는 파일명으로 다음의 경로에 생성하게 된다.


C:\Documents and Settings\[사용자 계정명]\Application Data\rwrttxx.exe


그리고, 감염된 시스템에 USB와 같은 이동형 저장장치가 연결되어 있다면 악성코드 자신의 복사본인 DSCI4930.jpg (90,112 바이트)Autorun.inf (294,819 바이트) 파일을 생성 한 후, 숨김 및 시스템 속성을 부여하여 윈도우 탐색기에서 파일들이 보이지 않게 숨기게 된다.


G:\AdobeReader\DSCI4930.jpg (90,112 바이트)

G:\autorun.inf (294,819 바이트)


만약 이동형 저장장치에 다른 폴더와 파일들이 존재할 경우, 해당 폴더와 파일명의 바로가기 파일(*.ink)을 생성 한 후, 이 역시 숨김 및 시스템 속성을 부여하여 윈도우 탐색기에서 보이지 않게 만들게 된다.


감염된 시스템의 윈도우 레지스트리에 다음의 키 값들을 생성하여, 부팅 시마다 생성한 악성코드가 자동 실행 되도록 구성하게 된다.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Adobe Reader Speed Launcher = C:\Documents and Settings\[사용자 계정명]\Application Data\rwrttxx.exe


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Adobe Reader Speed Launcher = C:\Documents and Settings\[사용자 계정명]\Application Data\rwrttxx.exe


그리고 감염된 시스템에서 실행 중인 전체 프로세스 리스트를 검사하여 시스템 모니터링 관련 유틸리티가 실행 중이라면 강제 종료를 수행하게 된다.


해당 악성코드는 감염된 시스템에서 다음의 URL 주소를 가진 C&C 서버로 접속을 수행하게 되나, 분석 당시에는 정상적인 접속이 이루어지지 않았다.


entceqipqujagjzp/ngrs/gate.php


해당 URL 주소를 가진 C&C 서버로 접속이 정상적으로 성공하게 되면, 공격자의 명령에 따라 다음의 악의적인 기능을 수행하게 된다.

시스템 재부팅
파일 다운로드 및 업로드
DDoS 공격(UDP, SYN) 시작 및 중단
운영체제 버전 정보
MSN, Gtalk, eBuddy, Facebook 메신저 프로그램을 이용한 악성코드 전파 시작 및 중단
FileZilla에 설정되어 있는 서버 주소 및 계정 정보 탈취

이외에 다음의 소셜 네트워크(Social Network) 웹 사이트들에 사용자 계정 세션이 활성화 되어 있을 경우, 해당 악성코드를 유포하기 위해 악성코드를 다운로드 가능한 게시물들을 세션이 활성화 된 사용자 계정으로 생성하게 된다.

Bebo.com 
Liknkedin.com
Myspace.com
Twitter.com
Facebook.com

그리고 감염된 시스템의 사용자가 다음 웹 사이트들에 로그인 하게 되는 경우, 사용자 계정명과 로그인 암호를 C&C 서버로 전달 하게 된다.

Webnames.ru, Live.com, Gmail.com, Yahoo.com, Zpag.es, Linkbucks.com, Adf.ly, Twodallarclick.com, Blockbuster.com, Netflix.com, Uploading.com, Fileserver.com, Hotfile.com, Therpiratebay.org, Bangbros.com, Naughtyamerica.com, Brazzers.com, Pornhub.com, Hackforums.net, Wmtransfer.com, Moneybooker.com, Paypal.com

이 번에 발견된 백신 제품의 탐지를 우회하기 위한 Autorun.inf 파일을 생성하는 DorkBot 변형은 V3 제품 군에서 다음과 같이 진단한다.

Win-Trojan/Klibot.90112

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

- 앱, OS 취약점 노린 악성코드 대량 유포, 좀비폰 본격 등장 예상 
- 스마트폰 전용 백신, 공식 마켓 활용 등 사용자 주의 당부

글로벌 보안 기업인 안철수연구소[대표 김홍선, www.ahnlab.com, 약칭 ‘안랩’]는 5일 2011년에 발생했던 주요 스마트폰 악성코드 트렌드와 2012년에 예상되는 스마트폰 보안 위협을 발표했다.
 
이에 따르면 2011년의 주요 이슈는 ▶과금형 악성코드 폭발적 증가 ▶유명 어플리케이션으로 위장한 악성코드 ▶사생활 침해형 애플리케이션 증가 ▶ 온라인뱅킹정보 노리는 악성코드 발생 등을 꼽았다.
 
또한, 2012년 한 해 예상되는 주요 스마트폰 보안이슈는 ▶ 애플리케이션, OS 취약점 등을 이용한 악성코드 대량 유포 가능성 ▶커널을 공격하는 루트킷 기능의 발전 ▶ 좀비폰 및 봇넷 본격적 활성화 ▶국내를 겨냥하는 모바일 악성코드 등장 등이다.
 
2012년 예상 스마트폰 보안 위협
 
1] 애플리케이션, 운영체제 취약점 등을 이용한 악성코드 대량 유포 가능성
 
현재 윈도우 PC 기반 악성코드 배포 방식 중 가장 유행하는 것은, 웹사이트 변조를 통해 악성코드를 심어 관련 취약점이 패치 되지않은 다수의 사용자에게 악성코드를 유포하는 것이다. 이와 동일하게 스마트폰 사용자가 증가하고, 자연스럽게 이를 통해 인터넷 웹페이지를 보는 경우가 증가함에 따라 해커의 타깃이 될 가능성이 높다. 모바일 환경에서도 PC와 마찬가지로 모바일용 웹어플리케이션의 취약점을 이용해 다수의 사용자에게 한꺼번에 악성코드를 유포한다면 매우 위험해질 수 있다. 소셜네트워크서비스[SNS], 이메일 애플리케이션 등도 취약점이 발견된다면 역시 악용될 수 있다.
 
2] 스마트폰 커널을 공격하는 루트킷 기능의 발전
 
안드로이드의 루팅[rooting]이나, 아이폰의 해킹[hacking]은 애플리케이션의 취약점을 이용하는 것이다. 운영체계의 가장 중요한 핵심인 ‘커널’의 모든 것을 조작할 수 있는 일명 슈퍼유저[super user]의 권한을 취득하게 해준다. 수퍼유저 권한 획득은 일반적 사용자에게 스마트폰의 기능 중 다양한 이유로 제한된 부분을 임의로 조작할 수 있게 해준다. 반면, 악의적인 사용자나 어플리케이션이 이 방법을 악용한다면 치명적일 수 있다. 예를 들어, 시스템 자체를 삭제해서 스마트폰을 영원히 쓸 수 없게 만든다거나, 절대 삭제할 수 없는 악성 애플리케이션을 몰래 실행시킨다거나 하는 것이다. 모바일 악성코드가 증가할수록 이와 같은 스마트폰의 커널을 공격하는 발전된 기술이 유포될 가능성이 높다.
 
3] 좀비 스마트폰 본격적 활성화
 
스마트폰에 악성코드를 대량으로 유포하는 방식이 발전한다면, 좀비PC와 마찬가지로 ‘좀비스마트폰’이 활성화할 가능성이 높다. 7.7 이나 3.4 디도스 공격과 같은 사태가 스마트폰 감염으로 발생하지 않으리라는 보장은 없는 것이다. 올해 안드로이드 플랫폼에서도 스마트폰을 좀비화시키는 봇[bot]에 감염된 ‘좀비 스마트폰’의 네트워크인 ‘봇넷[botnet]을 구성하려는 시도를 보인 악성코드가 중국의 써드파티 마켓에서 발견되었지만, 제한적인 마켓에서만 유포됐기 때문에 피해는 크지 않았다. [http://asec.ahnlab.com/299 참고]
 
4] 국내를 겨냥하는 스마트폰 악성코드 등장
 
2011년에는 다양한 스마트폰 악성코드가 발생한 한 해였지만, 대부분의 악성코드가 유럽, 러시아, 중국 지역을 겨냥하여 만들어져 국내에서의 모바일 악성코드 피해는 크지 않았다. 그러나 한국의 스마트폰 사용률이 매우 높은 편이라는 것을 고려할 때, 악성코드 제작자의 주목을 받을 소지가 다분하다. 국내의 스파이웨어 방지법을 교묘히 피해 제작되는 애드웨어성 악성코드나, 각종 온라인게임계정 또는 민감한 개인정보를 탈취하는 류의 악성코드가 국내의 모바일 환경에 맞게 새롭게 등장할 수 있다.
 
2011년 주요 스마트폰 악성코드 트렌드

1] 과금형 악성코드 폭발적 증가

2011년을 대표하는 안드로이드 악성코드로는 과금형 악성코드를 꼽을 수 있다. 과금형 악성코드는 안드로이드 플랫폼이 전화나 문자기능이 포함된 스마트폰 운영체제[OS]라는 점을 악용한 예이다. 대부분 문자 과금 방식[premium call, 송신자에게 추가요금이 발생하는 번호 서비스]을 주로 이용한다. 즉, 악성코드 감염 시 추가 과금을 발생시키는 특정 번호로 사용자 몰래 문자를 보내 피해자에겐 금전적 피해를 주는 동시에 공격자에겐 직접 수익을 발생시킨다. 가장 최근에 발견된 과금 악성코드는 Android-Trojan/Pavelsms [http://asec.ahnlab.com/751 참고]로, 해외에선 ‘ruFraud’라는 이름으로 알려져 있다. 이 악성코드는 감염 시 스마트폰의 가입국가를 파악하고 유럽 내 스마트폰일 경우 각 국가에 맞는 프리미엄 문자를 보내는 것이 특징이다.
 
2] 유명 어플리케이션으로 가장한 위장형 악성코드
 
구글서치[Google Search], 구글플러스[Google+], 앵그리버드[Angry bird], 오페라[Opera], 스카이프[Skype] 등 사용자층이 많은 유명 어플리케이션으로 위장해 악성코드를 배포한 사례도 있다. 이런 위장형 악성코드는 주로 정식마켓이 아닌 사설마켓[써드파티마켓]을 통해 배포되었다. 또한 실제 정상 애플리케이션과 아이콘, 애플리케이션 이름이 완전히 동일하여 사용자가 쉽게 구분하기 어렵다. 다른 위장형 악성코드로는 정상 어플리케이션과 완전히 동일하게 동작하게끔 하면서 추가적으로 악성코드를 삽입하여 재배포 시키는 리패키징[repackaging]형 악성코드가 있다. [http://asec.ahnlab.com/258 참고]
 
3] 사생활 침해 형 어플리케이션 증가
 
스마트폰은 통화 및 문자 송수신, 카메라, GPS 기능 등으로 인해 PC보다 좀더 생활에 밀착된 민감한 정보들을 가지고 있다. 이러한 정보들이 유출될 시에는 심각한 사생활 침해가 된다. 예를 들어 진단명 ‘Android-Spyware/Nicky’와 같은 악성코드는 GPS를 통해 수집된 사용자 위치정보, 문자 송수신, 전화 송수신 내역뿐만 아니라 음성녹음 기능을 악용해 사용자의 통화내용까지도 훔쳐가는 기능을 내장하고 있어서 큰 충격을 주었다. [http://asec.ahnlab.com/320, http://core.ahnlab.com/290 참고] 2011년뿐 아니라 앞으로도 이러한 디지털 스토커[digital stalker]형 악성코드가 지속적으로 증가할 전망이다.
 
4] 온라인뱅킹정보 노리는 악성코드 발생
 
온라인뱅킹 정보를 갈취하는 것으로 유명한 Zeus 악성코드가 다양한 모바일 환경에서도 동작하도록 제작되어 유포된 것이 발견되었다. Zitmo[Zeus In The Mobile] 로 불리는 이 악성코드는 심비안, 블랙베리를 거쳐 최근엔 안드로이드 플랫폼까지 진화했다. 안드로이드의 Zitmo 악성코드는 해외의 뱅킹 보안 업체의 제품을 위장해 실행되었다. 온라인 뱅킹에 접속할 때 일회용 비밀번호[OPT]와 문자인증 등 두 가지의 인증요소로 본인임을 확인하는 이중인증[two-factor] 방식을 깨기 위해 문자 수신내역까지 감청하는 등의 치밀함을 보여준 것이 특징이다.
 
안철수연구소 시큐리티대응센터 이호웅 센터장은 "아직 국내에는 구체적 피해가 발생하지 않았지만 스마트폰 악성코드는 안드로이드를 중심으로 폭발적으로 증가하고 있다. 이는 스마트폰의 확산, 공격자의 직접수익 경로 확보 등의 이유로 2012년에도 증가세가 이어질 것으로 예상된다”라며, “사용자는 스마트폰 루팅이나 탈옥, 사설 마켓 이용 등을 자제하고, 애플리케이션을 다운받을 때 평판정보 확인, V3 모바일과 같은 스마트폰 전용 백신의 설치 및 최신 버전 유지 등의 주의를 기울이는 것이 좋다” 고 강조했다.
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

- APT 공격 경로 지능화, PC 악성코드 수준의 스마트폰 악성코드 등장 
- 애플리케이션 취약점 공격 국지화, 가상화/클라우드 환경 및 스마트TV도 공격 타깃

글로벌 보안 기업인 안철수연구소[대표 김홍선, www.ahnlab.com, 약칭 ‘안랩’]는 2일 ‘2012년 예상 7대 보안 위협 트렌드’를 발표했다. 이에 따르면 올 한 해 예상되는 주요 이슈는 ▶APT 공격 경로 지능화 ▶PC 악성코드 수준의 스마트폰 악성코드 등장 ▶SNS 통한 보안 위협 증가 ▶애플리케이션 취약점 공격 국지화 ▶특정 국가 산업/기관 시스템 공격 시도 증가 ▶가상화 및 클라우드 환경 공격 본격화 ▶네트워크로 연결되는 시스템에 대한 공격 증가 등이다.

 
1] APT 공격 경로 지능화
 
기업과 기관을 겨냥한 APT 공격이 2012년에도 지속적으로 이어지는 한편, 공격 경로가 지능화할 것으로 예상된다. 이제껏 주된 공격 방식은 타깃 기업/기관의 특정 구성원에게 업무 메일로 위장하는 것이다. 즉, SNS[소셜 네트워크 서비스] 등에서 이메일을 손쉽게 수집해 신뢰할 수 있는 사람으로 위장해 취약점이 포함된 문서를 첨부하거나, 취약점이 존재하는 웹 사이트 주소를 본문에 삽입해 악성코드를 감염시키는 것이다. 널리 사용되는 소프트웨어의 업데이트 관련 파일을 변조한 경우도 있었다. 앞으로는 조직 내부로 반입하기 쉬운 스마트폰이나 보안 관리가 어려운 기술지원 업체의 장비나 소프트웨어 등을 이용한 내부 침입도 발생할 것으로 예측된다.
 
2] PC 악성코드 수준의 스마트폰 악성코드 등장
 
스마트폰, 특히 안드로이드 겨냥 악성코드는 2010년에 악성코드 제작/유포의 가능성을 점쳐 보는 수준이었다면, 2011년에는 금전적 이득을 취할 수 있는 방법을 찾아 대량 제작된 시기였다. 2012년에는 감염의 효율을 높이기 위해 과거 PC용 악성코드에 사용된 기법이 본격적으로 활용될 것으로 예측된다. 즉, 스마트폰 내부에서 자신을 숨기는 은폐 기법과, 모바일 운영체제에 존재하는 취약점을 악용한 루트 권한 탈취 등이 있을 수 있다. 그리고, 사회공학기법을 악용해 웹사이트에서 악성코드 다운로드를 유도하거나, 모바일 웹 브라우저에 존재하는 취약점으로 인해 악성코드가 자동 감염되게 하는 기법도 등장할 것으로 예측된다. 스마트폰에 설치된 인터넷 뱅킹 및 온라인 쇼핑 관련 앱에서 금융/신용카드 정보를 탈취하는 기법도 나올 것으로 예측된다.
 
3] SNS 통한 보안 위협 증가
 
SNS가 정보를 전세계인 빠르게 공유하는 창구인 만큼 악용 사례도 급증하고 있다. 단축 URL이 전체 주소가 다 보이지 않는다는 점을 악용해 악성코드 유포 사이트나 피싱 사이트를 단축 URL로 유포하는 경우가 있었다. 2012년에는 단축 URL 악용 사례가 더 증가하는 한편, SNS가 APT[Advanced Persistent Threat] 공격의 경유지로 이용될 가능성도 있다.
 
4] 애플리케이션 취약점 공격 국지화

2011년에는 운영체제 같은 범용적 애플리케이션의 취약점을 공격하는 경우는 줄어든 반면, 특정 지역에서만 사용되는 애플리케이션의 취약점을 악용한 사례는 증가했다. 아래아한글을 비롯해 동영상 재생 소프트웨어, P2P 및 웹하드 프로그램의 취약점을 악용한 악성코드 유포가 대표적이다. 취약점을 가진 파일을 이메일로 전송하거나 웹 사이트 접속 시 자동으로 악성코드를 감염시키는 방식으로 유포된다. 이런 추세는 2012년에도 이어지는 한편, 애플리케이션 취약점이 APT 공격 등 다양한 보안 위협에 악용되리라 예측된다.
 
5] 특정 국가 산업/기관 시스템 공격 시도 증가

금전적 이익이나 정치적, 종교적 이유로 특정 국가의 산업/기관 시스템을 공격하는 시도가 더욱 증가할 것이다. 이런 공격에 직간접적으로 국가 기관이 개입돼 국가 간 사이버 전쟁으로 확대될 수도 있다. 사용자 부주의로 내부 시스템이 인터넷이나 외부 시스템에 연결되어 있을 때 이를 통해 공격이 들어올 수 있다. 또한 국가 산업/기관 시스템용 특정 소프트웨어의 취약점을 이용해 공격이 이루어질 것으로 예측된다.
 
6] 가상화 및 클라우드 환경 공격 본격화

최근 가상화 기술을 기반으로 클라우드 서비스 등을 사업 모델을 삼는 기업이 증가하고 있다. 그러나 가상화와 클라우드 서비스는 자원 활용의 극대화라는 장점이 있지만, 악용될 경우는 또 하나의 보안 위협이 될 수 있다. 실제로 2011년에 대표적인 가상화 제품의 보안 취약점이 다수 발견됐으며, 실제 금융 정보 탈취를 위한 스파이아이[SpyEye] 악성코드가 아마존 클라우드 서비스를 악용해 배포되기도 했다. 2012년에는 가상화 및 클라우드 서비스의 본격화에 맞추어 다양한 공격이 시도될 것으로 예상된다.
 
7] 스마트 TV 등 네트워크로 연결되는 시스템에 대한 공격 증가  

스마트폰, 스마트 TV를 비롯해 네트워크에 연결되는 임베디드 소프트웨어가 탑재된 기기에 대한 보안 위협이 증가할 것으로 예측된다. 특히 교체 주기가 비교적 길고 실생활과 밀접한 가전 제품은 지속적인 공격에 노출될 가능성이 높다. 실제로 인터넷 접속이 가능한 DVD 리코더를 악용한 공격이 일본에서 있었고, 한 보안 컨퍼런스에서는 닌텐도DS 단말기에 리눅스를 설치해 외부에서 특정 시스템을 제어하는 것을 시연하기도 했다. 단순 반복 작업만을 담당했던 임베디드 시스템이 네트워크에 연결됨에 따라 해킹 또는 디도스 공격의 타깃이 될 가능성이 점차 높아지고 있다.
 
이 밖에 정치적/사회적 목적을 이루고자 시스템을 해킹하거나 디도스 공격을 시도하는 행위인 핵티비즘[Hacktivism] 활동이 2012년에 특히나 많이 발생할 것으로 예측된다. 우리나라의 대선과 총선, 미국과 러시아의 대선 등 전세계적 이슈가 많기 때문이다.

안철수연구소 시큐리티대응센터 이호웅 센터장은 "IT 기기나 인터넷 환경이 발전할수록 보안 위협의 기술이나 확산 경로도 복잡다단해진다. 새로운 기기를 개발하거나 인프라를 구축할 때 보안을 함께 고려하는 것이 중요하다. 또한 개인이나 기업/기관은 정보보안을 일상 생활 및 업무로 인식할 필요가 있다.”라고 강조했다.
 
<참고> 안철수연구소 선정 ‘2011년 예상 7대 보안 위협 트렌드’
▶SNS 활용한 다양한 공격 범용화
▶디도스[DDoS] 공격 지능화
▶사회 기반 시설 겨냥한 타깃형 공격 증가
▶금전 노린 스마트폰 위협 증가
▶무선 인터넷 취약점 노린 위협 등장
▶클라우드, 가상화 기술 이용한 보안 위협 등장
▶제로 데이 공격 기법 고도화 
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원
최근에 발생하는 APT(Advanced Persistent Threat) 같은 보안 사고들에서는 기업 내부 네트워크로 메일이나 메신저(Messenger), SNS(Social Network Service) 등을 이용해 백도어(Backdoor) 기능을 수행하는 악성코드를 전달하여 감염을 시도한다.
 

이렇게 전달 되는 악성코드들 대부분은 공격자에 의해 사전에 안티 바이러스(Anti-Virus) 소프트웨어에 의해 진단이 되는지 테스트 과정을 거쳐 공격 성공율을 높이고 있다.

이러한 테스트의 과정은 최근 러시아에서 발견된 아래와 같은 프라이빗 AV 체커(Private AV Checker) 웹 사이트를 통해 진행되며 모두 금전적인 댓가를 지불하게 된다.

이 번에 발견된 해당 웹 사이트에서 35개의 안티 바이러스 제품들의 검사가 가능하며 1회 검사에 1 센트이며 20 달러(한화 약 22,000원)를 지불할 경우에는 500회까지 검사가 가능하다고 광고 중 이다.
 

 
해당 웹 사이트를 조사하는 과정에서 해당 웹 사이트는 다시 아래 러시아 웹 사이트에서 제공하는 API(Application Program Interface)를 이용하여 제작하는 것으로 확인 되었다.

러시아어로 제작된 아래 웹 사이트 역시 35개의 안티 바이러스 소프트웨어를 검사가 가능하며 그 중에는 안랩의 V3 Internet Security 8.0도 포함이 되어 있었다. 그리고 1회 사용에는 15 센트, 한 달 사용에는 25 달러(한화 약 27,500원)라고 공개하고 있다.

 
이 외에도 악성코드를 유포하기 위한 웹 사이트가 보안 업체들의 블랙 리스트(BlackList)에 포함되어 있는가를 확인하는 기능과 별도의 사설 VPN(Virtual Private Network) 서비스를 제공하고 있다.

이러한 웹 사이트들에서는 공통적으로 검사되는 파일들에 대해서 보안 업체들로 전달 되지 않는다 점을 강조하고 있다.

이러한 점은 악성코드 제작자 등이 악성코드를 유포하기 전에 사전에 테스트 할 수 있어 특정 보안 소프트웨어에서 진단이 될 경우, 악성코드를 다시 제작하여 감염의 가능성을 더 높일 수 있는 환경을 만들어 주고 있다.

결국 블랙 마켓(Black Macket)에서 제공되는 이러한 서비스들로 인해 악성코드 제작자는 감염 성공율이 높은 악성코드를 제작할 수 있으며, 이로 인해 보안 사고 역시 증가 할 가능성이 높아지는 악순환이 발생하게 되다.
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원

1. 서론

 

최근 가장 활발한 활동이 이루어지고 있는 소셜 네트워크서비스(SNS)인 트위터(Twitter)를 통해 다수의 사이트를 전파하는 사례가 발견되고 있습니다. 트위터의 DM기능을 이용하여 자신의 모든 팔로워(follower)들에게 해당 링크로 연결시켜주는 메시지를 발송하게 됩니다. 이와같은 방법이 피싱메시지 전송으로 악용이 된다면 트위터 계정정보  탈취와 같은 문제를 유발할수 있기 때문에 각별한 주의가 요구됩니다.

 

 

2. 링크 유도 방법 및 사례 


1) 링크 유도

 

먼저 DM함에 아래와 같은 메시지를 받게 됩니다.  

 


Hey, I just added you to my Mafia family. You should accept my invitation! :) Click here: http://www.xxxmobsterworld.com/?platform=twitter(주소는 가려놓았습니다.)



해당 주소를 클릭하면 아래 그림과 같은 페이지로 접속을 유도하게 됩니다.



게임 시작을 유도하는 Click to Play Now! 버튼을 누르게 되면 Twitter 계정 로그인이 안되어 있을 시에는 로그인 하는 페이지로 접속하게 됩니다.

 

  

Twitter에 로그인이 되어있다면 해당 사이트를 연동 할 것인지에 대한 페이지가 나타납니다.

 

 

Allow를 누르게 되면 MobsterWorld라는 페이지로 접속하게 됩니다. 이 페이지를 통해 게임을 하게 됩니다.

 

 

하지만 버튼을 누르게 되면 아래 그림과 같이 자신의 팔로워들에게 해당 사이트의 링크주소를 DM으로 전송하게 됩니다.

 

 

 

또한 아래 그림과 같이 자신의 트위터에 트윗하게 됩니다.





 여기까지 보면 해당 사이트는 사용자의 동의없이 DM 전송 및 트윗을 하는것 처럼 보입니다. 하지만 첫페이지를 유심히 보게 되면 아래 그림과 같은 메시지를 확인할 수 있습니다. 메시지의 내용은 자신의 팔로워들에게 초대 메시지를 자동으로 전송하는 것에 대한 내용입니다. 또한 메시지를 자동으로 전송하지 않기 위한 링크도 포함되어있지만 대부분의 사람들은 이 부분을 간과하고 바로 Click to Play Now!를 누르게 됩니다. 그러므로 자신도 모르는사이에 동의가 되어 DM를 전송하게 됩니다.




 우측 상단에 위치한 Settings(잘 보이지 않습니다)을 누르게 되면 Tweet 및 DM 셋팅에 관한 페이지가 나옵니다. 이 페이지에는 default 값으로 위에 설명한 DM 전송 및 트윗에 관한 체크가 되어있는 것을 확인할 수 있습니다.




 

3. Twitter에 연동된 사이트 관련 프로그램 제거 방법

 

트위터 우측 상단의 Settings을 클릭합니다. 그리고 Connections을 클릭하게 되면 연동되어있는 사이트를 볼 수 있습니다. Revoke Access를 클릭하여 연동을 해제합니다. 

 


 

아래 그림은 연동이 해제되어 있는 모습입니다.

  

 

 

4. 주의 사항

 위 사례에서 살펴본 바와 같이 자신도 모르는 사이에 교묘한 방법으로 트위터에서 DM이 전송된 것을 볼 수 있었습니다. 이와 같이 메시지를 통한 링크 유도 방법이 악용될 가능성이 존재합니다. 즉, 피싱 메시지를 통한 악성 사이트 접근을 유도하여 사용자의 개인정보를 탈취하는데 이용될수 있고 자신의 팔로워들에게도 같은 사이트 접속을 유도하는 DM을 보내게 되어 피해가 확산될 우려가 있습니다. 

요즘 많은 사람들이 트위터를 통해 정보를 공유하고 있습니다. 그래서 이러한 사이트도 트위터 DM을 이용하여 자신의 사이트 링크를 유도한 것 입니다. 사용자가 세심한 주의를 기울이지 않는다면 한순간에 많은 사람들이 큰 불편을 겪을 수 있고 유사한 방법으로 피싱 피해를 입을 수도 있습니다. 그러므로 사용자들은 사이트 가입시나 게임에 접속했을 때 작성된 글을 꼼꼼히 읽어보는 습관을 가져야 할 것입니다.
만약 악성페이지로 연동이 되어있다면 자신의 계정 비밀번호 변경과 연동되있는 프로그램을 제거 하는것을 권장드립니다. 또한 트위터를 통해 악성사이트에 대한 경고를 알림으로써 피해의 확산을 방지해 주시기 바랍니다.

이상으로 글을 마치겠습니다^^)/                                                                                          - SukSuny
                                                                                                                                         - dada319

신고
Creative Commons License
Creative Commons License
Posted by 비회원