악성코드

스파이아이 공격 대상 기업들의 업종과 국가 분석

안랩에서는 4월 2일 “인터넷뱅킹 정보탈취 악성코드 스파이아이 트렌드 발표“라는 보도자료를 배포하고, 금전적인 목적으로 인터넷 뱅킹 정보를 탈취하는 악성코드인 스파이아이(SpyEye)에 대해 경고하였다. 스파이아이는 2010년 11월 ASEC에서 분석 및 연구한 결과에서 처럼 툴킷(Toolkit)을 통해 악성코드를 제작할 때 악성코드 제작자에 의해 어떠한 웹 사이트들 사용자 정보들을 탈취 할 것인지를 설정 파일을 통해 구성 할 수 있게 되어 있다. ASEC에서는 2012년 1분기 동안 확보한 스파이아이 악성코드 샘플들을 대상으로 스파이아이가 어떠한 기업들의 사용자 계정 정보와 암호를 탈취를 노리는지 자세한 분석을 진행 하였다. 일반적으로 스파이아이는 악성코드가 첨부된 이메일 또는 취약한 웹 사이트 등을 통해 유포되고 있음으로 백신을 사용하지 않거나 최신 엔진으로 업데이트하지 않는 사용자와 취약점이 존재하는 윈도우 운영체제 사용자들의 감염이 비교적 높은 편이다. ASEC에서 스파이아이 악성코드가 생성하는 암호화 되어 있는 설정 파일을 분석 한 결과로는 악성코드 제작자의 공격…

Stuxnet 변형으로 알려진 Duqu 악성코드의 다른 변형 발견

현지 시각으로 3월 20일 Symantec에서 해당 기업의 블로그 “New Duqu Sample Found in the Wild“를 통해 Stuxnet의 변형으로 알려진 Duqu 악성코드의 또 다른 변형이 발견되었음을 공유 하였다. Duqu는 기존에 알려진 Stuxnet이 SCADA(Supervisory Control And Data Acquisition) 감염으로 원자력 발전소 운영을 방해하기 위한 목적과 달리 감염 된 시스템과 네트워크에서 정보들을 수집하기 위한 목적으로 제작되었다. 이 번에 발견된 Duqu의 또 다른 변형은 아래 Symantec에서 공개한 이미지와 같이, 붉은 색 박스로 표기된 드라이버(.sys) 파일로 밝히고 있다. ASEC에서는 이 번에 새롭게 알려진 Duqu 악성코드의 또 다른 변형을 확보하여 확인하는 과정에서 아래 이미지와 동일하게 파일의 Time Date Stamp를 통해 2012년 2월 23일 해당 파일이 생성된 것을 확인하였다. 이러한 사항으로 미루어 Duqu 제작자 또는 제작 그룹은 지속적으로 Duqu 악성코드의 다른 변형들을 제작하여 유포하고 있는 것으로 볼 수…

ASEC 보안 위협 동향 리포트 2012 Vol.26 발간

안철수연구소 ASEC에서 2012년 2월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.26을 발간하였다.    이 번에 발간된 ASEC 리포트는 2012년 2월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈  PC에 존재하는 모든 문서 파일을 탈취하는 악성코드 누군가 나를 지켜보고 있다? 웹캠으로 도촬하는 악성코드 가짜 KB국민은행 피싱 사이트 주의 스마트폰의 문자 메시지로 전달되는 단축 URL 특정 기관을 목표로 발송되는 발신인 불명의 이메일 주의 시리아 반정부군을 감시하기 위한 악성코드 유포 변형된 MS12-004 취약점 악용 스크립트 발견 MS11-073 워드 취약점을 이용하는 타깃 공격 발생 어도비 플래시 취약점 이용한 문서 파일 발견 wshtcpip.dll 파일을 변경하는 온라인게임핵 발견 윈도우 비스타, 윈도우 7을 대상으로 하는 온라인게임핵 악성코드 발견 2) 모바일 악성코드 이슈 안드로이드 애플리케이션에 포함된 윈도우 악성코드 3) 보안…

스위스 기업의 전자 서명을 도용한 악성코드

일반적으로 전자 서명은 특정 기업이나 단체에서 해당 파일은 자신들에 의해 개발 및 제작된 것이며 위, 변조가되지 않았다는 것을 증명하는 용도로 사용되고 있다. 이러한 전자 서명을 최근 몇 년 전부터 악성코드들은 보안 제품을 우회하기 위한 목적으로 전자 서명(Digital Signature)를 파일에 사용하기 시작하였다. 여기서 사용되는 전자 서명들 대부분이 특정 기업이나 단체로부터유출된 정상 전자 서명임으로 해당 정보를 이용해 정상 파일로 오판하도록 하고 있다. 이러한 악성코드의 전자 서명 악용 사례들로는 2011년 제우스(Zeus) 악성코드가 캐스퍼스키(Kaspersky)의 전자 서명을 도용한 사례와 2010년 7월 특정 포털에서 배포하는 정상 파일로 위장한사례가 존재한다. 이러한 전자 서명을 악용한 악성코드 유포 사례가 최근 캐스퍼스키 블로그 “Mediyes – the dropper with a valid signature“를 통해 공개 되었다. 해당 악성코드는 ASEC에서 확인한 아래 이미지와 같이 Conpavi AG 라는 스위스 업체의 전자 서명을 도용하고 있다.  그리고 발급된…

허위 안드로이드 마켓으로 유포되는 안드로이드 악성코드

2011년 하반기를 기점으로 구글(Google)에서 개발한 안드로이드(Android) 운영체제의 악성코드가 폭발적으로 증가하였다. 이러한 배경에는 여러가지 요소가 있겠지만, 안드로이드 운영체제에 설치되는 APK(Application Package File) 파일이 구글의 안드로이드 마켓을 벗어난 여러 인터넷 웹 사이트들을 통해 유통됨으로 인해 발생하는 문제도 적지 않다고 할 수 있다. 그리고 최근에는 안드로이드 악성코드들이 유명 소셜 네트워크 서비스(Social Network Service)인 트위터(Twitter)로 유포된 사례가 있는 만큼, 안드로이드 악성코드의 유포 방식이 다변화되고 있는 것으로 볼 수 있다. ASEC에서는 금일 미국에 위치한 특정 시스템에서 아래 이미지와 같이 허위 제작된 안드로이드 마켓이 발견되었다. 해당 허위 안드로이드 마켓에서는 일반 안드로이드 스마트폰 사용자들이 많이 사용하는 앱들을 제공하는 것과 같이 꾸며져 있으나, 실제로는 안드로이드 악성코드들을 유포하고 있었다. 그러므로 안드로이드 스마트폰 사용자들은 앱들을 설치할 때 구글에 운영하는 정식 안드로이드 마켓이나 신뢰 할 수 있는 업체에서 운영하는 안드로이드 마켓에서만…