V3

국내 연예인 사생활 동영상으로 위장한 악성코드 유포

최근 국내 유명 연예인인 A양을 촬영한 것으로 알려진 사생활 동영상이 유포되어 사회적으로 큰 이슈를 일으키고 있다. 이러한 사회적인 큰 이슈를 악용하여 2011년 12월 8일 저녁 국내에서도 많은 사용자가 있는 소셜 네트워크 서비스(Social Network Service)인 트위터(Twitter) 등을 통해 해당 연예인의 사생활 동영상으로 위장한 악성코드가 유포 되었다. 해당 트위터 계정은 비교적 최근에 생성한 것으로 보여지며, 해당 계정의 사용자에 대해 자세한 사항들이 존재하지 않는다. 그리고 다른 일반적인 내용 없이 위 이미지와 같이 유명 연예인의 동영상 파일로 위장한 ZIP 압축 파일을 다운로드하도록만 유도하고 있다. 해당 URL을 복사하여 웹 브라우저에서 다운로드를 시도하게 되면 아래 이미지와 같이 “[삭제] 아나운서 2분50초짜리.zip.zip(6.67MB)” 파일이 다운로드 된다. 다운로드 된 ZIP 압축 파일의 압축을 풀게 되면 아래 이미지와 같이 다수의 JPG 이미지 파일과 SFX로 압축된 EXE 파일이 존재한다. 그리고 텍스트 파일에서는 압축 파일에 같이…

악성코드를 위한 안티 바이러스 체크 웹 사이트

최근에 발생하는 APT(Advanced Persistent Threat)와 같은 보안 사고들에서는 기업 내부 네트워크로 메일이나 메신저(Messenger), SNS(Social Network Service) 등을 이용해 백도어(Backdoor) 기능을 수행하는 악성코드를 전달하여 감염을 시도한다.   이렇게 전달 되는 악성코드들 대부분은 공격자에 의해 사전에 안티 바이러스(Anti-Virus) 소프트웨어에 의해 진단이 되는지 테스트 과정을 거쳐 공격 성공율을 높이고 있다. 이러한 테스트의 과정은 최근 러시아에서 발견된 아래와 같은 프라이빗 AV 체커(Private AV Checker) 웹 사이트를 통해 진행되며 모두 금전적인 댓가를 지불하게 된다. 이 번에 발견된 해당 웹 사이트에서 35개의 안티 바이러스 제품들의 검사가 가능하며 1회 검사에 1 센트이며 20 달러(한화 약 22,000원)를 지불할 경우에는 500회까지 검사가 가능하다고 광고 중 이다.     해당 웹 사이트를 조사하는 과정에서 해당 웹 사이트는 다시 아래 러시아 웹 사이트에서 제공하는 API(Application Program Interface)를 이용하여 제작하는 것으로 확인 되었다….

2012년 버전으로 위장한 허위 클라우드 백신

한 해를 마무리하는 2011년 12월에는 연말 연시에는 사회적인 분위기를 악용하는 사회 공학 기법들이 적용된 악성코드나 다른 보안 위협들이 발견될 가능성이 높다. 이러한 사례로 이미 “크리스마스 카드로 위장한 악성코드” 발견 사례도 있으며 다양한 “신년 축하 카드로 위장한 악성코드” 발견사례도 있으니 각별한 주의가 필요하다. 이러한 2011년 연말 연시 분위기에 금전적인 목적으로 지속적으로 유포되었던 허위 백신들에서 2012년도 최신 버전인 것으로 위장한 사례가 2011년 11월 30일 발견되었다. 해당 허위 백신은 2012년도 최신 버전임을 표기한 것 외에도 최근 다양한 보안 위협들에 대응하기 위해 개발 및 사용되는 클라우드 안티 바이러스(Cloud Anti-Virus) 인 것으로도 위장하고 있다. 이 번에 발견된 허위 클라우드 안티 바이러스 2012는 과거에 발견되었던 허위 클라우드 백신과는 외형적인 인터페이스 부분만 변경되었지, 기능이나 동작면에서 동일한 형태를 가지고 있다.  업데이트 기능동 아래 이미지와 같이 실제 최신 엔진을…

화학 업체를 대상으로 한 니트로 보안 위협

해외 시각으로 2011년 10월 31일 미국 보안 업체인 시만텍(Symantec)에서는 니트로(Nitro)로 명명된 보안 위협을 공개하였으며, 공개된 니트로 보안 위협에 대해서는 해외 언론들을 통해서도 알려져 있다. 시만텍에서 이번에 공개한 니트로 보안 위협은 화학 제품을 생산하는 기업들을 대상으로한 공격이었으나, 최초인 4월 말경에는 인권 관련단체인 NGO를 대상으로 시작 된 것으로 밝히고 있다.  화학 업체들을 대상으로한 니트로 보안 위협은 최초 2011년 7월에서 시작되어 해당 보안 위협이 탐지된 9월까지 진행 되었으며, 원격 제어를 위한 C&C(Command and Control) 서버의 경우에는 4월경에 구축 된 것으로 알려져 있다. 그리고 공격 대상이 된 기업은 화학 관련 업체 29개와 군수 업체를 포함한 다른 업종의 기업 19개로 총 48개 기업이 이번 니트로 보안 위협의 공격 대상이 되었다. 시만텍에서는 아래 이미지와 같이 해당 니트로 보안 위협에 의해 감염된 시스템들은 지리적으로 미국과 방글라데시(Bangladesh)가 가장 많은…

스마트폰 정보를 유출시키는 안드로이드 악성코드 주의

스마트폰 개인정보를 유출시키는 정보유출형 안드로이드 악성코드가 발견되어 관련 내용을 전한다. ▶ 개인정보 유출 해당 악성코드는 설치와 동시에 아래와 같은 스마트폰 개인정보를 중국의 베이징에 위치한 서버 (http://on***an.com/net***d/nm*****n.jsp) 로 유출시킨다. 1. IMEI 2. 제조사 (manufacturer) 3. Model 번호 4. IMSI [pic. data stealing code] [pic. sending data with http post ] 다른 악성앱과 다른 점은, 위의 개인정보들을 유출하는 것 뿐아니라 특정 어플리케이션이 설치되어 있는지 조사하는 기능도 포함하고 있다는 것이데, 어플리케이션을 찾을 때 단순히 패키지네임만을 비교하는 것뿐 아니라 패키지파일(APK)의 MD5 hash 를 이용하여 더욱 정교하게 비교한다는 점이다.(패키지네임만으로는 중복값이 있을 수 있다.) 해당 악성앱이 설치여부를 검사하는 패키지네임들은 아래와 같다.  com.cola.twisohu  com.sohu.newsclient  com.duomi.android  com.snda.youni  cn.emoney.l2  com.diguayouxi  com.mx.browser  com.uc.browser  com.onekchi.xda  cn.goapk.market  com.wuba  com.mappn.gfan  com.hiapk.marketpho [pic. checking md5sum ] 현재 해당 악성어플리케이션은 V3 모바일제품에서 아래 진단명으로 진단/치료가 가능하다. 2011.08.10.00 Android-Spyware/Netsend…