Offcanvas

���������������

'이제 이메일 대화도 훔친다'··· 큐봇의 진화는 '현재진행형'

새로 발견된 변종 큐봇은 종전 이메일 스레드를 활용함으로써 클릭을 유도하는 참신한 기법을 갖췄다.  지난 10년간 큐봇 트로이안은 컴퓨터 사용자와 기업들을 성가시게 했다. 해커들이 새로운 속임수를 계속해서 개발함에 따라 큐봇은 오늘날까지도 유달리 위협적인 맬웨어로 자리매김하고 있다. 보안 연구원들은 최근 피해자의 이메일 스레드를 활용해 확산되는 맬웨어를 발견했다.    이 맬웨어의 최신 확산 경로를 추적하는 보안 기업 체크포인트의 연구원들에 따르면, 초기 온라인 뱅킹 신원정보를 탈취하는 뱅킹 트로이안이었던 큐봇의 진화가 지속되고 있다. 이제 ‘스위스 '맥가이버 칼'처럼 범용적인 존재로 진화하며 랜섬웨어 배포 등 다양한 목적으로 사용된다. 큐봇은 칵봇(Qakbot) 내지는 핑크슬립봇(Pinkslipbot)으로도 불린다. 그러던 지난달 말, 변종 큐봇이 이모텟(Emotet)이라는 이름의 또다른 트로이안에 의해 유포되기 시작했다. 새로운 특성과 명령 및 제어 인프라를 보유한 이번 변종 큐봇은 이달 초 새로운 스팸 캠페인이 출현하면서 확산되고 있다.  체크 포인트(Check Point)의 연구원들은 최신 보고서에서 “큐봇의 새로운 속임수 중 하나가 특히 골칫거리다. 새로운 큐봇은 기기를 감염시킨 뒤 ‘이메일 수집 모듈’을 활성화시킨다. 그런 다음 피해자의 아웃룩 클라이언트에서 모든 이메일 스레드를 추출해 하드코딩 된 원격 서버에 업로드 한다”라고 설명했다. 이어 “이렇게 탈취된 이메일 정보는 향후 스팸 메일 대량 전송에 사용된다. 스팸 메일은 사용자가 기존에 주고받던 이메일처럼 보이기 때문에 이메일 사용자는 자기도 모르게 스팸 메일 속의 감염 파일을 클릭하게 된다”라고 덧붙였다.  체크포인트는 큐봇이 삽입된 이메일 스레드를 입수했다. 이 스레드들은 코로나19 유행병, 세금 고지, 채용 공고 같은 주제와 연관돼 있었다.  이러한 조직적인 스팸메일의 ...

Q봇 맬웨어 트로이목마 스팸 이모텟

2020.09.01

새로 발견된 변종 큐봇은 종전 이메일 스레드를 활용함으로써 클릭을 유도하는 참신한 기법을 갖췄다.  지난 10년간 큐봇 트로이안은 컴퓨터 사용자와 기업들을 성가시게 했다. 해커들이 새로운 속임수를 계속해서 개발함에 따라 큐봇은 오늘날까지도 유달리 위협적인 맬웨어로 자리매김하고 있다. 보안 연구원들은 최근 피해자의 이메일 스레드를 활용해 확산되는 맬웨어를 발견했다.    이 맬웨어의 최신 확산 경로를 추적하는 보안 기업 체크포인트의 연구원들에 따르면, 초기 온라인 뱅킹 신원정보를 탈취하는 뱅킹 트로이안이었던 큐봇의 진화가 지속되고 있다. 이제 ‘스위스 '맥가이버 칼'처럼 범용적인 존재로 진화하며 랜섬웨어 배포 등 다양한 목적으로 사용된다. 큐봇은 칵봇(Qakbot) 내지는 핑크슬립봇(Pinkslipbot)으로도 불린다. 그러던 지난달 말, 변종 큐봇이 이모텟(Emotet)이라는 이름의 또다른 트로이안에 의해 유포되기 시작했다. 새로운 특성과 명령 및 제어 인프라를 보유한 이번 변종 큐봇은 이달 초 새로운 스팸 캠페인이 출현하면서 확산되고 있다.  체크 포인트(Check Point)의 연구원들은 최신 보고서에서 “큐봇의 새로운 속임수 중 하나가 특히 골칫거리다. 새로운 큐봇은 기기를 감염시킨 뒤 ‘이메일 수집 모듈’을 활성화시킨다. 그런 다음 피해자의 아웃룩 클라이언트에서 모든 이메일 스레드를 추출해 하드코딩 된 원격 서버에 업로드 한다”라고 설명했다. 이어 “이렇게 탈취된 이메일 정보는 향후 스팸 메일 대량 전송에 사용된다. 스팸 메일은 사용자가 기존에 주고받던 이메일처럼 보이기 때문에 이메일 사용자는 자기도 모르게 스팸 메일 속의 감염 파일을 클릭하게 된다”라고 덧붙였다.  체크포인트는 큐봇이 삽입된 이메일 스레드를 입수했다. 이 스레드들은 코로나19 유행병, 세금 고지, 채용 공고 같은 주제와 연관돼 있었다.  이러한 조직적인 스팸메일의 ...

2020.09.01

이셋, 암호화폐 훔치는 ‘카스바네이로’ 뱅킹 트로이목마 주의 권고

이셋(ESET) 본사가 라틴아메리카 뱅킹 트로이 목마인 카스바네이로(Casbaneiro)를 발견했으며 중남미 지역 뱅킹 이용자의 주의를 요한다고 이셋코리아(www.estc.co.kr)가 권고했다.  카스바네이로는 이전에 발견된 아마발도(Amavaldo) 맬웨어와 동일한 암호화 알고리즘을 사용하며 유사한 이메일 도구를 배포하고 있다. 이 맬웨어는 사회공학기법을 이용해 피해자를 속이면서 아마발도의 가짜 팝업창 및 입력 폼을 모방한다. 이러한 공격은 일반적으로 소프트웨어 업데이트 설치, 신용카드 또는 은행 계좌 정보 확인과 같이 긴급하거나 필요한 조치를 취하도록 피해자를 유도한다.  피해자의 기기에 침투한 후에는 백도어 명령을 사용해 스크린샷을 찍고 다양한 은행 웹사이트에 대한 액세스를 제한하며 키 입력을 기록한다. 또한 카스바네이로는 암호화폐 지갑데이터에 대한 클립보드 내용을 모니터링하는 기술을 통해 암호화폐를 훔치는 데 사용되는 것으로 밝혔졌다. 이러한 데이터가 발견되면 맬웨어는 해당 데이터를 공격자의 암호화폐 지갑으로 대체한다.  카스바네이로 맬웨어는 여러 암호화 알고리즘을 이용해 실행 파일 내의 문자열을 가리고 다운로드한 페이로드 및 구성 데이터를 해독하는 데 사용된다. 카스바네이로의 초기 매개체는 악성 이메일인데, 이것은 아마발도가 사용한 것과 같은 수법이다.  카스바네이로의 가장 흥미로운 측면 중 하나는 C&C 서버 도메인과 포트를 숨기려는 운영자의 활동이라고 업체 측은 설명했다.  C&C 서버는 가짜 DNS 항목이나 구글 독스에 저장된 온라인 문서에 내장되거나 합법적인 기관을 모방하는 가짜 웹사이트에 내장되는 등 다양한 장소에 숨겨져 있다. 경우에 따라 C&C 서버 도메인은 암호화되어 합법적인 웹사이트에 숨겨져 있는 경우도 있는데, 특히 유튜브에 저장된 여러 동영상의 설명에서 두드러진다. 카스바네이로는 주로 브라질 및 멕시코 은행 애플리케이션을 대상으로 한다. ciokr@idg....

트로이목마 이셋

2019.10.15

이셋(ESET) 본사가 라틴아메리카 뱅킹 트로이 목마인 카스바네이로(Casbaneiro)를 발견했으며 중남미 지역 뱅킹 이용자의 주의를 요한다고 이셋코리아(www.estc.co.kr)가 권고했다.  카스바네이로는 이전에 발견된 아마발도(Amavaldo) 맬웨어와 동일한 암호화 알고리즘을 사용하며 유사한 이메일 도구를 배포하고 있다. 이 맬웨어는 사회공학기법을 이용해 피해자를 속이면서 아마발도의 가짜 팝업창 및 입력 폼을 모방한다. 이러한 공격은 일반적으로 소프트웨어 업데이트 설치, 신용카드 또는 은행 계좌 정보 확인과 같이 긴급하거나 필요한 조치를 취하도록 피해자를 유도한다.  피해자의 기기에 침투한 후에는 백도어 명령을 사용해 스크린샷을 찍고 다양한 은행 웹사이트에 대한 액세스를 제한하며 키 입력을 기록한다. 또한 카스바네이로는 암호화폐 지갑데이터에 대한 클립보드 내용을 모니터링하는 기술을 통해 암호화폐를 훔치는 데 사용되는 것으로 밝혔졌다. 이러한 데이터가 발견되면 맬웨어는 해당 데이터를 공격자의 암호화폐 지갑으로 대체한다.  카스바네이로 맬웨어는 여러 암호화 알고리즘을 이용해 실행 파일 내의 문자열을 가리고 다운로드한 페이로드 및 구성 데이터를 해독하는 데 사용된다. 카스바네이로의 초기 매개체는 악성 이메일인데, 이것은 아마발도가 사용한 것과 같은 수법이다.  카스바네이로의 가장 흥미로운 측면 중 하나는 C&C 서버 도메인과 포트를 숨기려는 운영자의 활동이라고 업체 측은 설명했다.  C&C 서버는 가짜 DNS 항목이나 구글 독스에 저장된 온라인 문서에 내장되거나 합법적인 기관을 모방하는 가짜 웹사이트에 내장되는 등 다양한 장소에 숨겨져 있다. 경우에 따라 C&C 서버 도메인은 암호화되어 합법적인 웹사이트에 숨겨져 있는 경우도 있는데, 특히 유튜브에 저장된 여러 동영상의 설명에서 두드러진다. 카스바네이로는 주로 브라질 및 멕시코 은행 애플리케이션을 대상으로 한다. ciokr@idg....

2019.10.15

컴퓨터 바이러스 확산 형태와 감염 알려주는 5가지 징후

컴퓨터 바이러스는 정상 애플리케이션 코드를 매개체로 삼아 확산되고, 스스로 재생시키는 악성 소프트웨어의 일종이다. 다른 악성코드처럼, 공격자가 컴퓨터에 피해를 주거나, 컴퓨터를 제어하기 위해 바이러스를 배포한다. 표적을 감염시키는 방식 때문에 ‘바이러스’라는 이름이 붙여졌다. HIV나 인플루엔자 같은 생물 바이러스들은 스스로 번식을 할 수 없다. 세포를 ‘강탈’ 해야 한다. 이 과정에 감염된 조직을 파괴한다. 이와 유사하게, 컴퓨터 바이러스도 ‘나홀로’ 프로그램이 아니다. 자신을 다른 애플리케이션에 집어넣는 코드 조각이다. 애플리케이션이 실행되면서 바이러스 코드가 실행되고, 이로 인해 작은 피해부터 재앙적인 피해까지 다양한 피해가 초래된다. 이런저런 담론이나 언론 보도에서 사람들이 바이러스와 악성코드를 혼용해 번갈아 사용하는 경우가 많다. 엄격히 말하면, 위 정의에 부합하는 악성코드 종류가 바이러스이다. 다른 두 종류의 악성코드 중 첫 번째는 무해한 애플리케이션으로 가장해 사용자가 실행을 시키도록 유도하는 트로이 목마(Trojans), 두 번째는 다른 애플리케이션에 의지하지 않고 번식과 확산이 가능한 웜(worms)이다. 바이러스는 작동하기 위해 다른 프로그램을 감염시켜야 한다는 차이가 있다. 컴퓨터 바이러스가 하는 일은? 당신의 컴퓨터에 설치된 애플리케이션 하나가 바이러스에 감염되었다고 가정하자(나중에 잠깐 동안 일어날 수 있는 여러 일에 대해 이야기를 할 예정이다. 지금은 감염만 생각하자). 바이러스는 어떤 식으로 ‘나쁜 일’을 하는 것일까? 블리핑 컴퓨터가 이 과정을 개략적으로 잘 설명하고 있다. 먼저 감염된 애플리케이션이 (통상 사용자의 요청에 따라) 실행된다. 그리고 바이러스 코드가 다른 적법한 코드가 실행되기 전에 CPU 메모리에 로딩된다. 이 시점부터, 바이러스는 호스트 컴퓨터의 애플리케이션을 감염시키고, 가능한 모든 장소에 악성 코드를 주입해 번식을 시작한다 (상주 바이러스는 실행되는 프로그램에 이렇게 하지만, 비상주 바이러스는 실행되...

CSO 멀웨어 랜섬웨어 노턴 Cylance 카본 블랙 크립토재킹 CrowdStrike Carbon Black 사이랜스 비트코인 감염 이메일 맬웨어 DDoS 루트킷 바이러스 트로이목마 백신 크라우드스트라이크 사이버 몸값

2019.07.18

컴퓨터 바이러스는 정상 애플리케이션 코드를 매개체로 삼아 확산되고, 스스로 재생시키는 악성 소프트웨어의 일종이다. 다른 악성코드처럼, 공격자가 컴퓨터에 피해를 주거나, 컴퓨터를 제어하기 위해 바이러스를 배포한다. 표적을 감염시키는 방식 때문에 ‘바이러스’라는 이름이 붙여졌다. HIV나 인플루엔자 같은 생물 바이러스들은 스스로 번식을 할 수 없다. 세포를 ‘강탈’ 해야 한다. 이 과정에 감염된 조직을 파괴한다. 이와 유사하게, 컴퓨터 바이러스도 ‘나홀로’ 프로그램이 아니다. 자신을 다른 애플리케이션에 집어넣는 코드 조각이다. 애플리케이션이 실행되면서 바이러스 코드가 실행되고, 이로 인해 작은 피해부터 재앙적인 피해까지 다양한 피해가 초래된다. 이런저런 담론이나 언론 보도에서 사람들이 바이러스와 악성코드를 혼용해 번갈아 사용하는 경우가 많다. 엄격히 말하면, 위 정의에 부합하는 악성코드 종류가 바이러스이다. 다른 두 종류의 악성코드 중 첫 번째는 무해한 애플리케이션으로 가장해 사용자가 실행을 시키도록 유도하는 트로이 목마(Trojans), 두 번째는 다른 애플리케이션에 의지하지 않고 번식과 확산이 가능한 웜(worms)이다. 바이러스는 작동하기 위해 다른 프로그램을 감염시켜야 한다는 차이가 있다. 컴퓨터 바이러스가 하는 일은? 당신의 컴퓨터에 설치된 애플리케이션 하나가 바이러스에 감염되었다고 가정하자(나중에 잠깐 동안 일어날 수 있는 여러 일에 대해 이야기를 할 예정이다. 지금은 감염만 생각하자). 바이러스는 어떤 식으로 ‘나쁜 일’을 하는 것일까? 블리핑 컴퓨터가 이 과정을 개략적으로 잘 설명하고 있다. 먼저 감염된 애플리케이션이 (통상 사용자의 요청에 따라) 실행된다. 그리고 바이러스 코드가 다른 적법한 코드가 실행되기 전에 CPU 메모리에 로딩된다. 이 시점부터, 바이러스는 호스트 컴퓨터의 애플리케이션을 감염시키고, 가능한 모든 장소에 악성 코드를 주입해 번식을 시작한다 (상주 바이러스는 실행되는 프로그램에 이렇게 하지만, 비상주 바이러스는 실행되...

2019.07.18

"선물을 든 그리스인을 조심하라"··· 트로이 목마의 작동 원리와 대처법

트로이목마(Trojan horse)는 사용자가 원하는 무언가로 변장해 시스템 방어망을 뚫고 들어가는 악성코드의 한 종류다. 트로이목마의 목적은 다른 형태의 악성코드와 마찬가지로 컴퓨터를 장악하거나 손상을 가하는 데 있다. 트로이목마라는 명칭도 컴퓨터를 감염시키는 방식에서 유래됐다. 즉, 사용자가 원할 만한 무언가로 변장해 사용자 스스로 방어망 안쪽으로 가지고 들어오도록 유도한다.   트로이 전쟁 이야기에서 그리스 군은 트로이의 성벽을 뚫지 못하자 나무로 만든 커다란 말 안에 병력을 숨긴 다음 이 말을 트로이 도시 성문 바깥에 뒀다. 트로이 군은 이 나무 말이 신의 선물이라고 생각해 도시 안으로 가지고 들어왔고, 그 안에 숨은 그리스 병사들은 밤을 틈타 오디세우스의 지휘 아래에 도시를 파괴하고 사람들을 학살했다. 사이버 공격자도 오디세우스와 마찬가지로 탐스러운 미끼를 던져 놓고 사용자가 이 미끼를 물어 네트워크 내부로 악성코드를 가지고 들어가기를 기다린다. 선물을 들고 있는 그리스인을 조심하라는 말이 있듯이 선물을 든 온라인의 낯선 사람 역시 조심해야 한다. 트로이목마와 바이러스 트로이목마는 바이러스일까. "트로이목마 바이러스"라는 말을 종종 볼 수 있지만 엄격히 말하면 정확하지 않은 표현이다. 트로이목마와 바이러스는 서로 다른 방식으로 컴퓨터를 감염시키는 서로 다른 유형의 악성코드를 가리킨다(악성코드 유형에 대한 본지의 기사를 참조하라).  트로이목마 악성코드는 트로이 전쟁사의 트로이목마와 마찬가지로 안에 악의적인 내용물을 숨긴 채 무해한 무언가로 변장해 사용자가 안으로 가지고 들어가게끔 유도한다. 반면 바이러스는 생물학적 의미의 바이러스와 마찬가지로 숙주 프로그램의 코드 안에 침입한 다음, 이 숙주를 사용해 스스로를 퍼뜨리고 복제한다. 이 과정에서 사용자의 개입은 필요 없다(웜은 또 다른 유형의 악성코드로, 숙주 애플리케이션 없이 복제, 확산되는 프로그램이다). 정확하게 알기 위해서는 이와 같은 차이점의 구분이 중요하다. 본지는...

트로이목마 Trojan Horse trojan

2019.06.25

트로이목마(Trojan horse)는 사용자가 원하는 무언가로 변장해 시스템 방어망을 뚫고 들어가는 악성코드의 한 종류다. 트로이목마의 목적은 다른 형태의 악성코드와 마찬가지로 컴퓨터를 장악하거나 손상을 가하는 데 있다. 트로이목마라는 명칭도 컴퓨터를 감염시키는 방식에서 유래됐다. 즉, 사용자가 원할 만한 무언가로 변장해 사용자 스스로 방어망 안쪽으로 가지고 들어오도록 유도한다.   트로이 전쟁 이야기에서 그리스 군은 트로이의 성벽을 뚫지 못하자 나무로 만든 커다란 말 안에 병력을 숨긴 다음 이 말을 트로이 도시 성문 바깥에 뒀다. 트로이 군은 이 나무 말이 신의 선물이라고 생각해 도시 안으로 가지고 들어왔고, 그 안에 숨은 그리스 병사들은 밤을 틈타 오디세우스의 지휘 아래에 도시를 파괴하고 사람들을 학살했다. 사이버 공격자도 오디세우스와 마찬가지로 탐스러운 미끼를 던져 놓고 사용자가 이 미끼를 물어 네트워크 내부로 악성코드를 가지고 들어가기를 기다린다. 선물을 들고 있는 그리스인을 조심하라는 말이 있듯이 선물을 든 온라인의 낯선 사람 역시 조심해야 한다. 트로이목마와 바이러스 트로이목마는 바이러스일까. "트로이목마 바이러스"라는 말을 종종 볼 수 있지만 엄격히 말하면 정확하지 않은 표현이다. 트로이목마와 바이러스는 서로 다른 방식으로 컴퓨터를 감염시키는 서로 다른 유형의 악성코드를 가리킨다(악성코드 유형에 대한 본지의 기사를 참조하라).  트로이목마 악성코드는 트로이 전쟁사의 트로이목마와 마찬가지로 안에 악의적인 내용물을 숨긴 채 무해한 무언가로 변장해 사용자가 안으로 가지고 들어가게끔 유도한다. 반면 바이러스는 생물학적 의미의 바이러스와 마찬가지로 숙주 프로그램의 코드 안에 침입한 다음, 이 숙주를 사용해 스스로를 퍼뜨리고 복제한다. 이 과정에서 사용자의 개입은 필요 없다(웜은 또 다른 유형의 악성코드로, 숙주 애플리케이션 없이 복제, 확산되는 프로그램이다). 정확하게 알기 위해서는 이와 같은 차이점의 구분이 중요하다. 본지는...

2019.06.25

'정확히 아는게 보안의 시작'··· 악성코드의 8가지 유형과 차이

사람들은 보안 용어를 아무렇게나 사용하는 경향이 있다. 하지만 얼마나 다양한 악성코드(Malware)가 확산되어 있는지 알아야 억제하여 제거할 수 있기 때문에 악성코드 분류를 간소화하는 것이 중요하다. 이 간략한 악성코드 목록은 전문가들과 대화할 때 악성코드 용어를 이해하는데 도움이 될 것이다. 1. 바이러스 대부분의 매체와 일반 최종 사용자는 뉴스에 보도되는 모든 악성코드 프로그램을 컴퓨터 바이러스라고 부른다. 다행히도 대부분의 악성코드 프로그램은 바이러스가 아니다. 컴퓨터 바이러스는 피해자의 파일이 실행되었을 때 바이러스도 실행되어 다른 정상적인 호스트 파일(또는 이에 대한 포인터)을 수정한다. 요즘은 순수한 컴퓨터 바이러스가 흔하지 않으며 전체 악성코드의 10%가 되지 않는다. 좋은 일이다. 바이러스는 다른 파일을 "감염"시키는 유일한 유형의 악성코드이다. 해당 악성코드는 정상적인 프로그램에서 실행해야 하기 때문에 특히 청소하기가 어렵다. 항상 쉽지 않은 일이었고 지금은 거의 불가능에 가깝다. 최고의 백신 프로그램도 이와 관련하여 어려움을 겪고 있으며 많은 경우에 단순히 감염된 파일을 격리하거나 삭제한다. 2. 웜(Worm) 웜은 컴퓨터 바이러스보다 훨씬 오래 전인 메인프레임(Mainframe) 시대부터 있었다. 이메일로 인해 1990년대에 유행했고 컴퓨터 보안 전문가들은 메시지 첨부 파일로 도착하는 악성 웜에 약 10년 동안 시달렸다. 한 사람이 웜에 감염된 이메일을 열면 기업 전체가 즉시 감염되었다. 웜의 감염 특성은 자기 복제이다. 악명 높은 아이러브유(Iloveyou) 웜을 예로 들어보자. 발생 당시에 전 세계의 거의 모든 이메일 사용자가 감염되어 전화 시스템이 (사기 전송 문자 메시지로 인해) 과부하되고 텔레비전 네트워크가 다운되었으며 필자의 석간 신문도 반나절이나 지연되었었다. 이 외에도 SQL 슬래머(SQL Slammer)와 MS 블래스터(MS Blaster) 등의 웜이 컴퓨터 보안 ...

악성코드 바이러스 트로이목마 랜섬웨어

2018.07.27

사람들은 보안 용어를 아무렇게나 사용하는 경향이 있다. 하지만 얼마나 다양한 악성코드(Malware)가 확산되어 있는지 알아야 억제하여 제거할 수 있기 때문에 악성코드 분류를 간소화하는 것이 중요하다. 이 간략한 악성코드 목록은 전문가들과 대화할 때 악성코드 용어를 이해하는데 도움이 될 것이다. 1. 바이러스 대부분의 매체와 일반 최종 사용자는 뉴스에 보도되는 모든 악성코드 프로그램을 컴퓨터 바이러스라고 부른다. 다행히도 대부분의 악성코드 프로그램은 바이러스가 아니다. 컴퓨터 바이러스는 피해자의 파일이 실행되었을 때 바이러스도 실행되어 다른 정상적인 호스트 파일(또는 이에 대한 포인터)을 수정한다. 요즘은 순수한 컴퓨터 바이러스가 흔하지 않으며 전체 악성코드의 10%가 되지 않는다. 좋은 일이다. 바이러스는 다른 파일을 "감염"시키는 유일한 유형의 악성코드이다. 해당 악성코드는 정상적인 프로그램에서 실행해야 하기 때문에 특히 청소하기가 어렵다. 항상 쉽지 않은 일이었고 지금은 거의 불가능에 가깝다. 최고의 백신 프로그램도 이와 관련하여 어려움을 겪고 있으며 많은 경우에 단순히 감염된 파일을 격리하거나 삭제한다. 2. 웜(Worm) 웜은 컴퓨터 바이러스보다 훨씬 오래 전인 메인프레임(Mainframe) 시대부터 있었다. 이메일로 인해 1990년대에 유행했고 컴퓨터 보안 전문가들은 메시지 첨부 파일로 도착하는 악성 웜에 약 10년 동안 시달렸다. 한 사람이 웜에 감염된 이메일을 열면 기업 전체가 즉시 감염되었다. 웜의 감염 특성은 자기 복제이다. 악명 높은 아이러브유(Iloveyou) 웜을 예로 들어보자. 발생 당시에 전 세계의 거의 모든 이메일 사용자가 감염되어 전화 시스템이 (사기 전송 문자 메시지로 인해) 과부하되고 텔레비전 네트워크가 다운되었으며 필자의 석간 신문도 반나절이나 지연되었었다. 이 외에도 SQL 슬래머(SQL Slammer)와 MS 블래스터(MS Blaster) 등의 웜이 컴퓨터 보안 ...

2018.07.27

'안전지대는 없다' 리눅스 위협하는 봇·백도어·트로이목마·악성코드

리눅스는 윈도우에 비해서는 악성코드에 잘 감염되지 않는다. 리눅스 시스템을 공격하는 악성코드 자체가 드물기 때문이다. 하지만 한 번 나타났다 하면 이를 절대 간과해서는 안 된다. 이미 웹의 상당 부분을 오픈소스 운영체제가 차지하고 있으며, 대표적인 인터넷 회사로 구글, 페이스북, 위키피디아 등이 리눅스를 운영한다. 리눅스 파워 서버는 물론, 사물인터넷에서도 점점 더 중요 해지고 있으며, 모든 안드로이드 디바이스는 오픈소스 소프트웨어를 기반으로 하고 있다는 사실은 그다지 중요하지 않다. 이 모든 것이 리눅스 시스템을 해커들에게 공격 대상으로 만들어 준다. 리눅스 데스크톱 환경에 대한 공격은 윈도우보다 상대적으로 희소해 잘 알려지지 않았다. 여기 그동안 발생했던 무시무시한 리눅스 악성코드 감염 사례를 소개한다. 1. 크로스랫 레바논 해킹그룹인 '다크 카라칼(Dark Caracal)'이 개발했으며 룩아웃(Lookout)과 일렉트로닉프론티어 재단(Electronic Frontier Foundation)의 공동 연구 보고서에서 처음 공개된 크로스랫(CrossRAT) 악성코드는 자바 기반 스파이웨어다. 크로스랫은 시스템 파일을 변경하고 스크린샷을 찍을 뿐 아니라 파일을 복사, 이동 또는 읽을 수 있다. 리눅스에서 크로스랫은 /usr/var/mediamgrs.jar에 자신의 사본을 쓰려고 시도하고 가능하지 않으면 자신을 홈 디렉터리에 복사한다. 일단 당신의 컴퓨터에 설치되면 TCP를 통해 명령과 제어 서버를 작동시킨다. 이 악성코드는 감시하는 것처럼 보인다. 윈도우에서 DLL을 실행할 수 있는 곳이 훨씬 더 많았지만 EFF의 샘플은 0.1 버전으로 아직 개발 중이다. 처음 발견되었을 때 몇 가지 악성코드 방지 프로그램만 탐지할 수 있었기 때문에 일부 분석가는 이를 '탐지 불가능'이라고 설명했다. 하지만 사실은 다르다. TWCN이 쓰는 것처럼 리눅스에서는 ~/.config/autostart...

OS 암호화폐 트랜드마이크로 백도어 카스퍼스키랩 비트코인 리눅스 트로이목마 아카마이 우분투 위협 어노니머스 윈도우 시스코 레드햇 나야나

2018.06.22

리눅스는 윈도우에 비해서는 악성코드에 잘 감염되지 않는다. 리눅스 시스템을 공격하는 악성코드 자체가 드물기 때문이다. 하지만 한 번 나타났다 하면 이를 절대 간과해서는 안 된다. 이미 웹의 상당 부분을 오픈소스 운영체제가 차지하고 있으며, 대표적인 인터넷 회사로 구글, 페이스북, 위키피디아 등이 리눅스를 운영한다. 리눅스 파워 서버는 물론, 사물인터넷에서도 점점 더 중요 해지고 있으며, 모든 안드로이드 디바이스는 오픈소스 소프트웨어를 기반으로 하고 있다는 사실은 그다지 중요하지 않다. 이 모든 것이 리눅스 시스템을 해커들에게 공격 대상으로 만들어 준다. 리눅스 데스크톱 환경에 대한 공격은 윈도우보다 상대적으로 희소해 잘 알려지지 않았다. 여기 그동안 발생했던 무시무시한 리눅스 악성코드 감염 사례를 소개한다. 1. 크로스랫 레바논 해킹그룹인 '다크 카라칼(Dark Caracal)'이 개발했으며 룩아웃(Lookout)과 일렉트로닉프론티어 재단(Electronic Frontier Foundation)의 공동 연구 보고서에서 처음 공개된 크로스랫(CrossRAT) 악성코드는 자바 기반 스파이웨어다. 크로스랫은 시스템 파일을 변경하고 스크린샷을 찍을 뿐 아니라 파일을 복사, 이동 또는 읽을 수 있다. 리눅스에서 크로스랫은 /usr/var/mediamgrs.jar에 자신의 사본을 쓰려고 시도하고 가능하지 않으면 자신을 홈 디렉터리에 복사한다. 일단 당신의 컴퓨터에 설치되면 TCP를 통해 명령과 제어 서버를 작동시킨다. 이 악성코드는 감시하는 것처럼 보인다. 윈도우에서 DLL을 실행할 수 있는 곳이 훨씬 더 많았지만 EFF의 샘플은 0.1 버전으로 아직 개발 중이다. 처음 발견되었을 때 몇 가지 악성코드 방지 프로그램만 탐지할 수 있었기 때문에 일부 분석가는 이를 '탐지 불가능'이라고 설명했다. 하지만 사실은 다르다. TWCN이 쓰는 것처럼 리눅스에서는 ~/.config/autostart...

2018.06.22

기고 | APT로 의심되는 5가지 징후

그 어느 때보다 지능형 지속 공격(advanced persistent threat, APT) 해커 및 악성코드가 기승을 부리고 있다. 수법도 더욱 교묘해졌다. APT 전문 해커들은 정부 기관이나 관련 산업에 고용되어 의뢰받은 기업과 타깃 해킹을 생업으로 삼는 이들이다. 후원자의 이해관계에 부합하도록 중요 정보를 캐내거나, 악성코드를 심거나, 타깃 네트워크 및 컴퓨터에 원할 때마다 잠입할 수 있도록 백도어 프로그램을 설치해 두는 등의 작업을 한다. APT 해커들은 대체로 수완이 매우 좋으며 절대 잡히지 않는다는 점에서 사실상 게임의 우위를 점하고 있다. 일반적인 범죄자들이 이와 같은 이점을 누리게 된다면 얼마나 집요하고 악랄하게 범죄 행위를 자행할지 생각해 보라. 그러나 APT 해커는 타깃이 자신의 행위를 바로 알아채지 못하게 매우 주의한다는 점에서 일반 해커와 구분된다. 타깃이 알아채고 경계하는 순간 목표 달성이 훨씬 어려워진다. 가장 뛰어난 해커는 네트워크와 컴퓨터에 잠입하여 필요한 것을 빼내고, 탈출하는 순간까지 들키지 않는 해커다. 그래서 이들의 작업은 대체로 ‘천천히, 은밀히’ 이뤄진다. 타깃이 의심할 만한 수상한 이벤트나 에러 메시지, 트래픽 혼잡, 서비스 방해 등을 야기하지 않기 위해서다. 대부분 APT는 해킹에 커스텀 코드를 사용하지만, 최소한 처음에는 공공연히 알려진 취약점을 노리는 쪽을 선호한다. 그렇게 하면 설령 공격 사실이 들통나더라도 과연 공격자가 APT 해커인지, 아니면 일반적이고 상대적으로 덜 문제가 되는 일반 해커나 악성코드 프로그램인지 식별하기가 어렵기 때문이다. 이처럼 교묘한 APT 해킹이 기승을 부리고 있다면, 과연 내가 APT 공격을 당하고 있는지 아닌지 알 방법은 없는 것일까? APT 알아보기 APT 해커는 일반 해커와 다른 기술을 사용하기 때문에 남기는 흔적도 좀 다르다. 지난 20년 동안 필자는 APT 공격을 받은 기업들이 공통으로 다음의 5가지 특징적 현상을 경험...

CSO 스피어피싱 트로이목마 APT 소셜 엔지니어링 해커 CISO 이메일 해킹 지능형 지속 공격

2018.04.30

그 어느 때보다 지능형 지속 공격(advanced persistent threat, APT) 해커 및 악성코드가 기승을 부리고 있다. 수법도 더욱 교묘해졌다. APT 전문 해커들은 정부 기관이나 관련 산업에 고용되어 의뢰받은 기업과 타깃 해킹을 생업으로 삼는 이들이다. 후원자의 이해관계에 부합하도록 중요 정보를 캐내거나, 악성코드를 심거나, 타깃 네트워크 및 컴퓨터에 원할 때마다 잠입할 수 있도록 백도어 프로그램을 설치해 두는 등의 작업을 한다. APT 해커들은 대체로 수완이 매우 좋으며 절대 잡히지 않는다는 점에서 사실상 게임의 우위를 점하고 있다. 일반적인 범죄자들이 이와 같은 이점을 누리게 된다면 얼마나 집요하고 악랄하게 범죄 행위를 자행할지 생각해 보라. 그러나 APT 해커는 타깃이 자신의 행위를 바로 알아채지 못하게 매우 주의한다는 점에서 일반 해커와 구분된다. 타깃이 알아채고 경계하는 순간 목표 달성이 훨씬 어려워진다. 가장 뛰어난 해커는 네트워크와 컴퓨터에 잠입하여 필요한 것을 빼내고, 탈출하는 순간까지 들키지 않는 해커다. 그래서 이들의 작업은 대체로 ‘천천히, 은밀히’ 이뤄진다. 타깃이 의심할 만한 수상한 이벤트나 에러 메시지, 트래픽 혼잡, 서비스 방해 등을 야기하지 않기 위해서다. 대부분 APT는 해킹에 커스텀 코드를 사용하지만, 최소한 처음에는 공공연히 알려진 취약점을 노리는 쪽을 선호한다. 그렇게 하면 설령 공격 사실이 들통나더라도 과연 공격자가 APT 해커인지, 아니면 일반적이고 상대적으로 덜 문제가 되는 일반 해커나 악성코드 프로그램인지 식별하기가 어렵기 때문이다. 이처럼 교묘한 APT 해킹이 기승을 부리고 있다면, 과연 내가 APT 공격을 당하고 있는지 아닌지 알 방법은 없는 것일까? APT 알아보기 APT 해커는 일반 해커와 다른 기술을 사용하기 때문에 남기는 흔적도 좀 다르다. 지난 20년 동안 필자는 APT 공격을 받은 기업들이 공통으로 다음의 5가지 특징적 현상을 경험...

2018.04.30

추천! 제법 괜찮은 악성코드 방지 툴 9선

악성코드는 바이러스, 스파이웨어, 웜이 아니면서 컴퓨터에 대한 접근 권한을 방해하거나 손상시키는 악의적인 소프트웨어다. 우수한 안티바이러스 제품군은 다양한 위협에서 PC를 보호하고, 조직이 심각한 보안 위험에서 벗어나도록 도와준다. 그러나 신뢰할 수 있는 전용 악성코드 방지 툴을 추가하려면 별도의 보안 레이어가 필요하다. 여기 제법 괜찮은 악성코드 방지 툴을 소개한다. 1. 맬웨어바이트 안티-맬웨어 맬웨어바이트 안티-맬웨어(Malwarebytes Anti-Malware)는 바이러스 백신 제품군이 놓칠 수도 있는 악성코드와 스파이웨어를 탐지하는 데 쓰인다. 이 무료 버전은 안티바이러스 프로그램과 함께 작동해 PC의 메모리, 시작 파일, 파일 시스템을 검사한다. 이는 인터넷 광고, 제 3자 쿠키, 배너 같은 애플리케이션을 차단하는 데도 유용하다. 프리미엄 버전의 평가판은 14일 동안 사용할 수 있으며 PC 스캔을 예약해야 한다. 2. 스파이봇 서치&디스트로이 윈도우에서 사용할 수 있는 스파이봇 서치&디스트로이(SpyBot Search & Destroy)는 악성코드를 차단하고 쿠키를 추적하며 플러그인 내용을 검사한다. 스파이봇은 브라우저, 열린 파일, 쿠키에서 악의적인 콘텐츠를 제거하는 추적 기능이 있다. 또한 다른 사람이 온라인 활동을 모니터링하고 있는지를 감지할 수 있다. 사용자 평을 보면 시스템 검사 및 업데이트 중에 성능 저하에 대해 논란이 있긴 하지만 단일 파일, 공유 폴더, 브라우저 사이트를 검사할 수 있으므로 매번 전체 검사를 수행할 필요가 없다는 점이 장점으로 꼽혔다. 스파이봇은 무료 버전을 제공하지만 바이러스 스캐너는 포함되어 있지 않으므로 별도의 바이러스 백신 프로그램을 실행해야 한다. 3. 비트디펜더 안티바이러스 백신 프리 에디션 비트디펜더 안티바이러스(Bitdefender Antivirus)는 바이러스 백신 보호 기능을 제공하고 사기 및 의심스...

스파이웨어 윈도우 맬리셔스 소프트웨어 리무벌 툴 제마나 BO클린 히트맨 프로 스파이봇 안티-맬웨어 악성코드 방지 코모도 엠시소프트 맬웨어바이트 비트디펜더 트로이목마 윈도우 PC MSRT

2018.02.14

악성코드는 바이러스, 스파이웨어, 웜이 아니면서 컴퓨터에 대한 접근 권한을 방해하거나 손상시키는 악의적인 소프트웨어다. 우수한 안티바이러스 제품군은 다양한 위협에서 PC를 보호하고, 조직이 심각한 보안 위험에서 벗어나도록 도와준다. 그러나 신뢰할 수 있는 전용 악성코드 방지 툴을 추가하려면 별도의 보안 레이어가 필요하다. 여기 제법 괜찮은 악성코드 방지 툴을 소개한다. 1. 맬웨어바이트 안티-맬웨어 맬웨어바이트 안티-맬웨어(Malwarebytes Anti-Malware)는 바이러스 백신 제품군이 놓칠 수도 있는 악성코드와 스파이웨어를 탐지하는 데 쓰인다. 이 무료 버전은 안티바이러스 프로그램과 함께 작동해 PC의 메모리, 시작 파일, 파일 시스템을 검사한다. 이는 인터넷 광고, 제 3자 쿠키, 배너 같은 애플리케이션을 차단하는 데도 유용하다. 프리미엄 버전의 평가판은 14일 동안 사용할 수 있으며 PC 스캔을 예약해야 한다. 2. 스파이봇 서치&디스트로이 윈도우에서 사용할 수 있는 스파이봇 서치&디스트로이(SpyBot Search & Destroy)는 악성코드를 차단하고 쿠키를 추적하며 플러그인 내용을 검사한다. 스파이봇은 브라우저, 열린 파일, 쿠키에서 악의적인 콘텐츠를 제거하는 추적 기능이 있다. 또한 다른 사람이 온라인 활동을 모니터링하고 있는지를 감지할 수 있다. 사용자 평을 보면 시스템 검사 및 업데이트 중에 성능 저하에 대해 논란이 있긴 하지만 단일 파일, 공유 폴더, 브라우저 사이트를 검사할 수 있으므로 매번 전체 검사를 수행할 필요가 없다는 점이 장점으로 꼽혔다. 스파이봇은 무료 버전을 제공하지만 바이러스 스캐너는 포함되어 있지 않으므로 별도의 바이러스 백신 프로그램을 실행해야 한다. 3. 비트디펜더 안티바이러스 백신 프리 에디션 비트디펜더 안티바이러스(Bitdefender Antivirus)는 바이러스 백신 보호 기능을 제공하고 사기 및 의심스...

2018.02.14

온라인 보안을 강화하는 6가지 방법

사이버공격의 위험을 줄이기 위해 온라인 보안을 강화할 방법을 알아보자. 보안이 발전함에 따라 사이버공격의 위험으로부터 고객과 직원을 보호하는 일이 오늘날 CIO의 주된 관심사가 됐다. 성공적인 보안 계획은 민감한 데이터가 악의적인 공격으로 기업이 위험에 빠질 수 있음을 이해하도록 비용, 자원, 목표를 담고 있어야 한다. 2017년 스파이스웍스(Spiceworks) 조사에 따르면, CIO가 기업의 이사회에서 변화에 영향을 미치도록 기업 정보를 안전하게 보호하고 있다는 생각하는 IT전문가는 53%였다. 그렇다면, 온라인 보안을 강화하고 기업이 공격에 취약하지 않도록 하는 방법은 무엇일까? 6가지 방법을 소개한다. 기초부터 시작하라 조직은 방화벽, 안티바이러스, 장비 관리 툴 같은 기본적인 보안 툴을 사용해 악의적인 활동으로부터 기업을 보호할 수 있다. 이 기본 툴은 시장에서 쉽게 구할 수 있으며 네트워크 보안을 보호하는 데 도움이 된다. 방화벽은 악성코드와 해커의 위험으로부터 컴퓨터를 보호하여 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 방어 역할을 한다. 방화벽은 리소스에 대한 접근을 제어한다. 즉, 특정 트래픽만 네트워크에서 허용한다. 데이터나 정보가 네트워크에서 추출되는 경우 방화벽이 의심스러운 활동을 탐지할 수 있다. 활동이 허가되지 않은 경우 방화벽은 접근을 차단할 수 있다. 안티바이러스 소프트웨어는 웜, 트로이목마, 애드웨어 같은 바이러스를 예방, 탐지, 제거할 수 있다. 이 툴은 직원이 웹을 안전하게 탐색할 수 있게 해주기 때문에 기업에서 매우 중요하다. 노턴(Norton), 토털Av(TotalAv), AVG는 악성코드와 스파이웨어로부터 사용자를 보호할 수 있는 훌륭한 안티바이러스 도구다. 장비 관리 툴을 통해 사용자는 네트워크에서 사용되는 연결된 모바일 기기를 감독할 수 있다. 미라도(Miradore), 잼프 나우(Jamf Now), 헥스노드 MDM(Hexnode MDM)은 전자메일 접근...

CIO 애드웨어 트로이목마 방화벽 바이러스 안티바이러스 사이버공격 스파이스웍스 파이어폭스 크롬 맥아피 브라우저

2017.11.06

사이버공격의 위험을 줄이기 위해 온라인 보안을 강화할 방법을 알아보자. 보안이 발전함에 따라 사이버공격의 위험으로부터 고객과 직원을 보호하는 일이 오늘날 CIO의 주된 관심사가 됐다. 성공적인 보안 계획은 민감한 데이터가 악의적인 공격으로 기업이 위험에 빠질 수 있음을 이해하도록 비용, 자원, 목표를 담고 있어야 한다. 2017년 스파이스웍스(Spiceworks) 조사에 따르면, CIO가 기업의 이사회에서 변화에 영향을 미치도록 기업 정보를 안전하게 보호하고 있다는 생각하는 IT전문가는 53%였다. 그렇다면, 온라인 보안을 강화하고 기업이 공격에 취약하지 않도록 하는 방법은 무엇일까? 6가지 방법을 소개한다. 기초부터 시작하라 조직은 방화벽, 안티바이러스, 장비 관리 툴 같은 기본적인 보안 툴을 사용해 악의적인 활동으로부터 기업을 보호할 수 있다. 이 기본 툴은 시장에서 쉽게 구할 수 있으며 네트워크 보안을 보호하는 데 도움이 된다. 방화벽은 악성코드와 해커의 위험으로부터 컴퓨터를 보호하여 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 방어 역할을 한다. 방화벽은 리소스에 대한 접근을 제어한다. 즉, 특정 트래픽만 네트워크에서 허용한다. 데이터나 정보가 네트워크에서 추출되는 경우 방화벽이 의심스러운 활동을 탐지할 수 있다. 활동이 허가되지 않은 경우 방화벽은 접근을 차단할 수 있다. 안티바이러스 소프트웨어는 웜, 트로이목마, 애드웨어 같은 바이러스를 예방, 탐지, 제거할 수 있다. 이 툴은 직원이 웹을 안전하게 탐색할 수 있게 해주기 때문에 기업에서 매우 중요하다. 노턴(Norton), 토털Av(TotalAv), AVG는 악성코드와 스파이웨어로부터 사용자를 보호할 수 있는 훌륭한 안티바이러스 도구다. 장비 관리 툴을 통해 사용자는 네트워크에서 사용되는 연결된 모바일 기기를 감독할 수 있다. 미라도(Miradore), 잼프 나우(Jamf Now), 헥스노드 MDM(Hexnode MDM)은 전자메일 접근...

2017.11.06

카스퍼스키랩, 스위처 트로이목마 출현 보고

카스퍼스키랩이 진화된 형태의 안드로이드 OS 악성 코드인 스위처(Switcher) 트로이목마를 발견했다고 발표했다. 설명에 따르면 이 스위처 트로이목마는 먼저 안드로이드 기기 사용자를 매개체로 삼아 Wi-Fi 라우터를 감염시킨다. 그런 다음 해당 라우터의 DNS 설정을 변경시켜 해당 Wi-Fi 라우터와 연결된 기기를 해커가 제어하는 웹사이트로 트래픽을 교묘하게 접속하게 해 결국 많은 사용자가 피싱이나 악성 코드, 애드웨어와 같은 공격에 노출된다고 업체 측은 설명했다. 현재까지 스위처 트로이목마에 감염된 무선 네트워크는 중국을 중심으로 1,280개에 달하는 것으로 알려져 있다. DNS(Domain Name System)는 ‘x.com’과 같이 읽을 수 있는 문자로 구성된 웹 주소를 숫자로 이뤄진 IP 주소로 변환하는 서비스이다. 스위처 트로이목마가 이 변환 과정에 침투하면 인터넷 트래픽과 같이 주소 변환 시스템을 사용하는 네트워크 활동을 고스란히 장악한다. 일반적으로 무선 라우터는 네트워크 내 모든 기기의 DNS 설정을 자체적으로 재구성하므로 이 같은 공격 방법은 효과적이다. 모든 사용자가 하나의 악성 DNS를 사용할 수밖에 없도록 강제하기 때문이다. 스위처 트로이목마는 주로 사용자들이 해커가 운영하는 웹사이트에서 악성코드를 다운로드하는 방식으로 감염된다. 정상적인 프로그램으로 가장한 이 악성 코드는 두 가지로, 하나는 중국 검색 엔진인 바이두의 안드로이드 클라이언트로 위장한 버전이며 또 하나는 Wi-Fi 네트워크 정보를 공유하는 중국의 유명 앱인 WiFi만능월시를 위조한 버전이다. 감염된 기기가 무선 네트워크와 연결되고 나면, 스위처 트로이목마는 라우터를 공격하고 사전에 정의된 암호 목록과 로그인 조합을 무작위로 대입해 라우터의 관리자 인터페이스로 침투하려는 시도를 한다. 침투 시도가 성공하면 기존 DNS 서버를 해커 조직에서 제어하는 악성 DNS로 교체하고, 메인 DNS가 다운될 경우에 대비해 보조 DNS까지 마련해...

트로이목마 카스퍼스키랩

2017.01.05

카스퍼스키랩이 진화된 형태의 안드로이드 OS 악성 코드인 스위처(Switcher) 트로이목마를 발견했다고 발표했다. 설명에 따르면 이 스위처 트로이목마는 먼저 안드로이드 기기 사용자를 매개체로 삼아 Wi-Fi 라우터를 감염시킨다. 그런 다음 해당 라우터의 DNS 설정을 변경시켜 해당 Wi-Fi 라우터와 연결된 기기를 해커가 제어하는 웹사이트로 트래픽을 교묘하게 접속하게 해 결국 많은 사용자가 피싱이나 악성 코드, 애드웨어와 같은 공격에 노출된다고 업체 측은 설명했다. 현재까지 스위처 트로이목마에 감염된 무선 네트워크는 중국을 중심으로 1,280개에 달하는 것으로 알려져 있다. DNS(Domain Name System)는 ‘x.com’과 같이 읽을 수 있는 문자로 구성된 웹 주소를 숫자로 이뤄진 IP 주소로 변환하는 서비스이다. 스위처 트로이목마가 이 변환 과정에 침투하면 인터넷 트래픽과 같이 주소 변환 시스템을 사용하는 네트워크 활동을 고스란히 장악한다. 일반적으로 무선 라우터는 네트워크 내 모든 기기의 DNS 설정을 자체적으로 재구성하므로 이 같은 공격 방법은 효과적이다. 모든 사용자가 하나의 악성 DNS를 사용할 수밖에 없도록 강제하기 때문이다. 스위처 트로이목마는 주로 사용자들이 해커가 운영하는 웹사이트에서 악성코드를 다운로드하는 방식으로 감염된다. 정상적인 프로그램으로 가장한 이 악성 코드는 두 가지로, 하나는 중국 검색 엔진인 바이두의 안드로이드 클라이언트로 위장한 버전이며 또 하나는 Wi-Fi 네트워크 정보를 공유하는 중국의 유명 앱인 WiFi만능월시를 위조한 버전이다. 감염된 기기가 무선 네트워크와 연결되고 나면, 스위처 트로이목마는 라우터를 공격하고 사전에 정의된 암호 목록과 로그인 조합을 무작위로 대입해 라우터의 관리자 인터페이스로 침투하려는 시도를 한다. 침투 시도가 성공하면 기존 DNS 서버를 해커 조직에서 제어하는 악성 DNS로 교체하고, 메인 DNS가 다운될 경우에 대비해 보조 DNS까지 마련해...

2017.01.05

시만텍, 금융 관련 트로이목마 '드라이덱스' 확산 경고

시만텍이 금융 정보를 수집하는 트로이목마 ‘드라이덱스(Dridex)’가 매일 수 백만 건의 스팸 메일을 통해 대규모 확산되고 있다며 사용자의 각별한 주의를 당부했다. 회사에 따르면 금융 정보 탈취가 주목적인 드라이덱스(W.32.Cridex)는 현재 활동 중인 금융 관련 트로이목마 중에서 가장 위험한 유형에 속하며, 전세계 40여개 지역의 300여 기업의 고객을 타깃으로 하고 있다. 2015년 ‘다이어(Dyre)’와 함께 가장 맹위를 떨친 금융 트로이목마인 드라이덱스는 특히 대규모 스팸 캠페인을 통해 확산되고 있어 위험도가 높다. 시만텍의 분석 보고서에 따르면, 10주 기준으로 최소 145건의 드라이덱스 스팸 공격 캠페인이 발견됐다. 공격 한 건 당 시만텍이 차단한 메일은 평균 27만1,019건으로, 이는 하루에만 발송되는 스팸 메일이 수 백만 건에 달한다는 것을 보여준다. 드라이덱스 공격자들은 지속적으로 악성코드를 강화하고, 적법한 이메일로 위장하기 위해 다양한 방법을 사용하고 있다. 실제 드라이덱스 스팸 공격의 74%는 발신인 주소뿐만 아니라, 이메일 본문에도 실제 기업명을 빈번하게 노출시켰다. 또한, 대다수의 스팸 공격이 인보이스, 영수증, 주문서 등과 같은 금융 관련 이메일로 위장해 피해자들을 속였다. 시만텍은 지난 한 해동안 다양한 지역에서 드라이덱스 감염이 탐지됐다고 밝혔다. 특히 미국, 영국, 호주와 같은 영어권 국가의 은행 고객을 표적으로 삼고, 영어로 된 스팸 공격 건수가 많아 해당 지역에서 높은 감염률을 보였다. 이러한 영어권 국가 외에도, 유럽 및 아시아태평양 지역의 국가들도 공격자들의 타깃이 되고 있었다. 한국에서도 감염 사례가 보고되었다. 현재도 활발한 드라이덱스 공격의 활동 수준을 볼 때, 그 배후에는 대규모 사이버 범죄 집단이 있는 것으로 파악된다. 미 법무부는 동유럽의 몰도바와 그 외 지역에 있는 범죄자들이 드라이덱스 봇넷을 운영하고 있다고 밝혔다. 2015년 10...

시만텍 트로이목마

2016.03.07

시만텍이 금융 정보를 수집하는 트로이목마 ‘드라이덱스(Dridex)’가 매일 수 백만 건의 스팸 메일을 통해 대규모 확산되고 있다며 사용자의 각별한 주의를 당부했다. 회사에 따르면 금융 정보 탈취가 주목적인 드라이덱스(W.32.Cridex)는 현재 활동 중인 금융 관련 트로이목마 중에서 가장 위험한 유형에 속하며, 전세계 40여개 지역의 300여 기업의 고객을 타깃으로 하고 있다. 2015년 ‘다이어(Dyre)’와 함께 가장 맹위를 떨친 금융 트로이목마인 드라이덱스는 특히 대규모 스팸 캠페인을 통해 확산되고 있어 위험도가 높다. 시만텍의 분석 보고서에 따르면, 10주 기준으로 최소 145건의 드라이덱스 스팸 공격 캠페인이 발견됐다. 공격 한 건 당 시만텍이 차단한 메일은 평균 27만1,019건으로, 이는 하루에만 발송되는 스팸 메일이 수 백만 건에 달한다는 것을 보여준다. 드라이덱스 공격자들은 지속적으로 악성코드를 강화하고, 적법한 이메일로 위장하기 위해 다양한 방법을 사용하고 있다. 실제 드라이덱스 스팸 공격의 74%는 발신인 주소뿐만 아니라, 이메일 본문에도 실제 기업명을 빈번하게 노출시켰다. 또한, 대다수의 스팸 공격이 인보이스, 영수증, 주문서 등과 같은 금융 관련 이메일로 위장해 피해자들을 속였다. 시만텍은 지난 한 해동안 다양한 지역에서 드라이덱스 감염이 탐지됐다고 밝혔다. 특히 미국, 영국, 호주와 같은 영어권 국가의 은행 고객을 표적으로 삼고, 영어로 된 스팸 공격 건수가 많아 해당 지역에서 높은 감염률을 보였다. 이러한 영어권 국가 외에도, 유럽 및 아시아태평양 지역의 국가들도 공격자들의 타깃이 되고 있었다. 한국에서도 감염 사례가 보고되었다. 현재도 활발한 드라이덱스 공격의 활동 수준을 볼 때, 그 배후에는 대규모 사이버 범죄 집단이 있는 것으로 파악된다. 미 법무부는 동유럽의 몰도바와 그 외 지역에 있는 범죄자들이 드라이덱스 봇넷을 운영하고 있다고 밝혔다. 2015년 10...

2016.03.07

역대 악성코드의 27%, 2015년에 만들어졌다

2015년은 악성코드의 해라고 할 만큼 기록적인 수치를 보였다. 판다시큐리티(Panda Security)의 한 보고서에 따르면, 2015년에 8,400만 개 이상의 새로운 악성코드 샘플이 수집됐다. 판다시큐리티의 판다랩스 기술책임 루이 콜론스는 "이런 수치는 하루 평균 약 23만 개의 새로운 악성코드 샘플들이 만들어진 것으로, 지금껏 출현한 모든 악성코드 가운데 27%가 지난해에 만들어진 것"이라고 밝혔다. 주요 악성코드 가운데 트로이목마(51.45%)가 1위를 유지했으며, 뒤를 이어 바이러스(22.79%), 웜(13.22%), 애드웨어와 같은 원하지 않는 프로그램(10.71%), 스파이웨어(1.83%) 순이었다.  콜론스에 따르면, 다수의 악성코드 변종이 급증하고 있는 반면, 안티바이러스 소프트웨어도 탐지, 방어 기술이 나날이 증가하고 있다. 콜론스는 "요즘 공격자들은 방어 시스템에게 다르게 보이는 악성코드를 좀더 빠르게 변형할 수 있는 자동화된 소프트웨어를 갖고 있다"고 말했다. "이로 인해 감염된 웹사이트는 접속한 사용자들은 조금씩 다른 버전의 트로이 목마에 감염된다"고 설명했다. 17년 전, 그가 처음 악성코드를 연구할 때 공격자들은 하루당 100개의 새로운 변형 악성코드를 보았다. 콜론스는 "당시 우리는 이를 미쳤다고 생각했다. 연구소 내 모든 프로세스들이 꽤나 수동적였기 때문에 그것도 미친 짓이었다"고 말했다. 콜론스는 "그러나 방어자들은 좀더 나아지고 있다. 예를 들어, 판다랩스는 이전에 본 적이 없는 파일을 보고 있다면 그것은 추가적인 정밀조사를 해야 하는 지표가 된다. 이는 클라우드 기술의 급속한 확산으로 가능해졌다"고 설명했다. "우리가 지금껏 본적이 없었던 새로운 파일을 본다는 것은 이 파일이 세상 어느 곳에서도 본적이 없던 것을 보는 것"이라고 말했다. 게다가 안티바이러스 개발업체들은 악성코드 샘플...

해킹 스파이웨어 악성코드 안티바이러스 바이러스 트로이목마 애드웨어

2016.02.02

2015년은 악성코드의 해라고 할 만큼 기록적인 수치를 보였다. 판다시큐리티(Panda Security)의 한 보고서에 따르면, 2015년에 8,400만 개 이상의 새로운 악성코드 샘플이 수집됐다. 판다시큐리티의 판다랩스 기술책임 루이 콜론스는 "이런 수치는 하루 평균 약 23만 개의 새로운 악성코드 샘플들이 만들어진 것으로, 지금껏 출현한 모든 악성코드 가운데 27%가 지난해에 만들어진 것"이라고 밝혔다. 주요 악성코드 가운데 트로이목마(51.45%)가 1위를 유지했으며, 뒤를 이어 바이러스(22.79%), 웜(13.22%), 애드웨어와 같은 원하지 않는 프로그램(10.71%), 스파이웨어(1.83%) 순이었다.  콜론스에 따르면, 다수의 악성코드 변종이 급증하고 있는 반면, 안티바이러스 소프트웨어도 탐지, 방어 기술이 나날이 증가하고 있다. 콜론스는 "요즘 공격자들은 방어 시스템에게 다르게 보이는 악성코드를 좀더 빠르게 변형할 수 있는 자동화된 소프트웨어를 갖고 있다"고 말했다. "이로 인해 감염된 웹사이트는 접속한 사용자들은 조금씩 다른 버전의 트로이 목마에 감염된다"고 설명했다. 17년 전, 그가 처음 악성코드를 연구할 때 공격자들은 하루당 100개의 새로운 변형 악성코드를 보았다. 콜론스는 "당시 우리는 이를 미쳤다고 생각했다. 연구소 내 모든 프로세스들이 꽤나 수동적였기 때문에 그것도 미친 짓이었다"고 말했다. 콜론스는 "그러나 방어자들은 좀더 나아지고 있다. 예를 들어, 판다랩스는 이전에 본 적이 없는 파일을 보고 있다면 그것은 추가적인 정밀조사를 해야 하는 지표가 된다. 이는 클라우드 기술의 급속한 확산으로 가능해졌다"고 설명했다. "우리가 지금껏 본적이 없었던 새로운 파일을 본다는 것은 이 파일이 세상 어느 곳에서도 본적이 없던 것을 보는 것"이라고 말했다. 게다가 안티바이러스 개발업체들은 악성코드 샘플...

2016.02.02

'써드파티 앱스토어가 위험하다' 트로이목마 감염된 안드로이드 앱 발견

공격자들은 기기의 보안을 침해하지만 완전히 제거하기 어려운 인기 있는 안드로이드 애플리케이션의 잘못된 버전을 만들고 있다.  이미지 출처 : Martyn Williams 가장 인기 있는 안드로이드 앱과 닮은 악성코드가 애드웨어를 설치하는데 쓰이는 것으로 조사됐다. 모바일 보안 업체 룩아웃(Lookout)의 연구원들이 트로이 목마에 감염된 애플리케이션 2만 개 이상의 샘플을 발견했다. 이 앱들은 악성코드를 추가한 것들이 아니라 캔디 크래시, 페이스북, 구글 나우, NY타임스, 옥타(Okta), 스탭챗, 트윗터, 왓츠앱 같은 인기 있는 안드로이드 앱의 기능을 그대로 복사한 것들이다. 이러한 앱들의 목적은 적극적으로 기기에 광고를 표시하는 것이다. 그러나 전통적인 애드웨어와는 달리, 이 앱들은 사용자가 제거하지 못하는 곳에 설치 돼 있는 기기에 뿌리를 두고 있다. 안드로이드 기기에서 루팅은 관리자 권한을 얻은 과정을 의미한다. 루트 권한을 가진 앱은 제한된 샌드박스에서 벗어나 기기 전체 앱과 데이터를 통제할 수 있다.   한가지 다행인 것은 이러한 트로이목마 프로그램이 주로 써드파티 앱스토어를 통해 배포되기 때문에 구글 플레이에서만 앱을 다운로드하는 사용자들은 직접 위험하지 않다는 것이다.  하지만 사용자들이 써드파티 앱스토어를 이용하는 데에는 그럴만한 이유가 있다. 종종 구글 플레이에서 허용되지 않는 앱이 있고 이 앱들이 다양한 용어를 충족시킬 수 없기 때문이다. 대표적인 2가지 바로 온라인 도박과 포르노 앱이다. 룩아웃은 미국, 독일, 이란, 러시아, 인도, 자메이카, 수단, 브라질, 멕시코, 인도네시아 등의 국가에서 트로이목마에 감염된 애플리케이션 수가 최고치를 기록했다고 밝혔다. ciokr@idg.co.kr

안드로이드 조사 악성코드 트로이목마 애드웨어 감염 룩아웃

2015.11.05

공격자들은 기기의 보안을 침해하지만 완전히 제거하기 어려운 인기 있는 안드로이드 애플리케이션의 잘못된 버전을 만들고 있다.  이미지 출처 : Martyn Williams 가장 인기 있는 안드로이드 앱과 닮은 악성코드가 애드웨어를 설치하는데 쓰이는 것으로 조사됐다. 모바일 보안 업체 룩아웃(Lookout)의 연구원들이 트로이 목마에 감염된 애플리케이션 2만 개 이상의 샘플을 발견했다. 이 앱들은 악성코드를 추가한 것들이 아니라 캔디 크래시, 페이스북, 구글 나우, NY타임스, 옥타(Okta), 스탭챗, 트윗터, 왓츠앱 같은 인기 있는 안드로이드 앱의 기능을 그대로 복사한 것들이다. 이러한 앱들의 목적은 적극적으로 기기에 광고를 표시하는 것이다. 그러나 전통적인 애드웨어와는 달리, 이 앱들은 사용자가 제거하지 못하는 곳에 설치 돼 있는 기기에 뿌리를 두고 있다. 안드로이드 기기에서 루팅은 관리자 권한을 얻은 과정을 의미한다. 루트 권한을 가진 앱은 제한된 샌드박스에서 벗어나 기기 전체 앱과 데이터를 통제할 수 있다.   한가지 다행인 것은 이러한 트로이목마 프로그램이 주로 써드파티 앱스토어를 통해 배포되기 때문에 구글 플레이에서만 앱을 다운로드하는 사용자들은 직접 위험하지 않다는 것이다.  하지만 사용자들이 써드파티 앱스토어를 이용하는 데에는 그럴만한 이유가 있다. 종종 구글 플레이에서 허용되지 않는 앱이 있고 이 앱들이 다양한 용어를 충족시킬 수 없기 때문이다. 대표적인 2가지 바로 온라인 도박과 포르노 앱이다. 룩아웃은 미국, 독일, 이란, 러시아, 인도, 자메이카, 수단, 브라질, 멕시코, 인도네시아 등의 국가에서 트로이목마에 감염된 애플리케이션 수가 최고치를 기록했다고 밝혔다. ciokr@idg.co.kr

2015.11.05

시만텍, 한국 겨냥한 신종 트로이목마 확산 경고

시만텍이 최근 한국 기업을 겨냥한 신종 백도어 트로이목마 ‘듀저(Duuzer)’를 발견, 국내 이용자의 각별한 주의를 당부했다. 듀저는 웜(worm) 바이러스 ‘브램블(Brambul)’과 백도어 트로이목마 ‘조납(Joanap)’과 같이 한국을 겨냥한 악성코드들과 연관성이 있는 것으로 분석됐다. 시만텍 보안위협대응센터(Symantec Security Response)에 따르면, ‘백도어·듀저(Backdoor.Duuzer)’ 악성코드는 표적 공격에 이용되는 위협으로서 주로 스피어 피싱(spear-phishing) 이메일이나 워터링홀(watering-hole) 공격을 통해 확산되는 것으로 추정된다. 현재까지의 분석에 따르면, 이 악성코드는 한국 기업 및 기관을 주로 겨냥해 컴퓨터를 완전 장악하고 데이터를 탈취하는 것으로 밝혀졌다. 듀저 트로이목마 악성코드는 32비트와 64비트 컴퓨터에서 모두 작동하며, 일단 컴퓨터를 감염시키면, 컴퓨터의 백도어를 통해 ▲시스템 및 드라이브 정보 수집 ▲프로세스 생성, 나열 및 종료 ▲파일 접근, 변경 및 삭제 ▲파일 업로드 및 다운로드 ▲파일의 시간 속성 변경 ▲명령어 실행 등 거의 모든 작업을 수행할 수 있다. 시만텍의 분석 결과, 듀저 공격자들은 악성코드의 이름을 컴퓨터에 설치돼 있는 합법적인 소프트웨어와 비슷하게 변경해 감염을 은닉하는 것으로 나타났다. 시만텍은 듀저 공격자들은 경험이 많고, 보안 전문가의 분석 기법에 대해 잘 알고 있는 것으로 예상된다며, 표적 대상 기업의 컴퓨터에서 중요한 정보를 탈취하려는 의도를 가진 것 같다고 밝혔다. 또한, 듀저 공격자들은 더 많은 한국기업들을 공격하기 위해 웜 바이러스 ‘브램블’과 백도어 트로이목마 ‘조납’도 함께 활용한 것으로 나타났다. 브램블에 감염된 컴퓨터중 일부는 듀저에도 감염됐으며, 듀저 공격의 C&C 서버로...

시만텍 트로이목마

2015.10.27

시만텍이 최근 한국 기업을 겨냥한 신종 백도어 트로이목마 ‘듀저(Duuzer)’를 발견, 국내 이용자의 각별한 주의를 당부했다. 듀저는 웜(worm) 바이러스 ‘브램블(Brambul)’과 백도어 트로이목마 ‘조납(Joanap)’과 같이 한국을 겨냥한 악성코드들과 연관성이 있는 것으로 분석됐다. 시만텍 보안위협대응센터(Symantec Security Response)에 따르면, ‘백도어·듀저(Backdoor.Duuzer)’ 악성코드는 표적 공격에 이용되는 위협으로서 주로 스피어 피싱(spear-phishing) 이메일이나 워터링홀(watering-hole) 공격을 통해 확산되는 것으로 추정된다. 현재까지의 분석에 따르면, 이 악성코드는 한국 기업 및 기관을 주로 겨냥해 컴퓨터를 완전 장악하고 데이터를 탈취하는 것으로 밝혀졌다. 듀저 트로이목마 악성코드는 32비트와 64비트 컴퓨터에서 모두 작동하며, 일단 컴퓨터를 감염시키면, 컴퓨터의 백도어를 통해 ▲시스템 및 드라이브 정보 수집 ▲프로세스 생성, 나열 및 종료 ▲파일 접근, 변경 및 삭제 ▲파일 업로드 및 다운로드 ▲파일의 시간 속성 변경 ▲명령어 실행 등 거의 모든 작업을 수행할 수 있다. 시만텍의 분석 결과, 듀저 공격자들은 악성코드의 이름을 컴퓨터에 설치돼 있는 합법적인 소프트웨어와 비슷하게 변경해 감염을 은닉하는 것으로 나타났다. 시만텍은 듀저 공격자들은 경험이 많고, 보안 전문가의 분석 기법에 대해 잘 알고 있는 것으로 예상된다며, 표적 대상 기업의 컴퓨터에서 중요한 정보를 탈취하려는 의도를 가진 것 같다고 밝혔다. 또한, 듀저 공격자들은 더 많은 한국기업들을 공격하기 위해 웜 바이러스 ‘브램블’과 백도어 트로이목마 ‘조납’도 함께 활용한 것으로 나타났다. 브램블에 감염된 컴퓨터중 일부는 듀저에도 감염됐으며, 듀저 공격의 C&C 서버로...

2015.10.27

괴물급 뱅킹 트로이목마 등장… 제우스와 카버프 특장점 조합

전세계 450여 금융기관 사용자를 노리는 새로운 트로이목마 프로그램이 등장해 관심을 끌고 있다. 이번에 발견된 트로이목마는 특히 최악의 악성 코드로 평가되는 제우스(Zeus)와 카버프(Carberp)의 기능과 특징을 그대로 가져온 것으로 알려졌다. IBM의 보안전문 자회사 트러스티어(Trusteer)의 연구원들이 ‘지버프(Zberp)’라 이름 붙인 새로운 트로이목마는 폭넓은 기능을 가지고 있는 것이 특징이다. 주요 기능은 감염된 컴퓨터로부터 IP주소에서 이름까지 다양한 정보를 모으고, 화면을 캡처해 이를 원격 서버로 업로드하고, FTP와 POP3 인증서를 훔치고, 웹 양식에 SSL 인증 및 정보를 입력하고, 브라우징 세션을 가로채 개방된 웹 사이트에 로그 콘텐츠를 삽입하고, VNC와 RDP 프로토콜을 사용해 로그 원격 데스크톱 연결을 개시하는 등이다. 트러스티어의 연구원들은 지버프를 최근 널리 사용되고 있는 제우스의 수정본 중 하나인 제우스VM의 변종으로 보고 있다. 제우스 트로이목마는 지난 2011년 다크웹 포럼에 소스코드가 유출되면서 수정본들이 대거 등장했다. 제우스VM은 지난 2월에 발견됐는데, 제작자가 이미지 내에 설정 데이터를 숨기는 스테가노그래피(Steganography) 기법을 사용하는 것으로 다른 제우스 기반 악성코드 중에서 특히 주목을 받았다. 지버퍼의 제작자도 동일한 기법을 사용하는데, 이를 통해 안티맬웨어 프로그램의 탐지를 피하고, 애플 로고 모양의 이미지에 내장된 설정 업데이트를 전송한다. 새로운 악성 코드는 여기에 카버프에서 빌려온 것을 보이는 유인 기법을 사용해 브라우저를 조정하는 기능도 갖추고 있다. 온라인 뱅킹 사기용으로 만들어진 카버프는 지난 해 소스코드가 유출됐다. 트러스티어의 연구원 마틴 코만과 탈 다르산은 블로그 포스트를 통해 “카버프의 소스코드가 웹에 유출됐기 때문에 해커들이 카버프와 제우스의 코드를 조합해 더 악독한 것을 만드는 데 오래 걸리지 않을 것이라고 예상했다&...

제우스 트로이목마 봇넷 트러스티어 지버프 카버프

2014.05.27

전세계 450여 금융기관 사용자를 노리는 새로운 트로이목마 프로그램이 등장해 관심을 끌고 있다. 이번에 발견된 트로이목마는 특히 최악의 악성 코드로 평가되는 제우스(Zeus)와 카버프(Carberp)의 기능과 특징을 그대로 가져온 것으로 알려졌다. IBM의 보안전문 자회사 트러스티어(Trusteer)의 연구원들이 ‘지버프(Zberp)’라 이름 붙인 새로운 트로이목마는 폭넓은 기능을 가지고 있는 것이 특징이다. 주요 기능은 감염된 컴퓨터로부터 IP주소에서 이름까지 다양한 정보를 모으고, 화면을 캡처해 이를 원격 서버로 업로드하고, FTP와 POP3 인증서를 훔치고, 웹 양식에 SSL 인증 및 정보를 입력하고, 브라우징 세션을 가로채 개방된 웹 사이트에 로그 콘텐츠를 삽입하고, VNC와 RDP 프로토콜을 사용해 로그 원격 데스크톱 연결을 개시하는 등이다. 트러스티어의 연구원들은 지버프를 최근 널리 사용되고 있는 제우스의 수정본 중 하나인 제우스VM의 변종으로 보고 있다. 제우스 트로이목마는 지난 2011년 다크웹 포럼에 소스코드가 유출되면서 수정본들이 대거 등장했다. 제우스VM은 지난 2월에 발견됐는데, 제작자가 이미지 내에 설정 데이터를 숨기는 스테가노그래피(Steganography) 기법을 사용하는 것으로 다른 제우스 기반 악성코드 중에서 특히 주목을 받았다. 지버퍼의 제작자도 동일한 기법을 사용하는데, 이를 통해 안티맬웨어 프로그램의 탐지를 피하고, 애플 로고 모양의 이미지에 내장된 설정 업데이트를 전송한다. 새로운 악성 코드는 여기에 카버프에서 빌려온 것을 보이는 유인 기법을 사용해 브라우저를 조정하는 기능도 갖추고 있다. 온라인 뱅킹 사기용으로 만들어진 카버프는 지난 해 소스코드가 유출됐다. 트러스티어의 연구원 마틴 코만과 탈 다르산은 블로그 포스트를 통해 “카버프의 소스코드가 웹에 유출됐기 때문에 해커들이 카버프와 제우스의 코드를 조합해 더 악독한 것을 만드는 데 오래 걸리지 않을 것이라고 예상했다&...

2014.05.27

"두큐 작성 툴은?" 카스퍼스키 랩, 커뮤니티에 도움 요청

카스퍼스키랩의 악성 프로그램 전문가들이 프로그래밍 커뮤니티에 도움을 요청했다. 두큐 트로이목마 바이러스의 핵심부를 작성하는 데 사용된 프로그래밍 언어와 컴파일러 또는 프레임워크를 밝혀 달라는 것. 카스퍼스키랩은 이를 통해 두큐를 누가 왜 만들었는가를 알아낼 수 있을 것으로 보고 있다.   카스퍼스키의 최고 맬웨어 전문가인 비탈리 캄룩은 “두큐를 검사했을 때 전혀 알 수 없는 것으로 보였고, 이런 매우 맞춤형으로 만들어진 것이 개발되고 사용되는 이유가 불분명하다는 점에서 매우 흥미로웠다”라고 설명했다.   악성 프로그램이 어떻게 만들어졌는지를 이해하는 것은 다음에는 어떤 식으로 변화할 것인지, 개발에 얼마나 많은 자원이 투여됐는지 등의 파악하는 결정적인 단서가 된다.   두큐의 일부인 실행 DLL은 표준 C++로 작성됐지만, 나머지 대부분은 다른 언어로 개발된 것이다. 카스퍼스키의 전문가 이고르 수멘코프는 이 낯선 코드의 특징에 대해 “이 부분은 C++ 소스로 컴파일하지 않았다. 표준 C++은 물론 다른 사용자 작성 C++ 함수에 대한 어떤 참고도 포함하지 않고 있다. 분명한 것은 객체 지향 언어라는 점 뿐”이라고 설명했다.   카스퍼스키의 연구원들은 이 부분을 “두큐 프레임워크”라고 부르며, 전혀 다른 프로그래밍 팀이 만들었을 것으로 보고 있다. 다른 부분은 스턱스넷에서 직접 가져와 사용했음에도 불구하고, 이 부분만은 스턱스넷에도 존재하지 않는다.    수멘코프는 “이 알 수 없는 프로그래밍 언어는 분명히 C++, 오브젝티브C, 자바, 파이썬, 아다, 루아 등 우리가 이미 점검한 언어가 아니다”라며, 카스퍼스키의 연구팀이 이 코드 분석에 무수한 시간을 투여했다고 강조했다.    카스퍼스키 연구원들은 이 코드에 대해 외부 ...

개발 카스퍼스키 스턱스넷 두쿠 트로이목마

2012.03.12

카스퍼스키랩의 악성 프로그램 전문가들이 프로그래밍 커뮤니티에 도움을 요청했다. 두큐 트로이목마 바이러스의 핵심부를 작성하는 데 사용된 프로그래밍 언어와 컴파일러 또는 프레임워크를 밝혀 달라는 것. 카스퍼스키랩은 이를 통해 두큐를 누가 왜 만들었는가를 알아낼 수 있을 것으로 보고 있다.   카스퍼스키의 최고 맬웨어 전문가인 비탈리 캄룩은 “두큐를 검사했을 때 전혀 알 수 없는 것으로 보였고, 이런 매우 맞춤형으로 만들어진 것이 개발되고 사용되는 이유가 불분명하다는 점에서 매우 흥미로웠다”라고 설명했다.   악성 프로그램이 어떻게 만들어졌는지를 이해하는 것은 다음에는 어떤 식으로 변화할 것인지, 개발에 얼마나 많은 자원이 투여됐는지 등의 파악하는 결정적인 단서가 된다.   두큐의 일부인 실행 DLL은 표준 C++로 작성됐지만, 나머지 대부분은 다른 언어로 개발된 것이다. 카스퍼스키의 전문가 이고르 수멘코프는 이 낯선 코드의 특징에 대해 “이 부분은 C++ 소스로 컴파일하지 않았다. 표준 C++은 물론 다른 사용자 작성 C++ 함수에 대한 어떤 참고도 포함하지 않고 있다. 분명한 것은 객체 지향 언어라는 점 뿐”이라고 설명했다.   카스퍼스키의 연구원들은 이 부분을 “두큐 프레임워크”라고 부르며, 전혀 다른 프로그래밍 팀이 만들었을 것으로 보고 있다. 다른 부분은 스턱스넷에서 직접 가져와 사용했음에도 불구하고, 이 부분만은 스턱스넷에도 존재하지 않는다.    수멘코프는 “이 알 수 없는 프로그래밍 언어는 분명히 C++, 오브젝티브C, 자바, 파이썬, 아다, 루아 등 우리가 이미 점검한 언어가 아니다”라며, 카스퍼스키의 연구팀이 이 코드 분석에 무수한 시간을 투여했다고 강조했다.    카스퍼스키 연구원들은 이 코드에 대해 외부 ...

2012.03.12

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9