'V3'에 해당되는 글 164건
- 스티브 잡스 사망 관련 악성코드 주의보 (17) | 2011/10/09
- 윈도우 사용 인증으로 위장한 랜섬웨어 (8) | 2011/09/19
- EMC/RSA 침해 사고 유발한 타깃 공격 이메일 발견 (6) | 2011/08/29
- 망분리 솔루션 ‘트러스존’ CC인증 획득 (4) | 2011/08/26
- 제우스 봇 소스코드로 기반으로 제작된 아이스 IX 봇 (7) | 2011/08/25
- 안철수연구소, “스마트폰 악성코드 급증” (2) | 2011/08/12
- 다양한 조직을 대상으로한 오퍼레이션 Shady RAT 침해 사고 (1) | 2011/08/09
- 신용 카드 결제 오류 메일로 위장한 악성코드 유포 (1) | 2011/08/01
- 러시아에서 제작된 랜섬웨어 생성기 (4) | 2011/07/25
- 안철수연구소, 스마트폰 보안 신기술 특허 획득 (5) | 2011/07/20
스티브 잡스 사망 관련 악성코드 주의보 :: 2011/10/09 13:46
- 메일에 링크된 주소 클릭하면 악성코드 다운로드..USB로 2차 전파
- 서버 주소, 계정, 암호 외부 전송..중요 자료 유출 등 피해
글로벌 통합보안 기업인 안철수연구소[대표 김홍선, www.ahnlab.com, 약칭 안랩]는 7일 스티브 잡스의 사망을 악용한 악성코드가 처음 발견돼 V3 제품군을 긴급 업데이트했다고 밝혔다.
이 악성코드는 스팸성 메일을 통해 유포되며, 메일 제목은 ‘Steve Jobs Alive!’ ‘Steve Jobs Not Dead!’ ‘Steve Jobs: Not Dead Yet!’ ‘Is Steve Jobs Really Dead?’ 중 하나이다. 본문에는 인터넷 주소[http://john******.com/pack.html]가 포함되어 있다. 이 웹페이지에는 보안 취약점이 존재하여 취약점이 있는 웹 브라우저로 접속하면 worms.jar 파일이 다운로드 및 실행된다. worms.jar 파일은 같은 메일을 대량 발송하며, 다른 악성코드들을 다운로드하는 기능이 있다.
또한 감염된 컴퓨터에 USB가 연결되어 있으면 보안 취약점[MS10-046[CVE-2010-2568]]을 악용하는 바로가기 파일[*.lnk]과 자신의 복사본을 생성한다. 보안 패치가 되지 않은 다른 컴퓨터에 USB를 연결해 바로가기 파일을 윈도우 탐색기로 보면 악성코드에 감염된다. 이 악성코드는 감염된 컴퓨터에서 FTP[파일전송프로토콜] 서버의 주소, ID, 비밀번호를 수집해 외부로 전송하는 기능을 갖고 있다.
기업의 경우 FTP 서버는 중요 파일이나 데이터를 보관하는 서버이므로, 계정이 유출되면 중요 자료가 유출될 수 있다. 또한 이렇게 유출된 데이터는 악성코드 유포 등 다른 보안 위협에 악용될 수 있다. 실제로 인터넷 상에는 유출된 FTP 서버 정보가 암거래되기도 하는 것으로 알려져 있다.
안철수연구소 이호웅 시큐리티대응센터[ASEC]장은 "마이클 잭슨 사망 등 유명인의 사건 사고에는 어김없이 관련 악성코드가 등장한다. 사회적으로 이목이 집중되는 사안을 이용해 악성코드를 유포하기 위함이다. 이메일에 첨부된 파일이나 링크 주소를 함부로 열지 말고 보안 프로그램을 항상 최신 버전으로 유지하는 한편 실시간 감시 기능을 사용해야 안전하다.”라고 강조했다.
<이메일로 유포되는 악성코드 예방법>
1. 잘 모르는 사람이 보낸 메일은 가급적 열지 말고 삭제한다.
2. 이메일에 첨부된 파일은 바로 실행하지 말고 최신 엔진의 통합백신으로 검사한 후 실행한다.
3. 이메일에 존재하는 의심스런 웹사이트 링크를 함부로 클릭하지 않는다.
4. 안티 스팸 솔루션을 설치해 스팸 및 악의적인 이메일의 수신을 최소화한다.
5. V3 같은 통합백신을 설치하고 실시간 감시 기능을 켜둔다.
6. 사이트가드[SiteGuard] 같은 웹 보안 소프트웨어를 설치해 악의적 웹사이트 접속을 예방한다.
7. 윈도우, 인터넷 익스플로러 및 오피스 제품 등의 최신 보안 패치를 모두 설치한다. <Ahn>
Trackback Address :: http://blog.ahnlab.com/asec/trackback/596
-
breast implant sizes
Tracked from breast implant sizes | 2013/04/29 02:37 | DELASEC Threat Research -
-
www.belstaffleatherjacket.co.uk
Tracked from www.belstaffleatherjacket.co.uk | 2013/05/04 23:48 | DELASEC Threat Research -
-
seo company
Tracked from seo company | 2013/05/09 12:13 | DELASEC Threat Research -
-
best online shopping sites
Tracked from best online shopping sites | 2013/05/09 12:41 | DELASEC Threat Research -
-
click the following internet page
Tracked from click the following internet page | 2013/05/10 16:34 | DELASEC Threat Research -
-
nursingschoolsinflorida.us
Tracked from nursingschoolsinflorida.us | 2013/05/12 18:17 | DELASEC Threat Research -
윈도우 사용 인증으로 위장한 랜섬웨어 :: 2011/09/19 14:37
동유럽과 러시아 등지에서 제작되는 것으로 알려진 랜섬웨어(Ransomware)는 주로 문서나 사용하는 컴퓨터 시스템의 정상적인 사용을 방해하고, 그에 댓가로 금전을 요구하는 형태로 알려져 있다.
이러한 랜섬웨어는 악성코드 제작자에 의해 직접 제작되는 경우도 있으나 최근에는 다른 일반적인 악성코드와 동일하게 랜섬웨어 생성기에 의해 제작되는 사례도 증가하고 있다.
그리고 국지적인 한계를 벗어나 감염된 시스템의 윈도우에서 사용하는 언어를 확인하여 그에 맞는 언어로 표기하는 형태도 있어, 한국어 윈도우에서는 한국어로 표기하는 랜섬웨어도 발견된 사례가 있다.
9월초에 발견된 랜섬웨어의 경우에는 특이하게 아래 이미지와 같이 윈도우 로고를 사용하여 윈도우 사용 라이센스에 문제가 있다는 문구를 독일어로 표기되어 있다.
해당 랜섬웨어에 감염이 되면 사용하는 윈도우 시스템은 자동으로 재부팅을 하게 되고 윈도우 로그인 이후부터 위 이미지와 같은 화면을 보여주며 시스템 사용 자체를 방해하고 있다.
해당 독일어 문구는 100 유로(한화 약 153,000원)을 지불하지 않으면 시스템을 계속 사용하지 못한다는 경고 문구를 보여주고 있다.
이 번에 발견된 윈도우 인증으로 위장하여 금전적 대가를 요구하는 랜섬웨어는 V3 제품군에서 다음과 같이 진단한다.
Trojan/Win32.FakeAV
이러한 랜섬웨어와 같은 악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 전에 주의를 하는 것이 중요하다.
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.
3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다
Trackback Address :: http://blog.ahnlab.com/asec/trackback/594
-
chanel handbags
Tracked from chanel handbags | 2013/04/11 19:59 | DELyou are truly a just right webmaster. The web site loading velocity is incredible. It seems that you are doing any unique trick. Furthermore, The contents are masterwork. you’ve done a magnificent activity in this subject!
-
vimaxsystemreview.com
Tracked from vimaxsystemreview.com | 2013/04/27 19:59 | DELASEC Threat Research -
EMC/RSA 침해 사고 유발한 타깃 공격 이메일 발견 :: 2011/08/29 13:53
ASEC에서는 4월 4일 EMC/RSA에서 APT 형태의 침해 사고가 발생하였으며, 이로 인해 2 팩터 인증(2 Factor Authentication) 관련 정보들이 외부로 유출 되었다는 사실을 전한 바가 있다.
당시 EMC/RSA에서는 해당 APT 형태의 침해 사고는 "2011 Recruitment plan.xls"라는 마이크로소프트(Microsoft)의 엑셀(Excel)파일이 첨부된 메일을 이용한 타깃 공격(Targeted Attack)으로부터 침해 사고가 발생하였다는 사실을 공개하였다.
이러한 사실 관계가 현지 시각 8월 26일 핀란드 보안 업체인 F-Secure의 "How we found the file that was used to Hack RSA" 블로그를 통해 공개되었다.
F-Secure에서는 밝힌 EMC/RSA에서 발생한 APT 형태의 침해 사고는 ASEC에서 확인한 아래 이미지와 같이 2011 Recruitment plan.xls(108,032 바이트) 이 첨부된 타깃 공격을 위한 이메일로 부터 시작되었다.
해당 엑셀 첨부파일은 당시 제로 데이(Zero-Day, 0-Day) 취약점이었던 어도비 플래쉬 플레이어(Adobe Flash Player)의 CVE-2011-0609 취약점을 악용하도록 제작되었다.
EMC/RSA에서 발생한 APT 형태의 침해 사고는 사람의 심리를 공격한다는 고도화된 사회 공학(Social Engineering)과 제로 데이 취약점을 악용해 원격 제어 형태의 악성코드 감염을 시도한 복합적인 형태로 볼 수가 있다.
이번 EMC/RSA에서 발생한 침해 사고에 이용된 타깃 공격을 위한 이메일에 첨부된 엑셀 파일은 V3 제품군에서 다음과 같이 진단한다.
Dropper/Cve-2011-0609
악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 전에 주의를 하는 것이 중요하다.
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.
3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/587
-
nutcracker
Tracked from nutcracker | 2013/04/30 17:07 | DELASEC Threat Research -
-
Tracked from card recover | 2013/05/09 19:38 | DEL
MicroSD card recovery Pro is file data recovery software designed to recover lost files including video, documents, pictures, audios, and videos from memory cards, CD-ROMs, and lost pictures from digital camera memory.
-
nike tn pas cher
Tracked from nike tn pas cher | 2013/05/11 10:54 | DELProbablement pas assez pour empêcher son rival de gouverner, milan ac juve que nous sommes à la tête des composantes modérée? et Arnaud Montebourg?pour le Redressement productif perdent chacun 3 points pour se retrouver respectivement à 30% et 31% d
-
maillot de foot vintage
Tracked from maillot de foot vintage | 2013/05/11 10:54 | DELcalqué sur le suranné système soviétique des années 80, David Beckham est bien dans le groupe qui affrontera lOM mais va-t-il jouer ce soir? par questionnaire auto-administré en ligne auprès dun échantillon représentatif de 704 personnes de la ?p
망분리 솔루션 ‘트러스존’ CC인증 획득 :: 2011/08/26 15:50
- 공공, 통신, 일반 기업 공급 확대 기대
- 논리적 망분리 시장 주도 발판 마련
글로벌 통합보안 기업인 안철수연구소[대표 김홍선, www.ahnlab.com]는 최근 자사의 최신 망 분리 솔루션 ‘트러스존[AhnLab TrusZone]’이 CC[Common Criteria; 국제공통평가기준] 인증을 EAL2 [Evaluation Assurance Level 2]등급으로 획득했다고 밝혔다.
안철수연구소가 올해 초 발표한 ‘트러스존’은 소프트웨어와 하드웨어가 융합된 신개념 망 분리 솔루션으로, 기존 물리적 망 분리의 방식의 불편함과 구축 비용을 감소시켰다. 이를 통해 사용자는 격리된 인터넷 영역에서도 응용 프로그램을 동일하게 사용할 수 있고 보안에 대한 걱정 없이 인터넷 뱅킹 등을 자유롭게 사용할 수 있다. 또한 ‘트러스존’ 소프트웨어가 인터넷 접속 시 자동 설치되어 PC를 가상화 영역으로 자동 전환해 사용자 편의성을 증대 시켰다.
또한, 안철수연구소가 2009년부터 출원한 가상화 및 망 분리 신기술 등 총 4가지의 특허 기술이 탑재돼 단계 별로 해킹 및 침입을 차단하고, V3와 연계해 철저한 보안성을 제공한다. 이 가상 공간에서 사용/저장되는 모든 데이터는 암호화하고 외부 접근이 통제되므로 정보 유출을 차단할 수 있다.
안철수연구소는 트러스존이 이번 CC인증을 획득함에 따라 공공 및 금융권, 통신 등 다양한 분야에 공급을 확대를 계획하고 있다.
안철수연구소 김홍선 대표는 “공공기관 및 기업의 업무 환경이 인터넷으로 연결되고, 복잡다단한 IT 기기 및 애플리케이션[응용 프로그램]이 사용됨에 따라, 내부 네트워크는 각종 보안 위협에 노출되어 있다. 또한, 내부 정보 및 계정을 탈취하는 악성코드나 USB, 무선 랜을 경유해 인가되지 않은 PC가 내부 네트워크에 접속해 악성코드가 전파되는 일이 적지 않은 실정이다. 트러스존은 이러한 보안위협에대한 가장 합리적인 대책으로 이번 CC인증을 획득을 계기로 공급을 확대할 계획이다”라고 밝혔다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/586
제우스 봇 소스코드로 기반으로 제작된 아이스 IX 봇 :: 2011/08/25 19:13
20010년부터 금융 정보 탈취를 위한 목적으로 제작되어 유포 되었던 제우스 봇(Zeus Bot)은 2011년 5월 제우스 봇 제작을 위한 소스코드(Source Code)가 유출 된 이후로 그 변형들의 급격한 제작이 증가될 것으로 많은 보안 업체들을 우려를 하였다.
현지 시각으로 2011년 8월 24일 러시아 보안 업체인 캐스퍼스키(Kaspersky)에서는 블로그 "Ice IX, the first crimeware based on the leaked ZeuS sources"를 통해 새롭게 발견된 아이스 IX 봇(Ice IX Bot)이 5월에 유출된 제우스 봇의 소스코드를 기반으로 제작된 것이라는 사실을 공개하였다.
이번에 발견된 아이스 IX 봇은 러시아인으로 추정되는 인물에 의해 제작이 되었으며, 아래 이미지와 같이 언더그라운드 포럼에 아래와 같이 자신이 제작한 아이스 IX 봇을 판매한다는 게시물을 공개하고 있다.
해당 게시물을 통해 아이스 IX 봇은 유출된 제우스 소스코드를 기반으로 제작된 것임을 밝히고 있으며, 아이스 IX 봇을 생성하기 위한 빌더(Builder)와 원격 제어가 가능한 웹 기반의 팬널(Panel)을 합쳐 600 달러(한화 약 660,000원)에 판매한다. 그리고 아이스 IX 봇의 제작 횟수 제한이 없는 빌더는 1800 달러(한화 약 1,980,000원)에 판매한다고 명시 해두었다.
그리고 아이스 IX 봇 제작자 공개한 원격제어를 위한 웹 기반의 팬널은 아래와 같은 이미지 형태들을 가지고 있으며, 기존에 발견된 제우스 봇 또는 스파이아이 봇(Spyeye Bot)의 원격 제어 웹 기반 팬널들과 큰 차이 없이 유사한 형태를 띄고 있다.
아이스 IX 봇의 기본적인 동작은 기존에 알려진 제우스 봇과 유사한 동작을 하고 있으며, 감염된 시스템에 존재하는 정상 프로세스인 explorer.exe의 메모리 영역에 자신의 코드 전체를 삽입하도록 되어 있다.
정상 프로세스인 explorer.exe의 메모리 영역에 삽입된 아이스 IX 봇은 자신의 코드 전체를 아래 이미지와 같이 삽입하도록 되어 있으며, 해당 정상 프로세스를 이용하여 외부에 위치한 원격 제어를 위한 C&C(Command and Control) 서버에 접속을 시도한다.
원격 제어를 위한 C&C(Command and Control) 서버에 접속을 시도하여 성공하게 될 경우에는 아래 이미지와 같이 감염된 시스템에 대한 정보를 전송하고 악성코드 제작자가 지정한 특정 명령을 수신하게 된다.
이 번에 발견된 아이스 IX 봇의 기본적인 동작은 제작자가 밝히고 있는 바와 같이 제우스 봇 악성코드와 유사한 형태를 가지고 있으며 그 외에 제작자 의도한 원격 제어외에 다양한 기능들을 수행하도록 되어 있다.
제우스 봇의 유출된 소스코드를 기반으로 제작된 것으로 알려진 아이스 IX 봇은 V3 제품군에서 다음과 같이 진단하고 있다.
Win-Trojan/Zbot.99840.BC
다양한 악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 사전에 주의를 하는 것이 중요하다.
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.
3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/585
-
Click at maxipatchexposed.com
Tracked from Click at maxipatchexposed.com | 2013/04/27 20:30 | DELASEC Threat Research -
-
male enhancement products online
Tracked from male enhancement products online | 2013/04/27 21:14 | DELASEC Threat Research -
-
mouse click the next page
Tracked from mouse click the next page | 2013/04/29 03:16 | DELASEC Threat Research -
안철수연구소, “스마트폰 악성코드 급증” :: 2011/08/12 10:45
- 올 상반기 110개, 7월 들어 107개로 급증
- 앱 설치 시 평판 조회, 공식 마켓 이용 필요
글로벌 종합보안 기업인 안철수연구소[대표 김홍선, www.ahnlab.com]는 최근 들어 안드로이드 기반 스마트폰 악성코드가 급증하는 추세라고 발표했다.
안철수연구소 시큐리티대응센터[ASEC]가 집계한 결과 작년 8월부터 발견되기 시작해 올해 들어 본격 증가하는 추세다. 지난해 하반기에 발견된 안드로이드 악성코드가 7개인 데 비해 올해 상반기에는 110개, 하반기 들어서는 7월 한 달 동안에만 107개가 발견돼 가파르게 급증하는 상황이다[표].
현재까지 발견된 안드로이드 악성코드의 증상은 위치 정보, 단말기 정보 등 개인 정보를 유출하는 행위가 가장 많다. 다음으로 원격 조종을 통한 통화 및 SMS 발송으로 무단 과금하는 형태, 정상 애플리케이션[이하 앱]을 변조해 악성코드 설치 코드를 추가하는 형태가 적지 않은 비중을 차지한다.
또한 작년까지는 러시아에서 개발된 것으로 추정되는 악성코드가 많았으나 최근엔 중국에서 개발된 것으로 추정되는 악성코드가 많다.
안철수연구소 시큐리티대응센터 이호웅 센터장은 “스마트폰은 PC와 달리 이동성과 개인화가 특징인 만큼 개인 정보 유출이나 금전적인 피해에 노출되기 쉽다. 안드로이드 마켓에 올라오는 앱은 바로 설치하지 말고 평판을 지켜본 후 안전하다고 판단되면 설치하는 것이 좋다. 또한 공식 마켓이 아닌 써드 파티 마켓은 사용을 자제하는 것이 좋다.”라고 당부했다.
한편, 안철수연구소는 안드로이용 보안 애플리케이션인 ‘V3 Mobile for Android [V3 모바일 안드로이드]’를 삼성전자 갤럭시’ 시리즈를 비롯해 LG전자, 모토로라, 팬택의 스마트폰에 공급 중이다. 또한 V3 Mobile+는 50여 은행 및 증권사에도 공급돼 스마트폰 금융 거래 시 악성코드 유입 및 작동을 방지한다.
* 안철수연구소가 권하는 스마트폰 보안 10계명
1. PC로부터 스마트폰으로 파일을 전송 받을 경우 백신으로 악성코드 여부를 꼭 확인한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 확인되지 않은 전송자로부터 온 이메일이나 문자 메시지에 있는 URL은 클릭하지 않는다.
4. 애플리케이션을 설치하거나 의심스러운 파일을 다운로드한 경우에는 반드시 스마트폰 전용 백신으로 악성코드 검사를 한다.
5. 스마트폰용 보안 소프트웨어[V3 Mobile 등]를 설치하고 엔진을 항상 최신으로 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능을 켜놓으면 악성코드에 감염될 가능성이 높으므로 필요할 때만 켜놓는다.
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/583
다양한 조직을 대상으로한 오퍼레이션 Shady RAT 침해 사고 :: 2011/08/09 20:56
현지 시각 8월 2일 미국 보안 업체 중 하나인 맥아피(McAfee)에서 블로그 "Revealed: Operation Shady RAT"를 통해 5년 6개월 동안 조직적으로 이루어진 APT(Advanced Persistent Threat) 형태의 침해 사고를 발견하였다는 내용을 게시하였다.
이 번 맥아피에 의해 명명된 Operation Shady RAT는 5년 6개월이라는 기간에 걸쳐 조직적으로 침해 사고가 발생하였으며, 해당 침해 사고에 의해 피해가 발생한 조직은 총 72개로 아래 이미지와 같은 피해 조직의 형태 분류가 가능한 것으로 공개되었다.
해당 침해 사고는 기존에 이미 알려져 있는 타깃 공격(Targeted Attack)과 유사하게 악성코드를 다운로드 할 수 있는 웹 사이트 링크, 일반 어플리케이션들의 취약점 악용이나 워드(Word)와 PDF 파일로 위장한 악성코드를 첨부한 이메일(E-mail)을 피해 조직 내부 직원들에게 전송하는 공격 기법들을 사용하였다.
그리고 조직 내부 직원들의 시스템에 감염된 악성코드들은 C&C(Command and Control) 서버에 접속하여 원격 제어가 가능한 형태이며, 추가적으로 ASEC에서는 약 25개의 악성코드가 해당 침해 사고와 직접적으로 연관된 것으로 파악하였다.
타깃 공격을 동반하는 APT 형태의 보안 위협은 조직 전체를 거시적인 관점에서 바라보는 정보 보호 전략을 필요로하며, 이와 함께 다계층적인 보안 장비 및 소프트웨어 구축을 필요로한다. 그러나 무엇보다도 기업 내부 직원들의 보안 정책 준수와 사회 공학 기법(Social Engineering)에 대응하기 위한 보안 인식 교육의 제공이 중요하다고 볼 수 있다.
이번 Operation Shady RAT 침해 사고와 관련된 악성코드들 모두 V3 제품군에서 진단 가능하며 그 중 일부 진단명은 다음과 같다.
Win-Trojan/Sharat.114455
Win-Trojan/Sharat.28160
Win-Trojan/Sharat.107361
Win-Trojan/Sharat.114456
악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 전에 주의를 하는 것이 중요하다.
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.
3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/581
신용 카드 결제 오류 메일로 위장한 악성코드 유포 :: 2011/08/01 17:50
7월 28일부터 유명 리조트나 호텔명을 악용하여 사용한 신용 카드 결제에서 오류가 발생하였다는 허위 메일을 발송하여 첨부된 악성코드를 실행하도록 유도하는 악의적인 스팸 메일(Spam Mail)이 유포되었다.
해당 악의적인 스팸 메일은 유명 리조트나 호텔명을 언급하여 메일을 수신한 일반인들이 실제 사용하는 신용카드에 문제가 있는 것으로 위장하여 첨부된 악성코드를 실행하도록 유도하고 있다.
이 번에 발견된 해당 악성코드는 다음과 같이 다양한 메일 제목과 메일 본문들을 사용하고 있으며, 다음 중 하나가 임의로 사용되고 있다. 그리고 메일 본문에는 7월 26일에 결제한 호텔 경비가 더 결제되었음으로 이를 돌려 받기위해서는 첨부 파일에 은행 구좌들을 작성해 달라는 문구로 첨부 파일을 실행하도록 유도하고 있다.
<메일 제목>
Hotel [호텔명] made wrong transaction
[호텔명] made wrong transaction
Wrong transaction from your credit card in [리조트명] Golf Resort
Wrong transaction from your credit card in [호텔명]
<메일 본문>
Dear Customer!
Transaction: Visa [숫자 5자리]_r
We are sorry to inform you that on July 26th, 2011 Hotel transaction debiting from your account for an overall amount of $1232.
For noncompliance of the service contract this Hotel was divested accreditation in Moverick Company.
For the return of funds please contact your bank and fill information in the attached form.
You?ll need the attached detalization of your account transactions to apply for the return of funds.
Company just mediates and bears no responsibility for any money transactions made by Hotel.
Thank you for understanding. We trust you can solve this unpleasant problem.
Victorine Mccrandle,
Manager of Reception Desk & Reservation Departament
Dear Guest!
Transaction: Visa [숫자 5자리]_oxi8q
On July 26th, 2011 Hotel made wrong transaction debiting from your credit card for an overall amount of $1122.
For noncompliance of the service contract this Hotel was divested accreditation in Moverick Company.
For the return of funds please contact your bank and fill information in the attached form.
In the attachment you will find expense sheet with the sum of wrong transaction writing-down.
Company just mediates and bears no responsibility for any money transactions made by Hotel.
Thank you for understanding. We trust you can solve this unpleasant problem.
Silver Rousch,
Manager of Reception Desk & Reservation Departament
<첨부 파일>
RefundForm[숫자 4자리].zip
위와 같은 형식을 가진 악의적인 스팸 메일에 첨부된 RefundForm[숫자 4자리].zip의 압축을 풀게 되면 다음과 같은 아이콘을 가진 Refund_Form.exe 파일 생성된다.
생성된 해당 파일을 실행하게 되면 윈도우(Windows) 시스템에 존재하는 정상 svchost.exe 파일을 실행 시킨 이후 해당 정상 프로세스의 특정 메모리 영역에 해당 파일 전체를 덮어 쓰게 된다.
그리고 해당 정상 svchost.exe의 프로세스를 이용해 아래 이미지와 같이 러시아(Russia)에 위치한 특정 시스템에서 soft.exe(385,024 바이트)를 다운로드 한다.
다운로드 된 해당 파일은 기존에 발견되었던 악의적인 스팸 메일이 다운로드 하는 것과 동일한 허위 백신이 실행된다.
이 번에 발견된 신용 카드 결제에서 오류가 발생하였다는 허위 메일에 첨부되어 있는 악성코드들은 V3 제품군에서 다음과 같이 진단한다. 그러나 다양한 변형들이 존재함으로 위에서 언급한 메일 형식과 유사한 메일에 존재하는 첨부 파일은 주의가 필요하다.
Win-Trojan/Yakes.55296.C
Win-Trojan/Yakes.56320
Win-Trojan/Yakes.52736
Win-Trojan/Yakes.51200
Win-Trojan/Yakes.865792
Win-Trojan/Hmblocker.385024
이러한 악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 사전에 주의를 하는 것이 중요하다.
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.
3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/578
-
payday loans
Tracked from payday loans | 2013/04/30 06:04 | DELASEC Threat Research -
러시아에서 제작된 랜섬웨어 생성기 :: 2011/07/25 17:46
몇 년 전부터 러시아와 동유럽 중심으로 사용 중인 컴퓨터의 정상 사용을 방해하고 금전적 댓가를 요구하는 랜섬웨어(Ransomware) 감염과 그 피해는 익히 알려져 있다. 이러한 랜섬웨어는 감염에 따른 금전적 댓가 확보를 위해 감염 시스템의 언어에 맞는 언어로 표기하는 등 지속적인 발전을 이루고 있다.
이러한 랜섬웨어는 지속적으로 제작이 되고 있는 최근 러시아 블랙 마켓(Black Market)을 중심으로 랜섬웨어를 제작할 수 있는 생성기가 발견되었다.
이 번에 발견된 랜섬웨어 생성기는 아래 이미지와 같은 형태로 러시아로 모든 메뉴가 작성되어 있으며, 왼편 러시아는 랜섬웨어 감염시에 보여줄 문구를 표기해두고 있다.
감염시에 보여주는 러시아 문구는 아래와 같으며, 이를 번역하게 되면 "당신의 시스템에 불법 성인물이 발견되어 사용이 금지되었으며, 이를 해제하려면 500 루블(한화 약 19,000원)을 지불하여야만 해제 코드가 제공됩니다. 지불하지 않을 경우에는 시스템은 영원히 사용 금지되며 데이터는 모두 파괴됩니다."와 같다.
Ваш компьютер заблокирован за просмотр, копирование и тиражирование видео с
элементами педофилии, детского порно и гей-порно. Для снятия блокировки Вам
необходимо оплатить штраф в размере 500 рублей. Для этого, в любом терминале
оплаты пополните счет абонента БИЛАЙН XXXXXXXXXXX на указанную выше сумму.
В случае оплаты суммы равной штрафу, либо превышающей ее, на фискальном чеке
терминала Вы найдете код разблокировки. Его нужно ввести в поле в нижней части
окна. После снятия блокировки Вы должны удалить все материалы, содержащие
элементы насилия и педофилии. В случае отказа от оплаты, все данные на Вашем
персональном компьютере будут безвозвратно уничтожены.
실제 해당 랜섬웨어 생성기로 생성한 파일을 실행하게 되면 윈도우 시스템은 재부팅을 하게 되며 재부팅 이후에는 MBR(Master Boot Record)를 위 러시아 내용으로 덮어쓰게 된다.
그리고 부팅시에는 아래 이미지(러시아의 문구가 손상되어 표기)와 같이 윈도우 부팅시에 나타나며 잠금을 풀수 있는 코드를 입력하도록 되어 있다.
이러한 랜섬웨어 생성기가 제작되고 블랙 마켓을 중심으로 공유되고 있다는 점은 다양한 랜섬웨어 변형들의 제작 시도가 이루어지고 있다는 것을 알 수 있으며, 그에 따른 피해 역시 지속적으로 증가 할 수 있다는 것으로 해석할 수 있다.
이 번에 발견된 랜섬웨어 생성기로 제작하는 랜섬웨어들은 V3 제품군에서 다음과 같이 진단 및 치료가 가능하다.
Win-Trojan/Ransome.10240
이러한 악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 사전에 주의를 하는 것이 중요하다.
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.
3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/573
안철수연구소, 스마트폰 보안 신기술 특허 획득 :: 2011/07/20 11:26
- 애플리케이션 행위에 기반한 의심파일 진단, 신종 악성코드에 효과적 대응
- 빠르고 정확한 진단, 스마트폰 자원 소모 최소화 등 앞선 기술 ‘V3모바일’탑재
글로벌 종합보안기업인 안철수연구소[대표 김홍선 www.ahnlab.com, 약칭 ‘안랩’]는 최근 스마트폰 전용 보안 제품인 ‘V3 모바일’에 적용 하고 있는 신기술인 ‘이동통신 단말 및 이를 이용한 행위기반 악성 코드 진단 방법’이 국내특허를 획득한데 이어 PCT 국제 특허[보충설명1]를 출원했다고 발표했다.
이번 특허 기술은 스마트폰에서 특정 애플리케이션의 행위에 기반해 의심스러운 실행파일을 진단해 사용자에게 경고하는 기술로, 일반적으로 활용하는 진단명 목록에 기반한 기존 시그니처 진단방식에서 진화한 방식이다. 이 기술을 적용한 V3 모바일은 기하급수적으로 증가하고 있는 스마트폰 악성코드와 개인정보 유출 보안위협에 빠르고 정확하게 대응할 수 있다.
스마트폰 악성코드 진단은 악성코드 분석을 통해 미리 진단명 리스트를 만들어 놓고, 이에 기반해 애플리케이션의 검사대상 파일을 비교하는 ‘시그니처[Signature]’방식이 주로 사용 돼왔다. 이 방식은 신종 악성코드 대응 속도문제를 비롯해 스마트폰의 메모리 점유율 증가 및 배터리 소모의 문제 해결책이 필요했다.
이번에 특허를 받은 신기술은 애플리케이션 설치 시 자동으로 해당 애플리케이션이 요구하는 권한 정보를 분석한다. 이를 안철수연구소가 보유하고 있는 행위정보 데이터베이스에 저장된 행위정보들과 비교해 권한을 과도하게 요구하는 등의 의심스러운 행위를 사용자에게 경고한다. V3 모바일은 시그니쳐 기반 진단과 행위기반 진단을 병행 사용해 최신 악성코드 및 애플리케이션에 신속하고 근본적으로 대응할 뿐만 아니라, 스마트폰 자원도 최소화 하고 있다.
한편, ‘V3 모바일’은 10년 이상 모바일 보안 솔루션을 개발, 제공해 온 안철수연구소의 기술이 집약되어 있는 모바일 전용 보안 제품이다. 스마트폰의 특성을 고려해 프로그램 설치 사이즈 최소화, 빠른 검색 속도, 스마트폰 성능 저하 최소화 등의 탁월한 성능을 제공한다. 현재 삼성, LG, 팬택, 모토로라 등의 대다수의 스마트폰에 적용되어 있다.
<보충설명>
[1] PCT 국제 특허
특허협력조약[Patent Cooperation Treaty; PCT]는 1970년에 체결된 국제적인 특허 법률 조약이다. 이 조약에 가입한 나라 간에 특허 출원 수속을 간소화하고, 출원인과 각국 특허청의 부담을 줄이고, 특허 정보 이용을 쉽게 하자는 취지로 만들어졌다. 출원인이 자국 특허청에 특허를 받고자 하는 국가를 지정하여 PCT 국제 출원서를 제출하면 바로 그날을 각 지정국에서 출원서를 제출한 것으로 인정받을 수 있다. 2008년 1월 1일 현재 138개국이 가입해 있으며, 우리나라는 1984년 8월에 가입했다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/571