잉카인터넷 시큐리티대응센터 블로그

1. 호스트파일(hosts) 변조기법이 아닌 지능화된 금융보안 위협 가속화잉카인터넷 대응팀은 2013년 07월 14일에 제작되어 국내에 다수 유포된 신종 금융정보 탈취용 악성파일을 발견했다. 이 악성파일은 기존에 널리 보고된 바 있는 호스트파일(hosts) 조작 방식을 적용하지 않고, 기존과 다르게 Winsock(LSP) 조작 방식을 도입했다. LSP(Layered Service Provider)를 이용한 악성파일은 이미 2007년도에 온라인 게임계정 악성파일이 사용했던 고전적인 수법 중에 하나이다. 이처럼 호스트 파일 변조기법이 아닌 다양한 형태의 감염사례가 속속 등장하고 있어, 인터넷 뱅킹 이용자들의 각별한 주의가 필요하다. 잉카인터넷 대응팀은 해당 악성파일에 감염되는 것을 사전에 차단시키고, 피해를..

1. 한컴오피스 문서파일(HWP/CELL) 취약점을 이용한 불청객 이메일잉카인터넷 대응팀은 상시 보안관제 중 2013년 07월 01일부터 10일까지 한국내 통일연구 및 무역관련 기관을 집중적으로 노린 지능화된 표적공격 정황을 다수 포착하였다. 이번 공격은 한글과컴퓨터사의 한컴오피스 문서파일 취약점을 공통적으로 사용한 특징이 있으며, HWP 파일뿐만 아니라 CELL 파일 취약점도 이용되었다. 또한, 일부는 PDF 문서파일처럼 아이콘을 조작한 실행파일(EXE) 스타일의 악성파일도 함께 발견되는 등 다양한 기법이 동원되었다. 특히, 이메일의 보낸 사람 이름에 "보좌관" 이라고 표기하거나 마치 중요한 업무내용처럼 관련 문구를 포함시킨 사례도 확인되었다. 이는 수신자로 하여금 좀더 안심하고 신뢰할 수 있는 이메일..

1. 스미싱을 통한 개인정보 중국 이메일로 유출잉카인터넷 대응팀은 국내 안드로이드 스마트폰 이용자들을 겨냥한 스미싱 사기범들이 개인정보 및 문자메시지(SMS) 수집 방식을 웹 서버에서 중국 무료 웹메일 서비스로 변경한 것을 다수 발견하였다. 웹 서버 기반의 정보수집 방식은 명령제어(C&C) 서버의 IP주소 차단을 통해서 조기에 무력화될 수 있다. 그렇다보니 공격자들은 노출된 서버의 IP 주소를 꾸준히 변경하거나 새로운 서버를 구축하여 사용하였다. 스미싱 공격자 측면에서는 자신들이 운영하는 서버가 국내에서 접속이 차단되는 것을 원하지 않기 때문에 웹 서버 방식에서 웹 메일 서비스 방식으로 교체하였고, 웹 서버를 구축하여 운용하는 것 보다 무료 웹 메일 서비스를 이용하는 방식이 상대적으로 편리하고 유용했기 ..

1. 2013년 07월 01일 오전 High Anonymous 연쇄 해킹공격 2013년 07월 01일 오전 국내 다수의 웹 사이트가 "Hacked by High Anonymous" 라는 이미지로 연쇄 해킹공격을 받았다. 이 해킹사고는 지난 6.25 해킹 공격의 연장선에 있으며, 사이버전의 형태를 띄고 있다. [긴급]6.25 사이버전, 국내와 북한 주요 사이트 사이버공격 ☞ http://erteam.nprotect.com/427 [긴급]카카오톡 위장 악성앱 신종공격 기법 등장 ☞ http://erteam.nprotect.com/428 현재 국내 다수의 웹 사이트가 디페이스(Defaced) 해킹공격을 받고 있고, 일부 기업의 경우 내부 그룹웨어가 해킹을 당해 아이프레임으로 악성파일이 전파되었다는 정황이 포착..

1. 금융감독원 팝업으로 사칭한 금융사기 주의국내 다수의 웹 사이트가 변조되어 각종 보안취약점 공격기법과 결합한 악성파일 유포 수법이 꾸준히 이어지고 있다. 이른바 드라이브 바이 다운로드(DBD:Drive By Download)라고 일컬어진다. Exploit Code 등의 악성파일이 숨겨진 웹 사이트에 보안취약점이 존재하는 상태로 접근시 이용자가 느끼지 못하는 사이에 악성파일에 자동노출되고 감염되는 과정을 의미한다. 이 방식은 지난 2005년경부터 지금까지 국내 주요 웹 사이트를 대상으로 무차별적으로 이뤄지고 있으며, 2012년까지는 국내 온라인 게임계정 탈취용 악성파일이 대다수였으나, 최근에는 국내 인터넷 뱅킹용 악성파일이 급격히 증가하고 있는 추세이다. 특히, 악성파일이 다단계 과정을 통해서 실시간 ..

■ 긴급 대응 중 2013년 03월 20일 14시 경부터 금융권, 방송사 등 컴퓨터가 동시다발적으로 부팅되지 않는 피해가 발생하였다. 잉카인터넷 대응팀은 의심파일을 다수 수집하여 다양한 분석업무와 전사긴급 대응체제를 가동 중에 있으며, 이글은 2013년 03월 20일부터 계속적으로 업데이트되고 있다. [분석보고서 Ver 3.0] 수집된 파일들 중 파일명이 확인된 것들은 다음과 같다. - ApcRunCmd.exe - AgentBase.exe - OthDown.exe - mb_join.gif (exe) - container.exe - orpsntls.exe - v3servc.exe - shellservice.exe - themeservics.exe - logoninit.exe - msnlsl.exe - Up..

1. 하데스라는 특정 도메인에서 국내 인터넷 뱅킹용 악성파일 유포잉카인터넷 대응팀은 2012년 05월 경부터 인기리에 방송됐던 SBS 드라마 "유령"의 주인공 역이었던 하데스(Hades)의 이름을 딴 특정 도메인에서 국내 인터넷 뱅킹용 악성파일(KRBanker) 변종이 유포 중인 것을 발견했다. "유령"은 컴퓨터 범죄 수사대의 애환과 활약을 그렸던 드라마로 사이버상의 보안위협을 사실적으로 묘사하였고, 0 과 1 사이에 숨겨져 있는 다양한 디지털 증거의 중요성과 각종 사이버 범죄의 위험성을 알리는데 긍정적 효과를 거두었다. 그러나 국내 인터넷 뱅킹용 악성파일 유포 조직이 하데스라는 이름의 도메인에서 실제 위협요소로 작용할 수 있는 악성파일을 유포하고 있다는 점에서 이용자 주의가 필요하고, 유사한 도메인을 ..

1. 공인인증서 유출로 인한 피해 주의 잉카인터넷 대응팀은 2013년 02월 01일 해외의 특정 FTP 서버로 국내 이용자들의 공인인증서(NPKI)파일이 다량으로 유출된 정황을 포착하였다. 해당 악성파일(KRBanker)은 국내 IP주소로 할당되어 있는 곳에서 유포되었는데, 도메인은 2013년 1월 21일 중국인으로 추정되는 명의로 생성된 곳이다. 또한, 악성파일은 2013년 01월 25일 잉카인터넷 대응팀을 통해서 공개된 바 있는KRBanker 변종형태로 실제 공인인증서 창의 클래스명(QWidget)을 감시하고 있다가 공인인증서가 활성화되면 조작된 가짜 입력화면을 교묘히 겹쳐서 입력되는 비밀번호를 탈취하게 된다. 기존의 정상적인 전자서명 화면을 이용하고 있다는 점에서 각별한 주의가 필요하다. 특히, 전..

1. 공인인증서 암호를 직접 겨냥한 KRBanker 변종 등장국내 인터넷 뱅킹용 이용자들을 노린 악성파일(KRBanker) 변종이 거의 매일 새롭게 발견되고 있는 가운데, 최근 기존과 다른 형태의 악성파일 유형이 발견되었다. 지금까지 발견된 다양한 형태 중 대다수는 호스트파일(hosts)의 내용을 변경하여 정상적인 금융사이트 주소로 접속을 하더라도 피싱사이트로 연결되도록 조작하는 방식이 주로 이용되고 있다. 그외에 호스트파일(hosts)을 변경하지 않고 악성파일이 사용자의 인터넷 접속 사이트를 모니터링하다가 특정 금융사이트 주소에 접근시 피싱사이트로 웹 페이지를 교묘하게 바꿔치기 하는 수법 등이 존재한다. 이러한 방식은 모두 공통적으로 가짜로 만들어진 공인인증서 전자서명 로그인 화면을 보여주어 사용자가 ..

1. 일회용 비밀번호(One Time Password:OTP) 이벤트로 위장잉카인터넷 대응팀은 국내 인터넷 뱅킹 서비스 이용자들을 겨냥한 악성파일(KRBanker) 변종이 새로운 형태로 활동하기 시작한 정황을 포착하였다. 이번에 발견된 수법은 악성파일(KRBanker)이 특정 웹 사이트에 접속하여 최신 금융 피싱사이트 정보를 가진 호스트파일(hosts)에 접근하고, 실시간으로 피싱 IP주소를 동적으로 연결하는 형태이다. 명령을 주고 받는 C&C(Command and Control) 서버를 집중 모니터링한 결과 시간차에 따라 공격자의 명령이 가변적으로 수행되며, 피싱 IP 주소가 변화되는 것을 직접 확인한 상태이다. 기존에도 국내 웹 사이트를 불법 해킹해서 C&C 서버와의 통신을 이용한 호스트파일의 자체 ..