잉카인터넷 시큐리티대응센터 블로그

1. 보안강화(승급)서비스 -> 전자금융사기예방서비스로 용어 변경 잉카인터넷 대응팀은 국내 인터넷 뱅킹 이용자들을 노린 악성파일(대표진단명:KRBanker) 변종들을 꾸준히 모니터링하고 신속하게 대응하고 있다. 그동안 다양한 KRBanker 악성파일들과 문자 메시지 서비스(SMS)를 이용한 피싱(파밍)시도 등이 공통적으로 이용자들을 현혹시키기 위해서 거짓으로 위장했던 이른바 "보안강화서비스", "보안승급서비스"라는 용어가 변경되기 시작됐다. 최근까지 잉카인터넷 대응팀과 여러 금융 기관들은 보안강화(승급)서비스라는 내용은 모두 존재하지 않는 허위정보라는 점을 여러차례 반복적으로 강조하고 지속적으로 안내하고 있다. 이 때문인지 최근 발견된 KRBanker 악성파일 변종이 꾸준히 사용하던 "보안강화(승급)서비..

1. HWP 0-Day 취약점 공격 발생 한컴오피스 한글 2010 프로그램의 HWP 문서파일에서 2012년 11월 26일 현재 보안취약점 제거 패치가 제공되고 있지 않은 HWP 2010 0-Day 공격 기능의 악성파일이 발견됐다. 해당 악성파일은 한컴오피스 최신버전(8.5.8.1300)의 한글 2010을 사용하더라도 악성파일이 몰래 설치되고 있기 때문에 이용자들의 각별한 주의가 요망된다. 최근 연이어 HWP 문서 취약점을 악용한 악성파일 표적공격이 지속적으로 발생하고 있으므로, 의심스럽거나 신뢰하기 어려운 경우의 HWP 문서파일에 무의식적으로 접근하고 실행하지 않아야 할 것으로 보인다. 특히, 특정 기업이나 정부기관 등을 겨냥한 은밀한 표적공격에 다수 이용되고 있다는 점에 주목하여야 한다. [주의]HWP..

1. HWP 취약점을 이용한 악성파일 변종 증가잉카인터넷 대응팀은 한글과컴퓨터사(http://www.hancom.com)의 HWP 문서파일 취약점을 이용한 악성파일을 꾸준히 발견하여 대응하고 있다. 2012년 초부터 최근까지 HWP 문서파일의 취약점을 이용한 악성파일이 약 100 여개 가깝게 발견되고 있으며, 특히, 해당 프로그램이 한국의 기업, 학교, 정부기관 등에서 주로 많이 이용되고 있다는 점에서 국지적 표적형 공격에 은밀하게 사용되고 있는 상황이다. 따라서 HWP 문서파일을 이용하는 고객들은 항시 최신버전으로 업데이트하여 이미 알려져 있는 취약점을 적극적으로 패치하는 노력을 기울여야 하며, 의심스러운 파일이나 신뢰하기 어려운 파일의 경우 각별한 주의와 관심이 필요한 상황이다. 이런 와중에 2012..

1. 개 요 잉카인터넷 대응팀에서는 국방관련 주요 문서 파일로 위장하여, 추가적인 악성파일에 대한 유포를 시도하는 한글 취약점 관련 악성파일을 발견하였다. 해당 악성파일은 감염 시 정상적인 문서파일을 함께 출력하기 때문에 일반 사용자의 경우 감염 여부에 대한 판단을 육안으로 내리기가 힘들며, 감염 시 다른 추가적인 악성 동작이 있을 수 있으므로 사용자들의 각별한 주의를 요망하고 있다. 2. 감염 증상 해당 악성파일은 감염 시 아래의 그림과 같이 정상적인 국방 관련 문서파일을 출력하게 된다. 또한, 이와 동시에 아래의 그림과 같은 추가적인 악성파일들을 특정 경로에 생성하게 된다. ※ 파일생성 - (사용자 임시 폴더)\scvhost.exe (130,048 바이트) - (루트 드라이버)\tesdn.dat (7..

1. 개요 잉카인터넷 대응팀은 2012년 10월 24일 국내 특정 웹 사이트가 침해사고를 입어 개인 구직 정보내용 문서처럼 위장된 악성파일이 관리자 몰래 은밀히 등록되고, 웹 사이트 관리자가 의도하지 않게 중개지 역할로 악용되어 또 다른 기업의 표적형 공격방식으로 사용중인 정황을 포착하였다. 해당 악성파일은 ZIP 방식의 압축된 형식으로 유포되고 있고, 압축파일 내부에는 MS Word 문서처럼 아이콘과 확장명 등을 위장한 실행파일(EXE)이 포함되어 있다. 사용자가 문서파일(DOC)로 오인하고 실행할 경우 내부에 포함되어 있는 실제 이력서 문서파일이 설치된 후 실행되어 사용자에게는 실제 문서파일이 실행된 것처럼 보이도록 나름의 속임수 기법을 사용하였다. 특히, 악성파일은 마치 정상적인 파일처럼 둔갑하기 ..

1. 전자금융사기용 KRBanker 2번 사기를 친다. 잉카인터넷 대응팀은 국내 인터넷 뱅킹용 악성파일(KRBanker) 변종이 새로운 형태로 진화되고 있는 이상징후를 포착하였다. 2012년 6월 초 부터 변종별로 시리즈가 꾸준히 발견되고 있는 국내 전자금융사기용 악성파일(KRBanker)은 초기 호스트파일(hosts)을 이용하는 방식이 유행한 바 있고, 다음으로 호스트파일을 사용하지 않고 독립적으로 활동하는 방식이 발견된 바 있다. 최근에는 피싱사이트 차단 시간이 짧아지고, 악성파일의 생존시간을 최대화하기 위해서 C&C 서버를 통한 신규 피싱사이트로 자동업데이트 하는 방법 등의 새로운 기술과 결합하여 사용되고 있었다. 그러나 2012년 10월 18일에 발견된 형태는 인터넷 뱅킹을 접속하지 않아도 가짜 ..

1. 부적절한 광고업자들 누구보다도 당당하다? 예전부터 인터넷을 통해서 무료로 배포되는 유용한 프리웨어(Freeware)나 일정한 금액을 지불하고 구매해야 하는 일부 쉐어웨어(Shareware) 등에는 일정한 광고를 제공하는 조건으로 별도의 제휴 프로그램이 함께 사용되는 경우가 종종 있었다. 이 과정에서 발생되는 광고수익은 프로그램 원 개발자에게 일정부분 재배분되어 프로그램에 대한 정당한 대우와 건강한 개발환경 구축, 소프트웨어의 가치가 인정받는 공정한 거래가 성사되었다. 또한, 사용자가 제휴 프로그램 설치 여부를 육안으로 쉽게 인지하고 개별동의와 별도 설치과정 등이 모두 투명하게 공개진행되어 별다른 부작용이나 혼란의 여지가 없었다. 그 때문에 이와같은 순수한 방식의 온라인 광고는 당연히 불법행위로 간주..

1. 온라인 요금 청구서가 악성파일도 배송한다? 잉카인터넷 대응팀은 2012년 10월 15일 오후 9시 경 미국 대형 통신회사인 AT&T(American Telephone & Telegraph)사의 온라인 서비스에서 발송한 것처럼 위장한 악성 이메일이 국내 및 해외 사용자들에게 무단배포 중인 것을 자체 모니터링 중에 발견하였다. 이번에 발견된 악성 이메일은 미국 AT&T 온라인 요금 청구서 내용으로 둔갑시켜 사용자를 현혹시키고 있다. 이메일 본문에는 Adobe Reader(PDF) 제품과 Oracle JAVA 제품의 보안취약점을 악용해서 별도의 악성파일이 몰래 설치되도록 만든다. 보통 이러한 방식으로 악성파일을 전파시키는 것을 "사회공학적기법"이라고 말하며, 이메일 수신자가 실제 AT&T 서비스를 받고 ..

1. 당신의 예금을 노리는 악성파일 활개 잉카인터넷 대응팀은 국내 인터넷 뱅킹 이용자들의 심리를 교묘히 파고들고 있는 악성파일류(KRBanker)의 보안위협이 나날이 증가하고 있다는 사실을 여러차례 강조한 바 있다. 현재 전자금융 보안위협은 아무리 강조해도 지나치지 않을 정도로 위험수위가 매우 높아지고 있는 상황이고, 사용자 예금의 불법인출 피해와도 직결되는 문제이다. 수 년간 많은 피해자가 발생하는 전화금융 사기(보이스피싱:Voice Phishing)와 다량으로 유출된 국민들의 개인정보를 악용하고 불특정 다수에게 금융정보 피싱용 도메인을 무단으로 배포하는 문자금융 사기(SMS Phishing)는 사회적인 문제 중에 하나이다. 이렇게 변모된 전자금융 보안위협은 본격적인 진화에 진화를 거듭하여 악성파일과 ..

1. 개요 잉카인터넷 대응팀은 "미국에서 2012년 11월 06일에 진행 예정인 美 대선 기간이 가까워지면서 공화당 대선 후보자인 미트 롬니(Mitt Romney)와 관련된 악성 이메일이 국내에 유입된 것을 발견하였다." 악성 이메일은 미국의 24시간 뉴스전문 채널인 CNN(Cable News Network)의 뉴스속보(Breaking News)에서 발송한 것처럼 보낸이를 사칭하고 있으며, 이메일 제목은 미트 롬니 후보가 대통령 당선에 거의 유력하다는 내용으로 사용자들을 현혹시키고 있다. 우리나라의 경우도 제18대 대통령선거가 2012년 12월 19일에 진행될 예정이고, 이와 유사하게 사용자들의 사회, 정치적인 관심을 악성파일 전파에 교묘하게 악용할 수 있다는 점을 명심하고 유사한 보안위협에 대비하는 것..