분석 정보877 [주의]CVE-2013-3906 MS Word Zero-Day 취약점 공격 1. MS Office DOCX 문서파일 Zero-Day 공격 등장 잉카인터넷 대응팀은 2013년 11월 06일 기준으로 MS 오피스 Zero-Day 보안취약점을 이용하는 악성 Word 파일을 다수 발견하였고, 파키스탄 등에서 변종이 다수 유포 중인 정황도 포착한 상태이다. 해당 이슈는 대응팀에서 2013년 10월 말 관련 첩보를 입수하고 자체 조사를 은밀하고 진행 중에 있었다. 또한 보여지는 문서파일은 대체로 파키스탄 시간대(PST:Pakistan Standard Time)를 이용하고 있다. 악성파일은 "Shanti Dyanamite.docx", "IMEI.docx", "Inter-Services Intelligence (ISI).docx", "Kayani.docx", "Failure_Notice.do.. 2013. 10. 31. [주의]한글 이력서 문서파일로 위장한 표적형 공격 발견 1. 확장자 조작한 지능형 표적공격 주의 잉카인터넷 대응팀은 Unicode Character Right to Left Override (U+202E) 기법을 이용한 표적공격 정황을 포착했다. 이 공격방식은 2중 확장자명의 순서를 임의로 변경할 수 있어 실행파일(EXE, SCR, COM 등)과 문서파일(DOC, TXT, PDF, HWP 등)의 순서를 바꾸어 마치 실행파일을 문서파일로 보이도록 조작할 수 있다. 그래서 이용자들에게 정상적인 문서파일처럼 보이도록 유혹한 후 실행파일 형태의 악성파일을 열어보게 만든다. [참고자료] Unicode를 이용한 윈도우 확장자 변조 가능 취약점 이용한 악성코드 주의 http://viruslab.tistory.com/1986 Right-to-Left Override Aid.. 2013. 10. 29. [주의]국내 웹 사이트 관리자 계정 노린 악성파일 변종 지속 출현 1. 특명! 국내 주요 사이트 관리자 계정을 보호하라. 잉카인터넷 대응팀은 국내 웹 사이트 관리자 계정을 노린 악성파일 변종을 추가로 발견하였다. 해당 악성파일은 국내 특정 웹 사이트 관리자의 계정정보를 집중적으로 수집시도하고 있기 때문에 각별한 주의가 필요하다. 공격대상에 포함된 곳들은 언론사, 광고사, 포털사, 게임사, 보안장비 및 기업, 교통, 통신, 커뮤니티 등 다양한 분야의 웹 사이트가 포함되어 있으며, 일부는 정상적으로 접근이 가능한 상태로 운영되고 있는 상태이다. 악성파일의 공격 대상 리스트에 포함된 경우 이미 악의적인 공격자에게 관리자 페이지가 노출된 상태이기 때문에 각 기업은 관리자 권한이 탈취되지 않도록 외부의 접근을 제어함과 동시에 관리자 페이지 주소를 정기적으로 변경하고, 허가된 사.. 2013. 10. 23. [주의]스미싱 문자메시지 HTML 링크를 이용한 우회기법 도입 1. 스미싱 문자 APK 링크에서 HTML 사이트도 추가 잉카인터넷 대응팀은 2013년 10월 18일 새로운 형태로 진화한 스미싱 문자 메시지 형태를 발견했다. 휴대폰 소액결제사기, 가짜 모바일 스마트 뱅킹앱 설치, 개인정보 탈취 형태의 안드로이드 기반 악성앱들은 대체로 APK 앱 파일이 문자메시지(SMS)에 링크되어 있는 것이 일반적인 스미싱 기법이었다. 간혹 조작된 특정 웹 사이트로 연결하여 악성앱을 추가로 다운로드하는 경우가 있었으나 그런 경우도 기존처럼 단순 도메인 주소를 이용했었다. 그러나 이번에 발견된 방식은 HTML 웹 페이지 주소를 그대로 포함하고 있어 이용자들로 하여금 정상적인 문자로 오인하도록 조작하였다. [주의]APK 암호화 기법을 도입한 스미싱 악성앱 출현 ☞ http://ertea.. 2013. 10. 18. [주의]APK 암호화 기법을 도입한 스미싱 악성앱 출현 1. APK 파일 ZIP Format Header 조작을 통한 암호화 방식 도입 잉카인터넷 대응팀은 2013년 10월 01일 오후 5시 58분 경부터 국내 불특정 다수의 안드로이드 스마트폰 이용자를 겨냥한 스미싱기법의 악성문자가 전파되는 정황을 포착하였다. 그런데 이 스미싱을 통해서 설치되는 악성앱(APK)파일은 기존의 스미싱용 악성앱 형태와 다르게 APK 앱 파일 자체가 암호화 기능으로 설정되어 있었다. 안드로이드의 APK 파일은 압축 포맷인 ZIP 형태를 가지고 있어 압축 프로그램을 통해서 쉽게 압축을 해제하고 분석할 수 있으나, 이번과 같이 암호화 기능이 설정된 경우 내부에 존재하는 "classes.dex" 파일에 쉽게 접근하기 어려워 분석방해 등의 어려움을 겪을 수 있다. 이 암호화 방식의 기법은.. 2013. 10. 1. [주의]HWP 악성파일 유포조직 1년 넘게 활동 중인 실체 확인 1. 대북단체에 HWP 악성파일 1년 넘게 공격 정황포착 잉카인터넷 대응팀은 지금으로부터 약 1년 전 2012년 06월 경 "탈북인 인적사항으로 유혹하는 HWP 악성파일 등장" 내용의 HWP 악성파일 정보를 공개한 바 있다. 그런 가운데 2013년 09월 13일 대북언론매체인 데일리NK 뉴스를 통해서 "북한에서 보내는 해킹 파일로 의심했다"라는 발췌내용의 뉴스기사가 공개되었다. 해당 악성파일을 조사해 본 결과 작년과 동일한 제작자나 조직이 만든 정황근거가 확인됐다. 아울러 공격자가 사용 중인 명령제어(C&C)서버는 이미 한국인터넷진흥원(KISA) 등 유관기관을 통해서 신속하게 접속이 차단조치된 상태이기 때문에 현재는 추가적인 명령을 수행할 수 없는 상태이다. 北해커 '좀비 PC' 악성코드 對北 단체에 대.. 2013. 9. 13. 이전 1 ··· 103 104 105 106 107 108 109 ··· 147 다음
