잉카인터넷 시큐리티대응센터 블로그

1. 개 요 최근 PC방을 중심으로 ARP Spoofing 악성파일의 감염이 빠르게 확산되고 있으며, 이로 인해 추가적인 악성파일 감염 및 온라인 게임 계정 탈취 등의 누적피해가 우려되고 있다. ARP Spoofing 공격과 PC방의 특성상 일단 감염이 이루어지게 되면 네트워크 트래픽 증가 등으로 인해 인터넷 속도가 느려질 수 있으며, 여러 대의 PC로 관련 악성파일이 빠르게 추가 감염될 수 있어 각별한 주의가 필요한 상황이다. 또한, 이번 ARP Spoofing 공격 악성파일은 특정 PC방 관리 프로그램이 설치된 PC에서 주로 많은 감염 사례가 발생하고 있는 것으로 알려져있으며, 관련 업체에서는 이번 ARP Spoofing 감염에 따라 따로이 치료파일도 제공하고 있는 상태이다. [ 참고 : PC방 관리..

1. 개 요 2011년 2월 9일경 해외 보안 업체로부터 석유, 가스, 석유 화학 등의 글로벌 에너지 업체를 대상으로 한 Spear-Phishing 보안 위협에 대한 보고가 있었다. 이름도 생소한 나이트 드래곤(Night Dragon)으로 명명된 해당 보안 위협은 맥아피(McAfee)에 의해 발견되었으며, Stuxnet에 이은 산업시설을 대상으로 한 악성파이란 점에서 감염 시 상당한 금전적 피해가 예상된다. [참고 : Global Energy Industry Hit In “Night Dragon” Attacks] http://blogs.mcafee.com/corporate/cto/global-energy-industry-hit-in-night-dragon-attacks [참고 : Night Dragon]..

1. 개 요 2011년 발렌타인 데이가 다가오고 있다. 흔히 연인들끼리 초콜릿을 주고받는다는 발렌타인 데이는 최근의 보안 위협 트렌드로 미루어보아 이제 더이상 초콜릿이 오가는 훈훈한 장면만 연출되지는 않을 전망이다. 2011년 2월 10일 해외 보안 업체로부터 페이스북(Facebook)을 통한 악성 어플리케이션 유포사례에 대한 보고가 있었으며, 작년에 이어 올해도 이러한 사회적 이슈를 노린 사회공학적 기법이 악성파일 유포의 한 방법으로 자리 잡고 있기 때문이다. 참고 : Valentine's Day scam spreads virally on Facebook http://nakedsecurity.sophos.com/2011/02/10/valentines-day-scam-spreads-virally-on-f..

1. 개 요 페이스북을 이용한 악성파일 유포 사례가 발견되어 페이스북 사용자들의 경우 해당 악성파일에 대해 감염되지 않도록 각별한 주의가 필요할 것으로 예상된다. 이번에 확인된 악성파일 유포 방식은 지난 2010년 12월 14일 게재하였던 글과 유사한 방식을 취하고 있으며, 세계적으로 지속적인 사용자 증가 추세를 보이고 있는 SNS(Social Network Service)를 악용하고 있다는 측면에서 향후 악성파일 유포 등의 지속적인 보안 위협으로 작용할 전망이다. 참고 : 페이스북(Facebook) 대화창 기능을 이용한 악성파일 국내 유입 주의 http://erteam.nprotect.com/90 2. 감염 경로 해당 악성파일은 페이스북 URL을 이용한 특정 주소를 통해 유포되고 있다. 이메일의 첨부 ..

1. 개 요 최근 해외를 중심으로 지속적인 유포가 이루어졌던 허위백신이 이번에는 실제 Anti-Virus 제품인 AVG로 위장하여 유포 중인 것이 확인되었다. 실제 AVG Anti-Virus 제품을 사용해보지 못했거나 국내 백신제품을 주로 이용하던 사용자들은 이 허위백신이 마치 정상 Anti-Virus 제품인 것으로 현혹될 수 있기 때문에 주의가 필요하다. 2. 감염경로 및 증상 이번에 발견된 허위백신 또한 다른 허위백신과 마찬가지로 이메일의 첨부 파일, 변조된 웹사이트 접근, 또는 트위터와 페이스북 등의 SNS(Social Network Service)를 통한 링크 접속으로 아래의 그림과 같은 허위백신 설치파일을 다운로드할 수 있다. 다운로드된 허위백신 설치파일은 실제 AVG 제품과 유사한 아이콘 모양..

1. 개 요 최근 DDoS 공격명령 전달 등이 가능한 트위터 봇을 생성하는 툴킷이 보고되면서 사용자들의 각별한 주의가 요구되고 있다. 이러한 툴킷은 악성파일 제작 전문가가 아니더라도 해당 툴을 이용해 DDoS 공격명령 전달 등이 가능한 악성파일을 손쉽게 제작할 수 있어 많은 주의가 필요하며, 관련한 대책 마련이 시급한 상황이다. [참고 : 백신 못 잡는 ‘트위터 좀비PC’, 누구든 완전범죄 공격자로 ] http://www.boannews.com/media/view.asp?idx=24702&kind=1 2. 감염 경로 및 증상 해당 트위터 봇 생성 툴킷은 Google 등 검색 포털 사이트를 통해 쉽게 접할 수 있으며, 악성파일 제작자가 아니더라도 해당 생성 툴킷을 이용해 손쉽게 악성파일을 제작할 수 있다...

1. 개 요 현재 가장 널리 알려진 봇넷은 제우스(Zeus)이다. 해당 악성파일은 사용자의 금융 계정 정보 등의 탈취를 주목적으로 하고 있으며, 악성파일의 제작에 사용되는 툴킷 등이 블랙마켓을 통해 조직적으로 거래되고 있다. 그런데 2010년경부터 스파이아이(SpyEye)라는 제우스 봇넷의 경쟁 툴킷이 등장했고 최근까지 버전이 업그레이드되며, 지속적인 거래가 이루어지고 있는 것으로 알려졌다. 스파이아이는 2010년 하더만(Harderman)이 제우스 개발자 슬래빅(Slavik)으로부터 소스 코드를 공식 인수하면서 본격적인 활동이 시작되었으며, 현재도 스파이아이와 제우스의 소스코드를 통합하는 작업이 진행 중이라고 보고되었다. 또한, 제우스와 경쟁 관계다 보니 툴킷에 자연스럽게 "Kill Zeus" 기능 등..

1. 개요 최근 까지 인스턴스 메신저 또는 쪽지 등을 통하여 직접적인 파일 다운로드 방식으로 악성파일을 유포 하였던 일명 "네이트온 악성파일"이 특정 인터넷 게시판으로 접속을 유도한 뒤 웹 브라우저의 취약점을 이용하여 감염을 유발하는 등 좀 더 다양하고 지능된 유포 방식이 확인 되어 관련 글을 작성하여 보았다. [참고 : 메신저 쪽지 등으로 유포되는 악성코드 주의] http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=56&page= [참고 : 네이트온 쪽지로 유포 중인 악성코드 그림 파일] http://viruslab.tistory.com/1788 2. 감염 방식 및 취약점 정보 2-1. 감염 방식 최초 악의적인 공격자에 의하여 해..

1. 개 요 해외시각으로 2011년 1월 20일 해외 보안 업체 등을 통해 트위터 웜이라는 제목하의 허위백신(Fake AV) 유포 사례가 보고되어 Social Network Service(SNS) 사용자들의 주의가 요구되고 있다. 많은 사용자를 보유하고 있는 SNS인 트위터를 통해 해당 사례가 발견되어 피해가 더욱 클 것으로 예상되며, 유포방식으로 Google 단축주소를 활용한 점이 특징이다. [ 참고 : Fake anti-virus attack spreads on Twitter via goo.gl links ] http://nakedsecurity.sophos.com/2011/01/20/fake-anti-virus-attack-twitter-via-goo-gl-links/?utm_source=feedb..

1. 개 요 해외시각으로 2011년 1월 18일 Microsoft 블로그를 통해 클라우드 기반의 Anti-Virus 동작을 방해할 수 있는 악성파일이 출현했다는 보고가 있었다. 이번에 보고된 해당 악성파일은 사용자를 속이는 일종의 사회공학적 기법을 사용한 프로그램 설치본 형태를 띠고 있으며, 현재 주목받고 있는 클라우드 시스템을 대상으로 한 최초의 악성파일인 점에서 새로운 보안 위협으로 작용할 전망이다. 참고 : Bohu Takes Aim at the Cloud [ http://blogs.technet.com/b/mmpc/archive/2011/01/19/bohu-takes-aim-at-the-cloud.aspx ] 2. 악성파일 정보 해당 악성파일은 아래의 그림과 같이 아이콘만 얼핏 보면 동영상과 관련..