시큐리티대응센터 2044

[발표]2013년 사례분석을 통한 2014년 보안위협 예측

잉카인터넷 ISARC 대응팀은 2013년 국내에서 발생한 각종 주요 보안이슈와 키워드별 사례를 종합 분석하여 2014년 발생 가능한 보안위협 예측자료를 다음과 같이 발표한다. 2013년은 2012년과 비슷한 유형의 보안 위협들이 다수 발생하였다. 다만, 3.20 사이버테러와 6.25 사이버전으로 규정된 북한의 공격이 연이어 발생하여 심각한 보안위협으로 대두되었다. 그외 각종 사이버범죄는 고도화되고 지능적인 양상을 보였다. 이번 보안 전망자료는 잉카인터넷 ISARC 대응팀이 2013년 등장하였던 대표적인 보안 위협들을 되짚어보고, 2014년에 출현 가능한 위협 요소들을 사전에 예측하여 대처할 수 있는 기초자료로 활용하는데 그 취지가 있으며, 각 계 보안의식 제고와 공감대 형성을 이루는데 그 목적이 있다. ..

[주의]정보보안예산 워드문서로 위장한 표적공격용 악성파일

1. MS Office Word 문서파일을 이용한 악성파일 발견 잉카인터넷 대응팀은 지능형 표적공격을 집중관제 중에 2013년 10월 30일 경 정보보안예산 내용으로 위장한 DOC 문서형태의 악성파일을 다수 발견하여, 꾸준히 추적 조사 중에 있다. 해당 문서파일을 실행하게 되면 매크로 기능을 통해 이용자 컴퓨터에 추가적인 악성파일이 몰래 설치 시도된다. 따라서 이용자들은 가급적 매크로 기능이 실행되지 않도록 보안설정을 해두고, 신뢰하기 어려운 경우 절대로 매크로 기능을 활성화하지 않도록 주의하여야 한다. 각종 문서파일로 사칭한 악성파일의 경우 이용자들이 무심코 실행하는 경우가 많아 지능적 표적공격에 다수 악용되고 있다. 이메일 첨부파일로 문서파일을 받을 경우 악성여부를 의심하고, 신뢰하기 어려운 경우 절..

[주의]CVE-2013-3906 MS Word Zero-Day 취약점 공격

1. MS Office DOCX 문서파일 Zero-Day 공격 등장 잉카인터넷 대응팀은 2013년 11월 06일 기준으로 MS 오피스 Zero-Day 보안취약점을 이용하는 악성 Word 파일을 다수 발견하였고, 파키스탄 등에서 변종이 다수 유포 중인 정황도 포착한 상태이다. 해당 이슈는 대응팀에서 2013년 10월 말 관련 첩보를 입수하고 자체 조사를 은밀하고 진행 중에 있었다. 또한 보여지는 문서파일은 대체로 파키스탄 시간대(PST:Pakistan Standard Time)를 이용하고 있다. 악성파일은 "Shanti Dyanamite.docx", "IMEI.docx", "Inter-Services Intelligence (ISI).docx", "Kayani.docx", "Failure_Notice.do..

[주의]한글 이력서 문서파일로 위장한 표적형 공격 발견

1. 확장자 조작한 지능형 표적공격 주의 잉카인터넷 대응팀은 Unicode Character Right to Left Override (U+202E) 기법을 이용한 표적공격 정황을 포착했다. 이 공격방식은 2중 확장자명의 순서를 임의로 변경할 수 있어 실행파일(EXE, SCR, COM 등)과 문서파일(DOC, TXT, PDF, HWP 등)의 순서를 바꾸어 마치 실행파일을 문서파일로 보이도록 조작할 수 있다. 그래서 이용자들에게 정상적인 문서파일처럼 보이도록 유혹한 후 실행파일 형태의 악성파일을 열어보게 만든다. [참고자료] Unicode를 이용한 윈도우 확장자 변조 가능 취약점 이용한 악성코드 주의 http://viruslab.tistory.com/1986 Right-to-Left Override Aid..

[주의]국내 웹 사이트 관리자 계정 노린 악성파일 변종 지속 출현

1. 특명! 국내 주요 사이트 관리자 계정을 보호하라. 잉카인터넷 대응팀은 국내 웹 사이트 관리자 계정을 노린 악성파일 변종을 추가로 발견하였다. 해당 악성파일은 국내 특정 웹 사이트 관리자의 계정정보를 집중적으로 수집시도하고 있기 때문에 각별한 주의가 필요하다. 공격대상에 포함된 곳들은 언론사, 광고사, 포털사, 게임사, 보안장비 및 기업, 교통, 통신, 커뮤니티 등 다양한 분야의 웹 사이트가 포함되어 있으며, 일부는 정상적으로 접근이 가능한 상태로 운영되고 있는 상태이다. 악성파일의 공격 대상 리스트에 포함된 경우 이미 악의적인 공격자에게 관리자 페이지가 노출된 상태이기 때문에 각 기업은 관리자 권한이 탈취되지 않도록 외부의 접근을 제어함과 동시에 관리자 페이지 주소를 정기적으로 변경하고, 허가된 사..

[주의]스미싱 문자메시지 HTML 링크를 이용한 우회기법 도입

1. 스미싱 문자 APK 링크에서 HTML 사이트도 추가 잉카인터넷 대응팀은 2013년 10월 18일 새로운 형태로 진화한 스미싱 문자 메시지 형태를 발견했다. 휴대폰 소액결제사기, 가짜 모바일 스마트 뱅킹앱 설치, 개인정보 탈취 형태의 안드로이드 기반 악성앱들은 대체로 APK 앱 파일이 문자메시지(SMS)에 링크되어 있는 것이 일반적인 스미싱 기법이었다. 간혹 조작된 특정 웹 사이트로 연결하여 악성앱을 추가로 다운로드하는 경우가 있었으나 그런 경우도 기존처럼 단순 도메인 주소를 이용했었다. 그러나 이번에 발견된 방식은 HTML 웹 페이지 주소를 그대로 포함하고 있어 이용자들로 하여금 정상적인 문자로 오인하도록 조작하였다. [주의]APK 암호화 기법을 도입한 스미싱 악성앱 출현 ☞ http://ertea..

[주의]APK 암호화 기법을 도입한 스미싱 악성앱 출현

1. APK 파일 ZIP Format Header 조작을 통한 암호화 방식 도입 잉카인터넷 대응팀은 2013년 10월 01일 오후 5시 58분 경부터 국내 불특정 다수의 안드로이드 스마트폰 이용자를 겨냥한 스미싱기법의 악성문자가 전파되는 정황을 포착하였다. 그런데 이 스미싱을 통해서 설치되는 악성앱(APK)파일은 기존의 스미싱용 악성앱 형태와 다르게 APK 앱 파일 자체가 암호화 기능으로 설정되어 있었다. 안드로이드의 APK 파일은 압축 포맷인 ZIP 형태를 가지고 있어 압축 프로그램을 통해서 쉽게 압축을 해제하고 분석할 수 있으나, 이번과 같이 암호화 기능이 설정된 경우 내부에 존재하는 "classes.dex" 파일에 쉽게 접근하기 어려워 분석방해 등의 어려움을 겪을 수 있다. 이 암호화 방식의 기법은..

[주의]HWP 악성파일 유포조직 1년 넘게 활동 중인 실체 확인

1. 대북단체에 HWP 악성파일 1년 넘게 공격 정황포착 잉카인터넷 대응팀은 지금으로부터 약 1년 전 2012년 06월 경 "탈북인 인적사항으로 유혹하는 HWP 악성파일 등장" 내용의 HWP 악성파일 정보를 공개한 바 있다. 그런 가운데 2013년 09월 13일 대북언론매체인 데일리NK 뉴스를 통해서 "북한에서 보내는 해킹 파일로 의심했다"라는 발췌내용의 뉴스기사가 공개되었다. 해당 악성파일을 조사해 본 결과 작년과 동일한 제작자나 조직이 만든 정황근거가 확인됐다. 아울러 공격자가 사용 중인 명령제어(C&C)서버는 이미 한국인터넷진흥원(KISA) 등 유관기관을 통해서 신속하게 접속이 차단조치된 상태이기 때문에 현재는 추가적인 명령을 수행할 수 없는 상태이다. 北해커 '좀비 PC' 악성코드 對北 단체에 대..

[주의]구글 크롬 파일로 위장한 악성파일 등장

1. 구글 크롬 브라우저 파일로 둔갑 잉카인터넷 대응팀은 국내 이용자를 노린 악성파일이 구글 크롬 파일처럼 위장하고 있는 형태를 발견했다. 이 악성파일은 2가지 형태의 크롬 위장 아이콘 리소스를 보유하고 있으며, 파일의 속성 정보에도 구글의 크롬처럼 설명을 포함하고 있다. 이용자들은 아이콘과 파일정보 만으로 정상파일로 오인하지 않도록 주의를 살펴야 할 것으로 보인다. 악성파일은 "css.exe" 파일명으로 국내 특정 웹 사이트를 통해서 유포 중에 있으며, 파일 속성의 정보에는 원본 파일 이름이 "chrome.exe" 이라고 지정되어 있다. 유포지 : h**p://happy***.co.kr/***/css.exe (일부 * 표시) 2. 악성파일 감염 동작 정보 악성파일은 "css.exe" 파일명으로 유포 중..

[주의]금융결제원(YESSIGN) 내용으로 사칭한 악성파일 등장

1. 허위 메시지 창으로 인터넷 이용자들을 현혹 잉카인터넷 대응팀은 2013년 09월 04일 마치 특정 공식 사이트들과 금융결제원이 협력하여 보안서비스를 수행하는 것처럼 위장하고, 개인정보 유출이 의심된다는 허위 메시지 창을 출력하여 이용자들을 현혹시키는 악성파일을 발견하였다. 이 악성파일은 특정 포털 사이트 및 전자상거래 사이트 접속시 팝업되도록 만들어져 있다. 악성파일은 윈도우 경로 하위 임시폴더(Temp)에 "svohcst.exe", "temp1.exe", "temp2.exe", "temp3.exe", "temp4.exe" 등으로 생성되고, 온라인 게임 계정 탈취 및 파밍기능 등의 다양한 형태가 감염되며, 변종도 다수 존재한다. [temp1.exe] https://www.virustotal.com/..