잉카인터넷 시큐리티대응센터 블로그

1. 대북단체에 HWP 악성파일 1년 넘게 공격 정황포착 잉카인터넷 대응팀은 지금으로부터 약 1년 전 2012년 06월 경 "탈북인 인적사항으로 유혹하는 HWP 악성파일 등장" 내용의 HWP 악성파일 정보를 공개한 바 있다. 그런 가운데 2013년 09월 13일 대북언론매체인 데일리NK 뉴스를 통해서 "북한에서 보내는 해킹 파일로 의심했다"라는 발췌내용의 뉴스기사가 공개되었다. 해당 악성파일을 조사해 본 결과 작년과 동일한 제작자나 조직이 만든 정황근거가 확인됐다. 아울러 공격자가 사용 중인 명령제어(C&C)서버는 이미 한국인터넷진흥원(KISA) 등 유관기관을 통해서 신속하게 접속이 차단조치된 상태이기 때문에 현재는 추가적인 명령을 수행할 수 없는 상태이다. 北해커 '좀비 PC' 악성코드 對北 단체에 대..

1. 구글 크롬 브라우저 파일로 둔갑 잉카인터넷 대응팀은 국내 이용자를 노린 악성파일이 구글 크롬 파일처럼 위장하고 있는 형태를 발견했다. 이 악성파일은 2가지 형태의 크롬 위장 아이콘 리소스를 보유하고 있으며, 파일의 속성 정보에도 구글의 크롬처럼 설명을 포함하고 있다. 이용자들은 아이콘과 파일정보 만으로 정상파일로 오인하지 않도록 주의를 살펴야 할 것으로 보인다. 악성파일은 "css.exe" 파일명으로 국내 특정 웹 사이트를 통해서 유포 중에 있으며, 파일 속성의 정보에는 원본 파일 이름이 "chrome.exe" 이라고 지정되어 있다. 유포지 : h**p://happy***.co.kr/***/css.exe (일부 * 표시) 2. 악성파일 감염 동작 정보 악성파일은 "css.exe" 파일명으로 유포 중..

1. 허위 메시지 창으로 인터넷 이용자들을 현혹 잉카인터넷 대응팀은 2013년 09월 04일 마치 특정 공식 사이트들과 금융결제원이 협력하여 보안서비스를 수행하는 것처럼 위장하고, 개인정보 유출이 의심된다는 허위 메시지 창을 출력하여 이용자들을 현혹시키는 악성파일을 발견하였다. 이 악성파일은 특정 포털 사이트 및 전자상거래 사이트 접속시 팝업되도록 만들어져 있다. 악성파일은 윈도우 경로 하위 임시폴더(Temp)에 "svohcst.exe", "temp1.exe", "temp2.exe", "temp3.exe", "temp4.exe" 등으로 생성되고, 온라인 게임 계정 탈취 및 파밍기능 등의 다양한 형태가 감염되며, 변종도 다수 존재한다. [temp1.exe] https://www.virustotal.com/..

1. 스미싱 문자 메시지 현재 진행형이며, 여전히 활개 잉카인터넷 대응팀은 국내 안드로이드 기반 스마트폰 이용자들을 겨냥한 악성앱(APK) 설치용 스미싱을 집중 관제 중이다. 상반기와 수치적으로 비교해 보아도 스미싱 문자메시지는 여전히 기승을 부리고 있고, 악성앱 변종도 꾸준히 증가 추세이다. 잉카인터넷 대응팀은 지난 5월 경 스미싱이 사회적인 문제로 대두되고, 피해가 증가함에 따라 스미싱 원천차단방지 솔루션인 "뭐야 이 문자" 앱을 개발하여 일반에 무료로 배포 중이다. "뭐야 이 문자" 앱은 스미싱의 피해가 급증함에 따라 단기간에 총 사용자 설치 수가 약 50,000 여명에 가깝게 설치하였고, 시간 차로 조금씩 차이가 있지만, 실시간으로 유포 중인 각종 스미싱을 차단하고 유포현황을 제공 받고 있다. 이..

1. 잠재적 보안위협, 악성 문서파일을 방어하라! 잉카인터넷 대응팀은 한글과컴퓨터(한컴)사의 문서파일 취약점을 이용한 표적 공격을 집중 모니터링 하던 과정 중 "박근혜의 외교정책.hwp" 이름의 악성파일을 발견했다. 이 파일은 실행 시 HWP 파일의 보안 취약점을 이용해서 시스템 폴더 경로에 "ESTsoftReg.exe", "mncomun.dll", "mnkyst.dll", "mnsandp.dll" 등의 악성파일을 몰래 설치하고, 사용자 화면에는 「박근혜 정부의 외교·안보 정책의 기조와 딜레마」제목의 정상적인 문서파일을 보여준다. 그렇기 때문에 이용자에게는 마치 정상적인 파일로 보여지게 된다. 이러한 문서파일 취약점을 이용한 악성파일은 지능적인 표적공격에 은밀하게 사용되고 있으며, 피해자들은 자신이 어떤..

1. 보안설정 변경 내용으로 사칭한 스미싱 출현 잉카인터넷 대응팀은 각종 모바일 보안위협을 실시간으로 관제하던 중 기존 스미싱과는 방식이 다른 한 단계 지능화된 공격수법을 확인했다. 이번 방식은 스미싱 문자메시지에 포함되어 있는 단축 인터넷 주소(URL)를 클릭할 경우 바로 악성앱(APK)이 다운로드되는 기존 방식과 더불어 마치 정상적인 안내 페이지처럼 조작된 화면 등을 추가로 보여주어 이용자로 하여금 좀더 신뢰할 수 있는 내용으로 현혹될 수 있도록 이미지를 추가한 점이 가장 큰 특징이라 할 수 있다. 기존의 스미싱 방식은 문자메시지 내용으로 이용자를 현혹하는 것이 핵심이었다면, 이번에 발견된 수법은 거기에 더해 별도 안내 화면과 함께 이용자 스스로 알 수 없는 출처(소스)의 보안 옵션을 변경하도록 유인..

1. 한국맞춤형 전자금융사기 악성파일(KRBanker) DLL 파일로 귀환 잉카인터넷 대응팀은 국내 시중은행의 인터넷 뱅킹 이용자들을 겨냥한 악성파일을 집중 모니터링하던 중 기존과 다르게 작동하는 유형을 발견했다. 이번 악성파일은 워드패드 파일의 아이콘처럼 자신을 위장하고 있으며, 중국어로 제작되어 있다. 최근 며칠 사이에 변종이 계속 증가하고 있는 추세이다. 악성파일이 작동되면 루트 드라이브에 임의의 폴더를 생성하고 내부에 정상적인 "csrss.exe" 파일과 임의의 파일명으로 악성 dll 파일을 생성한다. 특징적인 점은 기존에 윈도우 운영체제에서 사용하던 "rundll32.exe" 파일을 "csrss.exe" 파일명으로 생성한다는 점인데, 이것은 악성파일 자신을 최대한 은닉하기 위한 수법으로 활용했다..

1. 악성 HWP 파일의 생명보험은 바로 제품 업데이트 잉카인터넷 대응팀은 한글과컴퓨터(한컴)사의 HWP 문서파일 취약점을 이용하는 악성파일을 지속적으로 발견하고 있다. 문서파일의 취약점을 이용한 공격은 특정기업이나 기관을 겨냥한 1차침투 및 정찰용 악성 이메일을 은밀하게 발송하는 스피어피싱(Spear Phishing)기법이 활용된다. 이러한 공격기법은 과거부터 많이 사용되던 매우 고전적인 수법이지만, 외부에 쉽게 노출되지 않고, 이용자들의 보안의식에 따라 공격대비 성공율이 나름대로 높아 주로 이용되는 방식 중 하나이다. 평소 업무에도 자주 이용하는 친숙한 문서파일은 이용자로 하여금 악성파일로 의심받을 확률이 낮고, 감염여부를 쉽게 판단하기 어렵다는 점에서 특정인이나 조직을 겨냥한 표적공격에 꾸준히 악용..

1. 악성파일로 바로가기하는 LNK 공격 등장 잉카인터넷 대응팀은 2013년 07월 중순 경부터 08월 초까지 한국과 일본의 특정 기관들을 노린 것으로 보이는 은밀한 방식의 지능형 표적공격 정황을 다수 포착했다. 이 공격방식은 바로가기(.LNK) 파일형식으로 만들어져 있고, LNK 내부에삽입된 악의적 스크립트 코드명령에 의해 특정 사이트로 연결이 된다. 이 과정에서 이용자 몰래 EXE 악성파일을 추가로 다운로드하여 몰래 실행하는 일종의 원격실행 취약점이 작동하게 된다. 또한, 공격자들은 바로가기 파일이 마치 문서파일처럼 보이도록 하기 위해서 아이콘을 워드패드(RTF)로 위장하거나 실제 가짜 문서화면을 실행하여 이용자로 하여금 정상적인 문서파일로 인지하도록 현혹한다. 현재까지 한국과 일본을 상대로 한 공격..

1. 유명 기업들 관리자 계정 탈취 목적의 악성파일 잉카인터넷 대응팀은 국내 주요 사이트의 관리자 계정을 수집하는 악성파일 숙주가 국내 특정 웹 사이트 2곳에서 유포 중인 것을 자체적으로 발견했다. 이 글을 작성하는 2013년 07월 26일 오후 1시경 현재 해당 웹 사이트가 정상적으로 작동하고 있어, 유관기관 등에 신속하게 악성파일 유포지 정보를 공유하고 차단협조를 요청한 상태이다. 해당 악성파일들은 언론사, 광고사, 게임사, 포털사, 교통, 통신, 커뮤니티, 보안장비 등의 웹 사이트 관리자 페이지 정보를 보유하고 있어, 각별한 주의가 필요하며, 기존 3.20 사이버 테러와 6.25 사이버전의 공격코드 형태와는 다른 종류이다. 이것을 미루어 보아 온라인 게임 계정 탈취기능의 사이버 범죄 조직들이 유명 ..