잉카인터넷 시큐리티대응센터 블로그

2010년 11월 23일 북한의 연평도 포격과 관련한 군사도발 행위에 따른 추가 사이버 위협 도발 가능성에 대비하여 국가기관에서는 11월 23일 18시 부로 국가공공기관을 대상으로 사이버위기 단계를 '관심' 단계로 변경한다고 밝혔다. "사이버공격 위험성 증가에 따른 ‘관심’ 경보 발령" [ http://www.krcert.net/secureNoticeView.do?seq=-1&num=479 ] 인터넷침해사고대응지원센터 "[관심경보발령] 국가공공기관 사이버위기 관심 경보 발령" [ http://service1.nis.go.kr/ ] 국가사이버안전센터 전세계의 각종 뉴스 등을 통해서 남북간의 해안 충돌과 군사도발에 대한 보도가 알려짐에 따라 이를 악용한 각종 허위 보안 프로그램 및 악성 프로그램 유포가 발생..

올해는 국내외에 크고작은 행사가 많은 한해였다. G20 정상회의, 노벨평화상, 아시안게임 등 굵직한 행사가 있을때마다 어김없이 관련 행사에 편승하여 사회적 이슈를 이용한 악성파일의 등장이 빈번하였다. 또한, 경찰청을 사칭한 악성파일 유포 시도 등 국제적 행사가 아닌 일반적인 사칭기법을 이용하는 악성파일 유포가 어느새 악성파일 유포 트랜드가 되어가고 있다. 이번 글에서는 이와같은 사회적 이슈를 악용(사회공학기법)하여 악성파일을 유포하는 사례에 대해 알아보도록 하겠다. [ 국제적 행사명 등으로 위장한 악성파일 기승! : http://erteam.nprotect.com/59 ] 이미 국제적으로 이슈가 될 수 있는 행사는 이미 종료되었거나, 진행중이지만 국내에는 아직 사회적 이슈가 될 수 있는 행사(?) 등이 ..

최근 G20, 노벨평화상, 광저우 아시안게임 등 국제적인 행사의 이름을 빌린 악성파일 유포가 기승을 부리고 있다. 또한, 이러한 악성파일들은 주로 스팸메일을 이용하여 유포가 이루어지고 있기 때문에 사용자들의 보다 깊은 주의를 필요로 하고있다. [ http://www.dt.co.kr/contents.html?article_no=2010111102011060746004 ] - 디지털타임스 [ http://www.ytn.co.kr/_ln/0104_201011111136201339 ] - YTN 뉴스 [ http://news.sbs.co.kr/section_news/news_read.j..

영국은행 Lloyds TSB 에서 발송한 것처럼 교묘하게 위장된 악성 이메일이 국내에 유입되었으므로 외국과 금융 거래를 활발히 하시는 분들의 각별한 주의가 필요합니다. 참고로, Lloyds TSB 은행은 잉글랜드 (England)의 4대 상업은행 (Big Four) 중 하나이며, 더욱 크게는 영국 (United Kingdom)의 4대 상업은행 (Big Four) 중 하나인 Lloyds Banking Group에 속한 은행이라고 합니다. 영국 (United Kingdom)의 4대 상업은행: HSBC Bank Royal Bank of Scotland Group Lloyds Banking Group Barclays 잉글랜드 (England)의 4대 상업은행: Lloyds TSB National Westmins..

지난 2010년 11월 1일 방송통신위원회에서 사이버위기 "관심" 경보를 발령한지 9일 만인 2010년 11월 10일 해외 보안업체로 부터 "G20 정상회의 관련 내용으로 위장한 악성파일이 등장"했다고 보고되었다. [ http://blog.trendmicro.com/g-20-summit-used-for-spam-attacks/ - TrendMicro ] ◆ 역시나 등장한 G20 정상회의 관련 악성파일.. 위 그림과 같이 이메일에 첨부되어 있는 링크를 클릭하게 되면 Microsoft Word 문서파일로 위장된 악성파일을 내부에 포함하고 있는 G20IssuesPaper.zip 파일명..

2010년 11월 11일 드디어 아시아에서 첫번째로 유치되는 G20 정상회의가 시작된다. 주요 세계 20개국의 정상들이 모여 각종 현안을 논의하는 만큼 사회적 혼란 등을 야기하기 위한 사이버공격 발생 가능성이 점쳐지며, 이러한 이유로 방송통신위원회에서는 지난 1일 사이버위기 "관심" 경보를 발령한다고 밝혔다. [ http://www.ddaily.co.kr/news/news_view.php?uid=70140 - 디지털데일리] 이는 최근까지 G20 정상회의를 앞두고 지속적으로 유포되었던 DDoS, ARP Spoofing 등 악성파일에 의해 발생 할 수 있는 사회적 파장을 막기위한 방법으로 이번 행사가 종료되는 시점까지 각 유관기관, ISP, 백신업체 등의 유기적인 협력 및 대응이 이루어질것이다. 최근 악성파..

2010년 11월 3일 "대구경찰청, 사이버수사대(참고인 출석요구서)"란 제목을 가진 스팸메일이 국내 유명포털사이트 메일 이용자들에게 무작위로 발송되었다. 또한, 해당메일의 본문에는 마치 실제 대구지방경찰청 사이버범죄수사대에서 발송한것 처럼 속이기 위해 구체적인 직책과 성명, 전화번호, 이메일 정보 등을 담고있어 이용자들의 각별한 주의가 필요하다. [ http://www.ytn.co.kr/_ln/0103_201011031740545150 - YTN 뉴스 ] 위 그림과 같이 "참고인 출석요구서"를 작성하라는 문구와 함께 문서 다운로드를 유도하고 있으며, 다운로드를 클릭 할 경우 문서파일이 아닌 exe파일을 다운로드 하게된다. 또한, 실제 대구지역의 지역번호(053)와 다른 051번이 전화번호란에 기재되어있..

지난 2010년 10월 26일경 노벨평화상 웹 사이트가 해킹된 사고가 일어났다. 원인은 바로 웹 브라우저인 파이어 폭스(Firefox)에 존재하는 제로 데이(Zero-Day) 취약점이었다. ※ 제로 데이(Zero-Day)란 쉽게말해 특정 취약점에 대한 보안패치가 나오지 않은 시점에서 발생하는 공격기법을 말한다. [ 출처 : http://news.chosun.com/site/data/html_dir/2010/10/27/2010102700146.html - 조선일보 ] 이번 취약점에 노출된 버전은 Mozilla Firefox 3.5/3.6 버전이었으며, 해킹된 사이트에 접속 시 해당 취약점을 이용한 악성 자바스크립트 파일을 이용하여 트로이 목마를 다운로드(scvhost.txt) 하는 형태로 감염이 이루어진다..

2010년 중/하반기 경부터 국내에 집중하여 등장한 ARP Spoofing 악성 파일은 최근까지 그 변종이 지속적으로 유포되고 있다. 2010년 10월 15일경 ARP Spoofing 악성 파일 다운로드 기능이 제외된 변종이 발견되었으나, 2010년 10월 23일 해당 기능이 다시 추가되어 유포되기 시작했다. ◆ 다시 돌아온 ARP Spoofing!! 금전적 이득을 노린 특정 계정정보 등에 대한 탈취기능을 가지는 악성 파일 유포가 최종 목적인것은 동일하나, 보안에 취약한 웹 사이트에 접속 후 일부 MS 취약점을 악용하여 ARP Spoofing 변종 악성 파일에 대한 다운로드 기능을 다시 추가한것이 이번에 발견된 변종의 특징이다. ※ 2010년 10월 23일 발견된 ARP Spoofing 유포기능이 추가된..

일명 "파리떼(?)"라는 별칭으로도 국내에 조금씩 알려져 있는 Parite(패리티) 라는 정식 이름의 바이러스는 2001년 10월 경부터 보고되기 시작했으며, 다양한 변형이 존재하는 실행 파일 감염형 바이러스이다. 약 9년 전에 발견된 구형 바이러스라는 점에서 새로운 위협의 범위에 포함되지는 않지만, 바이러스 생존율 기간이 길게 유지되고 있다는 점에서 주목해야 한다. 또한, 얼마전 일부 국산 인터넷 광고성 프로그램에 Parite 바이러스 변종이 감염된 채 모듈이 배포되면서 국내 감염자가 급격히 증가하고 있는 추세를 보이고 있어, 각별한 주의가 요망되고 있다. 이 바이러스는 윈도우 실행파일(PE형식)인 .EXE, .SCR 등의 확장자를 찾아 감염시키지만, 윈도우 폴더에 존재하는 Explorer.exe 는 ..