시큐리티대응센터2132 [주의]APK 암호화 기법을 도입한 스미싱 악성앱 출현 1. APK 파일 ZIP Format Header 조작을 통한 암호화 방식 도입 잉카인터넷 대응팀은 2013년 10월 01일 오후 5시 58분 경부터 국내 불특정 다수의 안드로이드 스마트폰 이용자를 겨냥한 스미싱기법의 악성문자가 전파되는 정황을 포착하였다. 그런데 이 스미싱을 통해서 설치되는 악성앱(APK)파일은 기존의 스미싱용 악성앱 형태와 다르게 APK 앱 파일 자체가 암호화 기능으로 설정되어 있었다. 안드로이드의 APK 파일은 압축 포맷인 ZIP 형태를 가지고 있어 압축 프로그램을 통해서 쉽게 압축을 해제하고 분석할 수 있으나, 이번과 같이 암호화 기능이 설정된 경우 내부에 존재하는 "classes.dex" 파일에 쉽게 접근하기 어려워 분석방해 등의 어려움을 겪을 수 있다. 이 암호화 방식의 기법은.. 2013. 10. 1. [주의]HWP 악성파일 유포조직 1년 넘게 활동 중인 실체 확인 1. 대북단체에 HWP 악성파일 1년 넘게 공격 정황포착 잉카인터넷 대응팀은 지금으로부터 약 1년 전 2012년 06월 경 "탈북인 인적사항으로 유혹하는 HWP 악성파일 등장" 내용의 HWP 악성파일 정보를 공개한 바 있다. 그런 가운데 2013년 09월 13일 대북언론매체인 데일리NK 뉴스를 통해서 "북한에서 보내는 해킹 파일로 의심했다"라는 발췌내용의 뉴스기사가 공개되었다. 해당 악성파일을 조사해 본 결과 작년과 동일한 제작자나 조직이 만든 정황근거가 확인됐다. 아울러 공격자가 사용 중인 명령제어(C&C)서버는 이미 한국인터넷진흥원(KISA) 등 유관기관을 통해서 신속하게 접속이 차단조치된 상태이기 때문에 현재는 추가적인 명령을 수행할 수 없는 상태이다. 北해커 '좀비 PC' 악성코드 對北 단체에 대.. 2013. 9. 13. [주의]구글 크롬 파일로 위장한 악성파일 등장 1. 구글 크롬 브라우저 파일로 둔갑 잉카인터넷 대응팀은 국내 이용자를 노린 악성파일이 구글 크롬 파일처럼 위장하고 있는 형태를 발견했다. 이 악성파일은 2가지 형태의 크롬 위장 아이콘 리소스를 보유하고 있으며, 파일의 속성 정보에도 구글의 크롬처럼 설명을 포함하고 있다. 이용자들은 아이콘과 파일정보 만으로 정상파일로 오인하지 않도록 주의를 살펴야 할 것으로 보인다. 악성파일은 "css.exe" 파일명으로 국내 특정 웹 사이트를 통해서 유포 중에 있으며, 파일 속성의 정보에는 원본 파일 이름이 "chrome.exe" 이라고 지정되어 있다. 유포지 : h**p://happy***.co.kr/***/css.exe (일부 * 표시) 2. 악성파일 감염 동작 정보 악성파일은 "css.exe" 파일명으로 유포 중.. 2013. 9. 10. [주의]금융결제원(YESSIGN) 내용으로 사칭한 악성파일 등장 1. 허위 메시지 창으로 인터넷 이용자들을 현혹 잉카인터넷 대응팀은 2013년 09월 04일 마치 특정 공식 사이트들과 금융결제원이 협력하여 보안서비스를 수행하는 것처럼 위장하고, 개인정보 유출이 의심된다는 허위 메시지 창을 출력하여 이용자들을 현혹시키는 악성파일을 발견하였다. 이 악성파일은 특정 포털 사이트 및 전자상거래 사이트 접속시 팝업되도록 만들어져 있다. 악성파일은 윈도우 경로 하위 임시폴더(Temp)에 "svohcst.exe", "temp1.exe", "temp2.exe", "temp3.exe", "temp4.exe" 등으로 생성되고, 온라인 게임 계정 탈취 및 파밍기능 등의 다양한 형태가 감염되며, 변종도 다수 존재한다. [temp1.exe] https://www.virustotal.com/.. 2013. 9. 6. [정보]소액결제사기 및 스마트뱅킹사칭 스미싱 문자메시지 실제 유포현황 1. 스미싱 문자 메시지 현재 진행형이며, 여전히 활개 잉카인터넷 대응팀은 국내 안드로이드 기반 스마트폰 이용자들을 겨냥한 악성앱(APK) 설치용 스미싱을 집중 관제 중이다. 상반기와 수치적으로 비교해 보아도 스미싱 문자메시지는 여전히 기승을 부리고 있고, 악성앱 변종도 꾸준히 증가 추세이다. 잉카인터넷 대응팀은 지난 5월 경 스미싱이 사회적인 문제로 대두되고, 피해가 증가함에 따라 스미싱 원천차단방지 솔루션인 "뭐야 이 문자" 앱을 개발하여 일반에 무료로 배포 중이다. "뭐야 이 문자" 앱은 스미싱의 피해가 급증함에 따라 단기간에 총 사용자 설치 수가 약 50,000 여명에 가깝게 설치하였고, 시간 차로 조금씩 차이가 있지만, 실시간으로 유포 중인 각종 스미싱을 차단하고 유포현황을 제공 받고 있다. 이.. 2013. 9. 3. [주의]외교정책 내용으로 사칭한 악성 HWP 문서파일 발견 1. 잠재적 보안위협, 악성 문서파일을 방어하라! 잉카인터넷 대응팀은 한글과컴퓨터(한컴)사의 문서파일 취약점을 이용한 표적 공격을 집중 모니터링 하던 과정 중 "박근혜의 외교정책.hwp" 이름의 악성파일을 발견했다. 이 파일은 실행 시 HWP 파일의 보안 취약점을 이용해서 시스템 폴더 경로에 "ESTsoftReg.exe", "mncomun.dll", "mnkyst.dll", "mnsandp.dll" 등의 악성파일을 몰래 설치하고, 사용자 화면에는 「박근혜 정부의 외교·안보 정책의 기조와 딜레마」제목의 정상적인 문서파일을 보여준다. 그렇기 때문에 이용자에게는 마치 정상적인 파일로 보여지게 된다. 이러한 문서파일 취약점을 이용한 악성파일은 지능적인 표적공격에 은밀하게 사용되고 있으며, 피해자들은 자신이 어떤.. 2013. 8. 30. 이전 1 ··· 297 298 299 300 301 302 303 ··· 356 다음
