시큐리티대응센터2143 [주의]정보보안예산 워드문서로 위장한 표적공격용 악성파일 1. MS Office Word 문서파일을 이용한 악성파일 발견 잉카인터넷 대응팀은 지능형 표적공격을 집중관제 중에 2013년 10월 30일 경 정보보안예산 내용으로 위장한 DOC 문서형태의 악성파일을 다수 발견하여, 꾸준히 추적 조사 중에 있다. 해당 문서파일을 실행하게 되면 매크로 기능을 통해 이용자 컴퓨터에 추가적인 악성파일이 몰래 설치 시도된다. 따라서 이용자들은 가급적 매크로 기능이 실행되지 않도록 보안설정을 해두고, 신뢰하기 어려운 경우 절대로 매크로 기능을 활성화하지 않도록 주의하여야 한다. 각종 문서파일로 사칭한 악성파일의 경우 이용자들이 무심코 실행하는 경우가 많아 지능적 표적공격에 다수 악용되고 있다. 이메일 첨부파일로 문서파일을 받을 경우 악성여부를 의심하고, 신뢰하기 어려운 경우 절.. 2013. 11. 14. [주의]CVE-2013-3906 MS Word Zero-Day 취약점 공격 1. MS Office DOCX 문서파일 Zero-Day 공격 등장 잉카인터넷 대응팀은 2013년 11월 06일 기준으로 MS 오피스 Zero-Day 보안취약점을 이용하는 악성 Word 파일을 다수 발견하였고, 파키스탄 등에서 변종이 다수 유포 중인 정황도 포착한 상태이다. 해당 이슈는 대응팀에서 2013년 10월 말 관련 첩보를 입수하고 자체 조사를 은밀하고 진행 중에 있었다. 또한 보여지는 문서파일은 대체로 파키스탄 시간대(PST:Pakistan Standard Time)를 이용하고 있다. 악성파일은 "Shanti Dyanamite.docx", "IMEI.docx", "Inter-Services Intelligence (ISI).docx", "Kayani.docx", "Failure_Notice.do.. 2013. 10. 31. [주의]한글 이력서 문서파일로 위장한 표적형 공격 발견 1. 확장자 조작한 지능형 표적공격 주의 잉카인터넷 대응팀은 Unicode Character Right to Left Override (U+202E) 기법을 이용한 표적공격 정황을 포착했다. 이 공격방식은 2중 확장자명의 순서를 임의로 변경할 수 있어 실행파일(EXE, SCR, COM 등)과 문서파일(DOC, TXT, PDF, HWP 등)의 순서를 바꾸어 마치 실행파일을 문서파일로 보이도록 조작할 수 있다. 그래서 이용자들에게 정상적인 문서파일처럼 보이도록 유혹한 후 실행파일 형태의 악성파일을 열어보게 만든다. [참고자료] Unicode를 이용한 윈도우 확장자 변조 가능 취약점 이용한 악성코드 주의 http://viruslab.tistory.com/1986 Right-to-Left Override Aid.. 2013. 10. 29. [주의]국내 웹 사이트 관리자 계정 노린 악성파일 변종 지속 출현 1. 특명! 국내 주요 사이트 관리자 계정을 보호하라. 잉카인터넷 대응팀은 국내 웹 사이트 관리자 계정을 노린 악성파일 변종을 추가로 발견하였다. 해당 악성파일은 국내 특정 웹 사이트 관리자의 계정정보를 집중적으로 수집시도하고 있기 때문에 각별한 주의가 필요하다. 공격대상에 포함된 곳들은 언론사, 광고사, 포털사, 게임사, 보안장비 및 기업, 교통, 통신, 커뮤니티 등 다양한 분야의 웹 사이트가 포함되어 있으며, 일부는 정상적으로 접근이 가능한 상태로 운영되고 있는 상태이다. 악성파일의 공격 대상 리스트에 포함된 경우 이미 악의적인 공격자에게 관리자 페이지가 노출된 상태이기 때문에 각 기업은 관리자 권한이 탈취되지 않도록 외부의 접근을 제어함과 동시에 관리자 페이지 주소를 정기적으로 변경하고, 허가된 사.. 2013. 10. 23. [주의]스미싱 문자메시지 HTML 링크를 이용한 우회기법 도입 1. 스미싱 문자 APK 링크에서 HTML 사이트도 추가 잉카인터넷 대응팀은 2013년 10월 18일 새로운 형태로 진화한 스미싱 문자 메시지 형태를 발견했다. 휴대폰 소액결제사기, 가짜 모바일 스마트 뱅킹앱 설치, 개인정보 탈취 형태의 안드로이드 기반 악성앱들은 대체로 APK 앱 파일이 문자메시지(SMS)에 링크되어 있는 것이 일반적인 스미싱 기법이었다. 간혹 조작된 특정 웹 사이트로 연결하여 악성앱을 추가로 다운로드하는 경우가 있었으나 그런 경우도 기존처럼 단순 도메인 주소를 이용했었다. 그러나 이번에 발견된 방식은 HTML 웹 페이지 주소를 그대로 포함하고 있어 이용자들로 하여금 정상적인 문자로 오인하도록 조작하였다. [주의]APK 암호화 기법을 도입한 스미싱 악성앱 출현 ☞ http://ertea.. 2013. 10. 18. [주의]APK 암호화 기법을 도입한 스미싱 악성앱 출현 1. APK 파일 ZIP Format Header 조작을 통한 암호화 방식 도입 잉카인터넷 대응팀은 2013년 10월 01일 오후 5시 58분 경부터 국내 불특정 다수의 안드로이드 스마트폰 이용자를 겨냥한 스미싱기법의 악성문자가 전파되는 정황을 포착하였다. 그런데 이 스미싱을 통해서 설치되는 악성앱(APK)파일은 기존의 스미싱용 악성앱 형태와 다르게 APK 앱 파일 자체가 암호화 기능으로 설정되어 있었다. 안드로이드의 APK 파일은 압축 포맷인 ZIP 형태를 가지고 있어 압축 프로그램을 통해서 쉽게 압축을 해제하고 분석할 수 있으나, 이번과 같이 암호화 기능이 설정된 경우 내부에 존재하는 "classes.dex" 파일에 쉽게 접근하기 어려워 분석방해 등의 어려움을 겪을 수 있다. 이 암호화 방식의 기법은.. 2013. 10. 1. 이전 1 ··· 298 299 300 301 302 303 304 ··· 358 다음
