잉카인터넷 시큐리티대응센터 블로그

1. 개요 잉카인터넷 대응팀은 국내 몇몇 웹하드 서비스에 등록되고 있는 일부 파일 내부에 동영상과 악성파일이 함께 포함된 상태로 은밀히 배포되고 있다는 점을 발견하였다. 유포자는 다운로드 증가를 유도하기 위하여 조회수가 많은 음란한 성인 동영상 파일처럼 교묘하게 위장한 형태로 사용자들을 유혹하고 있으며, 사용자가 해당 대용량 파일을 다운로드하고 실행 시 성인용 동영상 파일이 별도 생성되고, 재생도 가능하도록 만들어져 있다. 사용자로 하여금 신뢰할 수 있고 정상적인 파일처럼 보이도록 하기 위해서 실제 동영상을 복합적으로 포함하고 있는 속임수 수법을 활용하고 있으며, 일반 사용자들의 경우 대용량의 파일에 악성파일이 포함되어 있을 것이라고는 아직 익숙하지 않다는 점에서 특별한 주의가 요구된다. 동영상과 함께 ..

1. 개요 잉카인터넷 대응팀에서는 2012년 3월 10일인 티벳(Tibet) 봉기 53주년을 기념해서 이와 관련된 악성파일이 은밀하게 유포 중인 것을 발견하였다. 티벳은 1949년 중국에 침략 당한 이후 정치적, 종교적 이유로 약 120만명이 사망하고, 6,000개 이상의 사원이 파괴당한 것으로 알려져 있다. 이후 1959년 3월 10일 약 30만명의 티벳인들이 평화시위를 벌이면서 시작된 티벳 봉기는 중국 인민해방군의 무력 진압으로 인해 약 8만명의 티벳인들이 사망한 것으로 추산되었고, 이를 추모하기 위해서 매년 3월 10일을 티벳 봉기의 날로 선정하여 전 세계에서 기자회견 및 퍼레이드, 기념식 등을 펼치고 있다. 이 기간 티벳 봉기 기념일과 관련된 보안 위협이 가중될 수 있으므로, 관련된 내용을 참고하..

1. 개 요 2012년 01월 14일 잉카인터넷 대응팀에서는 국내 이용자를 대상으로 유포된 악성파일이 윈도우OS 의 시스템 파일 중 하나인 version.dll 파일을 악성파일로 교묘하게 바꿔치기 하는 형태를 발견되었다. 이러한 악성파일은 기존에도 다양한 형태로 존재한 바 있는데, 가장 최근까지 ws2help.dll 파일을 악성파일로 교체(Patched)하는 형태가 성행하고 있는 상황이다. 파일명이 변경된 여러 정상 시스템 파일은 악성파일에 의해서 부팅시 정상 실행되는데 만약 중간에 실행 명령이 정상적으로 전달되지 않으면 "무한 재부팅 시도 장애"가 발생할 피해 우려가 존재한다. 특히, 이러한 형태의 악성파일은 주말 기간 집중되어 국내 유명 웹 사이트 경유지를 통해서 다량 전파 중이며, 다양한 보안 취약..

1. 개요 잉카인터넷 시큐리티 대응센터 대응팀에서는 2012년 01월 06일 국내 유명 공개자료실에서 개인 정보 유출 시도형 안드로이드용 악성파일이 배포되고 있는 것을 발견하였다. 이번에 보고된 안드로이드 앱은 2012년 새해를 축하하는 내용의 라이브 배경화면으로 구글 정식 마켓 및 국내 자료실을 통해서 배포되고 있는 것으로 확인되었다. 특히, 국내 자료실에서는 약 41명이 다운로드를 한 것으로 확인되었으며, 잉카인터넷 보안 이슈 대응 기록 중 안드로이드 악성파일이 국내에 상륙한 공식적인 첫 번째 사례로 집계 되었다. ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 해당 안드로이드 앱은 현재 공식 안드로이드 마켓에서도 배포가 진행 중이며..

1. 개 요 잉카인터넷 대응팀은 도움말 파일(HLP)의 취약점을 이용하여 악성파일이 해외에서 전파 중인 것을 발견하였다. 보통 이메일을 통한 전파에 자주 사용되는 실행파일(EXE, SCR)이나 문서파일(HWP, DOC, PPT, XLS, PDF)의 취약점이 아닌 도움말 파일(HLP)의 취약점을 이용하는 보기 드문 형태이다. 특정한 표적 공격이나 지능적이고 고도화된 위협에 빈번히 이용되는 악성파일 전파수법이 바로 이메일 첨부파일을 통한 악성파일 유포라는 점을 잊어서는 안된다. 특히, 지능적 공격자들은 알려져 있지 않은 취약점(Zero-Day Exploit) 등을 이용하거나 심리적으로 무심코 열어보기 쉽도록 구성한 이메일을 발송한다는 점에서 이메일 첨부파일을 열어볼 때는 항상 의심하고 예의주시할 필요가 있다..

1. 개 요 기존에도 중국을 중심으로 특정 프리미엄 SMS 서비스를 이용한 과금 유발 형태의 악성 애플리케이션이 다수 발견된 사례가 있었다. 이러한 프리미엄 SMS 서비스는 국내에선 실시되고 있지 않은 서비스이며, 다양한 이동통신사 및 망사업자 등의 조건이 충족되는 국가에서 실시되고 있는 서비스이다. 그런데 최근 다양한 국가의 사용자들을 대상으로하는 프리미엄 SMS 과금 유발 형태의 악성 애플리케이션이 발견되었으며, 향후 이와 유사한 변종 형태의 SMS 관련 악성 애플리케이션이 출현할 것으로 전망되고 있어 외산 애플리케이션 다운로드에 사용자들의 각별한 주의가 요망되고 있다. 2. 유포 경로 및 감염 증상 해당 악성 애플리케이션은 해외 블랙마켓, 3rd Party 마켓 등을 통해 유포가 이루어지고 있으며,..

1. 개 요 최근 스마트폰의 관리 목적을 가지고 사용될 수 있는 형태로 위장된 안드로이드 악성 애플리케이션이 발견되어 해외에서 이슈가 되고 있다. 해당 악성 애플리케이션은 감염될 시 사용자의 특정 정보를 수집할 수 있으며, 외부로 유출 또한 시도를 할 수 있으므로 사용자들의 각별한 주의가 요망되고 있다. 최근 안드로이드 운영체제의 스마트폰 OS 시장 점유율이 늘어나면서 관련한 애플리케이션이 우후죽순적으로 늘어남에 따라 이를 이용한 악성 애플리케이션 유포 또한 기승을 부리고 있다. 사용자 스스로의 선별적 다운로드 자세가 요구되고 있는 시점이다. 2. 감염 증상 해당 악성 애플리케이션은 해외를 중심으로 유포되고 있으며, 설치 시 아래의 그림과 같이 특정 권한 등을 요구하게 된다. ※ 전체 권한 - andro..

1. 개 요 최근 BIOS와 MBR 변조를 시도하는 악성파일이 등장하여 사용자들의 각별한 주의가 요망된다. BIOS, MBR이 변조될 경우 지속적인 재감염 증상을 유발할 수 있으나, 해당 악성파일은 현재까지 특별한 감염 증상이 없고 몇가지 정황으로 미루어 보아 테스트 용도로 제작되었음이 추정되고 있다. 그러나 BIOS와 MBR이 변조되면 백신을 통한 정상적인 치료에 어려움이 있을 수 있다. 때문에 이번 글을 통해 BIOS와 MBR이 변조될 경우 수행할 수 있는 간단한 수동조치 방법에 대해 알아보고 피해를 미연에 최소화 할 수 있도록 하자. BIOS(Basic Input Output System) - 컴퓨터의 가장 기본적인 기능을 처리해 주는 프로그램들의 집합을 의미하며, 운영체제의 가장 하위에 속해 있다..

1. 개 요 모바일 보안 위협이 지속적으로 증가하고 있는 가운데 최근 안드로이드 악성 애플리케이션중 SMS와 관련된 악성 애플리케이션의 유포가 눈에 띄게 증가하고 있다. 여러가지 감염 증상을 가지는 악성 애플리케이션에 SMS 발송 기능이 추가되거나 사용자 몰래 SMS에 대한 무단 발송 등 단일적인 감염 증상 까지 적용 범위도 넓어져가고 있다. 이러한 악성 애플리케이션에 감염될 경우 사용자 모르게 지속적인 이용 과금이 부과되거나 특정 광고 용도로 사용되는 등 여러가지 피해가 유발될 수 있다. 아래의 그림은 최근 1주일 동안 접수 및 수집된 악성 애플리케이션에 대한 종류별 유포 추이 그래프이다. [1주일 동안 악성 애플리케이션의 유포 추이 그래프] 2. 유포 경로 및 감염 증상 이러한 악성 애플리케이션은 해..

1. 개 요 해외를 중심으로 지속적인 유포가 이루어지는 Ransomware중 Flash Player의 아이콘 및 파일명을 도용한 변종이 발견되었다. 해당 Ransomware는 파일명 등 속성 값을 위장하는 사회공학 기법으로 사용자들을 현혹하기 때문에 일반 사용자들의 경우 이러한 사회공학 기법을 악용하는 Ransomware에 대한 각별한 주의가 요망되고 있다. Ransomware는 감염 특성상 일단 감염되면 사후 대응이 어려우며, 금전적 손실 등을 유발할 수 있기 때문에 사전에 감염되지 않도록 예방하는 것이 무엇보다 중요하다. [주의]Ransomware의 해외 유포 증가 ☞ http://erteam.nprotect.com/193 2. 유포 경로 및 감염 증상 위와 같이 정상 파일명으로 위장한 Ransomw..