잉카인터넷 시큐리티대응센터 블로그

1. 개 요 2011년 2월 15일 경 정상 앱에 악의적인 코드를 삽입하여 재 패키징 한 후 중국내 블랙마켓 등을 통하여 유포되어 지고 있는 안드로이드용 스마트폰 악성 앱이 발견 되었다. 해당 악성 앱은 블랙마켓 등을 통하여 다운로드 및 설치가 가능한 상태임으로 무분별한 앱 사용 및 설치에 앞서 사용자들의 각별한 주의를 필요로 하고 있다. [ 참고 : 사용자 정보를 겨냥한 안드로이드용 악성파일 Geinimi 주의 ] http://erteam.nprotect.com/98 [ 참고 : 새로운 안드로이드용 모바일 Trojan "ADRD" 출현 보고에 따른 주의 필요 ] http://erteam.nprotect.com/122 2. 감염 경로 및 증상 해당 악성 앱의 이름과 버전, 파일 크기는 다음과 같다. 아래..

1. 개 요 최근 해외 보안 블로그를 통해 새로운 안드로이드용 모바일 트로이목마에 대한 보고가 있었다. 해당 트로이 목마는 정상 어플리케이션에 악의적 동작을 수행할 수 있는 악성코드를 삽입해 재 패키징하는 등 일전에 게재하였던 "Geinimi"와 유사한 제작 방법을 사용하는 것으로 알려졌다. 이 경우 블랙마켓 등을 통해 어플리케이션을 다운로드하는 사용자들을 중심으로 쉽게 해당 악성 어플리케이션에 대한 다운로드 및 감염이 이루어질 수 있다. [ 참고 : 사용자 정보를 겨냥한 안드로이드용 악성파일 Geinimi 주의 ] http://erteam.nprotect.com/98 [ 참고 : New Android Trojan "ADRD" Was Found in the Wild by Aegislab ] http://..

1. 개 요 사용자의 파일 등을 볼모로 금전적 이득을 노리는 Ransomware의 변종이 끊임없이 유포되고 있다. 이러한 가운데 최근 퀵타임 플레이어(QuickTime Player)로 위장한 Ransomware가 출현하여 주의가 필요한 상황이다. Ransomware는 현재 국내에서 특별한 피해사례는 보고되고 있지 않지만, 중요 기관 및 기업체 등의 시스템이 감염될 경우 심각한 금전적 피해가 발생할 수 있는 만큼 Ransomware에 대한 보다 높은 관심이 필요한 시점이다. 참고 : Ransomware 변종의 지속적인 출현과 예방 조치 방법 http://erteam.nprotect.com/112 참고 : Ransomware 변종의 지속적 출현 http://erteam.nprotect.com/110 2. 감..

1. 개 요 2011년 2월 9일경 해외 보안 업체로부터 석유, 가스, 석유 화학 등의 글로벌 에너지 업체를 대상으로 한 Spear-Phishing 보안 위협에 대한 보고가 있었다. 이름도 생소한 나이트 드래곤(Night Dragon)으로 명명된 해당 보안 위협은 맥아피(McAfee)에 의해 발견되었으며, Stuxnet에 이은 산업시설을 대상으로 한 악성파이란 점에서 감염 시 상당한 금전적 피해가 예상된다. [참고 : Global Energy Industry Hit In “Night Dragon” Attacks] http://blogs.mcafee.com/corporate/cto/global-energy-industry-hit-in-night-dragon-attacks [참고 : Night Dragon]..

1. 개 요 2011년 발렌타인 데이가 다가오고 있다. 흔히 연인들끼리 초콜릿을 주고받는다는 발렌타인 데이는 최근의 보안 위협 트렌드로 미루어보아 이제 더이상 초콜릿이 오가는 훈훈한 장면만 연출되지는 않을 전망이다. 2011년 2월 10일 해외 보안 업체로부터 페이스북(Facebook)을 통한 악성 어플리케이션 유포사례에 대한 보고가 있었으며, 작년에 이어 올해도 이러한 사회적 이슈를 노린 사회공학적 기법이 악성파일 유포의 한 방법으로 자리 잡고 있기 때문이다. 참고 : Valentine's Day scam spreads virally on Facebook http://nakedsecurity.sophos.com/2011/02/10/valentines-day-scam-spreads-virally-on-f..

1. 개 요 페이스북을 이용한 악성파일 유포 사례가 발견되어 페이스북 사용자들의 경우 해당 악성파일에 대해 감염되지 않도록 각별한 주의가 필요할 것으로 예상된다. 이번에 확인된 악성파일 유포 방식은 지난 2010년 12월 14일 게재하였던 글과 유사한 방식을 취하고 있으며, 세계적으로 지속적인 사용자 증가 추세를 보이고 있는 SNS(Social Network Service)를 악용하고 있다는 측면에서 향후 악성파일 유포 등의 지속적인 보안 위협으로 작용할 전망이다. 참고 : 페이스북(Facebook) 대화창 기능을 이용한 악성파일 국내 유입 주의 http://erteam.nprotect.com/90 2. 감염 경로 해당 악성파일은 페이스북 URL을 이용한 특정 주소를 통해 유포되고 있다. 이메일의 첨부 ..

1. 개 요 최근 해외를 중심으로 지속적인 유포가 이루어졌던 허위백신이 이번에는 실제 Anti-Virus 제품인 AVG로 위장하여 유포 중인 것이 확인되었다. 실제 AVG Anti-Virus 제품을 사용해보지 못했거나 국내 백신제품을 주로 이용하던 사용자들은 이 허위백신이 마치 정상 Anti-Virus 제품인 것으로 현혹될 수 있기 때문에 주의가 필요하다. 2. 감염경로 및 증상 이번에 발견된 허위백신 또한 다른 허위백신과 마찬가지로 이메일의 첨부 파일, 변조된 웹사이트 접근, 또는 트위터와 페이스북 등의 SNS(Social Network Service)를 통한 링크 접속으로 아래의 그림과 같은 허위백신 설치파일을 다운로드할 수 있다. 다운로드된 허위백신 설치파일은 실제 AVG 제품과 유사한 아이콘 모양..

1. 개 요 최근 DDoS 공격명령 전달 등이 가능한 트위터 봇을 생성하는 툴킷이 보고되면서 사용자들의 각별한 주의가 요구되고 있다. 이러한 툴킷은 악성파일 제작 전문가가 아니더라도 해당 툴을 이용해 DDoS 공격명령 전달 등이 가능한 악성파일을 손쉽게 제작할 수 있어 많은 주의가 필요하며, 관련한 대책 마련이 시급한 상황이다. [참고 : 백신 못 잡는 ‘트위터 좀비PC’, 누구든 완전범죄 공격자로 ] http://www.boannews.com/media/view.asp?idx=24702&kind=1 2. 감염 경로 및 증상 해당 트위터 봇 생성 툴킷은 Google 등 검색 포털 사이트를 통해 쉽게 접할 수 있으며, 악성파일 제작자가 아니더라도 해당 생성 툴킷을 이용해 손쉽게 악성파일을 제작할 수 있다...

1. 개 요 현재 가장 널리 알려진 봇넷은 제우스(Zeus)이다. 해당 악성파일은 사용자의 금융 계정 정보 등의 탈취를 주목적으로 하고 있으며, 악성파일의 제작에 사용되는 툴킷 등이 블랙마켓을 통해 조직적으로 거래되고 있다. 그런데 2010년경부터 스파이아이(SpyEye)라는 제우스 봇넷의 경쟁 툴킷이 등장했고 최근까지 버전이 업그레이드되며, 지속적인 거래가 이루어지고 있는 것으로 알려졌다. 스파이아이는 2010년 하더만(Harderman)이 제우스 개발자 슬래빅(Slavik)으로부터 소스 코드를 공식 인수하면서 본격적인 활동이 시작되었으며, 현재도 스파이아이와 제우스의 소스코드를 통합하는 작업이 진행 중이라고 보고되었다. 또한, 제우스와 경쟁 관계다 보니 툴킷에 자연스럽게 "Kill Zeus" 기능 등..

1. 개요 최근 까지 인스턴스 메신저 또는 쪽지 등을 통하여 직접적인 파일 다운로드 방식으로 악성파일을 유포 하였던 일명 "네이트온 악성파일"이 특정 인터넷 게시판으로 접속을 유도한 뒤 웹 브라우저의 취약점을 이용하여 감염을 유발하는 등 좀 더 다양하고 지능된 유포 방식이 확인 되어 관련 글을 작성하여 보았다. [참고 : 메신저 쪽지 등으로 유포되는 악성코드 주의] http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=56&page= [참고 : 네이트온 쪽지로 유포 중인 악성코드 그림 파일] http://viruslab.tistory.com/1788 2. 감염 방식 및 취약점 정보 2-1. 감염 방식 최초 악의적인 공격자에 의하여 해..