악성코드에 해당하는글 46


카스퍼스키가 최근 어도비플래시를 중심으로 한 취약점악용을 막을 수 있는 기술특허를 확보했다. 어도비플래시는 2015년 가장 많이 악용되는 프로그램으로 선정되는 등 사이버보안 측면에서 위험한 프로그램으로 악명이 높다. 자바, 어도비리더, 마이크로소프트 오피스 및 실버라이트 등 다른 프로그램도 취약점악용이 많지만 플래시의 경우 널리 사용되고 취약점의 영향이 중대할 뿐 아니라 사용자의 의한 업데이트가 소극적이라는 점으로 인해 압도적으로 높은 위험성을 가지고 있다.


컴퓨터를 감염시키는 과정은 크게 두 가지가 있다. 먼저 사용자의 직접적인 행동이 개입되는 과정으로 실행파일 다운로드 및 실행, 악성매크로가 포함된 문서 열기, 악성링크 클릭 등이 있다. 한편  범죄자 측에서 운영체제나 프로그램 등의 취약점을 발견하고 악용하는 방식의 경우에는 별도로 사용자의 행동이 요구되지 않는다. 예를 들어 웹브라우저에 취약점이 있다면 악성웹페이지를 열기만 해도 해킹이 가능해진다. 컴퓨터를 감염시키기 가장 쉬운 경로는 인터넷이며 따라서 웹사이트를 통한 취약점악용이 특히 인기를 끌도 있다. 이 경우 취약점악용은 웹브라우저에 국한되지 않으며 웹사이트 멀티미디어 재생에 필요한 자바 또는 어도비플래시 구성요소도 취약점악용의 대상이 되기도 한다.

플래시 영상을 프로그램으로 열리는 파일이 아닌 프로그램 자체로 이해될 수 있다. 플래시 영상은 웹사이트의 다른 컨텐츠와 합께 다운로드되지만 어도비플래시 구성요소를 통해 독자적으로 실행된다. 이 때 어도비플래시는 안전을 위해 자체적인 가상환경에서 이들 프로그램을 실행하며 이를 통해 인터넷에서 받은 코드가 컴퓨터에서 어떤 행동을 개시하려고 해도 파일이나 문서 또는 중요 운영체제 구성요소에 접근할 수 없다.


그러나 이는 이론적으로만 타당하며 실제로는 플래시 취약점악용을 통해 플래시의 가상화 보안대책도 우회될 수 있다. 아울러 플래시 가상환경은 그 속성상 공격자의 의도를 시스템으로부터 숨길 수 있는 수단이 되기도 한다. 특히 해커가 피해자별로 고유한 파일이름을 지정하여 제각기 다른 악성코드 파일을 생성할 수도 있다. 이는 대규모 파일목록에 의존하여 맬웨어를 탐지하는 기존 안티바이러스에게 문제가 된다. 수백만에 달하는 취약점악용은 그 기본적인 방식은 똑같지만 보안솔루션 입장에서는 모두 다르게 인식되기 때문이다. 또한 어도비플래시 프로그램은 프로그래밍 언어 3종으로 제작될 수 있으며 이로 인해 정상적인 플래시 컨텐츠로부터 악성컨텐츠를 탐지해 내는 과정이 더욱 복잡해질 수 있다.


결국 파일이름 표시의 문제도 있고 가상환경을 통해서도 안전을 담보할 수 없기 때문에 보안커뮤니티에서는 근본적 문제해결에 대한 논의가 한동안 정체된 상태였다. 관건은 악성코드를 실행하기 전에 그 속성을 파악하는 방법이다.  이론적으로는 어도비플래시에 코드를 전달하기 전에 별도로 가상환경을 구동할 수도 있으나 이 방법은 상시로 사용하기에는 자원도 많이 소요되고 너무 복잡하다.


카스퍼스키 연구진 Anton Ivanov와 Alexander Liskin이 고안한 신기술은 의심코드에 대한 에뮬레이션을 토대로 하고 있으며 작은 차이점을 가진 유사 오브젝트 다수를 훨씬 빠르게 분석할 수 있다. 연구진은 가상스택머신(virtual stack machine) 접근방식을 채택하여 코드를 직접 실행하지 않고도 그에 대한 정보를 수집할 수 있는 방식을 구현했다.


악성 플래시 오브젝트는 굳이 실행되지 않더라도 본래 속성을 밝혀낼 수 있다. 카스퍼스키 신기술을 적용한다면 맬웨어 제작자가 개별 코드에 변경을 가했다 해도 원래 기획된 악성코드의  속성을 파헤칠 수 있다. 결국 플래시 취약점악용을 파악할 경우 이와 동일한 수법을 사용하는 모든 맬웨어를 자동 차단할 수 있다. 이 신기술을 카스퍼스키 솔루션에 적용한 결과 이들 위협에 대한 탐지율이 두 배 가까이 상승했다. 이 정도의 탐지율 상승은 다른 안티바이러스에서는 목격하기 힘든 수준이다.


<참고: 카스퍼스키 안티바이러스 상세정보>




Marvin the Robot, Disarming Flash exploits, 8. 4. 2016.

https://usblog.kaspersky.com/flash-exploit-patent/7483/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 8. 9. 14:50



게시일: 2016-08-02 l 작성자: Trend Micro

트렌드마이크로에서 제안하는 다층보안설계 중 엔드포인트 솔루션에 대해 설명하고자 합니다.

이 블로그는 네 파트로 이루어진 시리즈의 두 번째 파트로써, 랜섬웨어가 어떤 기술을 활용하여 엔드유저와 기업에 영향을 미치는 지에 대하여 설명합니다. 위협을 최소화하기 위한 다층보안 설계는 게이트웨이 보안 및 엔드포인트, 네트워크, 그리고 서버에 각각 알맞은 보안을 도입해야 한다는 것을 의미합니다.

게이트웨이 보안을 다룬 트렌드마이크로의 블로그를 보시려면, 하단을 클릭하세요:

FBI는 2016년 랜섬웨어 피해가 자그마치 10억 달러 이상 될 것이라 추정했습니다. 랜섬웨어 비즈니스는 급속히 팽창하고 있으며, 사이버 범죄자들은 피해자의 비즈니스 형태 및 규모와 상관없이 끊임없는 공격을 가하고 있습니다.

일반적으로 중소기업에서는 체계적인 보안 솔루션을 유지할 비용적 여유가 없기 때문에 랜섬웨어 보안 등에 큰 투자를 하고 있지 않습니다. 조사에 따르면, 미국 중소기업의 약 65%는 랜섬웨어에 대비한 보안 솔루션을 도입하지 않은 것으로 밝혀졌습니다. 또한, 다층보안설계에 따른 보안 시스템을 구축하고 있다고 하더라도, 파트너사, 벤더, 직원 등의 신뢰할 만한 출처로부터 오는 위협으로 인해 기업 네트워크가 침해 당할 위험이 있습니다. 이러한 상황을 살펴보았을 때, 동작 모니터링과 애플리케이션 컨트롤 기능이 가능한 엔드포인트 솔루션은 기업 랜섬웨어 방어의 최전방이라고 할 수 있습니다.

그림1. 랜섬웨어 공격 종류와 전용 솔루션


동작 모니터링 기능의 이해

트렌드마이크로 오피스스캔 및 Worry-Free 비즈니스 시큐리티와 같은 솔루션에서 제공하는 동작 모니터링 기능은 “이례적”이거나 정상적이지 않은 시스템의 동작 또는 변경을 추적하고 차단합니다. 해당 기능은 암호화, 작업 변경, 파일 드롭, C&C서버 커뮤니케이션 등에 기반하여 랜섬웨어와 크립토랜섬웨어 변종의 알려진 또는 알려지지 않은 공격의 실행을 차단할 수 있습니다. 또한 정보 탈취 랜섬웨어인 RAA 랜섬웨어와 MIRCOP 변종을 차단할 수 있습니다. 동작 모니터링 툴은 시스템 내 저장된 특정 파일을 암호화 하려는 모든 프로그램을 종료시킬 수 있습니다. 실행되는 프로그램이 화이트 리스트에 포함되지 않거나, 랜섬웨어 공격과 관련된 것으로 판정되면, 해당 프로세스의 실행을 즉시 중지합니다.

그림 2. 랜섬웨어가 암호화하는 파일 종류가 나열된 스크린샷


이메일 스캐너를 우회하기 위해 스크립트로 디자인된 Locky, TeslaCrypt 4.0(탐지명 CRYPTESLA), CryptoWall 3.0(탐지명 CRYPTWALL)r과 같은 랜섬웨어 또한 동작 모니터링으로 탐지가 가능합니다. 당사의 동작 모니터링 기술은 VBScript를 사용하는 랜섬웨어(Cerber 및 Locky 변종)와 Jscript 랜섬웨어(RAA)를 탐지 및 차단합니다.

섀도우 복사본을 삭제하는 랜섬웨어 그룹도 존재하는데, 이러한 행동이 특정 OS에서는 일반적인 프로세스로 분류되기 때문에 곧바로 차단되지 않는 경우도 있습니다. 하지만 동작 모니터링 기술로 랜섬웨어 감염의 가능성이 있다고 판단할 수 있습니다.

랜섬웨어 변종 중에는 정식 프로그램, 서비스, 프레임워크 등을 악용하여 시스템이 악성코드를 감치 및 제거하는 것을 우회하기도 한다. 예시로, PowerWare는 윈도우 PowerShell을 악용한다. 동작 모니터링 툴은 정식 프로그램, 서비스, 프레임워크가 악성으로 활용되거나, 정식 프로그램이 암호화에 이용될 경우와 같은 특정 이벤트를 감시하고 방지할 수 있습니다.

그림 3. PowerShell을 악용하는 PowerWare 코드


일반 사용자들의 경우, 랜섬웨어 악성코드가 일반적인 정식 프로그램에 의해 실행될 경우 크게 주의 깊게 살펴보지 않을 수도 있습니다. 하지만, 동작 모니터링 툴이 있다면, 랜섬웨어의 침투 경로와 후킹 등과 같은 행위를 저지하고 차단할 수 있습니다.


애플리케이션 컨트롤 기능의 이해

동작 모니터링 이외에 엔드포인트 솔루션에서 실행할 수 있는 좋은 대응 기능은 바로 애플리케이션 컨트롤 입니다. 화이트 리스팅(White Listing)이라고도 알려진 해당 기능은, 랜섬웨어의 실행을 방지하여 백업 파괴 등의 더 큰 피해를 방지할 수 있는 기능입니다. 애플리케이션 컨트롤은 비악성 경로, 파일, 프로세스만이 시스템에서 실행하도록 합니다.

그림 4. 트렌드마이크로의 애플리케이션 컨트롤이 JIGSAW 실행 방지


IT 관리자들은 애플리케이션 컨트롤을 통해 시스템에서 실행할 수 있는 프로그램, 파일, 프로세스를 결정할 수 있습니다. 엔드포인트에서 카테고리, 벤더, 앱, 또는 기타 역학적 평가 가치들로 목록을 만들 수 있습니다. 앱이 허용될 경우, 해당 앱의 업그레이드 버전 또는 업데이트 버전도 사용할 수 있습니다. IT 관리자는 시스템 파일, 데스트탑 앱, 모바일 앱 등의 안전 앱 디폴트 목록을 사용할 수 있다.

앱을 화이트 리스팅 하는 것 이외에도 애플리케이션 컨트롤은 특정 파일 경로에서 프로그램, 파일, 프로세스가 실행하는 것을 방지합니다. IT 관리자들은 특정 디렉토리에 관한 블로킹 룰(Blocking Rule)을 생성할 수 있습니다. 랜섬웨어 변종 중에는 일반적으로 %Temp% 또는 %User Temp% 디렉토리에 복사본을 다운로드 합니다. 해당 경로는 일반적으로 대다수의 악성코드가 사용하는 것입니다. JIGSAW와 같은 랜섬웨어는 %Application Data% 과 %AppDataLocal%의 파일 경로를 사용합니다. IT 관리자들은 특정 변종이 일반적으로 사용하는 경로를 알아내서, 해당에 대한 블로킹 룰을 생성할 수 있습니다.

그림 5. 트렌드마이크로 애플리케이션 컨트롤이 차단할 수 있는 특정 경로


트렌드마이크로의 대책

랜섬웨어가 시스템에 침투할 수 있는 방법은 무궁무진하기 때문에, 조직에서는 다층의 방어막으로 엔드포인트, 네트워크와 서버를 지켜야 합니다. 동작 모니터링과 애플리케이션 컨트롤은 랜섬웨어가 게이트웨이를 통과했을 때를 대비한 부가적인 방어막입니다. 위협이 엔드포인트까지 도달하여 기업의 중요 데이터를 포함한 기업 파일을 암호화하기 시작하면 복구가 어렵습니다. 랜섬웨어가 섀도우 복사본을 삭제하거나 암호화보다 더 악의적인 행동을 하게 된다면, 기업 입장에서는 돈을 내고 복구하는 방법 밖엔는 없습니다.

트렌드마이크로 Deep Discovery Email Inspector는 랜섬웨어가 포함된 스피어피싱 이메일을 탐지하여 사용자 수신함에 도달하기 전 사전에 예방할 수 있습니다. 맞춤형 샌드박스 기술로 악성 마크로를 사용하는 랜섬웨어 또한 발견이 가능합니다.

네트워크 보호를 위한 트렌드마이크로 Deep Discovery Inspector는 맞춤형 샌드박스를 이용하여 네트웨크 레벨에서 랜섬웨어를 발견합니다. 이 솔루션은 암호화 행위, 백업 자료의 변경 및 다량의 파일 변경 등을 탐지합니다. 또한 스크립트 애뮬레이션 (script emulation), 제로 데이 공격, 랜섬웨어에 흔히 발견되는 비밀번호가 설정된 악성파일 등을 찾아낼 수 있습니다. 트렌드마이크로 Deep Security는 랜섬웨어가 익스플로잇 킷을 악용하여 시스템과 서버의 취약점을 통한 침투를 방지하여 물리/가상/클라우드 형태로 존재하는 기업 서버에 접근하는 것을 방지합니다.

중소기업의 경우, 트렌드마이크로 Worry-Free 비즈니스 시큐리티 프로그램을 활용하여 랜섬웨어의 탐지 및 차단을 위한 동작 모니터링과 웹 평판 기술을 제공합니다.

트렌드마이크로에서 제공하는 무료 툴인, 트렌드마이크로 화면잠금형 랜섬웨어 툴과 크립토 랜섬웨어 툴을 활용하여 랜섬웨어 감염의 피해를 복구할 수 있습니다.

원문: How Endpoint Solutions Can Protect Businesses Against Ransomware




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


엔드포인트 솔루션을 활용하여 랜섬웨어의 위협으로부터 기업 데이터 보호하기

https://www.trendmicro.co.kr/kr/blog/how-endpoint-solutions-can-protect-businesses-against-ransomware/index.html




참고링크 


<유료안티바이러스 제품비교>


COMMENT : 0 TRACKBACK : 0

날짜

2016. 8. 9. 14:21



랜섬웨어는 컴퓨터를 감염시키는 즉시 파일을 암호화시키고 천연덕스럽게 복호화툴 구매를 제안한다. 만약 최근에 백업을 해 뒀다면 돈을 낼 필요가 없겠지만 백업이 없는 상태고 데이터를 복구해야 한다면 돈을 낼 수밖에 없다. 물론 맬웨어 제작자의 실수로 인해 복호화 전문가들이 무료 복호화방법을 찾아내는 경우도 있긴 하지만 이는 지극히 드문 경우다.



랜섬웨어는 주로 이메일 첨부물의 형태로 배포되는데 최근 사례를 표시한 위 그림을 보면 랜섬웨어 제작자들은 DOCX 워드파일이나 JS 자바스크립트파일의 형태로 만든 악성파일을 zip 압축파일에 넣는 방법을 즐겨 사용함을 알 수 있다. 사실 이렇게 압축할 필요 없이 직접 워드문서 또는 자바스크립트를 첨부할 수도 있으며 이 경우 악성코드 실행에 필요한 클릭 과정이 줄어들기도 한다. 하지만 악성코드를 압축파일에 넣는 방법은 세 가지 목적이 있다. 우선 zip과 같은 압축파일은 자바스크립트 파일과는 달리 이메일 첨부물로 흔히 볼 수 있어서 눈에 띄는 인상을 피할 수 있다. 그리고 압축파일의 경우 악성코드 실행에 필요한 클릭 수가 늘어나기 때문에 대부분의 기업이 zip 첨부물에 대해서는 개별 파일에 비해서는 다소 관대하게 대하는 경향이 있다. 아울러 압축파일을 여는 과정은 사용자가 악성코드에 실제 접근할 때 시각적으로 이메일프로그램가 분리되는 효과도 있다.


압축파일을 열면 윈도우 탐색창이 뜨면서 비정상적인 이메일 첨부물이 아닌 믿을 수 있는 일반적인 파일이 들어 있다는 인상을 심어주게 된다. 랜섬웨어는 exe 파일, 엑셀 스프레드시트, PDF, batch 파일 등 다양한 형태로 배포될  수 있지만 최근에는 주로 워드 문서파일과 자바스크립트파일의 형태로 퍼지고 있다. 대부분의 워드문서는 단순 텍스트나 이미지만 있으므로 안전하지만 매크로나 내장된 프로그램 명령어를 담고 있을 수도 있으며 이 경우 랜섬웨어와 같은 맬웨어를 다운받아 설치할 수 있다. 한편 자바스크립트파일은 아이콘 모양이 종이처럼 생겨서 무해한 텍스트파일로 보이지만 사실은 보통의 exe 파일이 수행 가능한 작업을 모두 할 수 있는 프로그램이다.


최근 이들 두 유형 외에 LNK 파일이 새로운 배포유형으로 떠오르고 있다. LNK는 Shell Link Binary 파일인데 일반적인 사용자에게는 바로가기(shortcut)로 잘 알려져 있으며 다른 파일로 위장이 용이하기 때문에 맬웨어제작자들이 종종 사용해 왔다.




위 그림을 보면 왼쪽은 MyDoc.pdf 파일이고 오른쪽은 모양은 같지만 오른쪽 하단 화살표를 보면 링크나 바로가기임을 알 수 있다. 물론 해당 파일을 명령 프롬프트를 통해 조회하거나 마우스 우클릭으로 속성을 조회하면 상세정보를 볼 수 있다. 위 그림을 보면 탐색창 설정을 통해 파일 확장자를 보이도록 했음을 알 수 있지만 LNK 파일의 경우 바로가기 대상이 되는 파일의 이름만 보이며 자체적인 파일이름 및 확장자는 표시하지 않는다.



LNK 파일은 또한 위 그림과 같이 파일이름을 변경하고 아이콘까지 다르게 지정할 수 있으며 명령을 실행하도록 할 수도 있다. 위 LNK 파일은 INVOICE.pdf.lnk로 cmd.exe를 통해 명령 프롬프트를 실행하여 s.js라는 자바스크립트파일을 생성 및 실행하도록 설정된 상태다. 이 파일은 PDF와 아무 관련이 없는데도 INVOICE.pdf라는 PDF파일로 표시되며 클릭하면 명령 프롬프트를 통해 생성된 s.js 파일을 실행하여 Wscript.Echo() 함수를 통해 메시지를 띄우게 된다.



이렇게 보면 오늘날 워드문서파일 및 자바스크립트파일에 대한 경각심이 높아진 상태에서 사이버범죄자 측이 LNK 파일을 악용하리라는 점을 짐작할 수 있다. 위 내용처럼 LNK 파일은 파일 확장자를 표시하는 설정을 따르지 않으며  실제 행동과 일치하지 않는 아이콘을 부여받을 수 있기 때문에 아주 매력적인 기만수단이 될 수 있다.


위에서 확인한 각 이메일은 위 INVOICE.pdf의 경우과 유사한 수법을 사용하는 LNK 파일을 첨부물로 가지고 있다.


LNK 감염은 랜섬웨어 외에도 다양한 악성코드를 배포할 수 있으며 피해자별로 운영체제 버전, 시간대, 지리적 위치 등에 따라 제각각 다른 악성코드를 퍼뜨릴 수 있다.




랜섬웨어 등 악성코드 방지요령


1.윈도우에서 파일 확장자가 보이도록 설정한다. 물론 이 방법은 LNK 파일에 대해서는

소용이 없지만 적어도 이를 제외한 모든 파일의 확장자를 보여준다는 면에서 보안향상에 도움이 된다.

2. 요청하지 않은 첨부물을 주의한다.

3. 실시간 안티바이러스 및 웹필터링 솔루션을 사용하고 업데이트를 최신으로 유지한다.

4. 이메일에 첨부된 LNK 파일은 열지 않는다.

5. 이메일첨부물로 허용되는 파일 목록을 확인한다. 시스템관리자 대부분은 exe 파일이나 미디어파일 등 잘 알려진 파일유형 첨부물을 이메일 유입단계에서 차단한다. LNK 파일의 경우처럼 사이버범죄자 측에서 행동양상을 바꿀 경우 해당 차단목록을  확인하고 필요한 경우 목록을 갱신할 필요가 있다.




Paul Ducklin, Beware of ransomware hiding in shortcuts, 8. 3. 2016.

https://nakedsecurity.sophos.com/2016/08/03/beware-of-ransomware-hiding-in-shortcuts/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>


COMMENT : 0 TRACKBACK : 0

날짜

2016. 8. 8. 13:58



문자메시지를 통한 이중인증은 은행들이 많이 사용하는 방식이다. 이중인증은 물론 암호만 확인하는 방식보다는 안전하지만 결코 무적은 아니며 보안전문가 그리고 맬웨어제작자들은 10년 전 이중인증이 널리 채택되기 시작할 당시에 이미 이를 어떻게 속일 수 있는지 간파해 냈다. 그렇기 때문에 트로이목마 제작자들은 일회용 문자메시지 인증을 어렵지 않게 뚫을 수 있으며 그 과정은 다음과 같다.

1. 사용자가 스마트폰에서 정상적인 뱅킹 앱을 실행한다.

2. 트로이목마가 뱅킹 앱을 탐지하고 해당 앱의 인터페이스를 복사하여 자신을 위장한다. 이 경우 가짜 화면과 원래 화면과 동일하게 보인다.

3. 사용자가 가짜 앱에 로그인 아이디와 비밀번호를 입력한다.

4. 트로이목마가 범죄자 측에 로그인 정보를 전송하면 범죄자가 이 정보를 이용하여 사용자의 뱅킹 앱에 접속한다.

5. 범죄자가 자신의 계좌로 돈을 이체하는 과정을 개시한다.

6. 원래 사용자의 스마트폰에 일회용 인증번호가 문자메시지로 전송된다.

7. 트로이목마가 문자메시지에서 비밀번호를 추출하여 범죄자 측에 전송한다.

8. 트로이목마는 해당 문자메시지를 사용자가 확인하지 못하도록 한다. 따라서 원래 사용자는 실제로 계좌이체내역을 확인하기 전까지는 트로이목마의 해킹과정을 알지 못한다.

9. 범죄자는 전송받은 인증번호를 통해 이체를 완료하고 돈을 챙긴다.


오늘날의 뱅킹 트로이목마라면 하나같이 문자메시지 이중인증을 속일 수 있다는 말은 결코 과장이 아니다. 사실 맬웨어제작자들은 은행들이 이중인증과 같은 방어대책을 채택하는 데 적응하는 것일 뿐이다.


사실 위와 같은 해킹이 가능한 악성앱은 결코 적지 않다. 카스퍼스키 연구진은 최근 몇 개월에 걸쳐 3종의 맬웨어에 대한 상세 소개글을 작성한 바 있으며 이를 간략히 요약하면 다음과 같다.

1. Asacub: 본래 스파이앱이었으나 트로이목마로 개량된 후 모바일뱅킹에서 돈을 빼돌릴 수 있다.

2. Acecard: 30종에 달하는 뱅킹앱 인터페이스를 복제할 수 있는 강력한 트로이목마로 현재 모바일맬웨어는 Acecard의 방식을 따르는 추세에 있다. 예전 트로이목마가 하나의 정해진 은행이나 결제서비스를 표적으로 삼았다면 오늘날의 트로이목마는 여러 앱을 동시에 위조할 수 있다.

3. Banloader: 브라질에서 만들어진 트로이목마로 컴퓨터와 스마트폰에서 동시에 실행될 수 있다.


결국 오늘날의 뱅킹트로이목마를 막기에 이중인증은 역부족이다. 이는 사실 몇 년 전부터  이미 존재했던 문제며 앞으로도 이 상황이 변하지는 않을 것으로 보인다. 그렇기 때문에 추가적인 보안대책이 필요하다. 우선 공식 채널을 통해서만 앱을 설치하도록 해야 하지만 구글 플레이스토어나 애플 앱스토어에 트로이목마가 침투한 사례가 있기 때문에 이 방법도 완전히 신뢰할 수는 없다. 따라서 카스퍼스키 솔루션과 같은 우수한 모바일 안티바이러스를 설치하여 사용할 필요가 있다.


<참고: 카스퍼스키 안티바이러스 상세정보>




Alex Drozhzhin, How banking Trojans bypass two-factor authentication, 3. 11. 2016.

https://usblog.kaspersky.com/banking-trojans-bypass-2fa/6849/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 8. 8. 13:03


오늘날 맬웨어의 진화과정에는 일정한 패턴이 있다고 여겨진다. 우선 기본적인 기능만 있고 악성활동은 거의 없이 조용히 작동하는 맬웨어가 주로 트로이목마의 형태로 등장한다. 이 초기 악성코드는 배포되고 얼마 지나지 않아 여러 안티바이러스 업체에게 포착되긴 하지만 아직까지는 별다른 주목을 받지 못하는 잠재적 악성코드에 불과할 뿐이다.


시간이 지나고 나면 해당 트로이목마는 추가 기능을 갖추고 본격적인 위해를 가할 수 있게 되며 마지막 단계에서는 대규모 공격이 개시됨에 따라 수천 대의 기기가 감염되고 트로이목마가 본래 기획된 행동을 개시한다. 얼마나 큰 피해가 야기되는지는 트로이목마의 구체적인 유형에 따라 달라지는데 이는 수백 달러에 달하는 돈을 뜯어내는 랜섬웨어가 될 수도 있고 신용카드라든지 스파이툴을 통해 개인정보를 탈취하는 뱅킹트로이목마(banking trojan)가 될 수도 있다.



Asacub는 위와 같은 단계별 진화과정을 단적으로 보여주는 사례로 처음에는 단순한 피싱프로그램이었지만 이후 강력한 기능을 갖춘 뱅킹트로이목마로 진화했다. 이러한 Asacub보다 더욱 흉악하다고 할 수 있는 악성코드가 바로 Acecard다. Acecard 안드로이드 뱅킹트로이목마 계열 악성코드로 다른 뱅킹트로이목마와 마찬가지로 모바일 금융어플리케이션의 인터페이스에 자체 피싱 입력창을 덮어씌움으로써 사용자로 하여금 카드정보를 입력하도록 유도한다. 사용자가 입력완료 등의 기능을 실행하면 입력된 데이터가 탈취되며 악성코드 제작자 측에서는 카드에서 자기네 계좌로 돈을 빼돌리거나 해당 개인정보를 제3자에게 매각할 수 있다.


Acecard가 특히 돋보이는 이유는 우선 일반적인 뱅킹트로이목마가 고작 몇몇 뱅킹 어플리케이션만 복제 가능한 데 비해 30종에 달하는 은행 및 결제서비스를 복제할 수 있다는 점에 있다. 특히 중앙 서버로부터 별도의 명령을 부여받으면 사실상 모든 종류의 어플리케이션을 복제할 수 있기 때문에 실제로 공격대상이 되는 앱은 훨씬 많아질 수 있다. 아울러 Acecard의 복제대상이 뱅킹어플리케이션에 국한되지 않는다는 점도 위험하다. Acecard는 페이스북, 트위터, 인스타그램 등 모바일 소셜네트워크앱 그리고 왓스앱, 스카이프 등 메신저를 복제할 수 있고 페이팔과 구글 지메일 계정까지 흉내낼 수 있으며 특히 구글플레이스토어와 구글플레이뮤직에 대해서까지 피싱창을 구현할 수 있다.




Acecard는 일반적인 이메일 스팸으로도 배포되지만 플래시 등 유용한 유틸리티로 위장할 수도 있다. 참고로 안드로이드용 플래시는 2012년 이미 지원이 중단됐기 때문에 현재 정식으로 서비스가 제공되는 안드로이드 플래시 플레이어는 존재하지 않는다. 또한 구글플레이스토어를 통해 Acecard를 다운받는 트로이목마도 발견됐다. Acecard는 2014년 2월 처음 발견될 당시만 해도 특별한 악성행동을 보이진 않았지만 1년 반이 지나면서 신기능이 추가됨에 따라 실질적인 위협으로 거듭났다. 카스퍼스키 연구진은 Acecard 변종을 10종 넘게 발견했으며 각 버전은 더욱 강력한 기능을 갖춰 나가고 있다. 특히 카스퍼스키 선임맬웨어분석가 Roman Unuchek은 최근 변종을 두고 "현존 최악의 위협"으로까지 평가했다. Acecard의 본격적인 공격은 2015년 5월 시작됐으며 9월에 이르기까지 6천 명이 넘는 사용자가 공격에 노출됐다. Acecard는 호주에서 뱅킹 사이버공격이 급증한 원인이며 러시아, 독일, 오스트리아, 프랑스에서도 피해사례가 속출했다. Acecard 배후세력은 러시아어 구사자로 추정된다.




모바일 랜섬웨어 방지요령


1. 구글플레이와 같은 공식 채널을 통해서만 어플리케이션 설치. 안드로이드 보안설정을 통해 알지 못하는 출처를 통한 앱 설치를 차단해야 한다.


2. 펌웨어와 어플리케이션을 주기적으로 업데이트한다. 앱의 경우 자동 업데이트가 가능하지만 시스템은 수동으로 업데이트를 직접 해야 한다.


3. 강력한 보안솔루션 사용. 맬웨어는 구글플레이와 같은 공식채널에도 잠입할 수 있으며 미식별 취약점을 파고드는 취약점악용도 가능하기 때문에 별도의 보안솔루션이 필요하다.


<참고: 카스퍼스키 안티바이러스 상세정보>




John Snow, Android trump card: Acecard, 2. 22. 2016.

https://usblog.kaspersky.com/acecard-android-trojan/6745/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 8. 5. 15:31


러시아어권에서 만들어졌다고 추정되는 Satana 랜섬웨어는 두 가지 기능을 가지고 있다. 우선 윈도우 마스터부트레코드(master boot record, MBR) 파일을 암호화시켜 운영체제 부팅을 차단해 버린다. 이와 비슷하게 MBR에 관여하는 트로이목마로 Petya 랜섬웨어가 잘 알려져 있다. Satana는 MBR에 자체 코드를 주입한다는 점에서는 Petya와 유사하지만 MBR 자체를 암호화한다는 점에서 마스타파일테이블(master file tablem MFT)을 암호화하는 Petya와 다르다. 또한 Petya가 컴퓨터 파일 암호화를 위해 Mischa라는 별도의 트로이목마를 동반하는 데 비해 Satana의 경우 이 작업도 자체적으로 수행할 수 있다.


MBR이란 하드드라이브의 일부분으로 다양한 디스크 파티션에서 사용되는 파일시스템 정보를 보관하며 어떤 파티션에 운영체제가 보관되는지에 대한 정보도 가지고 있다. MBR이 변질되거나 암호화될 경우 컴퓨터는 어떤 파티션에 운영체제가 들어 있는지를 알 수 없다. 운영체제를 찾을 수 없는 컴퓨터는 부팅되지 못한다. Satana와 같은 랜섬웨어의 배후세력은 이를 이용하여 랜섬웨어에 부팅차단 기능을 더했다. MBR을 날려 버리고 이를 금전지급요구로 대체한 다음 원래 MBR은 암호화시키고 다른 위치로 옮겨 버리는 것이다. Satana는 MBR 복호화 및 암호화된 파일에 대한 복호화키 제공의 대가로 0.5비트코인(약 340달러)을 요구한다. Satana 제작자에 따르면 금전이 지급되고 나면 운영체제 접근이 복구되고 이전 상태로 복원이 이루어진다고 한다.


Satana는 모든 드라이브 및 네트워크인스턴스를 검사하여 .bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas, .asm 파일을 조사한 후 해당 파일을 암호화한다. 또한 이메일주소와 밑줄 3자를 파일이름 앞에 추가한다(예: test.jpg → Sarah_G@ausi.com___test.jpt). 피해자는 이 이메일주소로 메일을 보내 결제방법을 받고 결제 이후 복호화키를 받을 수 있다. 조사 결과 6종의 이메일주사가 확인됐다.


다행히도 Satana에 의한 차단은 부분적으로 피할 수 있으며 일정 조건 하에 MBR 복구가 가능하다. Windows Club 블로그에는 윈도우 운영체제 복구기능을 통해 MBR을 복구할 수 있는 방법이 나와 있다. 하지만 이는 명령프롬프트와 bootrec.exe 유틸리티 사용에 익숙한 사용자를 위한 방법이며 일반사용자가 시도하기에는 다소 어려운 부분이 있다. 다만 윈도우 부팅차단이 해제된다 해도 파일 암호화에 대해서는 아직 별도의 복호화방법이 없는 상태다.


현재 Satana는 배포된 지 얼마 지나지 않았으며 코드 자체에도 몇몇 약점이 있지만 시간이 지날수록 개선되어 아주 심각한 위협이 될 가능성이 높다.


<참고: 카스퍼스키 안티바이러스 상세정보>




Valeria Titova, Satana: Ransomware from hell, 7. 11. 2016.

https://usblog.kaspersky.com/satana-ransomware/7389/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 8. 5. 15:15


바이러스 등 악성코드가 컴퓨터 하드웨어에 물리적인 손상을 가할 수 있는가. 이는 정보보안 분야에서 가장 널리 퍼진 동시에 터무니없다고 여겨지는 미신으로 이러한 이중적 속성으로 인해 오래도록 지속되고 있다. 20세기 후반에는 바이러스로 인해 CRT 모니터에 잘못된 신호가 전송되어 컴퓨터의 하드웨어가 구성요소가 타 버렸다든지 또는 맬웨어로 인해 하드디스크 드라이브가 격하게 진동하여 드라이브가 결국 파괴됐다든지 아니면 플로피 드라이브에 오버클럭이 걸려 과열이 발생했다든지 하는 식의 이야기가 퍼졌던 적이 있다. 이런 미신들은 안티바이러스 업체들에 의해 해체됐다. 물론 이들 중 몇몇의 경우 이론적으로는 나름 일리가 없진 않으나 컴퓨터에 내장된 보호기능으로 인해 이러한 사고는 발생할 여지가 없다.


하지만 하드웨어를 물리적으로 손상시키는 경우에 준하는 사례도 없진 않으며 그 사례로 1999년의 이른바 체르노빌 악성코드로 알려진 Win95.CIH 바이러스를 생각할 수 있다. Win95.CIH는 수천 대의 기기를 감염시켰으며 하드드라이브와 마더보드 BIOS 칩의 데이터를 손상시켰으며 이에 따라 일부 감염 기기들은 부팅 프로그램 손상으로 인해 작동 자체가 불가능해졌다. 이는 결국 BIOS 칩을 교체하고 데이터를 다시 입력해야 하는 결과로 이어지기도 했다. 사실 이 사례는 컴퓨터에 대한 물리적 타격은 아니다. 이러한 감염이 발생한 경우 마더보드는 몇 차례 조작을 가하고 나면 다시 사용 가능한 상태로 되돌릴 수 있다. 물론 이 문제는 가정에서 간단히 해결할 수 있는 수준은 아니며 별도의 특수 장비를 필요로 한다. 그렇지만 오늘날에는 문제가 훨씬 복잡한데 그 이유는 다음과 같다.


우선 오늘날 모든 독립 하드웨어는 재작성 가능한 마이크로프로그램과 함께 제작되며 이러한 프로그램은 둘 이상인 경우도 있다. 이들 마이크로프로그램은 수 년에 걸쳐 진화하여 오늘날에는 상당히 복잡한 소프트웨어가 됐으며 이는 결과적으로 공격가능성을 발생시켰다. 이 때 공격이 성공한다면 그 결과는 복구 불가능한 경우도 있다. 카스퍼스키 연구진은 Equation 사이버스파이 캠페인을 분석하는 과정에서 다양한 하드드라이브 모델의 마이크로프로그램 코드에 주입된 스파이웨어 모듈을 조사한 바 있다. 이들 맬웨어는 감염대상 디스크를 완전히 장악하는 데 사용됐으며 포맷으로도 제거 불가능했다.


실제로 펌웨어는 일반적인 툴로는 변경이 어려우며 그 자체로 업데이트하는 속성을 가지고 있다. 펌웨어를 본래 위치에서 변경시키려면 상당한 노력이 필요하다. 물론 특수 장비가 구비된 상태라면 어떤 마이크로프로그램이든 변경할 수 있지만 실제로는 이 정도 수준으로 드라이브라면 비용 측면에서 그냥 폐기하는 게 합리적이다. 이를 과연 물리적 피해로 볼 수 있을지에 대해서는 논란이 있을 수 있지만 하드웨어기반 취약점에 대한 사례가 계속하여 발생하고 있음은 분명하다.


그리고 '컴퓨터'의 정의 자체도 이제는 애매해졌다. 예컨대 현대 자동차는 어떤 면에서는 컴퓨터에 해당하며 본질적으로 바퀴 달린 커넥티드 컴퓨터라고 할 수 있다. 따라서 원격 해킹이나 침투에 노출될 수 있으며 실제로 Cherokee Jeep 차량에 대한 원격 해킹과정을 공개 시연된 바 있다. 물론 이 해킹에 어떤 바이러스가 사용되지는 않았으나 이는 자동차가 도로를 벗어나도록 하는 해킹 공격도 가능함을 의미한다. 이 또한 어떻게 보면 물리적 타격이라고 할 수 있겠다.


결국 바이러스가 컴퓨터 하드웨어를 물리적으로 손상시킬 수 있는지에 대한 대답은 '그렇다'라고 할 수 있겠으나 이는 '손상', '바이러스', '컴퓨터' 등의 용어를 어떻게 정의하느냐에 따라 달라지는 문제라고 할 수 있겠다.


<참고: 카스퍼스키 안티바이러스 상세정보>




Vladislav Biryukov, Fact or Fiction: can a virus actually damage PC hardware?, 9. 15. 2015.

https://usblog.kaspersky.com/fact-or-fiction-virus-damaging-hardware/5976/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>


COMMENT : 0 TRACKBACK : 0

날짜

2016. 8. 4. 16:29




포켓몬고의 인기는 가히 경이로운 수준이다. 포켓몬고는 미국 앱스토어 무료앱 1위를 차지하고있으며 안드로이드 기준으로 유명 소개팅앱 Tinder보다 2배 많이 설치됐다. 일부 조사에 따르면 포켓몬고 일일 사용자수는 트위터와 비슷한 수준이라고 한다. 포켓몬고의 선풍적인 인기는 사이버범죄에도 영향을 끼쳤으며 얼마 지나지 않아 다양한 범죄수법이 개발됐다.



1. 포켓몬고 개발사 Niantic은 앱 자체는 무료 제공하지만 사용자가 PokeCoin이라는 가상통화를 구매하도록 하여 수익을 올린다. PokeCoin은 희귀 포켓몬을 부화시킬 수 있는 알이나 포켓몬을 유혹할 수 있는 아이템 등을 구매하는 데 쓰인다. 사이버범죄자들은 PokeCoin을 제공하는 설문조사를 만들어냈다. 사용자가 설문조사 사이트를 클릭하면 포켓몬고 사용자이름과 원하는 코인의 금액을 입력하고 인증절차를 거치게 되는데 이 과정이 완료되도 PokeCoin은 제공되지 않으며 대신 범죄자 측에서 수익을 올릴 수 있는 불량 프로그램에 가입되게 된다.


2. 포켓몬고는 아직 몇몇 국가에서만 제공되기 때문에 수많은 사람들이 인터넷을 통한 다운로드를 시도하고 있으며 이로 인해 사이버범죄자의 표적이 되고 있다. 인터넷에서 다운받은 가짜 포켓몬고 앱은 실제 앱과 똑같이 생겼지만 사실은 범죄자 측에서 사용자 휴대전화에 접근할 수 있도록 하는 맬웨어다.


3. 가짜 이메일을 포켓몬고 사용자에게 전송하여 24시간 내에 13달러짜리 포켓몬고 유료버전에 등록하지 않으면 계정이 정지된다는 허위정보를 제공하여 돈을 뜯어낸다. 이메일 내용은 다음과 같다. 포켓몬고에 대한 폭발적인 반응으로 인해 서버 증설이 필요하여 향후 계정에 대한 무료서비스를 지속할 수 없게 됐습니다. 24시간 내 유료버전으로 업그레이드하지 않을 경우 계정이 정지됩니다. 한편 이메일에 첨부된 링크는 사용자의 이메일 비밀번호와 신용카드 계좌정보를 탈취하도록 설계된 제3자 서버로 연결된다.



포켓몬고 사기방지요령

• 포켓몬고를 인터넷에서 다운받지 말 것

• 포켓몬고 계정에 대해 강력한 비밀번호 사용

• 스마트폰 펌웨어 최신여부 확인

• 포켓몬/Pokemon이라는 단어가 들어간 이메일은 열지 말 것




VIPRE Security News, Don’t Let Pokémon Scammers Say ‘Gotcha’ at Your Expense, 8. 2. 2016.

https://blog.vipreantivirus.com/security-news-room/dont-let-pokemon-scammers-say-gotcha-expense/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 8. 4. 13:33

위로가기