'악성코드'에 해당되는 글 99건

  1. 2015.01.07 2015년 가장 주목해야 할 보안위협 5가지
  2. 2014.12.29 공유 폴더와 시스템의 아이디 및 패스워드를 탈취하는 SMB 웜 도구 주의
  3. 2014.12.27 한국수력원자력 MBR 파괴 악성코드 공격받아
2015.01.07 20:04

2015년 가장 주목해야 할 보안위협 5가지

악성코드·랜섬웨어·APT·취약점·금융보안·IoT 보안위협 등

더욱 정교화된 보안위협으로 발전·확산 예상

http://www.boannews.com/media/view.asp?idx=44994


▲ 지난해 기승을 부렸던 보안위협들은 2015년 더욱 지능화되고 정교화된 보안위협으로

   발전·확산될 것으로 예상된다.


보안위협 하나. 악성코드·랜섬웨어의 고도화 및 피해 확산

안랩은 올해 악성코드는 공격 대상별 타깃형·맞춤형 유포와 함께 동작방식이 점차 진화될 것으로 전망했다. 예를 들어 스피어피싱(Spear Phishing) 이메일을 연말에는 송년회 모임 안내로, 연초에는 새해인사로, 해당 시기에 맞춰 발송하거나 첨부파일명과 내용도 실제 모임을 안내하는 문서로 만들어 악성코드를 유포시키는 방식이다.


보안위협 둘. IoT의 발전에 따른 보안위협과 사회적 관심 증가

2019년까지 500억개 이상 IoT 단말기 및 연결 개체수의 증가가 예상되는 가운데 맥아피는 IP카메라, Smart Meter, 헬스케어 및 SCADA 디바이스에 대한 공격, IoT 디바이스 내이 데이터 가치로 인한 공격빈도가 가파르게 증가할 것으로 예상했다.


보안위협 셋. 모바일·PC·POS 등 강력한 금융보안 위협 확대

올해에는 핀테크(FinTech) 개념의 여러 가지 모바일 금융결제 서비스가 본격 도입될 것으로 예상된다. 이에 대해 이스트소프트는 핀테크가 확대되면 금융거래 및 결제프로세스가 간소화되면서 사용자들에게는 편의성이 향상되는 반면, 새로운 모바일 금융결제 서비스 이용자들을 노린 공격도 발생할 가능성이 높다고 전망했다.


보안위협 넷. 오픈소스 취약점 및 정보유출

지난 2014년에는 ‘하트블리드(Heartbleed)’나 ‘쉘쇼크(ShellShock)’와 같은 오픈소스 취약점이 연이어 공개됐다. 이 취약점들은 새로운 것이라기 보다는 오랜 기간 잠재된 문제점이 구체적으로 악용되기 시작한 사례라 볼 수 있다.


보안위협 다섯. 더 정교해진 APT 공격

카스퍼스키랩은 2014년에 발생했던 APT공격들이 ‘정교’했다면 2015년에는 ‘교묘’해질 것으로 예상했다. APT 공격 집단들은 공격을 숨기기 위해 앞으로 더욱 은밀하고 교활해질 것이라는 것. 지난해 카스퍼스키랩은 제로 데이(Zero-day)를 사용한 APT 공격을 발견했고, 새롭고 은밀한 수법들을 분석했다.




출처 : 보안뉴스


Trackback 0 Comment 0
2014.12.29 19:20

공유 폴더와 시스템의 아이디 및 패스워드를 탈취하는 SMB 웜 도구 주의

개요

  • 최근 미국 영화社 해킹 사고에서 SMB 웜 도구를 이용하여 공유 폴더 및 시스템의 아이디 및 패스워드가 
    유출됨에 따라 국내 출현 가능성에 대비 주의 필요[1]

영향 받는 소프트웨어

  • Microsoft Windows 모든 운영체제

해결 방안

  • 사용자의 경우, 악성코드로 인한 피해 예방을 위해 백신을 설치하고 최신 업데이트 상태로 유지
    • 취약점을 통해 악성코드가 전파되는 것을 방지하기 위해 운영체제와 응용 프로그램을 최신 업데이트
      상태로 유지
    • 공유 폴더 사용을 자제하고 취약한 패스워드보다는 영문, 숫자, 특수문자를 조합한 8자리 이상의 
      비밀번호 설정 권고
  • 기업 시스템 관리자의 경우, 444번 및 445번 포트 모니터링 및 해당 SMB 웜 도구를 이용하여 전파되는 
    하드디스크 파괴형 악성코드에 의한 시스템 파괴에 대비하여 정보자산 접근통제, 모니터링, 복구 등 침해
    사고 예방 및 대응 방안 마련 필요(US-CERT 권고 사항 참조[2])
     ※ SMB 웜 도구를 통해 유포되는 악성코드 유형별 스노트 룰은 US-CERT권고사항 참조[1] 

용어 정리

  • SMB(Server Message Block) : Microsoft社 윈도우즈 및 도스 운영체제에서 폴더 및 파일 등을 공유하기 위해 사용되는 메시지 형식

기타 문의사항

  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] https://www.us-cert.gov/ncas/alerts/TA14-353A
[2] https://www.us-cert.gov/ncas/tips/ST13-003



(참고자료)



Trackback 0 Comment 0
2014.12.27 22:36

한국수력원자력 MBR 파괴 악성코드 공격받아

최근 국내 주요 원전시설을 운영하는 한국수력원자력(이하 한수원)이 마스터 부트 레코드(이하 MBR)를 삭제하도록 설계된 악성코드에 감염되어 사회적 이슈가 되고 있습니다. 악성코드는 한글 워드 프로세서(HWP) 취약점을 통해 감염되었으며, 한수원 임직원들이 악성 첨부파일을 실행하도록 하기 위한 다양한 사회공학적 공격 기법이 사용되었습니다. 아래 그림과 같이 공격은 임직원들에게 전송된 스피어피싱 이메일에서부터 시작되었으며 첨부파일 실행시 2가지 악성코드를 설치하는 방식으로 진행되었습니다.

MBR 파괴 공격의 감염 경로


악성코드에 대한 설명

이 악성코드의 진단명은 TROJ_WHAIM.A이며, 감염된 시스템의 MBR을 파괴합니다. MBR 파괴 이외에도 감염된 시스템에서 특정 파일을 덮어쓰기 하는 기능과 감염된 시스템에서 악성코드를 서비스로 등록하여 시스템이 재시작될 때마다 자동으로 실행되도록 하는 기능을 가지고 있으며, 또한 일반 윈도우 서비스에서 사용하는 파일명, 서비스명과 설명을 사용하여 시스템의 서비스 목록을 봐도 특이사항을 쉽게 발견할 수 없도록 위장하고 있습니다.

[그림1] TROJ_WHAIM.A가 위장한 일반 서비스 목록


이전에 발견된 MBR 파괴 악성코드와의 유사성

MBR을 파괴하는 악성코드는 일반적이지는 않지만 이전에도 발견된 적은 있습니다. 과거에 발생한 유사한 공격으로는 2013년 3월 20일 국내 주요 방송∙금융 6개사의 전산망 마비 사태가 발생한 3∙20 사이버테러 사건이 있으며, 이 공격에 사용된 악성코드는 PRINCPES, HASTATI, PR!NCPES 중 한개의 문자를 사용하여 MBR을 덮어 썼습니다. 또한 최근 발생한 소니픽처스 공격에서도 유사한 MBR 파괴 공격이 발생했었습니다.

한수원 공격에 사용된 악성코드는 특정 문자열을 반복적으로 MBR에 덮어쓴다는 점에서 이전에 발견되었던 3가지 MBR 파괴 악성코드와 유사성을 가지고 있습니다. 한수원 공격에 사용된 악성코드는 ‘Who Am I?’ 그리고 소니픽처스 공격에 사용된 악성코드는 0XAAAAAAAA 패턴을 사용했습니다.

[그림2] 감염된 시스템이 부팅되면 나타나는 ‘Who Am I?’ 메시지


시스템 파괴 악성코드와 협박

이미 잘 알려졌듯이 소니픽처스에 대한 공격은 영화사가 제작한 영화 ‘인터뷰’로 인해 시작되었으며, 한수원에 대한 공격에도 원자력 발전소 운행을 중단하지 않으면 수많은 원전 관련 기밀문서를 공개하겠다는, 모든 원전 시설의 운영 중단을 요구하는 협박이 있었습니다.(원자력 발전은 한국의 전체 전력 생산의 29%를 차지하고 있음)


확증은 없지만 심증은…

MBR 파괴 악성코드를 이용한 공격에는 많은 유사성이 있지만 관련 공격의 배후 역시 연관되어 있다고 단정하기는 어렵습니다. 하지만 각 공격의 배후가 직접적으로 연관되어 있지는 않더라도 상당부분 영향은 받았을 것입니다. 명확한 증거가 없기 때문에 심증만 난무할 뿐 정확한 사실은 알 수 없지만 여기에서 주목해야 할 점은 일부 공격자들 사이에서 MBR 파괴 공격이 새로운 무기가 되고 있다는 점입니다. MBR 파괴 공격으로 인해 시스템 관리자들은 네트워크나 시스템 보안 외에도 공격으로 인한 피해를 최소화할 수 있는 다양한 기술에 대해서도 고민해야 할 것입니다.

Additional insights by Abraham Camba, MingYen Hsieh, and Rika Gregorio

원문 : MBR Wiper Attacks Strike Korean Power Plant
by Trend Micro




출처 : 트렌드마이크로 블로그


Trackback 0 Comment 0