'악성코드'에 해당되는 글 99건

  1. 2013.08.26 안드로이드 마스터키 취약점 보안 업데이트
  2. 2013.07.29 언론사·포털 등 40곳 관리자 계정정보 노린 악성코드 출현
  3. 2013.06.21 6월 3주 전체 유포된 악성링크 4,765개 계속 증가
2013.08.26 19:50

안드로이드 마스터키 취약점 보안 업데이트

개요

  • 삼성, LG 등 스마트폰에 탑재되는 안드로이드에서 마스터키(CVE-2013-4787) 취약점이 발견됨
  • 공격자는 안드로이드 설치 파일(apk)을 변조하여 디지털 서명을 무효화하지 않고도 악성코드를 정상적인 안드로이드 앱에 삽입하여 실행 가능
  • 낮은 안드로이드 버전의 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업그레이드 권고

 

해당 시스템

  • 영향 받는 소프트웨어
    • 안드로이드 1.6(Donut)부터 4.2(Jelly Bean)의 버전

 

해결방안

  • 안드로이드 1.6(Donut)부터 4.2(Jelly Bean)의 버전 사용자
    • 제조사별 펌웨어 업그레이드 프로그램을 통해 최신 펌웨어로 업그레이드

                    ※ 삼성전자 펌웨어 업그레이드 프로그램(Samsung Kies) 다운로드 경로 : 
                         http://www.samsung.com/sec/support/pcApplication/KIES

 

취약점이 패치된 모델

Galaxy S4, Galaxy S4 LTE-A, Galaxy Mega (취약점 기 패치되어 출시됨)

Galaxy S2, Galaxy S2 LTE, Galaxy S2 HD

Galaxy S3, Galaxy S3 LTE

Galaxy Note, Galaxy Note 2, Galaxy Note 8, Galaxy Note 10.1

Galaxy Tab 7.7, Galaxy Tab 8.9

Galaxy R, Galaxy POP, Galaxy Grand

 

                    ※ LG전자 펌웨어 업그레이드 프로그램(LG Mobile Support Tool) 다운로드 경로 : 
                         http://www.lgmobile.co.kr/lgmobile/front/download/retrieveDownloadMain.dev

 

   LG업그레이드  

 

취약점이 패치된 모델

LG G2

LG Optimus G/Gpro

LG Optimus Vu/Vu2

LG Optimus LTE2

 

                   ※ 팬텍 펌웨어 업그레이드 경로 : 
                         http://www.vegaservice.co.kr/down/self/main.sky

 

팬텍업그레이드  

 

취약점이 패치된 모델

VEGA Racer 2 (IM-A830S, IM-A830K, IM-A830L)

VEGA S5 (IM-A840S)

VEGA R3 (IM-A850S, IM-A850K, IM-A850L)

VEGA N6 (IM-A860S, IM-A860K)

VEGA IRON (IM-A870S, IM-A870K, IM-A870L)

VEGA LTE A (IM-A880S)

 


권고사항

  • 확인되지 않는 문자에 포함된 링크는 절대 클릭 말고 즉시 삭제
  • ‘스마트폰 이용자 10대 안전수칙’에 따라 스마트폰을 사용
    • 스마트폰 이용자 10대 안전수칙

                     1. 의심스러운 애플리케이션 다운로드하지 않기
                     2. 신뢰할 수 없는 사이트 방문하지 않기
                     3. 발신인이 불명확하거나 의심스러운 메세지 및 메일 삭제하기
                     4. 비밀번호 설정 기능을 이용하고 정기적으로 비밀번호 변경하기
                     5. 블루투스 기능 등 무선 인터페이스는 사용시에만 켜놓기
                     6. 이상증상이 지속될 경우 악성코드 감염여부 확인하기
                     7. 다운로드한 파일은 바이러스 유무를 검사한 후 사용하기
                     8. PC에도 백신프로그램을 설치하고 정기적으로 바이러스 검사하기
                     9. 스마트폰 플랫폼의 구조를 임의로 변경하기 않기
                     10. 운영체제 및 백신프로그램을 항상 최신 버전으로 업데이트 하기

 

문의사항

  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

 

[참고사이트]
[1] http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key
[2] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4787


Trackback 0 Comment 0
2013.07.29 19:40

언론사·포털 등 40곳 관리자 계정정보 노린 악성코드 출현

21개 언론사 및 포털·게임·통신 업체 등의 직원·관리자 계정 위험! 

3.20 및 6.25 사이버테러 이은 제3의 사이버테러 준비 가능성  

실제 내부망 침투까지 완료된 기업도 상당수일듯...수사 필요성 제기
  

[보안뉴스 권 준] 지상파 방송사, 유력신문사, 뉴스통신사를 포함한 21개 언론사와 포털, 쇼핑몰, 게임사, 국가기간망사업자, 통신사, 광고업체, 보안업체 등을 포함한 40개 업체의 관리자 및 내부직원의 계정정보를 노린 악성코드가 발견돼 충격을 주고 있다.


▲  해커가 지정한 언론사 및 기업 40개 업체의 관리자 및 내부망 로그인 페이지를 통해 관리자 계정정보가 유출되는 과정을 도식화한 그림. [출처 : 최상명 하우리 선행연구팀장]


이번 악성코드를 처음 발견해 추적한 최상명 하우리 선행연구팀장에 따르면 악성코드 제작자는 40개 언론사·기업의 직원 및 관리자가 악성코드에 감염될 수 있도록 광범위하게 악성코드를 유포하는 것으로 드러났다.


이를 통해 40여개 업체 직원 및 관리자가 악성코드에 감염될 경우 해당 업체의 로그인이 필요한 웹 서비스에 접속해 로그인 시 아이디 및 패스워드 정보가 해커가 준비해놓은 1차 C&C 서버로 유출되는데, 현재까지 아이디 및 패스워드 정보를 전송받는 C&C 서버가 작동 중인 것으로 알려졌다. 

40여개 직원 및 관리자가 로그인 시 계정정보를 절취하는 웹 서비스는 다음과 같다. 특히, 개인정보를 수집하기 위한 웹서비스에는 해당업체 내부에서만 접속 가능한 도메인 및 내부망 IP도 포함돼 있다.


- 내부 직원용 메일 웹서비스

- 내부 인트라넷 웹 서비스

- 웹서비스 관리자 로그인 웹 페이지

- ERP(전사적 자원관리), CRM(고객관리), SCM(공급망관리), NMS(네트워크 관리 시스템), KMS(지식관리시스템), EIP(기업정보포탈) 등과 같은 관리 솔루션 웹 페이지

- 통합보안 장비, VPN 장비, 웹로그 관리 등 보안 솔루션 관리자 웹페이지


해커조직이 노리는 40여개 업체는 크게 언론사, 광고사, 통신사, 게임사, 기간망사업자, 관리 솔루션 업체, 보안장비 솔루션 업체로 구분된다. 40여개 업체 가운데는 지상파 방송국 다수를 비롯해 유력신문사, 통신사, 대형 포털사이트, 온라인 광고업체, 게임사, 국가기간망사업자, 통신사, 쇼핑몰, 그리고  국내 대표적인 보안업체가 판매하는 보안솔루션 관리자 페이지(해당 제품을 사용하는 기업)를 망라하고 있어 더욱 심각한 상황이다.  

우선 언론사의 경우 언론사 내부정보를 수집하거나 언론사를 통해 악성코드를 유포함으로써 뉴스를 구독하는 사용자 PC를 대상으로 대규모 좀비 PC를 양산해낼 수 있다. 

또한, 광고사의 경우 온라인 신문 등 광고가 삽입되는 모든 웹페이지를 통해 대량의 악성코드를 유포할 수 있으며, 철도·통신 등 국가기간산업을 관장하는 기업의 관리자 계정이 탈취될 경우 해당 기업 침투 등으로 잠재적으로 철도사고 및 통신장애 등 심각한 사고를 유발시킬 수도 있다. 


이와 함께 전사적 자원관리 및 기업·고객관리 솔루션 업체의 경우 해당 기업에 침투해 기밀정보 및 고객정보 유출이 가능하며, 보안 솔루션 업체의 경우 보안장비 관리자 권한을 획득해 보안 솔루션을 운용 중인 기업의 보안상태를 무력화시킬 수 있어 매우 심각하다.


이번에 발견된 악성코드는 네트워크 API 후킹을 통해 특정 웹서비스 로그인 시 계정정보를 탈취하며, 루트킷 기능으로 악성코드를 은폐할 수 있는 것으로 알려졌다. 여기서 말하는 네트워크 API 후킹은 네트워크 통신을 가로채는 방법의 하나로 계정정보가 입력될때 그 내용을 해커한테도 전송하는 방법이라고 할 수 있다.

 

특히, 해당 업체의 내부 직원 및 관리자가 해당 웹페이지에 접속 시 별도의 추가 악성코드를 설치해 해당 업체의 직원임을 식별할 수 있는 정보를 2차 C&C 서버로 전송하는 것으로 나타났다. 이는 추후 해당 관리자 및 직원 PC를 통해 해당 기업 내부망 침투용으로 사용하기 위한 거점을 마련하려는 것으로 추정된다.


악성코드 제작자의 특징과 관련해 하우리 최상명 선행연구팀장은 “40개 업체의 관리자 웹 서비스를 사전에 모두 조사하여 해당 웹사이트 주소를 인지하고 있으며, 해당 업체 내부에서만 접속되는 도메인 및 내부망 IP까지 확보하고 있는 것으로 보인다”며, “상당기간 해당 업체들에 대한 조사를 수행했으며, 일부 업체는 이미 내부망 침투까지 성공한 것으로 추정된다”고 밝혔다.


덧붙여 그는 “아무래도 ERP, CRM 등과 같은 기업관리 솔루션이나 보안 솔루션 페이지의 관리자 계정이 유출되면 기업 기밀정보는 물론 2차적으로 고객정보 탈취나 해당기업 보안체계가 무력화 될 수 있다. 또한, 언론사나 광고 솔루션 업체가 당하면 대규모 악성코드 유포가 가능해서 국민 대다수 PC가 좀비 PC화돼 6.25 사이버공격과 같은 대규모 사이버테러도 다시 발생할 수 있는 등 사회혼란이 야기될 수 있다”며, “특히, 많은 국민들이 찾는 언론사와 광고 솔루션 업체에서는 긴급점검과 함께 향후 보안투자를 대폭 늘려야 한다”고 강조했다.


현재 관리자 계정정보가 타깃이 되고 있는 40여개 언론사·기업에서는 관리자나 직원 PC가 악성코드에 감염되지 않도록 대대적인 보안점검과 함께 보안패치에 각별한 주의를 기울여야 할 것으로 보인다. 

본지는 단독 입수한 40여개 언론사 및 기업 리스트를 바탕으로 경찰청 사이버테러대응센터 및 한국인터넷진흥원을 통해 이번 건에 대한 수사와 함께 대대적인 보안조치가 이루어질 수 있도록 적극 협조할 방침이다. 이와 함께 이번 사건의 진행상황에 따라 일반 국민들의 피해를 최소화하기 위해 해당 언론사 및 기업 공개를 포함한 후속기사를 준비할 예정이다.       
[권 준 기자(editor@boannews.com)]



출처 : 보안뉴스


Trackback 0 Comment 0
2013.06.21 18:03

6월 3주 전체 유포된 악성링크 4,765개 계속 증가

MalwareNet 활동 지속 증가가 원인...서버차단 결과 파급력 감소


[보안뉴스 김경애] 악성링크가 지속적으로 증가하고 있다. 빛스캔 PCDS 주간동향 브리핑에 따르면 6월 3주 전체 유포된 악성링크가 4,765개로 5주째 지속적으로 유포가 증가하고 있다고 밝혔다. 

 ▲ 주간 유포된 도메인 수


증가하는 이유로는 지난주와 마찬가지로 MalwareNet의 활동이 지속적으로 늘고 있기 때문이라는 것. 그러나 6차에 걸쳐 정보공유를 하고, 서버를 차단한 결과 신규 악성링크가 감소한 동시에 파급력 또한 감소하는 것을 볼 수 있었다고 밝혔다.

 ▲ 시간대별 통계


한 주의 시간별 통계를 살펴보면, 신규 악성링크의 유포가 특정 요일에 한정되어 있는 것을 볼 수 있다. 이처럼 비정상적인 패턴은 미국 IPC 클래스 대역(128-254) 이 포함되었기 때문이라고 빛스캔은 분석했다. 대역폭을 이용한 공격은 지속적으로 주소가 변경되기 때문에 차단하기가 쉽지 않으며 전체적인 범위를 확인해야만 효과적으로 방어를 할 수 있다는 것이다. 

 ▲ 최근 1달 악성링크 도메인 통계


5월 2주차부터 6월 3주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 253건(24.7%), 미국 501건(49.0%), 홍콩 39건(3.8%), 일본 68건(6.6%), 영국 14건(1.4%), 인도 4건(0.4%), 독일 124건(12.1%), 대만 6건(0.6%), 캐나다 11건(1.1%) 등으로 나타났다. 지속적으로 사용되던 홍콩 IP 클래스 대역은 최근 3주간 나타나지 않았고, 미국 C 클래스 IP 대역이 새롭게 출현했다. 

 ▲ 주간 악성링크 도메인 통계


국가별 악성링크 도메인 통계를 분석한 결과 미국이 153건(72.9%), 한국이 38건(18.1%), 일본이 19건(9.0%), 순으로 차지하였다. 미국이 증가한 이유는 C 클래스(128-254)에 의한 공격으로 인해 증가했으며, 지난주에 활발했던 레드킷의 활동은 금주 3건으로 미미하게 작용했다.

[김경애 기자(boan3@boannews.com)]



출처 : 보안뉴스


Trackback 0 Comment 0