'악성코드'에 해당되는 글 99건

  1. 2013.04.17 LG U+ 전자결제 프로그램 Xpay 보안 업데이트 (2)
  2. 2013.04.09 3.20 사이버테러 내부 침입경로 수수께끼 풀렸다!
  3. 2013.03.25 최근 악성코드 유형, 트로이목마가 대세!
2013. 4. 17. 18:22

LG U+ 전자결제 프로그램 Xpay 보안 업데이트

□ 개요
   o LG U+ 전자결제 프로그램 Xpay에서 원격코드 실행이 가능한 취약점이 발견됨
   o 낮은 버전의 사용자는 악성코드 감염 등의 피해를 입을 수 있어 해결방안에 따라 보안 업데이트 권고 [1]


□ 해당 시스템
   o 영향 받는 소프트웨어
    - Xpay 1.0.0.20 및 이하버전


□ 해결 방안
   o LG U+ 전자결제서비스 설치마법사 실행하여 업데이트 실행 [2]

   o Xpay가 사용된 결제창에서 자동으로 업데이트 실행


□ 기타 문의사항
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118


[참고사이트]
[1] http://pgweb.uplus.co.kr:8080/pg/wmp/Home2009/customer/notices_view.jsp?seq=131 
[2] http://pgdownload.dacom.net/lgdacom/LGDacomXPayWizard.exe


Trackback 0 Comment 2
  1. go_bgjahwal 2014.11.06 17:28 address edit & del reply

    결재내역 보기

  2. 2014.11.06 17:30 address edit & del reply

    비밀댓글입니다

2013. 4. 9. 10:55

3.20 사이버테러 내부 침입경로 수수께끼 풀렸다!

국내 웹 ActiveX 모듈 통해 침입...보안 취약성 여실히 드러내

최초 악성코드와 통신하는 1차 C&C 서버로 공개 웹 게시판 악용


[보안뉴스 특별취재팀] 3.20 전산망 사이버테러의 공격주체와 공격수법이 드러나면서 그간 수수께끼로 남아있던 내부 침입경로에 대한 의문점도 풀렸다.


그간에는 백신 업체가 피해기업에 제공한 백신 중앙관리 솔루션의 취약점을 통해 악성코드가 내부 직원 PC로 한꺼번에 유포됐다는 내부 유포경로만 밝혀졌을 뿐 악성코드가 어떤 방법으로 피해기업 내부에 침투했는지는 여전히 풀지 못한 숙제로 남아있었다. 



▲ 작전명 ‘Operation 1Mission’으로 명명된 3.20 전산망 사이버테러의 공격개요 및 흐름도
*이미지를 클릭하시면 더욱 상세한 버전의 그림을 볼 수 있습니다.


그러나 악성코드 전문 추적그룹인 ‘이슈메이커스랩’의 분석결과를 본지가 확인한 결과 이번에 드러난 해커조직이 피해기업의 내부 직원 PC를 감염시키는 데는 국내 특정 소프트웨어의 웹 ActiveX 모듈의 업데이트 기능을 이용해 업데이트 파일 경로를 변조시키는 방법 등을 활용했던 것으로 밝혀졌다.


일반적으로 국내에 유포되는 악성코드들은 MS의 인터넷 익스플로러, 어도비 플래시, 오라클 자바 등 주로 해외 소프트웨어의 취약점을 이용해 유포하는 것이 대부분이다. 그러나 해당조직은 오래 전부터 보안 소프트웨어를 포함해 국내의 소프트웨어를 상세히 연구·분석해 취약점을 찾아내고, 이를 악성코드 유포에 활용했던 것으로 조사됐다. 


특히, 피해기관 내부에 최초로 침투하기 위해서 주로 웹사이트 방문만으로 악성코드를 감염시킬 수 있는 ActiveX 취약점 등을 사용했다. 해당 취약점은 ActiveX의 모듈 업데이트 기능을 이용해 업데이트 파일경로를 해커가 올려놓은 악성코드 파일의 경로로 변조해 특정 웹사이트 방문시 정상파일이 아닌 악성코드 파일이 설치되도록 한 것이다. 


이후 내부 PC에서 여러 다른 PC들에게 전파하기 위해 일반 PC들에 설치된 에이전트들을 제어 및 관리하는 중앙관리 솔루션의 취약점을 이용했다. PC내 설치된 에이전트들을 업데이트하는 파일을 변조해 모든 에이전트에 악성코드를 설치하는 방법을 활용했던 것이다.


결국 해커조직은 최대한 많은 내부 직원 PC를 악성코드에 감염시켜 하드디스크를 파괴하기 위해 내부 모든 PC의 백신 업데이트 등을 제어·관리하는 중앙관리 솔루션의 취약점을 악용했던 셈이다. 

  

더욱이 악성코드에 감염된 피해기업의 내부 PC와 통신하며 명령을 내리는 역할을 한 1차 C&C(명령제어) 서버의 경우 제로보드, 그누보드, 알지보드, K보드 등의 국내 공개 웹 게시판의 취약점을 악용했던 것으로 드러났다. 


이렇듯 방송국과 금융권의 내부 PC로 악성코드가 침입된 경로가 국내 소프트웨어의 ActiveX 모듈로 드러나면서 ActiveX 모듈의 취약한 보안성 문제로 확대될 것으로 보인다. 또한, 1차 C&C 서버로 국내 공개 웹 게시판이 악용된 것으로 드러나 공개 웹게시판의 허술한 보안이 또 다시 도마 위에 오를 것으로 예상된다. 

이와 관련 이슈메이커스랩의 리더 Simon Choi 씨는 “이번 전산망 테러를 일으킨 해커조직은 이번 사건뿐만 아니라 오래 전부터 주로 국내 소프트웨어의 취약점을 속속들이 분석해 이를 악성코드 유포경로로 활용하고 있어 국내를 타깃으로 하는 최적화된 작전을 수행하고 있다”며, “이렇듯 실제 우리나라에서 사이버전을 수행하고 있는 해당조직이 있는 만큼 이들을 꾸준히 추적 및 관리할 수 있는 전문가들의 필요성이 높아지고 있으며, 그 역할을 수행하는 데 있어 이슈메이커스랩이 앞장설 것”이라고 말했다. 

[보안뉴스 특별취재팀(editor@boannews.com)]


출처 : 보안뉴스


Trackback 0 Comment 0
2013. 3. 25. 19:37

최근 악성코드 유형, 트로이목마가 대세!

총 62종 악성코드 중 트로이목마가 50건(80%) 차지

 

[보안뉴스 김경애] 최근 수집된 악성코드 샘플의 분석 결과 총 62종의 악성코드 중 트로이목마 계열이 80% 이상을 차지하고 있는 것으로 나타났다. 이로 인해 최근 발생한 3.20 전산망 사이버테러와의 연관성도 주목되고 있다.  


빛스캔은 지난 수요일 발생한 방송국 및 금융권 해킹 사고와 더불어 발생 가능한 추가적인 해킹사고의 발생 가능성을 줄이기 위해 국내외 보안 기업 및 유관기관에 3.11~3.17일 기간 동안 수집하여 보유하고 있던 악성코드 수 백 여종을 제공한 바 있다.


현재 빛스캔에서는 180여만 개의 웹 서비스에서의 악성코드 감염현황을 관찰하고 있으며, 웹 서비스를 통한 자동감염(Drive by Download)에 대해 악성링크와 악성코드를 수집하고 있다. 위험을 경고한 기간 중 수집된 악성코드를 선 제공함으로써 웹 서핑을 통해 감염된 악성코드를 이용하여 내부 망으로 침입했을 가능성도 일정부분 있을 수 있어서 대응차원에서 제공했다는 게 빛스캔 측의 설명이다.


정보제공을 받은 시만텍에서 약 62종의 악성코드를 1차적으로 분석한 자료에 따르면 총 62종의 악성코드 중에 트로이목마(Trojan Horse)가 50건(80%)를 차지했으며, 백도어 5건(8%), 다운로더 3건(4.8%)를 차지했다. 그 외 정보 유출을 목적으로 하는 Info Stealer 계열의 악성코드도 1건 진단된 것으로 확인됐다.



▲ 3월 20일 공유한 악성코드 분석 정보 - 빛스캔 제공, 시만텍 분석


정보를 분석한 결과 2가지 흥미로운 점이 나타난 것을 볼 수 있었다. 먼저, 트로이목마가 많이 유포된 것을 볼 수 있었다. 트로이목마는 원격에서 공격자가 직접 통제를 할 수 있으며, 원격에서 접근을 통해 추가적인 내부 공격에도 이용될 수 있다.


시스템에 대한 모든 권한을 장악하고 추가적인 공격도구들도 다운 받아서 활용할 수 있는 형태이므로 추가적인 내부공격의 거점으로도 활용될 수 있다. 또한, 공격자에 의해 직접 조정도 가능한 형태의 원격 통제 도구인 RAT(Remote Administration Tool) 종류도 트로이목마로 분류될 수 있다.

빛스캔 관계자는  “지금의 상황은 취약한 웹 서비스 혹은 공격자가 권한을 이미 가진 웹 서비스를 서핑 하기만 해도 백도어나 트로이목마에 일반 사용자들은 감염될 수 있다”며,  “내부 망에 있는 사용자 PC를 공격하는 방식에는 이메일을 통한 악성코드 감염과 웹 서핑을 통한 방문 시 감염 사례 두 가지가 있을 수 있다”고 설명했다.  


현재 빛스캔에서 제공되는 모든 악성코드는 웹서핑을 통한 방문 시의 감염사례에 대해 수집된 악성코드들이므로 이메일을 통한 악성코드 감염 이슈에 대해서도 균형적인 조사는 진행되어야 할 것으로 보인다.  


또 한 가지의 특이사안은 빛스캔 측에서 밝힌 방송국 관련 악성코드 이름은 kbs.exe, sbs.exe, imbc.exe 세 가지라는 점이다. 실제 방송국 중에서 KBS와 MBC만이 피해를 입었다고 알려져 있다. 재미있는 점은 sbs.exe 악성코드 파일을 분석한 결과 깨져 있는 즉, 동작하지 않는 악성코드로 분석됐다는 것이다. 

다만, 이번 사건에서 실제 피해를 입힌 악성코드의 경우 추가적으로 내려와 PC를 공격한 파일이며, 빛스캔에서 제공한 샘플은 그 전단계인 1차 감염, 추가 다운로드에 관련된 악성파일로 알려졌다. 또한, 감염 이후 내부망 PC 대역을 공격할 수 있는 거점으로도 삼을 수 있는 악성파일이라 3월 20일 발생된 사건과 직접적인 연관성에 대해서는 정확히 판단하기 어렵다는 게 빛스캔 측의 설명이다.  


향후 추가 조사와 분석을 통해 내부 망으로 유입된 경로가 밝혀진다면 연관성은 확인될 수 있을 것으로 보인다. 또한, 백도어로 제공된 악성파일에서도 발견됐는데, 트로이목마와 동일하게 원격에서 직접 접근이 가능하고 통제가 된다는 점에서 위험성은 동일한 것으로 알려졌다.  


이번 사례를 떠나서 현재 웹으로 공격되는 악성코드의 대부분은 개인정보 탈취, 파밍, 게임정보, DDoS 등 다양한 공격 목표를 지니고 있다. 실제 공격자의 손끝에 따라 목표가 달라지고, 피해 범위 또한 확대될 수 있는 상황에 직면하고 있음을 알수 있다.


결국 이러한 대규모 사이버공격으로부터 피해를 최소화하기 위해서는 모든 방문자를 대상으로 하는 대량 감염 공격의 효과를 줄일 수 있도록 꾸준히 노력하고, 감염 매개체로 이용되는 웹 서비스들의 취약성을 점진적으로 개선해야 할 것으로 보인다.

[김경애 기자(boan3@boannews.com)]



출처 : 보안뉴스


Trackback 0 Comment 0