악성코드
-
랜섬웨어의 역사카테고리 없음 2016. 8. 3. 14:26
근래 사이버보안에서 화제가 되고 있는 랜섬웨어는 전염병 수준으로 창궐하고 있으며 금방 사라지기 어려운 위협이다. 랜섬웨어의 역사는 크게 데이터 암호화 전후로 나눌 수 있다. 오늘날에는 데이터를 암호화하는 유형인 cryptor가 주류를 이루고 있지만 이에 앞서 먼저 등장한 건 blocker 랜섬웨어였다. blocker 랜섬웨어는 운영체제나 브라우저 접근을 차단하고 이를 복구하는 대가로 돈을 요구한다. 당시 금전지급은 주로 기부 등에 사용되는 문자메시지 코드나 전자지갑을 통한 송금 등으로 이루어졌다. 보안전문가와 수사기관 측에서는 이러한 지급과정에 착안하여 공격자를 적발해 냈다. 전자결제 관련 규제가 진화함에 따라 위험부담 가중으로 랜섬웨어의 수익성도 떨어졌으며 용의자 적발 또한 늘어났다. 그러나 최근 몇 ..
-
ATM 해킹취약성 분석카테고리 없음 2016. 8. 3. 14:16
현금자동지급기(automated teller machine, ATM)는 줄곧 범죄자들의 공격대상이었으며 이제는 옛날처럼 폭약이나 절삭기를 사용하는 방법이 아닌 해킹의 표적이 되고 있다. 카스퍼스키 해킹테스트 전문가 Olga Kochetova는 2016 SAS 컨퍼런스에서 'Malware and non-malware ways for ATM jackpotting'이라는 발표를 통해 ATM의 해킹 취약성을 설명했으며 그 내용은 다음과 같다. 1. ATM은 기본적으로 컴퓨터에 해당하며 산업용 컨트롤러 등 각종 하위시스템을 포함하기는 하지만 중앙시스템은 일반적으로 볼 수 있는 PC로 구성된다. 2. 이러한 중앙 PC는 윈도XP와 같은 구형 운영체제를 사용할 가능성이 대단히 높다. 윈도XP는 마이크로소프트 지원이 ..
-
Ded Cryptor 랜섬웨어 소개카테고리 없음 2016. 8. 2. 16:04
최근 영어권과 러시아권에서 발견된 Ded Cryptor라는 랜섬웨어 트로이목마는 2비트코인(1300달러)이라는 거액을 요구하며 아직 복호화 솔루션도 존재하지 않는 상태다. Ded Cryptor에 감염된 컴퓨터의 배경화면은 아래와 같이 산타클로스와 함께 금전요구가 나오는 그림으로 바뀐다. Ded Cryptor 랜섬웨어의 배경에는 사실 상당히 복잡한 이야기가 얽혀 있다. 터키 보안전문가 Utku Sen은 랜섬웨어를 제작하고 해당 코드를 개발자 협업채널인 GitHub에 공개했다. 이는 사이버공격자가 해당 코드를 토대로 악성코드를 직접 제작하도록 유도하고 미리 심어둔 백도어를 통해 이들의 행동양상을 이해하려는 전략이었다. Sen은 이보다 앞서 교육 및 연구 목적으로 Hidden Tear라는 이름의 랜섬웨어 프로..
-
Shade 랜섬웨어 복호화툴 배포카테고리 없음 2016. 8. 2. 13:44
Shade는 2015년 초 등장한 랜섬웨어며 주로 악성스팸이나 취약점악용(exploit kit)을 통해 배포된다. 취약점악용의 경우 피해자가 감염된 웹사이트를 방문하기만 하면 되고 별도로 어떤 파일을 여는 과정이 불필요하기 때문에 특히 위험하다. Shade가 피해자 시스템 침입에 성공하면 중앙(C&C) 서버로부터 암호화키를 받으며 서버 사용이 불가능할 경우에 대비하여 자체 암호화키도 예비로 보유하고 있다. 이는 랜섬웨어가 일단 침투하고 나면 피해자 컴퓨터에서 인터넷 연결을 끊는다 해도 예정대로 작동할 수 있음을 의미한다. Shade가 암호화할 수 있는 파일유형은 MS오피스 문서, 이미지, 압축파일 등 150종이 넘으며 암호화 과정에서 파일 이름 뒤에 .xtbl 또는 .ytbl 확장자를 추가한다. 암호화가..
-
다목적 랜섬웨어 등장카테고리 없음 2016. 8. 1. 14:16
랜섬웨어는 이제 빠른 배포에 그치지 않고 암호화 외에 추가기능까지 생겨나고 있다. 2016년 2월 최초 발견된 Cerber 랜섬웨어는 처음 알려질 당시만 해도 피해자에게 돈을 요구하는 메시지를 음성으로 전달하는 등 음산한 면도 있었으나 기본적으로는 파일복구를 대가로 돈을 요구하는 단순한 구조를 가지고 있었다. 그러나 오늘날 Cerber 최신버전은 피해자 컴퓨터의 파일을 암호화시키는 데서 나아가 그 컴퓨터를 봇넷에 연결된 좀비PC로 만들어 버리기까지 한다. Cerber가 이메일첨부물을 통해 배포되고 실행되면 우선 파일을 암호화시키고 해당 파일의 복구 대가로 돈을 요구한다. 그런데 Cerber는 여기에서 그치지 않고 인터넷 연결을 제어하며 이렇게 되면 피해자 컴퓨터는 분산서비스공격(distributed de..
-
바이퍼 솔루션, AV-Comparatives 최신테스트에서 최우수등급 획득카테고리 없음 2016. 8. 1. 13:24
바이퍼(VIPRE) 안티바이러스가 AV-Comparatives 테스트에서 차단율 100%에 오인탐지 0건을 달성하여 다시금 최고점을 획득했다. ThreatTrack이 선보이는 강력한 안티바이러스 소프트웨어 바이퍼는 최근 실시된 AV-Comparatives 실제보호성능(Real-World Protection) 테스트에서 차단율 100%에 오인탐지 0건을 기록했으며 최고등급인 Advanced+ 등급을 부여받았다. 지난 2개월 동안 차단율 100%에 오인탐지 0건을 기록한 안티바이러스로는 바이퍼가 유일하다. AV-Comparatives 2016년도 상반기 안티바이러스 소프트웨어 성능평가결과는 다음 링크 참조. ThreatTrack 제품담당수석 Usman Choudhary는 다음과 같이 설명한다. "Threat..
-
Chimera 랜섬웨어 복호화키 경쟁세력에 의해 유출카테고리 없음 2016. 7. 29. 16:40
Petya 및 Mischa 랜섬웨어 제작자들이 '업계 경쟁세력'에게 일격을 날렸다. 우선 이른바 랜섬웨어서비스(Ransomware-as-a-Service, RaaS)라는 방식으로 랜섬웨어 변종을 대량 배포함으로써 일반인도 범죄의지만 있다면 랜섬웨어로 사이버공격을 행할 수 있는 발판을 마련했다. 참고: http://www.securityweek.com/petya-mischa-ransomware-now-available-service 그리고 Chimera 랜섬웨어에 감염된 시스템에 적용될 수 있다고 주장하면서 3500개의 RSA 개인키를 배포했으며 이는 라이벌 세력인 Chimera 랜섬웨어의 활동을 방해하려는 의도로 보인다. 해당 키는 Pastebin에 게재됐으며 게시글에서는 이를 통해 복호화툴을 만드는 데..
-
WSF 기반 Zepto 랜섬웨어카테고리 없음 2016. 7. 27. 14:39
ThreatTrack 연구진은 최근 Zepto 랜섬웨어 배포수단으로 윈도스크립트파일(WSF, windows scripting file) 압축파일을 첨부한 스팸이 다량 유포되는 현상을 포착했다. 이 수법은 기존에 흔히 쓰인 자바스크립트나 매크로문서 스팸에서 바뀐 것이다. 아래는 이러한 종류의 소셜엔지니어링(social engineering) 수법을 보여주는 실제 이메일이다. ThreatAnalyzer 분석 위 스팸메일의 WSF를 추출하여 ThreatAnalyzer 맬웨어분석 샌드박스를 통해 분석한 결과는 다음과 같다. WSF에서 문제되는 부분은 스크립트며 따라서 WScript.exe의 요청트리(call tree)가 판단의 주안점이 됐다. 변경된 파일의 수가 많다는 점은 해당 스크립트가 바이러스나 랜섬웨어일..