분류 전체보기
-
Retefe 트로이목마 소개카테고리 없음 2016. 7. 25. 14:11
Retefe 트로이목마는 금융고객의 계정 등 개인정보를 탈취하는 악성코드며 주로 악성 자바스크립트가 문서파일을 첨부물로 하는 피싱 이메일을 통해 배포된다. Retefe는 스웨덴, 스위스, 일본 등지에서 발견된 바 있으며 최근에는 영국의 Smile 은행을 목표로 공격을 실행했다. 이번 사례를 보면 감염경로, 악성인증서 설치과정 등 기본적인 부분은 크게 바뀌지 않았다. 악성 자바스크립트가 실행되면 우선 웹브라우저 프로세스 종료를 시도한다. 그리고 허위 인증서를 설치한 다음 프록시 자동설정 URL을 변경한다. 스크립트는 Dean Edwards 패커를 통해 난독화돼 있다. 다만 Smile 사례에서 새로운 점이 있다면 악성 구성요소가 하나 추가됐다는 사실이다. 원래 자바스크립트에 포함됐던 파웨쉘 스크립트는 2종으..
-
ARM 등 IT업체, 사물인터넷 보안표준 개발작업 착수카테고리 없음 2016. 7. 25. 14:01
사진: http://blog.beautheme.com/top-10-internet-of-things-iot-programming-languages/ ARM 칩은 퀄컴, 삼성, 미디어텍 등 다양한 모바일어플리케이션프로세서 제조업체들이 사용하고 있으며 안드로이드기기 스냅드래곤 프로세서 외에 애플 아이폰의 A형 프로세서에도 사용되고 있다. 사물인터넷 시스템이 널리 퍼지고 있지만 전자상거래 표준에 따라 관리될 수 있는 보안대책이 없는 커넥티드 기기들이 위험에 노출돼 있다는 점은 부인할 수 없다. 이에 기술전문가들이 보안문제 해결에 앞장서고 있으며 ARM, Intercede, Solacia, Symantec 등 업체들이 보안프로토콜 OTrP(Open Trust Protocol) 공동개발에 나섰다. 이들 업체는 스..
-
FLocker 랜섬웨어, 스마트TV를 노리다카테고리 없음 2016. 7. 25. 13:53
게시일: 2016-06-15 l 작성자: Echo Duan (Mobile Threat Response Engineer)하나의 플랫폼으로 여러 스마트 디바이스를 사용할 수 있는 것은 삶에 편리성을 가져다 줍니다. 하지만 이 경우, 멀웨어가 1대의 디바이스에 침투하면, 동일한 플랫폼을 공유하는 다른 디바이스도 감염되기 쉽습니다. 최근 유행하는 “FLocker” 랜섬웨어가 이와 같은 경우입니다. 해당 랜섬웨어는 안드로이드 운영체제의 모바일 디바이스를 공격하는 화면잠금형 랜섬웨어이지만, 안드로이드 스마트TV도 감염시킬 수 있습니다. 그림 1. TV 랜섬웨어 화면 2015년 5월, FLocker 랜섬웨어(ANDROIDOS_FLOCKER.A로 명명, Frantic Locker의 줄임말)가 처음 발견된 시기부터 트렌..
-
음성명령에 의한 스마트폰 해킹가능성카테고리 없음 2016. 7. 22. 15:35
보안연구자들이 최근 숨은 음성명령을 통해 기기를 해킹할 수 있는 방법을 찾아냈다. 사용자가 노트북, 데스크탑, 스마트TV, 스마트폰, 태블릿으로 특수 조작된 유투브 영상을 청취할 경우 구글 나우(Google Now)나 애플 시리(Apple Siri)와 같은 음성인식 프로그램이 숨은 음성명령의 기만에 빠져 공격자의 의도대로 행동할 수 있다. 캘리포니아대학교, 버클리대학교, 조지타운대학교 소속 연구진은 프로젝트 페이지를 통해 숨겨진 음성명령을 두고 "사람은 청취할 수 없지만 기기는 이를 명령으로 인식한다"고 설명하고 있다.[참고]프로젝트 페이지: http://www.hiddenvoicecommands.com/ 연구진이 논문에서도 밝힌 내용에 따르면 대부분의 사용자들이 언제든 음성명령을 인식시킬 수 있도록 기..
-
Cerber 랜섬웨어 공격의 진상카테고리 없음 2016. 7. 22. 15:03
근래 Cerber 랜섬웨어가 오피스365를 노린다고 하여 큰 주목을 받았는데 그 실상은 흔히 알려진 내용과는 약간 다르다. Cerber 랜섬웨어가 오피스365를 공격했다는 내용이 최초로 등장한 출처는 보안업체 Avanan의 웹사이트에 Steven Toole이 게재한 글이며 그 내용을 보면 "제로데이 랜섬웨어 바이러스의 대규모 공격에 오피스365 기업사용자들이 노출됐다"고 기술하고 있다. 그런데 사실 여기에서 언급된 "대규모 공격"이란 Avana 고객 중 오피스365 사용자를 대상으로 한 공격으로 가리키며 오피스365와는 직접 관련이 없는 Avanan 메시지보안플랫폼을 통해 탐지됐다. Cerber가 등장한 이후 몇 시간 지나지 않아 마이크로소프트, 구글, 시만텍, 아바스트, 맥아피 등 수많은 보안업체들이 ..
-
CERBER 변종, 클라우드 기반 서비스를 노린다카테고리 없음 2016. 7. 22. 11:37
게시일: 2016-07-21 l 작성자: Trend Micro기업에서 클라우드 서비스 이용을 확장시킴 따라, 사이버 범죄자들 역시 이를 악용하여 멀웨어를 호스트하고 전달하는 도구로 사용을 확대해나가고 있습니다. 사이버 범죄자는 많은 기업들이 클라우드 기반 생산성 플랫폼을 사용하여 민감한 기업 데이터를 관리하는 것을 주목하고, 이러한 클라우드 상의 정보에 접근할 수 없을 경우 기업 운영에 심각한 영향을 미칠 것을 예상하고 있습니다.위와 같은 상황의 구체적인 예시가 바로 CERBER 크립토 랜섬웨어입니다. 최근 트렌드마이크로에서 탐지한 CERBER의 변종RANSOM_CERBER.CAD는 개인 및 기업 Office 365 사용자를 타겟으로 하고 있는 것을 발견했습니다.그림1. CERBER 최신 변종의 4가지 ..
-
Bart 랜섬웨어 AVG 복호화툴 소개카테고리 없음 2016. 7. 21. 14:40
AVG 바이러스연구소는 최근 Bart 랜섬웨어에 대한 파일복구 툴을 제작했다. 랜섬웨어 중에서도 최신에 속하는 Bart 랜섬웨어는 이미 전 세계에 퍼졌으며 주로 사진과 이미지에 관련된 제목을 가진 이메일을 통해 배포된다. Bart 랜섬웨어는 Dridex 및 Locky 랜섬웨어 제작자가 만들었다고 추정된다. Dridex 그리고 Locky가 파일을 암호화시킨 상태로 다시 쓰는 반면 Bart의 경우 개별 파일을 별도의 암호화된 압축파일(zip)에 넣은 다음 원본 파일을 삭제한다. 물론 사용자가 돈을 지불하기 전까지는 해당 파일에 접근할 수 없다는 점은 마찬가지다. Bart 랜섬웨어에 감염될 경우 파일의 원래 이름에 bart.zip이라는 확장자가 들어가기 때문에 감염을 바로 알아낼 수 있다. 바탕화면은 대체로 ..
-
기업 CFO를 노리는 허위 송금 이메일, BEC카테고리 없음 2016. 7. 21. 13:50
게시일: 2016-06-20 l 작성자: Ryan Flores (Threat Research Manager)범죄의 목적으로 기업 최고경영자(CEO) 또는 대표이사, 사장 등 고위 간부을 사칭한 이메일 범죄의 증가는 놀라운 일이 아닙니다. 고위 간부의 요청사항을 거절하기 쉽지 않기 때문입니다. 부자연스러운 문법 표현, 복권 당첨, 타국가 왕족의 편지와 같은 비현실적인 이메일을 범죄에 활용하는 시대는 지나갔습니다. 오늘날 범죄에 이용하는 이메일은 업무 이메일 해킹으로 이루어지는 ‘허위 송금 이메일(Business Email Compromise, BEC)’ 입니다. 기업의 간부로 교묘하게 위장하여 타겟 기업의 최고 재무책임자(CFO) 등 재무 관계 책임과 업무를 담당하는 직원을 대상으로 하고 있습니다.BEC ..