보안관닷컴 [우키의 보안 이야기]

원문출처: http://www.boannews.com/media/view.asp?page=&gpage=&idx=20866&search=&find=&kind=3

  요즘 보안위협경향중 두드러지는 것이 바로 사회공학적 공격유형들인 것 같습니다. 기업이나 ISP등에서 외부 공격을 차단하기 위한 많은 시스템을 도입하고 있는 상황이기 때문에   해커의 직접적인 공격으로 내부 PC들이 침해를 받기는 힘들어졌습니다.  사용자들 스스로  악성코드를 다운로드 받을 경우엔  수많은 보안장비들의 방어체계가 일순간에 무력화되는 경우가 많기 때문에  공격자들은  사용자들이 호기심을 느끼게 하거나  신뢰할 만한 대상으로 인식하게 하여  악성코드를 자신도 모르는새에 다운로드 받도록 공격방법을 바꾸고 있지요...  

   이번에 발견된 구글 도메인 주소를 이용한 악성코드도 같은 맥락이라고 할 수 있습니다. 구글의 이름은 많은 사람들에게 신뢰를 주고 있는 점을 이용하여  구글 도메인을 연결해 이용자가 메일을 열어보도록 유도하고 있있다는 것입니다.   2010년 5월 4일경 구글 그룹(Google Groups) 도메인 주소를 악용한 악성코드가 이메일을 통해서 유포되는 것이 외국에서 처음 등장하였으며, 2010년 5월 7일 새벽에 해당 악성코드 이메일이 국내에도 유입된 것이 확인되었으므로, 컴퓨터 사용자들의 각별한 주의가 필요합니다.

  이번에 유포된 악성코드는 2010년 04월 초 보고되었던 사용자 계정 요청 메일(“수신자도메인” account notification)로 위장한 형태의 변종으로 당시에는 첨부파일 방식으로 악성코드를 유포시켰지만, 이번에는 구글 그룹(Google Groups) 도메인 주소의 링크를 이용한 방식 등으로 변경되었습니다. 악성코드 이메일은 수신자 도메인 계정을 제목과 본문 등에 삽입하여 사용자로 하여금 신뢰할 수 있도록 위장하였으며, 일반 기업과 같은 경우 기업 관리자 등에 의해서 발송된 정상적인 안내 메일로 착각할 수 있도록 제작되어 있습니다.

   특히, 메일 본문에는 사용자 계정이 다른 사람에 의해서 도용된 흔적이 발견된 것처럼 허위 보안 위협 내용을 언급하고, 수신자 계정이 일시 중단되어 있으니 링크되어 있는 파일을 실행하여 해결할 수 있도록 악성코드 감염을 유도합니다. 링크되어 있는 압축 파일 내부에는 “setup.exe” 라는 악성코드가 포함되어 있습니다. 압축된 파일을 해제하고, 내부에 포함되어 있는 setup.exe 파일을 실행하면 사용자의 컴퓨터는 악성코드에 감염되게 됩니다. 악성코드 (setup.exe)는 특정 웹 사이트 등으로 접속을 시도하며, 접속이 정상적으로 이루어지면 일명 “Desktop Security 2010” 이라는 이름의 허위 보안 제품을 사용자 몰래 설치합니다. 사용자의 동의 절차 없이 설치된 Desktop Security 2010 프로그램은 일종의 허위 보안 제품(Fake Anti-Virus)으로 마치 정상적인 Anti-Virus 제품처럼 사용자를 속이도록 제작되어 있습니다. 설치된 허위 보안 제품은 스스로 자동 검사를 진행하고, 존재하지 않는 악성코드를 가짜로 진단하면서 사용자에게 유료 결제를 진행하도록 권유하며, 결제를 진행할 경우 금전적인 피해를 입을 수 있습니다.

 ▶ 이메일을 통해서 유포되는 악성코드의 감염을 예방하기 위한 기본 보안 관리 수칙

1. 수상한 메일 열어보지 않기: 수상한 이메일을 수신할 경우 첨부 파일이나 링크를 함부로 실행하지 않는다.
2. OS보안패치 : 정기적으로 Microsoft 의 최신 서비스팩과 보안패치로 업데이트합니다.
3. 응용프로그램 최신 업데이트: Adobe Flash Player/ Reader, Office 등 최신으로 업데이트
4. 백신설치및 업데이트:  백신을 설치하고 항시 최신패턴을 유지하며, 실시간 감시 및 정기 검사를 진행한다.
5. 불법 소프트웨어 사용금지: 불법소프트웨어 다운로드하지않으며  유해 사이트등에 접근을 하지 않도록 한다
6. 패스워드 관리:  암호는 다른 사람이 추측하지 못하도록 복잡하게 설정하고 정기적으로 변경한다.
7. 속지 말자: 사회적인 관심사나 특정 이슈 내용에 현혹되어 수상한 프로그램을 무심코 실행하지 말자.
8. 설치된 프로그램 정리: 직접 설치하지 않았거나 증명되지 않은 프로그램의 경우 확인후 삭제하자

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안뉴스/바이러스 사회공학

원문참조: 보안뉴스 http://www.boannews.com/media/view.asp?idx=20469&kind=0

  스마트폰 안드로이드 IEMI 정보를 갈취하는 전문 악성 바이러스가 돌고 있어 이용자들의 주의가 요구됩니다.  IEMI는 ‘The International Mobile Equipment Identity’의 약자로 휴대폰의 고유 정보를 나타내는 번호입니다. 아이폰이 처음 국내 도입될 때도 이 IEMI정보가 외부로 보여진다는 우려의 목소리가 컸었습니다.  현재는 도청이나 복제 위험이 어느 정도의 보안 장치로 막혀 있다고 하지만 여전히 IEMI의 정보는 휴대폰의 도청과 복제를 가능하게 해주는 하나의 키가 될 수 있습니다.

 쉬프트웍스(http://www.shiftworks.co.kr/) 홍동철 개발팀장은 “이러한 IEMI정보를 통해 사용자를 인증하고 저장·수집하는 악성 어플리케이션이 발견되었으며   이는 스마트폰 보안에서 사실상 가장 우려가 되었던 문제이기도 하다”고 경고했습니다.  홍 팀장은 “사용자들은 이러한 어플리케이션을 반드시 가려서 사용해야 한다”고 덧붙였습니다.

  쉬프트웍스는 이 악성 어플리케이션들의 명칭을 ‘IMEI.ASH 시리즈’로 이름 붙였으며 이용자들의 사용주의를 당부했습니다.  쉬프트웍스 측은 “이미 증권사나 은행권등을 통해서 탑재되어있는 VGUARD를 사용하고 있는 이용자라면 자동업데이트로 해당 취약점 업데이트 후 치료가 가능하다”고 말했습니다.

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안뉴스/바이러스 IEMI유출

 원문참조:  보안뉴스: http://www.boannews.com/media/view.asp?idx=20298&kind=0

   마이크로소프트(MS)의 인터넷 익스플로러(IE) 취약점을 악용한 공격코드가 SQL 인젝션(SQL Injection) 공격에 숨겨져 유포되고 있어 주의가 요구된다. 네트워크 정보보안 전문기업 나우콤(대표 김대연)은 2008년 말 이슈가 되었던 다중(Mass) SQL 인젝션 공격을 발견해 분석한 결과 MS IE 7이하 버전의 취약점을 악용한 공격코드가 숨겨져 있었다며, 기업과 기관의 보안관리자 및 사용자의 각별한 주의가 필요하다고 6일 권고했다.

  이번 공격코드는 MS에서 관련 보안패치를 발표한 이후 바로 유포되고 있어, 아직 패치를 적용하지 못한 IE 7이하 사용자와 SQL 서버를 사용중인 기업 및 기관의 피해가 예상된다.  MS는 지난 3월 9일 이 취약점을 공개하고 3월 31일 긴급 보안패치 ‘MS10-018’을 발표한바 있다.

▶ MS 10-018 보기 http://www.microsoft.com/korea/technet/security/bulletin/ms10-018.mspx

  이 취약점은 IE의 ‘iepeers.dll’ 모듈에서 유효하지 않은 포인터를 참조하기 때문에 발생되며, 현재 공격자는 다중 SQL 인젝션 공격으로 웹사이트를 해킹하거나 링크가 포함된 스팸 메일을 불특정 다수에게 발송하여 공격코드를 유포하고 있다.  IE 사용자의 시스템에서 이 공격코드가 실행되면 사용자 동의없이 웜, 바이러스 등이 설치되어 개인정보가 유출되거나 DDoS(분산서비스거부공격)의 좀비PC로 악용될 수 있어 각별한 주의가 필요하다.

  이에 손동식 나우콤 침해사고대응총괄 이사는 “IE 7이하 버전의 사용자는 이 취약점에 노출되기 때문에 해당 보안패치를 실행해 취약점을 제거하고, SQL 서버를 사용 중인 기업 및 기관의 보안관리자는 운용중인 보안제품에서 차단 시그니처를 적용해 차단정책을 실행해야 한다”고 말했다. 한편 나우콤은 자사의 보안제품 ‘스나이퍼(SNIPER)’를 이용 중인 기업 및 기관은 위협예경보서비스 ‘시큐어캐스트(securecast.co.kr)’에서 엔진 업데이트를 통해 이 취약점의 차단 시그니처를 적용해 대응할 수 있다고 설명하는 한편 관련정보 및 분석보고서는 ‘시큐어캐스트’와 아이폰 앱 ‘아이시큐어캐스트’에서 확인할 수 있다고 전했다.

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안뉴스/바이러스 ie취약점공격