본문 바로가기

Security_News/국내보안소식

고속버스터미널 악성코드 분석 2014/04/25 PM 10:00(?)~11:30분경 고속버스터미널 악성코드 유포지 HOST : 121.138.1x4.2xx ISP : KT (KORNET) File : Google_Play.APK 공격 대상 - 농협 - KB국민은행 - IBK기업은행 - 하나은행 - 신한은행 특이점 [1] 스미싱으로만 유포되던 공인인증서 탈취형 악성코드가 웹사이트를 통해 유포됨. [2] APK(.zip)내의 파일헤더들이 모두 망가져있다. 즉, 악성코드를 내려받아 실행하여도 정상 작동 하지 않는 것으로 추정됨. 더보기
서울고속버스터미널 파밍 서울고속버스터미널 홈페이지에서 파밍형 악성코드 유포중입니다. 스마트폰 사용자 대상이며 악성앱명은 Google_Play.APK 입니다. 절대 주의 바랍니다. 더보기
광고 프로그램 위장 백도어 악성코드 유포 확산...주의 현재 감염 시스템 확장 위해 악성코드 활발히 유포중최근 광고 프로그램 등으로 위장해 시스템에 설치되는 백도어가 발견되었다. 해당 백도어가 시스템에 감염되면 공격자 파일 서버에 주기적으로 파일 다운로드를 요청해 추가 공격이 이루어지는 형태다. 이용자들의 각별한 주의가 요구된다. 해당 백도어를 발견하고 상세 리포트를 공개한 NSHC(대표 허영일) RedAlert팀은 “현재까지 추가 공격을 위한 파일 다운로드는 진행되지 않으나 공격자의 파일 서버의 파일 목록이 지속적으로 업데이트 되고 있다”며 “감염이 의심되는 시스템에서는 대응방안에 따른 조치와 백신을 통한 치료가 필요하다”고 강조했다. 보고서에는 악성코드 감염시 접속하는 파일 서버 정보와 경유 서버에 업로드되어 있는 파일 리스트, 악성코드 동작 방식 등 상.. 더보기
어학원·게임·쇼핑몰·대형 유통업체 사이트에 악성링크 포함 이번주 유명 제약 사이트 통해 레드킷 다시 등장” 지난주 활발했던 악성링크의 활동은 이번주도 계속 이어지고 있다. 신규 경유지와 파급력 수치는 지난주에 비해 증가했다. 빛스캔(대표 문일준)은 주간 보고서를 공개하고 “특히 일부 발견된 악성링크는 기존 활용됐던 다단계유포망과 결합해 위협을 주고 있으며 유포에 활용된 사이트는 어학원을 비롯해 게임관련 사이트, 쇼핑몰, 대형 유통업체 등이 포함됐다”며 “또 일부 악성링크 중에는 지난 3월 등장했던 모바일 OS를 대상으로 하는 스크립트가 공다팩을 통해 다시 등장했다”고 설명했다. 또한 “레드킷은 그 동안 해외에서 주로 활동을 보였으며 국내로 유입은 일부 있었지만 대부분 영향력이 없거나 정상적인 동작이 이루어지지 않은 준비과정에서 나타났다”며 “이번주에는 유명 제.. 더보기
3월, 악성코드 은닉사이트 55만8천여 건 탐지돼 빛스캔 “3월 등장한 신규 악성링크는 2만477건”3월, 발견된 신규 악성코드 유포 사이트는 3월 1주 148건, 2주 81건, 3주 123건, 4주 160건으로 총 512건이 집계됐다. 매주 평균 약 128건의 신규 악성코드 경유지가 발생하고 있다. 빛스캔(대표 문일준) 측은 2014년 3월 월간 위협 분석 보고서를 발표하고 “3월 악성코드 은닉 사이트는 총 55만7천930건 탐지됐으며 지속적으로 유포지의 증가와 감소가 반복됐다”며 “1월부터 나타난 레드킷의 활동은 여전히 활발한 활동을 이어갔지만 주로 해외에서 활동해 국내에는 큰 영향을 미치지 않았지만 예의 주시해야 한다”고 진단했다. 또 “3월 등장한 신규 악성링크는 2만477건이었으며 이중 한국에 직접적인 영향을 미친 주요 국내 경유지를 활용하는 .. 더보기
내 PC, 68개 클라우드 백신으로 쉽게 점검해 보자 별도 비용 없이 윈도우PC에서 여러 백신SW 탐지 결과 손쉽게 체크 가능해대부분 자신의 desktop에 1개 이상의 백신SW를 설치하여 운영하고 있지만, 하루에 새롭게 생성되는 악성코드의 수가 수 만개에서 수 십만 개 수준이다 보니 하나의 백신SW가 탐지할 수 있는 수준에 한계가 있고, 설사 1개 백신에서 탐지되지 않았다 하더라도 안심할 수 없는 경우가 많다. 이에 별도의 비용 없이도 윈도우PC환경에서 여러 백신SW의 탐지 결과를 손쉽게 체크할 수 있는 유용한 프로그램이 있어 소개하고자 한다. # herdprotect :: http://www.herdprotect.com/ herd는 군중, 떼라는 의미로서, Ahnlab,알약,F-Secure,Kaspersky,Sophos,Symantec,Hauri등 현존.. 더보기
국내을 대상으로 엄청난 규모 파밍 악성코드 감염 경고 2014년 4월 24일 오후 5:40분 국내를 대상으로 엄청난 규모의 파밍 악성코드를 감염 시키고, 감염된 좀비PC를 대량으로 관리하고 있는 공격자 거점 확보. 상세한 내용은 현재 분석 중입니다만 .. 이미 파밍 악성코드 (백도어 기능 기본)에 감염된 PC들 상당수를 중앙에서 관리하는 것을 볼 수 있습니다. 총 감염댓수는 파악불가. 운영체제별 혹은 영역별로 선택하여 , 대규모 재부팅, 제거, 심기 등을 버튼 하나로 실행하는 관리 도구 발견된 상태입니다. 국내에 심각한 피해를 입히는 조직에서 사용 중인 상태이며, 서버의 위치는 미국입니다. 지난해 8월에 이어서 두 번째이며, 현재도 친절하게(?) 관리되고 있는 다수의 한국내 좀비 PC를 확인 할 수 있는 상태입니다. 추가 내용은 향후 계속 갱신토록 하겠습니다. 더보기
국내 대형 항공사 쿠키 암호화 취약점...개인정보 유출 위험 암호화 방식 쉽게 풀 수 있어 어떠한 아이디로도 로그인 가능한 상황국내 최대 항공사 웹사이트와 모바일 웹에서 쿠키 암호화 취약점이 발견됐다. 이를 통해 사이트 가입회원들의 개인정보 유출 우려가 커 관련 기업의 신속한 보안조치가 필요한 상황이다. 해당 항공사 취약점을 발견하고 상세한 취약점 내용을 데일리시큐에 제보한 김상원(NTSpot 소속) 씨는 “지난 17일 해당 취약점을 발견했다. 로그인 방식이 세션 인증 방식이 아닌 암호화된 쿠키를 이용한 인증방식을 사용하고 있다. 하지만 그 암호화 방식을 쉽게 풀 수 있어 어떠한 아이디로도 로그인이 가능한 상황”이라고 우려했다. 또 그는 “글로벌 버전으로 회원정보 변경시에도 비밀번호를 인증하는 부분과 회원정보페이지에 비밀번호를 GET으로 처리하고 있어 로그파일에 .. 더보기
앱 하나로 금융 정보 쓸어가는 ‘뉴밴’ 주의 국내 금융사 서비스 사칭, 하나의 앱에 모아 금융정보 탈취 시도 [보안뉴스 김경애] 최근 국내 주요 은행, 증권사 및 카드사의 금융 서비스를 하나의 앱에서 서비스하는 것처럼 사용자를 속여 금융정보 탈취를 노리는 악성 앱 ‘뉴밴(New ban)’이 발견돼 주의가 요구된다. ▲악성앱 설치 화면 이와 관련 안랩 측은 “기존에 발견된 뱅킹 관련 악성 앱은 특정 금융사를 사칭해 정상 앱을 삭제하고, 악성 앱을 설치하도록 유도하는 형태가 많았지만 이번에 발견된 ‘뉴밴’은 국내 대부분의 주요 금융사 서비스를 사칭한 페이지를 하나의 앱에 모아 놓은 것이 특징”이라고 밝혔다. 해당 앱에는 20개 은행, 21개 증권사, 10개 카드사의 실명을 사용한 가짜 서비스 페이지가 있고, 각 페이지에는 계좌정보 및 비밀번호, 카드번.. 더보기
구글 검색만으로 관리자 페이지 노출 ‘수두룩’ 인증 없이 관리자 권한 획득...정보유출·악성코드 유포 위험 [보안뉴스 김태형] 국내 다수 웹사이트가 구글 검색만으로 관리자 페이지가 노출되는 취약점을 가지고 있어 이용자들의 주의가 필요하다. 이러한 취약점은 구글 검색만으로 웹페이지 회원들의 민감한 개인정보에 접근이 가능하고 관리자의 권한을 이용해 악성코드를 심어놓는 등의 2차 피해가 발생할 수 있다. 이번 취약점은 육군 정보보호기술병으로 알게 돼 현재 보안연구그룹 ‘1713.C9’로 함께 활동하고 이수민, 오민택, 안병우 씨 등이 본지에 제보해 알려졌다. 이는 구글 검색으로 관리자 페이지가 노출되는 것과 함께 웹페이지 접근 시 인증과정이 아예 없거나 쉽게 우회가 가능하다는 것이 원인으로 파악된다. 아울러 ****로 표시해 놓았다고 해도 크롬의 요소검사.. 더보기

티스토리툴바