Test the Bitdefender products

이동

사이버 공격의 70%는 웹사이트를 해킹하여 두 번째 피해자를 목표로 하다

2015-06-08
사이버 공격의 거의 70%는 두 번째 피해자를 목표로 하지 해킹된 웹사이트의 소유주를 목표로 하지 않습니다. (통신회사 베리존의 연간 보고서인, 2015 데이터 누출 조사보고서)

사이버 공격의 70%는 웹사이트를 해킹하여 두 번째 피해자를 목표로 하다

2015-06-08

사이버 공격의 거의 70%는 두 번째 피해자를 목표로 하지 해킹된 웹사이트의 소유주를 목표로 하지 않습니다. (통신회사 베리존의 연간 보고서인, 2015 데이터 누출 조사보고서)





해커들은 웹사이트를 해킹한 다음 방문자들에게 멀웨어를 제공하면서 그들의 진짜 목표물이 감염되기를 기다립니다.

해커들은 웹사이트의 소유주에게는 관심이 없으며 소유주를 이용해 진짜 공격을 하고 복잡하게 만들어 데이터 누출을 하려고 한다고 이 보고서는 언급하고 있습니다.

스파이 행위를 기획해서 하는 것이 아니라 우발적으로 감염된 서버로부터 시작하게 된 대부분의 공격들은DoS 공격에 참여하거나 멀웨어를 공급하거나 또는 피싱 사이트로 다시 이용되거나 하게 됩니다.

데이터 누출을 조사하는 베리존 RISK팀의 대표 브라이언 사틴의 말을 인용한 월스트리트 저널 블로그에 따르면 보안에 관해 잘 알고 있으며 교육도 받지만 피싱 이메일을 받은 사람 중 23%가 여전히 이메일을 열어보며” 11%가 첨부를 클릭한다고 합니다. 이 보고서에 따르면, 피싱 수법이 일단 먹히기만 하면 회사의 외곽 방어막을 우회하는 데는 채 몇 분이 걸리지 않는다고 합니다.

이 보고서는 2,100개의 확인된 데이터 누출 건과 대략 80,000 개의 보안 사고를 분석했습니다. 이 보고서가 다룬 내용들은 10여 년 동안 발생한 8,000 건의 데이터 누출과 거의 195,000 건에 달하는 보안 사고였습니다.







Close
read more

중국, Denial of Service 공격의 최대 공급원으로 미국을 따라잡다

2015-06-05
State of Internet의 2015년 1분기 자료에 의하면, 중국이 DDoS 공격의 최대 진원지로 떠올랐습니다. 다음으로 많은 나라가 독일이며 그 다음은 미국이었습니다. (클라우드 서비스 제공업체 Akamai의 보안 보고서)

중국, Denial of Service 공격의 최대 공급원으로 미국을 따라잡다

2015-06-05

State of Internet 2015 1분기 자료에 의하면, 중국이 DDoS 공격의 최대 진원지로 떠올랐습니다. 다음으로 많은 나라가 독일이며 그 다음은 미국이었습니다. (클라우드 서비스 제공업체 Akamai의 보안 보고서)





중국이 전세계 DDoS 공격의 23.45%를 차지하고 있습니다. 인터넷으로 연결된 호스트의 서비스를 방해하여 사용자에 대해 서버가 역할을 하지 못하도록 하는 악의적인 시도인 DDoS 공격은 17.39%가 독일로부터 12.18%가 미국으로부터 발생하고 있습니다. 연구원들에 의하면 아시아로부터의 리다이렉션 트래픽의 증가 때문이라도 하더라도, 중국발 DDoS는 공격하는 진원지의 IP 숫자에서 미국에 비해 66%가 증가했습니다.

2014 4분기에는 DDoS 공격 진원지의 32%가 미국이었고 중국은 18%였습니다. 이들 나라로부터의 공격 점유율이 떨어졌다고 해서 공격이 감소했다고 의미는 아니고, 전세계적으로 DDoS 공격이 만연한 상황에서 각 나라가 차지하는 비율만이 변했다는 의미입니다.

DDoS 공격은 매분기마다 117%가 증가했으며 분기대비 35%기 증가했습니다. 보고서에 따르면, Prolexic 네트워크를 통해 분석해본 결과, 이번 분기가 DDoS 공격의 최고 기록이었으며 공격 지속시간은 2014 1분기에 비해 43%가 더 길어졌습니다.

웹 애플리케이션 공격의 진원지 국가들 순위에서 미국은 공격 IP 진원지의 52%를 차지해 1위를 차지했으며 그 다음은 11%로 중국이, 다음은 6%로 브라질이 차지했습니다.

소매, 언론/연예 그리고 호텔/여행업이 2015 1분기 웹 애플리케이션 공격의 주요한 목표 산업이었습니다. 이것은 이전에 금융서비스 업계에 대한 공격 때문에 보안 정책을 강화한 결과입니다. 반면, 소매업과 언론계에 대한 공격과 2014년의 누출 행위들은 이 산업 분야가 더 연약한 목표라는 신호를 주어 해커들로 하여금 취약한 부분을 더듬어보게 만들었습니다.

hotforsecurity.com의 보도에 의하면, 지난 주에 중국 정부는 미국과의 사이버 대결의 일환으로 5개년 사이버 보안 프로그램을 도입한다고 발표했습니다.

 

 





Close
read more

Google Play에 이전 보다 훨씬 공격적인 새로운 안드로이드 애드웨어 등장

2015-07-06
비트디펜더가 Google Play에서 공격적인 애드웨어를 장착한 앱 10개를 발견했는데 이 애드웨어들은 스케어웨어 메시지를 이용하여 프리미엄 번호에 사용자를 가입시키거나 훨씬 더 많은 광고를 집어넣은 추가 앱들을 설치하도록 합니다.

Google Play에 이전 보다 훨씬 공격적인 새로운 안드로이드 애드웨어 등장

2015-07-06

비트디펜더가 Google Play에서 공격적인 애드웨어를 장착한 앱 10개를 발견했는데 이 애드웨어들은 스케어웨어 메시지를 이용하여 프리미엄 번호에 사용자를 가입시키거나 훨씬 더 많은 광고를 집어넣은 추가 앱들을 설치하도록 합니다.

이런 앱들(“What is my ip?”) 앱을 포함해 아직도Google Play에 올라와 있음)은 한 번 설치가 되면 사용자가 찾아내서 삭제하기 무척 어렵게 하도록 다른 이름을 사용하도록 설계되었습니다.

설치되고 나면, “System Manager”라는 바로가기를 만듭니다. 브라우저가 다른 데로 가버리고 스케어웨어 메시지의 원인이 이런 종류의 앱이라는 것을 알아챈다 하더라도 Application Manager 메뉴에서 찾아서 삭제하는 것이 쉽지 않은데 이상한 새로운 이름으로 숨어 있지 예를 들면, “What is my ip?” 이렇게는 숨어 있지 않기 때문입니다. IT 기술 지식이 적은 사람이라면 지쳐 나가떨어질 것이고 앱은 계속 남아서 영원히 작동할 것입니다.





이런 앱들이 구글의 검열에서 벗어나는 이유는 아마 사용자들을 다른 데로 보내는데 사용하는 URL이 악성 .apk 파일을 퍼뜨리지 않기 때문일 겁니다. 이 앱들의 목적은 브라우저(안드로이드 네이티브 브라우저, 크롬, 파이어팍스, 페이스북 또는 타이니브라우저)에서 특별히 만들어진 URL로 보내서 이 광고 사이트에서 또 다른 광고 사이트로 사용자들을 계속 옮겨 다니게 하는 것입니다.





프리미엄 번호에 가입하게(보안을 강화하기 위한 목적으로 위장하여) 하거나 아니면 시스템이나 성능 업데이트를 가장하여 더 많은 애드웨어를 설치하도록 속임수를 쓰는 지극히 사용자 지역에 맞는 광고를 보여주는 웹페이지(http://www.mobilsitelerim.com/anasayfa)로 사용자를 리다이렉션 시킵니다.






이런 악의적인 앱들은 두 가지 승인(네트워크 통신과 시스템 툴)을 필요로 하지만 여전히 골칫거리이며 사용자들을 유혹해 디바이스-잠금 앱과 애드웨어를 다운로드하게 합니다.

그 자체가 악의적인 것은 아닐지라도 제 3자에게 민감한 사용자 정보를 공개함으로써 컴퓨터에서 발견되는 공격적인 애드웨어와 닮아 있습니다. 팝업, 리다이렉션 광고를 막는 것은 사용자들을 짜증나게 하고 안드로 이드 기기의 성능에 심각한 손상을 줍니다.





지난 수 년간 앱속의 광고와 애드웨어 SDK에서 시작해 브라우저 리다이렉션과 합법적인 이름을 가장하고 스타트업에서 은밀하게 동작하는 앱으로까지 공격적인 애드웨어는 위험한 속도로 발전해 왔습니다.

이 글을 쓰는 순간에도 일부 앱들은 여전히Google Play에 올라와 있습니다. 우리가 탐지한 것으로Android.Trojan.HiddenApp.E이 있습니다. 그래서 여러분 모두에게 강력히 권하는데 보안솔루션을 설치해서 멀웨어와 공격적인 애드웨어를 탐지해내고 여러분의 안드로이드 기기에서 퇴출시키도록 하십시오.

Samples md5:

f2d57300d5f991dbc965ac092d5f4301 - com.alm.alm
c1d7afa5c4eb0b8e3c0292eadf98771e - com.tr.dum.dum
16967bea7d3dcb08c12220925ef6f030 - com.est.hk
cb9d3ff0eea162dd602eefe7b08ded49 - com.est.esteban
dbc99ba3241f943cc9e58870f0e40b34 - com.brer.brer
51bc232de9af3f34a58d824da86a70bc - com.tr.ipp
996c4a1525729466d87edf85cbbdf5de - com.who.myip.detect
6f37bd3c286440e37103ee8b67aca7d6 - com.tf.fed
47b863625a8022399247fc92c4d5d178 - com.esc.escd
e1ccb51569635415e66af16cbdd94ddc - com.esc.escde

이 글은 비트디펜더 연구원인 알린 바바타이의 기술 문서에 근거해 작성되었습니다

 





Close
read more

Ransomware 피해를 방지하는 방법 Ransomware에 대한 이해 - 3부

2015-06-09
지금까지 랜섬웨어로부터 탈출할 수 있는 방법은 없습니다. 특히나 모바일 기기를 대상으로 하는 스마트폰 또는 태블릿 PC를 외부에서 잠궈 버리는 위협처럼 말이죠. Koler를 기억하시나요? 불행하게도 공격자와 복잡한 감염 워크플로우 간의 암호와 통신 방식은 기존 보안 솔루션의 전통적인 탐지 기법으로는 랜섬웨어 공격에 대한 차단을 어렵게 만들고 있습니다.

Ransomware 피해를 방지하는 방법 Ransomware에 대한 이해 - 3부

2015-06-09

지금까지 랜섬웨어로부터 탈출할 있는 방법은 없습니다. 특히나 모바일 기기를 대상으로 하는 스마트폰 또는 태블릿 PC 외부에서 잠궈 버리는 위협처럼 말이죠. Koler 기억하시나요? 불행하게도 공격자와 복잡한 감염 워크플로우 간의 암호와 통신 방식은 기존 보안 솔루션의 전통적인 탐지 기법으로는 랜섬웨어 공격에 대한 차단을 어렵게 만들고 있습니다

감염을 방지하는 방법

사용자가 몸값을 지불하지 않고 암호 해독 검색을 방지하는 기술적 제한으로 인해, 랜섬웨어의 영향으로부터 벗어날 있는 가장 좋은 방법은 처음부터 감염되지 않는 입니다.



 

사용자 권고사항

1. 클라우드 또는 외부 저장 장치를 통해 정기적으로 데이터를 백업하시기 바랍니다. 백업은 PC내의 다른 파티션에 해서는 안되며, 백업이 진행되는 시간 동안만 외장하드나 USB등 외부저장 장치를 PC 연결할 것을 권장합니다.





2.
UAC 기능을 활성화 하십시오. UAC 관리자 권한이 필요한 상황이 발생할 사용자에게 알려줍니다.




3. 안티 익스플로잇 기능이 포함된 안티 멀웨어 솔루션 사용을 권장하며, 최신 업데이트를 유지하고 안티 멀웨어 안티 스팸 모듈의 실시간 감시 기능을 활성화 하십시오. 정기적인 업데이트가 사용자 PC 보안 환경을 최적화 해주지는 않습니다.   

4. 모바일 기기 보안 환경에 익숙치 않다면, 신뢰할 없는 스토어 또는 마켓에서는 어플리케이션들을 다운로드 하지 마십시오. 신뢰할 있는 마켓을 통해서만 모바일 위협을 방지할 있는 솔루션을 다운로드 하고 설치하시기 바랍니다.

5.
인터넷 사용의 좋은 사례를 따르십시오. 의심스러운 사이트 방문하지 않기, 불확실한 출처의 이메일 첨부파일 또는 링크 클릭하지 않기, 브라우저 확장 기능 자바스크립트 실행이 되도록 설정해두는 것이 좋습니다.

6.
악성 광고 노출을 줄이기 위해 온라인 광고 차단 툴을 사용하고 활성화하십시오.

7. 악의적인 코드가 담긴 이메일 수신을 줄이기 위해 스팸 필터링을 활성화 하십시오.

8. 가능하면 플래쉬 동작을 완전히 비활성화하거나 가상화 환경을 사용하시기 바랍니다. 플래쉬는 지금까지 랜섬웨어의 감염 벡터로 반복되어 사용됐습니다. 부득이 사용해야 한다면, 최신 버전으로 업데이트하시기 바랍니다. 특히 최근 유행하고 있는 CryptXXX의 경우, 플래쉬 플레이어의 취약점을 이용하므로 반드시 최신 버전으로 업데이트하시기 바랍니다.

9. 브라우저의 보안 설정 레벨을 높게 하여 온라인의 보호 수준을 증가시키십시오.

10. 윈도우 운영체제 취약한 소프트웨어, 특히 브라우저 브라우저 플러그인 관련 보안 패치 상태를 최신으로 업데이트하고 유지하시기 바랍니다. 익스플로잇 킷은 이런 컴포넌트의 취약점을 악용하여 자동으로 악성코드가 설치되도록 유도합니다.
 
랜섬웨어는 기업의 성장에 악영향을 미치며, 특히 BYOD/BYOA 트렌드에 따라 직원들이 때로는 회사의 악영향을 주는 링크 역할을 하기도 합니다. 하지만, 그들을 의심하기 보단 회사에서 있는 필요한 모든 보안 조치를 취해야합니다. 만약 당신이 IT팀의 보안 정책을 총괄할 있는 의사결정권이 있는 책임자라면 다음의 사항들을 고려할 필요가 있습니다.

회사 차원에서의 권고 사항

1.     사회 공학적 기법 스피어 피싱 이메일 사례 등을 통해 올바른 컴퓨터 사용법을 직원들에게 교육합니다.

2.     엔드포인트 보안 솔루션을 설치하고 고급화된 정책 유지보수를 수행합니다.

3.     특정 위치로부터 실행되는 프로그램을 차단하고 소프트웨어 제한 정책을 사용합니다.

4.     방화벽 사용을 통해 공개해서는 안되는 서비스들이  인터넷에서 들어오는 모든 연결을 차단합니다.

5.     사용자가 작업을 완료하는데 필요한 권한이 최저 수준인지 확인하고 관리자 패스워드 또는 UAC 권한 요청이 있을때 관리자 레벨에서 실행되어야 하는 합법적인 응용 프로그램인지 확인합니다.

6.     시스템 복원 기능이 활성화 되어 있는 경우 바이러스로 탐지되어 제거된 파일이 암호화 되기 이전의 파일로 복원될 수도 있습니다.


그래도
만약에 감여 되었다면

절대 몸값을 지불하지 마십시오. 비용 지불로 당신은 사이버 범죄를 지원하는 것이 수도 있습니다.

랜섬웨어 피해가 의심되지만 랜섬웨어의 몸값 지불 화면을 보지 못했다면 네트워크 연결을 분리하시기 바랍니다. 기기를 셧다운하고 안전모드로 재부팅하여 암호화 프로세스를 찾아 삭제하는 것은 좋은 방법이 수도 있습니다. 특정 위협을 대상으로 보안 회사에서 무료로 배포하는 랜섬웨어 제거 도구 (the removal tools) 대한 검색도 잊지 마시기 바랍니다.  

비트디펜더 안티 랜섬웨어
(무료:최근 유행하는 랜섬웨어로부터 보호합니다. 다른 백신 솔루션과 함께 설치가 가능합니다)

다운로드 링크 : http://download.bitdefender.com/am/cw/BDAntiRansomwareSetup.exe 







Close
read more

Ransomware는 어떻게 작동하는가? Ransomware에 대한 이해 - 2부

2015-05-28
Ransomware가 무엇인지에 대해 알아봤으니 이제는 그것이 어떻게 퍼지고 컴퓨터를 감염시키게 되는지 보도록 하겠습니다.

Ransomware는 어떻게 작동하는가? Ransomware에 대한 이해 - 2부

2015-05-28

어떻게 시스템 안으로 들어가는가?

일반적인 침투 방법은 아래와 같습니다.

·         스팸, 사회공학적 방법

·         직접적인drive-by-download 또는 악성 광고(배너 등)

·         멀웨어 설치 도구, botnets

몇 년 전에 처음 ransomware라는 것이 나타났을 때는 사용자들이 멀웨어가 포함된 이메일 첨부를 열거나, 속임수 이메일이나 팝업 창을 통해 감염된 사이트로 이동하면서 컴퓨터들이 대부분 감염됐었습니다. 최근 변종들의 payload는 이미지 형태를 띄고 이동식 USB 드라이브나 야후 메신저 등을 통해 퍼져나가는 것이 목격되었습니다.





CTB Locker ransomware는 공격적인 스팸 활동을 통해 피해자들을 양산하면서 언론에 자주 등장하고 있습니다. 이메일은 첨부에 .zip 아카이브를 동반한 팩스 메시지 형태를 하고 있습니다. 그리고, 첨부의 zip 파일 안에 있는 실행 파일에 접근하게 되면 시스템 안에 있는 데이터가 암호화되고 피해자는 해독키를 받으려면 돈을 내라는 요청을 받게 됩니다.

하지만 최근의 변종들은 사람의 행위가 없어도 전파하도록 재설계될 수 있습니다. 최근 소위 “drive-by” ransomware가 개입된 수많은 사건들을 보게 되었는데 drive-by 다운로드 공격은 감염된 사이트나 악성 광고를 통해 시작해 보통은 Flash Player, Java, Adobe Reader 또는 Silverlight같은 브라우저 플러그인의 취약점을 파고 듭니다. 이런 공격에 사용되는 도구들은 권한 상승을 받을 수 있는 기능들이 있는데 이러한 권한 상승을 통해 공격자들은 권한이 제한적인 피해자의 사용자 계정을 사용하는 대신 어드민이나 시스템 수준의 권한을 가지고 멀웨어 프로그램을 실행하게 되는 겁니다.

수법

각각의 ransomware 변종들은 서로 다르게 작동하도록 설계될 수 있습니다. 하지만, 전통적인 안티바이러스 탐지를 피하기 위해 공통적으로 복잡한 난독화, 은밀한 설치 기재를 공통적으로 가지고 있습니다. 이것이 의미하는 바는 멀웨어는 숨어 있기를 바라며 그렇기 때문에 모호한 파일이름, 속성 변조, 합법적 프로그램이나 서비스를 핑계삼아 동작하는 등 탐지와 분석을 회피하는 기술을 사용한다는 겁니다. 멀웨어는 코드 난독화 같은 분석 방어 기법을 통해 데이터를 해독하기 불가능하게 제작되어 리버스 엔지니어링을 하기가 무척 어렵게 되어 있습니다.





Ransomware의 통신 프로토콜이 평이한 텍스트(HTTP)에서 Tor HTTPS로 발전하면서 C&C 서버로의 호출을 암호화하기 때문에 네트워크 트래픽 모니터링을 통해서는 추적하기가 불가능해졌다는 것도 덧붙여 언급해야 할 필요가 있습니다. 파일 암호화는 짧은 키나 하드코드 키를 사용하는 대신 강력한 비대칭 암호기술을 발휘하는 crypto-library를 사용하도록 새로워 졌습니다. Cryptolocker Cryptowall 같은 이전의 샘플들은, 예를 들면, 서버를 먼저 접속하고 그 다음에 암호화를 진행했었습니다.

Ransomware가 어떻게 동작하는지 더 자세히 알기 위해 Cryptolocker를 들여다보도록 하겠습니다. Cryptolocker ransomwareZbot 변종(악성 행위를 실행하도록 사용되는 트로이잔)에 의해 설치됩니다. 설치 후에는 랜덤 이름으로 Startup에 들어가 command and control 서버와 교신을 시도합니다. 그것이 성공하면, 서버는 공용키와 거기에 상응하는 비트코인 주소를 보내줍니다. 비대칭암호화(공용키는 암호화를 하고 개인키는 해독을 함)를 이용하여 Cryptolocker는 피해자 컴퓨터에 존재하는 70여 종 이상의 파일을 암호화하기 시작합니다.





여기에 암호화가 어떻게 진행되는지 간단히 보여드리겠습니다:





그렇지만, 사용자의 홈 화면에는, 보통 사용자에게 맞춤 형태로, 수많은 메시지와 지시사항들이 보여지게 됩니다.





감염 피해자들은 자신들의 서버에 보관된 개인키를 받기 위해서 돈을 내야 하는데 그 키 없이는 해독이 불가능합니다. 몸값이 지불되면 해독이 시작되고 지불 확인 화면이 나타납니다. 해독이 끝나면 Cryptolocker은 삭제됩니다.

주의: 해커의 말을 믿지 마십시오. 돈을 낸다고 파일이 복구된다는 보장은 없습니다.

피해자들은 누구인가?

Ransomware가 가정용 컴퓨터만을 타겟팅하여 노리지는 않습니다. 기업, 금융단체, 정부기관, 교육기관과 여타 단체들이 ransomware에 감염된 사례가 많이 있습니다. 이런 일들은 민감한 단체 소유의 정보들을 파괴하고, 일상 업무를 어렵게 만들며 재정적 손실도 물론 일으킵니다. 단체나 기관의 명성에도 치명적일뿐 아니라, 해커들은 정해진 목표의 파일, 데이터베이스, CAD 파일, 금융 정보 까지도 노립니다. Cryptolocker는 예를 들면, .doc, .img, .av, .src, .cad 등을 포함한 70여 가지 이상의 확장명을 목표로 사용되었습니다. .

비트디펜더의 수석 보안전략관인 카탈린 코소이에 따르면, “성능이 엄청나게 향상되고 있으며 피해자들로부터 돈을 뜯어내는 데 전례없는 성공을 거두고 있는 ransomware는 사용자와 안티멀웨어 벤더 모두에게 심각한 위협이라고 합니다.

계속해서 3부에서는 랜섬웨어 예방법에 대해 알아보도록 하겠습니다.


Close
read more