포르노랜섬, 먹튀랜섬 등장에다 랜섬웨어로 억대 벌어들인 국내 해커까지 등장
프록시 자동 설정 활용하는 파밍 공격 출현... 네이버 계정 탈취 시도 다시 발견
[보안뉴스 권 준] 지난해부터 올해 상반기까지 최대 보안이슈가 되고 있는 랜섬웨어 악성코드의 유형과 범죄수법이 끝이 안 보일 정도로 진화를 거듭하고 있다. 감염시 포르노 화면을 띄우는 포르노 랜섬웨어에서부터 랜섬웨어를 유포시킨 후 비트코인만 받고 사라진다는 일명 먹튀(?) 랜섬을 모의하고 있는 국내 해커들까지 등장하고 있는 상황이다. 이와 함께 최근 국내에서 프록시 자동 설정 기능을 활용하는 파밍 공격이 발견됐고, 네이버 계정 탈취를 위한 공격시도도 새롭게 포착되는 등 인터넷 상의 보안위협이 점차 높아지고 있다.
별의별 랜섬웨어가 다 있다...포르노랜섬 출현과 먹튀랜섬 시도까지
최근 랜섬웨어 악성코드와 범죄자들의 동향을 추적·분석하고 있는 하우리 최상명 CERT실장에 따르면 감염되면 암호화한 파일 확장자에 .porno를 붙이고 감염 알림창에는 포르노 영상 화면을 띄우는 포르노 랜섬웨어에 이어 암호화한 파일 확장자를 .RSNSlocked로 변경하는 신규 랜섬웨어 SNSLocker가 등장했다.
▲ 최근 등장한 포르노 랜섬웨어(자료: 하우리 최상명 CERT실장)
또한, 근래 블랙마켓에서는 랜섬웨어를 유포한 다음에 비트코인을 지불해도 파일을 복구해주지 않고, 먹튀 하기 위해 동업자들을 모집하는 국내 해커들의 움직임이 포착되기도 했다. 이러한 경우 돈을 내도 복구될 수 없도록 설계된다면 해당 자료는 영원히 복구할 수 없다며, 정기적인 백업과 애초 감염되지 않도록 예방만이 최선이라고 최 실장은 당부했다.
이 뿐만 아니다. 얼마 전에는 크립토락커 랜섬웨어로 약 2억 5천만 원을 벌어들였다는 국내 해커가 자신의 비트코인 지갑 현황을 공개해 화제가 되기도 했고, 테슬라크립트(TeslaCrypt) 랜섬웨어는 제작자가 갑자기 활동 중단을 알리며, 마스터키를 공개하는 일까지 발생했다.
국내에서의 랜섬웨어 위험성과 관련해 최상명 실장은 “최근 우리나라에 가장 많은 영향을 미치는 랜섬웨어 3종은 바로 Cerber, CryptXXX, 록키(Locky)”라며, “이들 랜섬웨어는 주로 웹을 통한 드라이브-바이-다운로드, 이메일 첨부파일 실행 방식으로 감염되기 때문에 각별한 주의가 필요하다”고 말했다.
네이버 계정 탈취 시도 다시 발견, 워드프레스 기반 홈피 보안위험도 지적
이와 함께 지난 주에는 한동안 조용하던 네이버 계정 탈취를 위한 악성행위가 다시 확인된 것으로 드러났다.
특정 방송사의 라디오 홈페이지에서 확인된 이번 공격 시도는 레퍼런스 값을 확인한 후, 가짜 네이버 로그인 계정정보 입력을 유도했던 과거와 달리 해당 홈페이지 로그인 버튼을 클릭할 경우 계정 입력 유도창이 열리는 것으로 분석됐다.
이와 관련 제로서트 측은 “무심코 해당 홈페이지 계정 정보나 네이버 계정 정보를 입력할 수 있으므로 주의해야 한다”며, “만약 네이버 로그인 창이 뜬다면 주소창에 정확한 네이버 주소인지와 함께 초록색으로 뜨는지 반드시 확인해야 한다”고 밝혔다.
또한, 최근에 공개 홈페이지 관리 툴인 워드프레스 기반의 홈페이지를 대상으로 한 악성 URL 삽입이 계속 확인되고 있다며 주의를 당부했다.
CK VIP 익스플로잇 킷 악용한 파밍 공격, 여전히 기승
한편, 보안전문업체 에프원시큐리티에 따르면 지난 5월 9일부터 5월 16일까지 발견된 신규 유포지는 약 180개 정도이며 그 중 90% 이상은 현재 기승을 부리고 있는 CK VIP 익스플로잇 킷(Exploit Kit) 공격으로 분석됐다.
특히, CK VIP 익스플로잇 킷(Exploit Kit) 공격을 통해 유포되는 악성코드는 대부분 금융정보 탈취를 위한 파밍 악성코드로 인터넷 뱅킹이나 금융업무 시에 각별한 주의가 필요하다.
악성코드에 감염되는 홈페이지의 경우는 상당수가 재감염이 이루어지는 것으로 조사됐다. 일례로 pro.xxxx.co.kr 홈페이지의 경우 지난 3월 31일 첫 감염 이후, 지금까지 수십 번의 재감염이 이루어진 것으로 드러났다.
이와 관련 에프원시큐리티 조재근 연구원은 “여러 번 감염피해를 입은 홈페이지는 보통 악성파일이 업로드된 디렉토리(directory)에 동일하게 올라가는 게 아니라 해당 서버 내의 다른 디렉토리에 업로드 되고 있다”며, “이로 미루어볼 때 공격자는 해당 서버의 directory list는 물론 상당한 권한을 취득한 것으로 추정된다”고 설명했다.
이러한 악성코드 유포 공격은 대부분 User-Agent 취약점을 이용하기 때문에 JAVA, IE, Adobe Flash Player 등 소프트웨어의 보안 업데이트를 항상 최신으로 유지해야 하며, 최신 버전의 OS 사용과 함께 웹 브라우저의 스크립트(Script) 자동사용을 해제하는 것이 바람직하다.
프록시 자동 설정 활용하는 진화하는 파밍 공격
특히, 파밍 공격과 관련해서 최근 발견되는 파밍 악성코드의 경우 파밍 사이트로 연결시 사용했던 DNS 호스트 변조 방식이 아닌 프록시 자동 설정인 PAC(Proxy Auto-Config) 기능을 활용해 파밍 사이트로 연결시키는 것으로 확인됐다.
관련 전문보고서를 발표한 빛스캔 측에 따르면 PAC를 통해서 파밍 사이트에 연결하는 방식은 악성코드에 감염된 사용자가 입력한 주소를 내부 스크립트와 비교한 후 값이 일치하면 파밍 사이트 주소로 연결하고, 일치하지 않을 경우에는 정상적인 사이트로 접속하는 것으로 드러났다.
결국 공격자들은 보다 효과적인 파밍 공격을 위해 DNS 호스트 변조 방식뿐만 아니라 PAC 설정을 활용하는 등 공격 방식을 계속 변경하거나 다양화하고 있다는 점이다.
이와 함께 5월 3주차에는 악성코드 유포가 증가하는 조짐이 나타나고 있다는 게 빛스캔 측의 설명이다. 방문자가 많은 사이트를 중심으로 신규 경유지 활동이 확인됐고, 군관련 사이트를 중심으로는 워터링 홀 공격으로 추정되는 사이버공격이 진행된 것으로 분석됐다.
[권 준 기자(editor@boannews.com)]
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
프록시 자동 설정 활용하는 파밍 공격 출현... 네이버 계정 탈취 시도 다시 발견
[보안뉴스 권 준] 지난해부터 올해 상반기까지 최대 보안이슈가 되고 있는 랜섬웨어 악성코드의 유형과 범죄수법이 끝이 안 보일 정도로 진화를 거듭하고 있다. 감염시 포르노 화면을 띄우는 포르노 랜섬웨어에서부터 랜섬웨어를 유포시킨 후 비트코인만 받고 사라진다는 일명 먹튀(?) 랜섬을 모의하고 있는 국내 해커들까지 등장하고 있는 상황이다. 이와 함께 최근 국내에서 프록시 자동 설정 기능을 활용하는 파밍 공격이 발견됐고, 네이버 계정 탈취를 위한 공격시도도 새롭게 포착되는 등 인터넷 상의 보안위협이 점차 높아지고 있다.
별의별 랜섬웨어가 다 있다...포르노랜섬 출현과 먹튀랜섬 시도까지
최근 랜섬웨어 악성코드와 범죄자들의 동향을 추적·분석하고 있는 하우리 최상명 CERT실장에 따르면 감염되면 암호화한 파일 확장자에 .porno를 붙이고 감염 알림창에는 포르노 영상 화면을 띄우는 포르노 랜섬웨어에 이어 암호화한 파일 확장자를 .RSNSlocked로 변경하는 신규 랜섬웨어 SNSLocker가 등장했다.
▲ 최근 등장한 포르노 랜섬웨어(자료: 하우리 최상명 CERT실장)
또한, 근래 블랙마켓에서는 랜섬웨어를 유포한 다음에 비트코인을 지불해도 파일을 복구해주지 않고, 먹튀 하기 위해 동업자들을 모집하는 국내 해커들의 움직임이 포착되기도 했다. 이러한 경우 돈을 내도 복구될 수 없도록 설계된다면 해당 자료는 영원히 복구할 수 없다며, 정기적인 백업과 애초 감염되지 않도록 예방만이 최선이라고 최 실장은 당부했다.
이 뿐만 아니다. 얼마 전에는 크립토락커 랜섬웨어로 약 2억 5천만 원을 벌어들였다는 국내 해커가 자신의 비트코인 지갑 현황을 공개해 화제가 되기도 했고, 테슬라크립트(TeslaCrypt) 랜섬웨어는 제작자가 갑자기 활동 중단을 알리며, 마스터키를 공개하는 일까지 발생했다.
국내에서의 랜섬웨어 위험성과 관련해 최상명 실장은 “최근 우리나라에 가장 많은 영향을 미치는 랜섬웨어 3종은 바로 Cerber, CryptXXX, 록키(Locky)”라며, “이들 랜섬웨어는 주로 웹을 통한 드라이브-바이-다운로드, 이메일 첨부파일 실행 방식으로 감염되기 때문에 각별한 주의가 필요하다”고 말했다.
네이버 계정 탈취 시도 다시 발견, 워드프레스 기반 홈피 보안위험도 지적
이와 함께 지난 주에는 한동안 조용하던 네이버 계정 탈취를 위한 악성행위가 다시 확인된 것으로 드러났다.
특정 방송사의 라디오 홈페이지에서 확인된 이번 공격 시도는 레퍼런스 값을 확인한 후, 가짜 네이버 로그인 계정정보 입력을 유도했던 과거와 달리 해당 홈페이지 로그인 버튼을 클릭할 경우 계정 입력 유도창이 열리는 것으로 분석됐다.
이와 관련 제로서트 측은 “무심코 해당 홈페이지 계정 정보나 네이버 계정 정보를 입력할 수 있으므로 주의해야 한다”며, “만약 네이버 로그인 창이 뜬다면 주소창에 정확한 네이버 주소인지와 함께 초록색으로 뜨는지 반드시 확인해야 한다”고 밝혔다.
또한, 최근에 공개 홈페이지 관리 툴인 워드프레스 기반의 홈페이지를 대상으로 한 악성 URL 삽입이 계속 확인되고 있다며 주의를 당부했다.
CK VIP 익스플로잇 킷 악용한 파밍 공격, 여전히 기승
한편, 보안전문업체 에프원시큐리티에 따르면 지난 5월 9일부터 5월 16일까지 발견된 신규 유포지는 약 180개 정도이며 그 중 90% 이상은 현재 기승을 부리고 있는 CK VIP 익스플로잇 킷(Exploit Kit) 공격으로 분석됐다.
특히, CK VIP 익스플로잇 킷(Exploit Kit) 공격을 통해 유포되는 악성코드는 대부분 금융정보 탈취를 위한 파밍 악성코드로 인터넷 뱅킹이나 금융업무 시에 각별한 주의가 필요하다.
악성코드에 감염되는 홈페이지의 경우는 상당수가 재감염이 이루어지는 것으로 조사됐다. 일례로 pro.xxxx.co.kr 홈페이지의 경우 지난 3월 31일 첫 감염 이후, 지금까지 수십 번의 재감염이 이루어진 것으로 드러났다.
이와 관련 에프원시큐리티 조재근 연구원은 “여러 번 감염피해를 입은 홈페이지는 보통 악성파일이 업로드된 디렉토리(directory)에 동일하게 올라가는 게 아니라 해당 서버 내의 다른 디렉토리에 업로드 되고 있다”며, “이로 미루어볼 때 공격자는 해당 서버의 directory list는 물론 상당한 권한을 취득한 것으로 추정된다”고 설명했다.
이러한 악성코드 유포 공격은 대부분 User-Agent 취약점을 이용하기 때문에 JAVA, IE, Adobe Flash Player 등 소프트웨어의 보안 업데이트를 항상 최신으로 유지해야 하며, 최신 버전의 OS 사용과 함께 웹 브라우저의 스크립트(Script) 자동사용을 해제하는 것이 바람직하다.
프록시 자동 설정 활용하는 진화하는 파밍 공격
특히, 파밍 공격과 관련해서 최근 발견되는 파밍 악성코드의 경우 파밍 사이트로 연결시 사용했던 DNS 호스트 변조 방식이 아닌 프록시 자동 설정인 PAC(Proxy Auto-Config) 기능을 활용해 파밍 사이트로 연결시키는 것으로 확인됐다.
관련 전문보고서를 발표한 빛스캔 측에 따르면 PAC를 통해서 파밍 사이트에 연결하는 방식은 악성코드에 감염된 사용자가 입력한 주소를 내부 스크립트와 비교한 후 값이 일치하면 파밍 사이트 주소로 연결하고, 일치하지 않을 경우에는 정상적인 사이트로 접속하는 것으로 드러났다.
결국 공격자들은 보다 효과적인 파밍 공격을 위해 DNS 호스트 변조 방식뿐만 아니라 PAC 설정을 활용하는 등 공격 방식을 계속 변경하거나 다양화하고 있다는 점이다.
이와 함께 5월 3주차에는 악성코드 유포가 증가하는 조짐이 나타나고 있다는 게 빛스캔 측의 설명이다. 방문자가 많은 사이트를 중심으로 신규 경유지 활동이 확인됐고, 군관련 사이트를 중심으로는 워터링 홀 공격으로 추정되는 사이버공격이 진행된 것으로 분석됐다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
