세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[주간 악성링크] 한 주간 악성코드 들끓어 국내 ‘몸살’
  |  입력 : 2017-11-29 17:31
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
페이스북, 트위터 등 SNS 계정 탈취 노린 악성코드와 신규 악성코드 기승
게시판 취약점 이용한 사이트 변조도 줄줄이 포착


[보안뉴스 김경애 기자] 페이스북과 트위터, 네이버와 다음, 지메일 등을 노린 계정 탈취가 한 주간 기승을 부렸다. 뿐만 아니라 신규 악성코드도 대거 발견되고 있어 사이버위협에 철저히 대응해야 할 것으로 보인다.

[이미지=thehackernews 홈페이지]


SNS 계정 탈취 노린 악성코드 주의
페이스북과 트위터, 지메일 등 계정 탈취가 가능한 뱅킹 트로이목마 ‘Terdot’이 발견됐다. 보안업체 비트디펜더(Bitdefender)에 따르면, 은행 계좌 탈취 등 새롭고 정교한 형태의 악성코드가 발견됐다며 주의를 당부했다.

비트디펜더 보안 연구원은 “최근에 발견된 Terdot 트로이목마는 사용자가 방문한 취약한 사이트에 HTML 코드 인젝션 및 중간자 공격(Man-in-the Middle attack)을 통해 사용자 금융 정보를 탈취한다”고 밝혔다.

해커는 페이스북, 트위터, 구글 플러스, 유투브 등 소셜 미디어 및 이메일 서비스 제공자를 대상으로, 오픈 소스 도구를 사용해 SSL 인증서 변조를 시도한다. 이 뱅킹 트로이목마는 백신 탐지를 우회하기 위해 악성파일 삽입과 추가 다운로더 생성 등 복잡한 체인을 사용한다.

악성코드 유포는 선다운(SunDown) 익스플로잇 키트(Exploit Kit)에 감염된 웹사이트를 통해 배포되며, PDF 파일로 위장해 이메일에 첨부하여 감염을 유도한다.

한국인터넷진흥원은 주요 특징으로 △중간자(MITM) 공격을 위한 자체 프록시 연결을 지정해 피해 시스템 트래픽 감청 △피해 시스템의 정보 탈취를 위해 스파이웨어 삽입 등 브라우저 프로세스에 인젝션 △자체 인증기관(CA) 생성 및 사용자가 방문하는 모든 도메인에 대한 인증서 생성·변조 △감염 시스템에서 은행 및 소셜 미디어 이용시 사용자의 계정을 탈취하고, 실시간으로 정보를 가로채어 변조가 가능하다고 주의를 강조했다.

따라서 이용자는 운영체제(OS)와 응용 프로그램(SW)의 최신 보안 업데이트 상태를 유지하고, 백신 소프트웨어는 최신 버전으로 설치해 업데이트해야 한다. 또한 출처가 불명확한 이메일과 URL 링크는 삭제하는 것이 바람직하다.

게시판 취약점 이용해 사이트 변조
한 주간 게시판 취약점을 이용한 공격 정황도 잇따라 탐지됐다. 지난 20일에는 천하XXX 사이트를 비롯해 XX종합건설, XXX지게차 관련 사이트 등 게시판 화면이 변조된 정황이 포착됐다.

▲웹사이트가 변조된 화면[이미지=엘뤼아르]


이와 관련 악성코드 수집가 엘뤼아르는 “최근 게시판 취약점을 이용해 악성파일을 업로드 한 정황이 곳곳에서 발견되고 있다”며 “FCKeditor는 게시판 에디터로 거의 모든 브라우저에서 사용한다. 글 작성 html 편집과 표 삽입 등이 가능해 해커가 이를 악용하는 사례가 종종있다”며 주의를 당부했다.

취약점 발생 이유에 대해 그는 FCKeditor에서 제공되는 페이지 관리 또는 파일 업로드 기능 때문으로 분석했다. 즉 보안조치가 되지 않은 상태에서 해당 기능을 사용해 공격할 수 있다는 얘기다. 따라서 보안 담당자와 웹사이트 관리자는 이러한 취약점에 노출되지 않도록 각별히 신경써야 한다.

신규 악성코드 대폭 증가 ‘주의’
한 주간 신규 악성코드가 대폭 증가한 것으로 나타났다. 빛스캔이 발표한 11월 4주차 인터넷 위협 분석 보고서에 따르면, 악성코드 활동이 대폭 증가했으며, CK Exploit Kit (v4.13) 활동이 증가한 것으로 집계됐다. 특히, 드롭퍼(Dropper), 다운로더(Downloader), 백도어(Backdoor) 등이 기승을 부렸다.

[이미지=빛스캔]


신규 경유지와 파급력도 지난주에 비해 증가했으며, 유해사이트 역시도 대폭 증가했다. 이에 대해 빛스캔은 “악성코드와 통신하는 명령제어 서버인 C2 Server 활동이 지속적으로 탐지되고 있다”며, “네이버를 노린 계정 정보 탈취 활동은 잠시 소강상태를 보인 반면, 포털사이트 ‘다음’ 대용량 메일 링크에서 피싱 사이트로 연결되는 파일도 계속 탐지되고 있다”고 분석했다.

이외에도 10월 한 달간 악성코드가 트로이목마 유형의 바이러스가 기승을 부린 것으로 나타났다.

[이미지=잉카인터넷]


27일 잉카인터넷에 따르면 2017년 10월 한 달간 사용자에게 가장 많이 피해를 준 악성코드는 트로이목마 유형 바이러스가 91%로 가장 높은 비중을 차지했다고 밝혔다. 이어 애드웨어(Adware)가 4%, 트로이목마(Trojan)와 의심진단(Suspicious)이 각각 2%, 다운로더(Downloader) 1%로 그 뒤를 따랐다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)