CVE-2014-4114 취약점 공격의 진화CVE-2014-4114 변종 악성코드의 지속적인 발견과 공격방법의 진화 지난 15일, 알약 블로그에 CVE-2014-4114 제로데이 취약점을 이용하는 러시아발로 추정되는 악성코드에 대해 공지한 바 있습니다. (▶참고: http://blog.alyac.co.kr/180) 위 취약점과 관련하여 MS에서는 이미 패치를 발표했으나, CVE-2014-4114 취약점을 이용한 공격은 점점 늘어나고 있습니다. 더불어 최근 새로운 형태의 변종이 지속적으로 발견되고 있습니다. 해당 취약점은 특수하게 조작된 OLE 개체를 포함하는 MS Office파일을 열 경우 원격코드가 실행될 수 있는 취약점입니다. 초기에는 사용자로 하여금 CVE-2014-4114 취약점을 포함한 악성파일..

국내외 보안동향 2014. 10. 24. 10:10

안녕하세요. 알약입니다. 러시아 해커로 추정되는 집단이 MS Windows 취약점을 이용하여 북대서양조약기구 ‘나토’, ‘EU’, '우크라이나 정부' 등 다양한 기관과 기업들을 지속적으로 모니터링하고 있었다고 미국 보안업체 ‘아이사이트 파트너스’가 밝혀 사용자들의 주의가 요구됩니다. CVE-2014-4114 Zero-Day , 일명 ‘SandWorm’이라는 캠페인으로 알려진 해당 이슈는 MS Windows OLE의 취약점을 통해 원격으로 임의의 코드가 실행될 수 있는 취약점으로 확인되었으며, 실제로 해당 취약점을 이용하여 우크라이나정부, US arcademic sector등에 ppt형식의 취약점 파일을 포함한 스피어피싱을 시도했던 사례도 확인되었습니다. MS에서는 해당 취약점을 패치할 수 있는 보안 업데..

이스트시큐리티 소식 2014. 10. 15. 13:50

안녕하세요. 알약입니다. 최근 이메일 첨부파일 형태로 유포되는 .jar 악성코드가 발견되어, 사용자의 각별한 주의가 요구됩니다. .jar 악성코드가 첨부된 악성 이메일 최근에는 개발자뿐만 아니라, 웹게임이나 채팅 프로그램 등을 사용하는 일반 사용자들의 컴퓨터에도 자바 파일을 실행할 수 있는 JRE(Java Runtime Environment)가 많이 설치되어 있습니다. 자바가 설치되어 있는 환경에서는 .jar 파일에 대한 기본 실행 프로그램이 자바로 설정되어있어, 별도의 압축 프로그램 없이도 이를 열어볼 수 있습니다. 따라서 해당 파일을 더블클릭하면 .exe 파일처럼 어떠한 경고창도 없이 바로 실행시킬 수 있습니다. .exe 파일이 아닌 .jar 파일을 유포하는 이유로는 .jar 파일을 마주했을 때, 해..

이스트시큐리티 소식 2014. 10. 8. 17:04

포토메일로 유혹하는 악성 첨부파일 주의보 my new photo ;) 제목의 악성메일 확산주의 마치 포토메일처럼 위장한 악성 이메일이 국내기업 및 대학 등 다양한 분야로 확산 중에 있어 각별한 주의가 필요합니다. 영문으로 작성된 이메일은 공통적으로 “my new photo ;)” 제목을 가지고 있으며, “photo.zip” 이름의 압축파일이 첨부되어 있습니다. 본문 내용은 조금씩 다르지만, 전반적으로 나의 새로운 사진(my new photo)이라는 표현이 함께 포함되어 있고, 변종에 따라 문구가 조금씩 다른 경우가 존재합니다. ▲ 포토메일로 위장한 악성파일 전파 사례들 이메일 발신자의 도메인은 다양하게 사용되었는데, 동일한 도메인을 이용한 경우도 발신지 IP 주소 소재지가 서로 달라 임의로 조작된 형태로..

악성코드 분석 리포트 2014. 10. 7. 13:17

RIG Exploit Kit 공격도구를 통한 악성코드 유포 주의 안녕하세요. 알약입니다.일명 리그 익스플로잇 킷(RIG Exploit Kit)이라고 불리는 '보안취약점을 악용한 악성코드 유포도구'가 2014년 08월 26일부터 국내 웹 사이트를 통해서도 공격에 활용된 정황이 다수 목격되고 있습니다. 리그 익스플로잇 킷은 2014년 중순 경 주로 해외에서 공격사례가 보고된 바 있었지만 국내에서 널리 알려진 종류는 아닙니다. 그런 가운데 기존 한국 맞춤형 인터넷 뱅킹 악성코드 유포조직이 리그 익스플로잇 킷 도구를 도입해 국내에 랜섬웨어, 파밍, RAT 악성코드 유포에 본격적으로 활용하기 시작했습니다. 그 동안 국내에서 사용된 보안취약점 공격방식은 공격 스크립트 형태가 상대적으로 단순하고 추적이 용이한 상태입..

이스트시큐리티 소식 2014. 8. 27. 18:27

안녕하세요. 알약입니다. 2013년에 발생했던 3.20 사이버테러와 유사한 악성코드가 지난 2014년 7월 7일 전후로 다수 발견되어 이슈가 되었습니다. 이에 알약에서도 해당 이슈에 신속하게 대응했습니다. (관련내용 링크 : http://blog.alyac.co.kr/131) 그런데 이와 유사한 변종 악성코드의 최신버전들이 8월 12일에 또다시 추가로 발견되어 사용자 여러분의 각별한 주의가 필요합니다. 해당 악성파일은 국내 특정 천체망원경 쇼핑몰 관련 사이트에 이미지 파일처럼 확장자(JPG)를 교묘하게 위장하여 숨겨져 있었습니다. 이는 7월에 발견된 3.20 사이버테러 변종 악성코드와 마찬가지로, 자신의 코드분석을 방해하기 위해 다양한 방어기법을 활용하고 있어, 의도적으로 탐지회피를 위해 많은 노력을 하..

이스트시큐리티 소식 2014. 8. 12. 22:50

[8월 첫째주] 알약 스미싱 알림 본 포스트는 알약 안드로이드 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'와 '다수 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 이번 주에도 다양한 스미싱 메시지가 알약 안드로이드로 신고 접수 되었습니다. 7월 넷째주에 발견된 카카오톡 사칭 스미싱 신고가 지금까지도 꾸준히 접수되고 있으니, 사용자 여러분의 각별한 주의 당부 드립니다. 1. 특이 문자 No.문자 내용 1 주소가 확인이 안되네요.. 다시 한번 체크해주세요~~!2 바이러스로부터 안전하게 스마트폰을 지켜주백신 다운 받기:3 [네이버]계정이불법홍보글 등 사용정지 :4 와인처럼 달/콤/한/사/랑을 만들어 드립니다 가입하기5 어떻게 이런일이6 좋 은 ..

안전한 PC&모바일 세상/스미싱 알림 2014. 8. 8. 10:42

'나는 악성코드가 아니에요' 중국서 어이없는 악성코드 등장 일반적으로 모바일 악성코드는 apk 파일 이름으로 명명합니다. 중국의 360 모바일 백신은 악성코드를 탐지한 경우, 어떤 이름의 악성코드인지를 사용자에게 보여주는데요. 최근 중국에서 발견된 악성코드의 이름은 '정상적으로 휴대폰을 사용하고 싶으면 취소를 누르세요. 삭제하면 휴대폰에 문제가 생길 수 있으니 절대 삭제하지 마세요'입니다. 중국 모바일 백신 360이 악성코드를 탐지한 화면 이는 사용자들이 백신의 탐지알림창을 자세히 확인하지 않는 점을 악용하여, 악성코드 삭제 여부에서 '아니오'를 누르도록 유도하기 위한 속임수로 보입니다. 마치 백신 탐지 창에서 문제가 없는 정상앱인 것처럼 사용자를 속이는 것입니다. 또한 해당 악성코드는 설치된 후 백그라..

국내외 보안동향 2014. 8. 7. 09:24