세계 최대 스팸봇넷인 Necurs가 최근 스팸메일 발송 방식을 이용하여 Swisscoin 가상화폐를 유포하는 것을 확인하였습니다. 이 봇넷은 주식추천에 관련된 대량의 스팸메일을 보내어 사용자들의 클릭을 유도하며, 이러한 방식을 보안연구원들은 pump-and-dump라고 부릅니다. 이 용어는 금융업계에서 사용하는 언어로, 스팸메일 발송자들이 특정 주식을 낮은 가격에 매수해 놓고, 해당 주식과 관련된 스팸메일을 대량으로 발송하여 주식의 가격이 상승하면 매도함으로서 차익을 얻는 방법을 뜻합니다. Necurs 봇넷은 수백만대의 좀비 PC로 이루어져 있을 것으로 추정되며, 이 봇넷은 몇년 동안 줄곧 "pump-and-dump"활동을 진행해 왔습니다. 하지만, 이 밖에도 Necurs는 Dridex 악성코드나 기타 ..

국내외 보안동향 2018. 2. 1. 09:30

2016 봇넷 연구 보고서 2015년 7월, 많은 공격자들이 LizardStresser 툴을 통해 Lizard Squad 해커조직이 만든 봇넷을 활용한 DDoS 공격을 거행했습니다. 그리고 2016년에 들어, 8월에는 Twitter를 통해 제어당하는 안드로이드 기반의 봇넷이 발견되었습니다. 이후 9월 말에는 감염에 성공한 사물인터넷으로 봇넷을 만들어 DDoS 공격을 수행할 수 있는 Mirai 악성코드의 소스코드가 공개되었습니다. 10월에는 100,000대의 좀비 PC로 이루어진 거대한 봇넷이 DNS 서비스업체인 Dyn을 공격하여 Airbnb, Etsy, Pinterest, Amazon, PayPal, Twitter 등 유명 사이트들의 서비스가 중단되는 상황이 발생했습니다. 봇넷이란 무엇인가? 봇넷은 좀비..

악성코드 분석 리포트 2017. 1. 23. 10:02

송년회 등 연말 특수를 겨냥한 ‘한국 맞춤형’ 악성 파일 유포 포착! 안녕하세요. 알약입니다. 최근 연말을 맞아, 송년회 및 신년회 안내 문서를 위장한 '한국 맞춤형 악성 파일' 유포 정황이 발견되어, 사용자 여러분의 각별한 주의를 당부 드립니다. 이번에 발견된 공격은 송년회 및 신년회 행사 장소를 안내하는 내용처럼 위장한 MS 오피스 워드(*.doc) 문서 파일을 특정 대상에게 발송하고, 사용자가 첨부된 문서 파일을 열람하면 해커가 워드 문서에 미리 저장해 놓은 매크로가 실행되는 형태입니다. 매크로(Macro)는 여러 개의 명령문을 하나로 묶어 간단하게 사용할 수 있는 일종의 ‘자동 실행’ 기능입니다. 이번 파일의 매크로가 실행될 경우, 특정 사이트에 접속해 악성 파일을 내려받고 실행하여 사용자 PC를..

악성코드 분석 리포트 2016. 12. 27. 17:41

JavaScript를 기반으로 한 DDoS 공격 DDoS란 Distributed Denial of Service의 약자로, DoS공격이 발전된 형태입니다. DDoS 공격은 공격자 수에서 Dos 공격과 가장 큰 차이가 있습니다. DoS 공격은 하나의 클라이언트가 특정 서버에 수많은 접속시도를 하는 것이며, DDoS 공격은 다수의 클라이언트가 특정 서버에 적게는 한 번에서 많게는 수 만번의 접속을 시도하는 것입니다. DDoS 공격의 방어 기술과 장비들이 발전하면서, DDoS 공격 방법도 함께 진화하고 있습니다. 초창기의 DDoS 공격이 악성코드에 감염된 좀비 PC들(봇넷)을 이용했다면, 최근에는 NTP, SNMP, DNS 등을 활용한 증폭 공격 등 그 방식이 점차 지능화, 고도화되고 있습니다. 얼마 전 Gi..

국내외 보안동향 2015. 6. 15. 16:00