구글 Project Zero 보안연구원은 uTorrent의 web과 데스크탑 클라이언트에서 여러개의 취약점들을 발견하였습니다. 이번에 발견된 취약점들을 악용하면 공격자는 악성코드를 이용하여 사용자의 다운로드 내역 정보를 탈취할 수 있습니다. 이 두 uTorrent 클라이언트들은 RPC 서버를 노출하였습니다 - 10000번(uTorrent Classic)과 19575번(uTorrent Web) 공격자는 악성 명령을 열려있는 RPC 서버와 통신하는 웹 페이지 내에 숨겨놓고, 사용자가 악성페이지에 접근하도록 유도합니다. 그밖에, uTorrent 클라이언트는 DNS 리바인딩 공격에도 취약하기 때문에, 공격자들은 쉽게 RPC 서버로 전달하는 자신의 request를 정상인 것처럼 조작할 수 있습니다. 이번 취약점에..

국내외 보안동향 2018. 2. 23. 11:16

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지난 달에도 비슷한 유형을 주의차원에서 안내해 드렸던 적이 있었습니다만, 12월 03일부터 동일한 공격자로 추정되는 인물이 불특정 다수를 대상으로 새로운 악성파일을 토렌트로 유포시키고 있어 각별한 주의가 필요합니다. 공격자는 마치 한국의 최신 문서작성 소프트웨어의 무설치 인증판으로 위장해 Orcus RAT 원격제어 기능의 악성파일을 설치하고 있습니다. ▶ 토렌트로 불법 문서 작성 소프트웨어 설치 시 좀비 PC 위험성 증가 지난 번에는 실제로 판매하지 않는 '한글 2017'이라는 제품명을 썼지만, 이번엔 실제 판매 중인 최신 제품 '한글 2018' 이름을 도용하면서, 현재 토렌트 인기자료 1~2 순위에 오를 정도로 많은 이용자들이 다운로드하고 있..

악성코드 분석 리포트 2017. 12. 5. 10:04

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2017년 11월 13일 부터 일부 파일 공유 사이트(토렌트)를 통해 '[한글]2017 HWP2017', HWP2017 한글 2017' 등의 제목으로 마치 한글과컴퓨터(이하 한컴)사의 최신 문서 작성 소프트웨어처럼 위장한 악성프로그램이 불특정 다수에게 전파 되어 각별한 주의가 필요합니다. 실제 해당 소프트웨어를 개발해 판매하고 있는 한컴을 통해 확인한 결과, '한글 2017'은 존재하지 않는 제품이며, NEO 또는 2018이 정식 제품군입니다. 토렌트를 통해 배포될 경우 감염 대상자들은 주로 상용 소프트웨어를 검색 후 불법 다운로드 받아 사용하는 계층이 포함되며, 기존에 널리 알려지지 않았던 새로운 버전으로 착각해 쉽게 현혹될 수 있습니다. 우..

악성코드 분석 리포트 2017. 11. 16. 21:08

최근 ‘이력서 검색기’ 이름으로 위장된 악성코드가 토렌트 사이트를 통해 유포되고 있어, 이용자들의 주의를 당부 드립니다. [그림 1] 토렌트 사이트에서 유포되는 이력서 검색기 ※ 관련 글가짜 보안 프로그램의 역습, 불법 소프트웨어 주의보 ▶ 자세히 보기 다운로드된 ‘이력서 검색기 v2017.exe’는 인터넷에 공개된 이력서 샘플을 아이콘으로 하고 있어, 마치 실제 이력서 관련 프로그램인 것처럼 보여주고 있습니다. 취업 등에 관심 많은 이용자가 현혹되어 파일을 실행할 경우 로컬 PC에 아무것도 실행이 되지 않은 것처럼 보이지만, 실제로는 이용자 PC의 정보를 탈취하는 악성코드가 실행됩니다. [그림 2] 이력서 검색기로 위장한 악성코드 실행되는 악성코드는 한국 소재의 C&C인 ‘59.10.197.88’으로 ..

악성코드 분석 리포트 2017. 6. 13. 15:38

가짜 보안 프로그램의 역습, 불법 소프트웨어 주의보 최근 다수 토렌트(Torrent) 공유 서비스를 통해 “강력한 파일 보안 프로그램 ROS Power Lock 4.0” 타이틀로 위장한 RAT(Remote Administration Tool)유형의 악성 파일이 지속적으로 유포되고 있습니다. 사용자들의 각별한 주의를 당부 드립니다. 악성 파일은 마치 스웨덴 국가기관 보안을 담당하는 기업의 보급용 보안 프로그램처럼 사칭하고 있습니다. 또한 한글을 이용해 쉬운 설치를 유도하고, 정식 등록 키가 포함된 것처럼 속여 토렌트 서비스 사용자들을 교묘하게 현혹하고 있습니다. 공격자는 사용자들이 해당 파일을 더욱 신뢰하도록 ‘설치 시 보안 등급 설정’ 등의 내용을 추가시키는 한편, 실제 프로그램 배포 패키지처럼 보이기 ..

악성코드 분석 리포트 2016. 12. 22. 15:55

영화 ‘부산행’ 위장한 악성 토렌트 파일 유포… 추석 연휴 불법 자료 다운로드 주의 영화 파일로 위장해 악성 파일이 유포 중인 토렌트 화면 최근 1,100만 관객 몰이를 하며 흥행에 성공한 국내 영화 ‘부산행’의 불법 영화 파일로 위장한 악성 프로그램이 토렌트 사이트를 통해 은밀히 유포되고 있습니다. 이에 사용자분들의 각별한 주의를 당부 드립니다. 토렌트(Torrent)는 인터넷상에 존재하는 파일을 여러 조각으로 나누어 개인들 간 파일을 공유하는 프로그램으로, 사용이 쉽고 별도의 인증 절차가 없어 영화, SW, 음악 등 불법 자료 공유 수단으로 흔히 사용되고 있습니다. 토렌트 프로그램을 이용한 악성파일 유포는 다가오는 추석 명절 기간 각종 영화 파일을 불법으로 다운로드하는 이용자가 증가할 것을 노린 것으..

악성코드 분석 리포트 2016. 9. 12. 12:37

인기 TV드라마 동영상 파일과 함께 유포되고 있는 악성CHM 파일 주의! 최근 토렌트에 인기 TV드라마 동영상과 함께 CHM 악성파일이 유포되고 있어, 사용자 여러분들의 주의가 필요합니다. * .CHM은 도움말 파일의 확장자로, 자바스크립트를 포함한 기술 중 하나입니다. 사용자는 단순히 CHM파일을 열어보는 것만으로도 외부 URL로 리다이렉트될 수 있으며, 악성 페이로드 또한 실행될 수 있습니다. 사용자가 불법 토렌트 파일을 통해 동영상 다운로드를 시도하면, 다음과 같이 TV 드라마 파일과 함께 ‘읽어야 할 주의사항’이라는 제목의 CHM 파일이 다운로드됩니다. 사용자가 악성 CHM 파일을 실행할 경우, 보안업체 도메인으로 위장한 도메인에서 JPG 파일로 위장한 EXE 파일을 다운로드하여 사용자 몰래 이를..

이스트시큐리티 소식 2016. 7. 11. 15:13

토렌트 웹사이트, 한 달에 1,200만 사용자 악성코드 감염 시켜Torrent websites infect 12 million users a month with malware 미국에서만 한 달에 1,200만 사용자가 불법 파일들을 다운로드 하는 토렌트 링크를 통해 악성코드에 감염되었으며, 해커들은 이를 통해 7천만 달러 이상을 벌어들였다는 사실이 조사를 통해 밝혀졌습니다. Digital Citizens Alliance 및 RiskIQ사의 연구 결과, 2015년 6월부터 8월까지 800개 유명 토렌트 사이트에서 악성 광고 및 다운로드를 통해 악성코드가 유포되었습니다. 이른바 “악성 광고”를 통해 해커들은 일반 웹사이트뿐만 아니라 토렌트 검색 사이트에서도 익스플로잇, RAT, 애드웨어, 랜섬웨어 및 봇넷 등..

국내외 보안동향 2015. 12. 16. 10:08