posted by Kwan's 2013. 5. 3. 00:06


또 다시, 사이버범죄자들이 맬웨어를 퍼트리기 위해 최신 뉴스꺼리를 이용하는 기회를 재빠르게 포착하고 있습니다.

가장 최근의 예로, 맬웨어 제작자는 보스턴 마라톤 폭발사고에 대한 관심을 악용했던 바로 며칠 후에, 텍사스 주 서부의 작은 마을에 있는 비료공장에서의 치명적인 폭발에 관심을 가지게 되었습니다.

다음은 소포스랩에 의해 발견된 'CAUGHT ON CAMERA: 텍사스주 와코 인근의 비료공장 폭발(Fertilizer Plant Explosion Near Waco, Texas)'라는 제목의 악성 이메일 중의 하나의 예입니다.

다른 메시지들은 '생생한 뉴스: 텍사스 폭발 피해자 수십명(Raw: Texas Explosion Injures Dozens)'라는 제목을 사용한 것으로 보입니다.

그 이메일에 포함된 링크를 클릭하면 의심을 하지 않는 컴퓨터 사용자들은 임베디드된 유투브 비디오 시리즈가 포함된 웹페이지를 보게 됩니다.

전혀 해가 없을 거라고 생각할지 모르지만, 그 웹페이지는 640x360픽셀의 iFrame을 또 포함하고 있어서 여러분의 컴퓨터를 감염시키도록 설계된 또 다른 사이트로부터 악성 컨텐츠를 끌어드리려고 합니다.

그 공격은 맬웨어로 PC들을 감염시키기 위해서 방문한 PC들의 취약점을 이용하려고 레드킷(Redkit) 익스플로잇을 사용합니다.

레드킷 익스플로잇 키트는 그 키트를 작동시키기 위해 감염된 웹사이트에서 호스팅되는 PHP 쉘을 사용합니다.

맨 먼저, Redkit은 다음 번 감염된 서버로 1단계 리다이렉트를 보내고, 그 다음 PDF나 JAR(Java Acrhive) 익스플로잇을 전달하는 악성 컨텐트를 명령 및 제어 서버로부터 제공 받습니다.

그러한 공격에 대해 소포스 제품들은 감염된 악성 iFrames을 Troj/ExpJS-II 와 Troj/Iframe-JG로 감지합니다.

이번 맬웨어 공격의 배후에 있는 자가 누구든지 이번 주 초의 보스턴 폭발사고에 대한 새 소식으로 가장하는 데 이용한 맬웨어로 컴퓨터를 감염시키려고 했다는 것이 분명해 보입니다.

이번 공격 배후에 있는 범죄자들은 텍사스와 보스턴에서 사망한 무고한 사람들은 전혀 신경 쓰지 않습니다. 그들의 유일한 관심은 새로운 소식에 목말라하는 인터넷 사용자들의 컴퓨터를 악용함으로써 돈을 버는 것입니다.

악의적인 해커들의 생활을 편하게 해줘서는 안됩니다. 그리고 언제나 요청하지 않은 이메일에 의존하지 말고 최신 뉴스를 보기 위해서는 합법적인 뉴스제공 사이트를 이용하시기 바랍니다.

댓글을 달아 주세요

posted by Kwan's 2013. 4. 16. 11:34

 

지금부터 정확히 1년 뒤인 2014년 4월 8일에, 마이크로소프트는 Windows XP의 연장 지원(Extended Support)을 중단합니다.

이 말은 더 이상 보안 업데이트를 하지 않는다는 의미입니다.

그리고 그건 상당히 많은 PC 사용자들에게 매우 중요한 문제라는 뜻입니다.

넷 어플리케이션(Net Applications)의 자료에 따르면, 단지 45%이하의 시장 점유율을 차지하는 Windows 7 다음으로, Windows XP는 데스크탑 OS시장에서 여전히 거의 39%의 점유율을 유지하고 있습니다.

Windows Vista나 Windows 8, Mac OS X v10.8 Mountain Lion을 포함한 기타 다른 OS는 데스크탑 OS 시장의 5%이합니다.

마이크로소프트가 Windows XP에 대한 패치 릴리즈를 중단한 후에 악의적인 해커들이 Windows XP만을 대상으로 하는 익스플로잇을 하기로 결정한다고 상상해 보십시오.

예를 들어 Windows XP 시스템을 타깃으로 하는 새로운 인터넷 전파 웜이나 심지어 맬웨어 감염에 대한 다양한 형태로 그 문을 열어줄 수 있는 Explorer 8 브라우저에서의 익스플로잇 증가와 같은 대파괴에 대한 가능성이 분명히 있습니다.

(누군가는 우리가 악당에게 아이디어를 제공하고 있다고 생각할까 봐 그러는데, 그런 일이 일어날 조짐이 보인다고 얘기하는 것이 분명히 우리가 처음은 아닙니다. 그리고 솔직히, 이런 성명서는 상당히 명확하고, 익스플로잇 개발자들은 어리석지 않습니다.)

마이크로소프트가 Windows XP 보안 업데이트에 대한 연장 지원을 할까요? 아마 그럴 수도 있지만, 마이크로소프트가 이미 여러 번 지원 종료를 연장했기에 오히려 그렇게 되지 않을 것처럼 보입니다.

Windows XP는 이제 3세대나 지난 것이고, Vista, Windows 7에 의해 계승되었고, 지금은 Windows8 입니다.

더군다나, Windows XP는 원래 2001년 10월에 출시되었습니다. 그 말은 내년 이맘때 즘에는 XP가 12.5살이 된다는 의미입니다.

어떤 OS도 그렇게 많은 해 동안 보안 패치를 계속해서 받게 하지는 않습니다. 수많은 보안 개선사항들이 Windows의 매 버전에서 소개되어 왔습니다.

만약 여러분이 보안에 대한 걱정을 하고 여전히 Windows XP를 사용하고 있다면, 이제 바꾸실 때입니다.

물론 말은 쉽지만, 모든 개인이나 회사가 업데이트 할 여력이 있거나 컴퓨터를 정기적으로 교체할 수는 없습니다.

만약 여러분이 1월 31일에 종료된 USD $39.99에 Windows 8로 업그레이드하는 기회를 놓쳤다면, 이제 여러분은 $199.99(만약 여러분이 학생이라면, $69.99에 구매가능)이나 non-Pro 에디션용은 $119.99라는 엄청나게 비싼 가격을 지불해야 합니다.

만약 여러분이 그것을 살 여력이 없다고 생각한다면, 몇 달간 스타벅스에 들리는 것을 건너뛰고 Windows 업그레이드를 위해 돈을 모으세요.

기업용 볼륨 라이선스를 구매하면 Windows 8 Pro 에 대한 비용을 어느 정도 절감할 수 있습니다.

그렇다 하더라도, PC수에 따라서 기업은 업그레이드 하길 원하고, 더 오래된 시스템에 필요할 수도 있는 RAM 업그레이드 비용이 더해져서, 많은 기업들은 회사의 Windows PC를 XP에서 8로 업그레이드 하는데 만 수천만 달러를 사용해야만 할 것입니다.

모든 XP시스템을 새로 나온 PC로 교체하는 대안은 수많은 비용을 들게 할 것입니다.

여러분이 여전히 Windows XP를 사용하고 있는 이유에 상관없이, 그것을 고칠 계획을 세우지 않았으면, 여러분은 이제 그 계획을 수렴하기 원할 것입니다.

Windows XP가 오늘부터 일년 안에 지원 종료되는 유일한 마이크로소프트 제품은 아닙니다.

중대한 위기에 처한 제품들은 또 Microsoft Office 2003, Exchange Server 2003, Project Server 2003, Virtual PC 2004, Content Management Server 2002입니다. 다음 18개월 안에 지원 종료되는 마이크로소프트의 전체 제품 목록을 보십시오.

Windows XP의 연장 지원 종료가 전면적인 XP의 종말(Xpocalypse)이 되지 않기를 바랍니다.

하지만 안전을 위해, 가능한 모든 사람들이 내년 4월8일이 오기 전에 가능한 한 많은 pc들을 업그레이드 하는 것이 현명합니다.

그리고 여러분이 그렇게 하는 김에, 여러분의 친구나 친척, 주변 기업들이 역시 XP 지원 종료에 대해 알 수 있도록 해주어야 합니다.

댓글을 달아 주세요

posted by Kwan's 2013. 4. 9. 12:18

 

많은 인터넷 사용자들은 싫든 좋든 간에 자신의 개인 정보를 공유하는 데 있어서 조심하고 있지만, 여러분의 개인 정보를 무의식 중에 전달하는 사람이 때로는 여러분의 친구들이란 사실을 알고 있나요?

예를 들어, 페이스북을 한번 봅시다.

여러분은 소셜 네트워크상에서 여러분의 사진과 개인정보를 공유하도록 선택한 사람들을 주의 깊게 관리했다고 믿을지도 모릅니다. 어쩌면 여러분은 서드파티 페이스북 어플리케이션이 여러분의 생일이나 상태 업데이트, 학력 및 경력과 같은 개인정보에 접근하도록 허용하는 것에 대해 정말로 주의하고 있습니다.

우리가 네이키드 시큐리티(Naked Security)에서 이전에 여러 번 설명했듯이, 페이스북 앱이 여러분에 대한 다양한 정보를 모을 수 있기 때문에 그것들이 계정에 연결하도록 허용하는 것에 대해 항상 주의해야 합니다.

만약 페이스북 앱이 접근하려고 하는 정보에 대해 여러분이 꺼림직하다면, 그 앱을 설치하지 마십시오.

하지만 몇몇 페이스북 사용자들은 (만약 여러분이 개인정보 설정을 정확하게 세팅하지 않은 경우에) 여러분의 친구들이 여러분의 개인정보나 사진, 업데이트에 접근할 수 있다는 것을 알지 못하는 것 같습니다.

비록 여러분이 여러분의 페이스북 프로필에 연결하려는 특정 앱을 거절하더라도, 여러분의 친구들과 가족이 그들의 프로필에 연결하도록 선택한 앱을 여러분이 컨트롤하지는 못합니다.

여러분의 친구들이나 가족은 페이스북 앱에 대해 여러분처럼 주의하지 않을지도 모릅니다. 그리고 여러분은 다른 페이스북 사용자들이 정보를 공유할 수 있는 앱을 설치하려고 선택할 때, 그들이 그 앱으로 여러분에 대해 알 수 있다는 것을 알지 못할지도 모릅니다.

페이스북은 서드파티 앱으로 다른 사람들이 여러분의 정보를 공유하도록 허용하는 것이 “더 많은 소셜을 경험(experience better and more social)”하게 한다고 주장합니다. 하지만 여러분의 의견은 그들과 다를지도 모릅니다.

다행히도, 페이스북은 여러분에게 이러한 개인 정보를 공유하기 위해 기본 설정을 변경하는 방법을 제시하여, 여러분의 개인정보를 보호합니다.

다음은 설정된 나의 페이스북 프로필 모습입니다.

여러분은 여러분의 페이스북 개인정보 설정 옵션의 “앱/다른 사람들이 사용하는 앱” 아래에서 이 컨텐츠를 컨트롤하는 옵션을 볼 수 있습니다.

만약 여러분이 여러분의 페이스북 친구들이 서드파티 어플리케이션에 공유할 수 있는 여러분에 대한 정보에 제한을 두고 싶다면, 여러분의 페이스북 개인정보 설정에 가서 각 옵션을 체크해체 하세요.

만약 여러분이 페이스북 앱에 *정말* 관심이 없고, 그에 대한 강경한 입장을 취하고 싶다면, 몇몇 사용자들이 선호할지도 모를 “핵”과 같은 옵션이 있습니다.

페이스북은 여러분에게 “플랫폼(Plattform)”이라 불리는 사용하지 않게 하는 기능을 제공합니다. 물론, 이것은 여러분이 여러분의 페이스북 자격을 사용하는 앱이나 웹사이트에 로그인도 할 수 없고, 여러분의 친구들이 앱을 통해 여러분과 컨텐트를 공유할 수 없다는 것을 의미하지만, 그것은 개인정보에 신경쓰는 더 많은 페이스북 사용자들에 의해 선택된 옵션일지도 모릅니다.

만약 여러분이 원한다면, 이 옵션은 여러분의 페이스북 개인정보 설정에서 사용 가능합니다.

여러분은 페이스북 사용자들을 위협하고 있는 최신 시큐리티와 개인정보보호 이슈가 업데이트 되고 있는 소포스 네이키드 시큐리티 페이스북 페이지(Naked Security from Sophos Facebook page)에 가입하는 것을 잊지 마십시오.

댓글을 달아 주세요

posted by Kwan's 2013. 4. 2. 21:45


피싱(Phishing)은 종종 구식으로 여겨지는데, 기술적인 관점에서, 피싱은 ‘이미 다 겪어본 것’입니다.

그러나 때로는, 평범하지 않은 좀 더 흥미로운(적어도 차이가 나는) 공격을 만나게 됩니다. 이 글에서 나는 최근 몇 개월 동안 우리가 보아온 몇몇 피싱 공격에 사용된 기술들 중 하나를 간단히 살펴볼 것입니다.

대부분의 피싱 공격은 다음 2가지 중 하나로 나눠집니다:

  1. 이메일 메시지 본문 안에 피싱 사이트 링크를 포함한 스팸 이메일. 몇몇 경우에, 메시지 본문에 있는 링크는 사용자들을 피싱 사이트로 재연결 시키는 초기 웹페이지(보통 감염된 웹사이트에서 호스팅됨)를 가리킬지도 모릅니다. 어느 쪽이든, 링크를 클릭하면 사용자들을 결국에는 피싱 페이지로 연결시킵니다.
  2. 피싱 페이지 자체인 HTML 첨부파일을 포함한 스팸 이메일. 소포스 제품들은 이런 첨부파일을 Mal/Phish-A로 차단합니다.

2번째 타입에 있어서, HTML 첨부파일을 만들기 위해 대부분의 공격들은 동일한 기술을 사용합니다:

  • 은행 로그인 페이지와 같이 위조할 웹 페이지에 대한 HTML 소스를 복사.
  • 선택적으로, 이 코드를 난독화함. (아마도 난독화된(obfuscated) JavaScript를 통해 전달)
  • 전송된 데이터가 공격자의 웹 서버로 보내지도록 적절한 HTML 폼으로 수정

지난주 나는 HTML 첨부파일로 스팸메일을 보내고 있는 페이팔(PayPal) 로그인 페이지에 대해 경고를 하였습니다. 하지만 이런 경우에 페이지 안의 HTML form은 모두 합법적인 페이팔 서버를 참고하고 있습니다.

모아진 데이터는 공격자들에게 어떻게 되돌려 보내질까요?

더욱 세밀한 조사로 사용자데이터를 거르는 매우 교활한 방법이 밝혀졌습니다.

그 스팸 메시지 자체는 여러분이 이미 알고있는, 수신인들을 속여 첨부파일을 열도록 시도하는 소셜 엔지니어링입니다.

사용자가 그 첨부파일을 열면, 그것은 페이팔 로그인 페이지처럼 보이는 것을 보여줍니다. 그 HTML 소스를 조사해보면, 그 페이지 안의 변수 form들이 합법적인 페이팔 리소스를 참고하고 있습니다.

하지만 그 페이지는 페이팔이 아닌 서버로부터 의심스러운 JavaScript 컨텐트 form을 담고 있었습니다. 게다가, 그 페이지 안에는 의심스러운(또는 예상치 못한) 빈 iframe이 있었습니다.

원격 JavaScript는 그 공격이 어떻게 이루어지는지에 대한 방법을 드러내었습니다. 그 스크립트는 페이팔 변수 form에 사용자가 입력한 값을 검증하는 데 사용되었습니다.

고객 로그인 폼으로부터 나온 데이터는 변수 cus_data에 일련 되게 저장되었습니다.

그러면, 그 일련의 청구 폼에서 나온 데이터가 변수 cc-data에 일련 되게 저장됩니다.

그러면, 이런 변수들은 동적으로 빈 iframe 엘리먼트에 데이터를 보태면서 공격자들에게 되돌려 보내집니다.

교활하죠! Form 제출 프로세스를 가로채고, iframe을 극적으로 덧붙임으로써, 공격자들은 form 데이터를 그들의 서버로 되돌려 보낼 수 있습니다. 여기에는 다음과 같은 것들이 포함됩니다.

  • Email
  • Password
  • First name
  • Last name
  • Date of birth
  • Citizenship
  • Address
  • Telephone number
  • Credit card number
  • Cvv number
  • Expiry date
  • Sort code
  • Social security number
  • Customer id

왜 이 모든 것에 신경을 썼을까요? 왜 기본 폼을 사용하지 않고 HTML 폼의 타깃을 편집 하였을까요?

이번 공격에 사용된 기술에는 아마도 2가지 이점이 있습니다.

  1. 스팸 메일을 보낸 웹페이지는 혐의를 덜 받을 것입니다. 폼이 예상 밖의 원격 서버를 가리키는 것을 보면 그 페이지가 피싱되었다고 그냥 알려주는 것입니다.
  2. 그 메커니즘으로 인하여 그것들은 다중 폼으로부터 받은 데이터를 포함할 수 있습니다. 고객들이 서로 다른 단계에서 데이터를 입력하는 복합 사이트에 이상적입니다.

나는 이 이야기의 교훈은 ‘구식’ 공격이 완전히 묵살되지는 않는다 것으로 생각합니다. 그것들은 여전히 놀라움을 줄 수 있습니다!

댓글을 달아 주세요

posted by Kwan's 2013. 3. 26. 01:37

http://www.securitytrust.co.kr/bbs/view.asp?tName=tb_sophosnews&RecID=20900


자칭 시리아 전자 부대(Syrian Electronic Army)라는 해킹그룹이 BBC Weather 공식 트위터 계정을 해킹하고 보통 예상하는 전형적인 메시지인 “부분적으로 흐림.. 비올 가능성”이 아닌 몇 가지 이상한 메시지를 남겼습니다.

예를 들면,

북부 시리아에 위험 안개 경고: 에르도간(Erdogan, 터키 대통령)은 민간인 구역에 화학 무기를 살포하라고 테러리스트들에게 명령
이나,
사우디 기상청이 낙타와 정면충돌하여 다운됨
등입니다.

초기 메시지는 자칭 시리아 전자 부대라는 해킹그룹에 의해 BBC Weather가 해킹되었다고 주장하고 있습니다.

@BBCWeather 계정의 합법적인 소유자가 피싱되었던지, 패스워드가 크랙되었던지, 아니면 여러 곳에서 동일한 패스워드를 사용하는 실수를 저질렀던지 현재까지 명확하지는 않지만, 분명한 것은 지금 당장 그들의 계정을 사용할 수 없다는 것입니다.

그러는 동안, 거의 6만 명의 트위터 사용자들이 시리아 전자 부대로부터 일기예보를 받았습니다.

희소식은 그 해킹이 악성링크나 스캠을 배포할 의도로 행해진 게 아닌 것처럼 보인다는 것입니다. 그 대신, 시리아 전자 부대가 시리아에 대한 정치적인 메시지들을 보내려고 하는 것입니다.

우리와 함께 시간을 보내는 것에 감사 드립니다! #Syria에 있는 글로벌 테러리스트 전쟁에 대한 진실을 알고 싶다면, @Official_SEA #SEA를 팔로잉하세요.

명심하십시오. 여러분은 항상 온라인 계정에 대해 웹상 어느 곳에서도 사용하지 않은 예측하기 어렵고, 클랙하기 어려운 독창적인 패스워드를 사용하십시오.

다시 한번 말씀드리지만, 기업브랜드 트위터는 이중 인증과 같은 추가적인 보호레벨을 제공하는 것이 좋을 것 같습니다.

업데이트: BBC는 이번 해킹을 조사하는 중이라고 네이키드 시큐리티에 전헸습니다.

댓글을 달아 주세요

posted by Kwan's 2013. 3. 20. 00:40

http://www.securitytrust.co.kr/bbs/view.asp?tName=tb_sophosnews&RecID=20800

빌 게이츠(Bill Gates)가 공개적으로 수많은 사람들의 사회보장번호(Social security numbers), 주소 및 개인 재정정보 등을 공개하는 웹사이트에 개인 정보가 공개된 가장 최신 유명인사가 되었습니다.

여러 사람들 중에 킴 카다시안(Kim Kardashian)이나 미쉘 오바마(Michelle Obama), 비욘세(Beyoncé) 급에 속하는 유명인사의 개인정보 유출과 마찬가지로, 그것은 3대 신용정보 회사인 엑스페리언(Experian), 이퀴팩스(Equifax), 트랜스유니언(TransUnion)로부터 흘러나온 것처럼 보입니다.

비록 FBI가 “Secret Files” 웹사이트 배후에 누가 있는지 조사 중이라고 말하긴 했지만, 그 사이트는 현재 여전히 접속 가능한 상태입니다.

그리고 그 미스터리한 웹사이트 배후에 누가 있든지 간에, 마이크로소프트 설립자뿐만 아니라 미트 롬니(Mitt Romney)나 타이거 우즈(Tiger Woods), R 켈리(R Kelly)와 같은 더 많은 저명인사의 개인정보가 계속해서 바쁘게 업데이트되고 있습니다.

다시 한번, 우리는 불법적인 정보 유출을 조장할 뿐만 아니라 여러분의 컴퓨터를 맬웨어 공격의 위험에 빠트릴 수 있기 때문에 사용자들이 이 웹사이트에 방문하는 것을 권장하지 않는다는 것을 말씀 드립니다.

한편, 여전히 불분명한 것은 허가되지 않은 사람들이 어떻게 인증도 없이 유명 인사들의 정보에 부정하게 접근하도록 하였는지 입니다.

한 추론은 웹사이트 배후에 있는 자가 그 유명인사들에 대해 인터넷에서 정보를 수집할 수 있었다는 것이고, 그런 다음 그 정보를 이용하여 성공적으로 그들의 타깃(유명인사)인 것처럼 속이고 신용정보에 접근할 수 있었다는 것입니다.

분명히 때가 되면 우리는 알게 되겠지만, 그 사이에 얼마나 더 많은 유명인사들이 스스로 인터넷상에 유출된 자신의 정보를 확인하게 될까요?

댓글을 달아 주세요

posted by Kwan's 2013. 3. 11. 15:08

 

마이크로소프트 Digital Crimes Unit으로부터의 보안 경고로 가장한 맬웨어 공격

Windows 사용자 여러분, 여러분은 컴퓨터 보안을 진지하게 받아드리고 있나요?

만약 그렇다고 하면, 여러분은 Microsoft Digital Crimes Unit으로부터 보낸 것 같은 이메일을 받았을 때는 즉각적인 조치를 취해야 할지도 모릅니다.

하지만, 그것은 사실 큰 실수입니다.

여러분은 마이크로소프트의 DCU(Digital Crimes Unit)가 Zeus와 연관된 봇넷서버를 다운시키기 위해 열심히 작업하였고, 의심스런 맬웨어 제작자를 조사했던 사람들이었다는 것을 기억할지도 모릅니다.

다음은 제목에 “Security”라고 된 스팸 메일의 한 형태입니다.

이메일 사용자 여러분,

새로운 취약점 때문에 여러분의 온라인 상세정보를 빼내려는 해커들에게 악용되고 있습니다.

이에 마이크로소프트 DCU(Digital Crimes Unit)는 2013년 새로운 보안조치를 개발하였습니다.

따라서 인터넷과 마이크로소프트 제품을 사용하는 모든 사용자들은 ISP나 호스팅업체에 상관없이 이메일 계정 정보를 인증받아야 합니다.

해커들이 새로운 취약점을 악용하는 것을 막기 위해 여러분의 이메일 계정을 인증하십시오

첨부된 'Microsoft_STF' 파일을 여러분의 PC에 다운로드하여, 실행하십시오. 그러면 마이크로소프트 보안 데이터베이스에서 업데이트할 것입니다.

만약 여러분의 이메일을 인증하지 않으면, 여러분의 이메일은 해커들이 여러분의 개인이나 회사 이메일 계정을 얻어서 기밀 정보에 접근하는 위험에 놓이게 됨을 유념해 주시기 바랍니다.

2013 Microsoft Digital Crimes Unit

이메일에 첨부된 파일은 Microsoft_STF_install.zip이란 파일입니다. 그런데 상기 이메일에 따르면, “모든 인터넷 사용자들”은 'there'(their의 오타) email account를 인증하기 위해 프로그램을 실행해야 한다고 합니다.

진짜처럼 보이지 않습니까?

바라건대 여러분 대부분은 청하지 않은 이메일은 의심하고 마이크로소프트가 보냈다는 이유로 프로그램을 실행할 만큼 어리석지는 않을 것입니다.

소포스 제품은 그 첨부파일을 Troj/Agent-AANA 트로이목마로 감지합니다.

마이크로소프트 Digital Crimes Unit로 가장하고, 그리고 사용자들을 속여 부지불식간에 그들의 Windows 컴퓨터를 감염시키기 위해 취약점과 맬웨어 감염에 대한 두려움을 이용하는 사이버 범죄의 아이러니에 우리들 중 어느 누구도 정신을 잃어서는 안될 것입니다.

슬프게도, 이런 류의 공포 전술은 분명 몇몇 사람들을 속일 수도 있습니다.

조심하십시오.

P.S. 진짜 Microsoft Digital Crimes Unit에 대한 내용은 여기서 보실 수 있습니다.

댓글을 달아 주세요

posted by Kwan's 2013. 3. 5. 21:58

http://www.securitytrust.co.kr/bbs/view.asp?tName=tb_sophosnews&RecID=20600



이번 주는 보안업계 최고의 엔지니어들이 함께 모이는 최대의 IT 보안 행사인 RSA Conference 2013이 열립니다.

비록 보안(안전)이 행사에 참여하는 모든 이의 마음속 가장 높은 곳에 자리잡고 있다는 것은 명백해 보이지만, 정보 보안 행사도 다른 행사와 마찬가지로 안전하지 않을 수 있다는 것을 북새통에 정신을 놓고 망각하기가 쉽습니다.

우리는 이번 RSA 컨퍼런스나 올해 다른 컨퍼런스에 참가하는 동안 명심해야 할 8가지 보안 팁에 대한 체크리스트를 만들어 보았습니다.

  1. 공개 WiFi 네트워크를 조심하고 가능할 때 VPN을 이용하세요.

    만약 여러분이 암호화 되지 않은 공개 WiFi 연결을 이용하고 있다면, 근처의 다른 사람들도 여러분의 대화를 엿볼 수 있습니다.

    여러분의 기기와 사무실간의 모든 대화를 암호화하는 VPN(virtual private network)을 사용하면 이것을 방지할 수 있습니다. 심지어 공개 WiFi가 암호화되었다 하더라도, 여러분은 그것을 이용 가능하게 한 사람을 알지 못합니다.

    만약 여러분이 공개 WiFi를 이용하여 온라인 서비스에 접속해야만 한다면, 로그인과 데이터 전송시에 HTTPS만을 사용해야 함을 명심하십시오. 안전한 WiFi 서핑에 대한 팁을 확인하시기 바랍니다.

  2. 스마트폰과 태블릿에 대한 패스코드와 보안 소프트웨어를 사용하십시오.

    원격 잠금이나 삭제, 분실이나 도난 기기에 대한 추적 및 맬웨어 보호와 같은 보안 기능을 제공하는 무료 앱들이 많이 있습니다. 안드로이드 사용자들은 소포스의 무료 모바일 시큐리티(Mobile Security) 앱을 검토해 보십시오.

  3. 여러분 기기의 보안 세팅을 점검하십시오.

    여행 중이 아니라면, 우리의 보안 앱이 어떻게 동작하는지, 어떻게 세팅해야 하는지에 대해 느슨해지기 쉽습니다. 하지만, 여러분이 붐비는 컨퍼런스 센터 곳곳에서 정신없이 부산을 떨고 있을 때면, 보통 때보다 더 신속하게 여러분 기기를 잠그기 위해 세팅을 업데이트해 하는 것을 고려하십시오.

  4. 만약 그 기기가 *필요*하지 않다면, 그것을 가져가지 마십시오.

    여러분은 업무용 스마트폰 하나와 개인용 스마트폰 하나를 사용하시나요? 그럼 간단합니다. 하나만 선택하고 다른 하나는 안전하게 호텔방에 보관하세요. 만약 호텔방에 금고가 있다면, 전시장에 가져갈 필요가 없는 모든 기기나 업무문서를 보관하는 데 그것을 사용하십시오.

  5. 판매자에 의해 제공되는 사은품에 마음을 빼기지 않도록 주의하십시오.

    여러분은 마음에 드는 무료 USB키를 받을지도 모르지만, 그것은 모르는 사이에 맬웨어에 감염되게 할지도 모릅니다. 믿거나 말거나, 우리는 호주에서 열린 보안 컨퍼런스인 AusCERT에서도 이런 일이 일어나는 것을 보았는데, IBM이 부주의하게도 하나가 아니라 두 개의 맬웨어에 감염된 무료 USB 드라이버를 제공하였습니다.

  6. 꼭 필요한 경우가 아니라면 회사 데이터에 접근하지 마십시오.

    만약 여러분이 중요한 데이터에 접속할 수 있는 노트북이나 태블릿, USB 드라이브 또는 다른 기기를 가지고 가야만 한다면, 암호화를 해야 함을 명심하십시오. 만약 그 기기가 나쁜 사람들 손에 들어가게 된다면, 여러분은 매우 고마워하게 될 것입니다.

  7. 핸드폰 충전 키오스크와 주스재킹(juicejacking) 위험 가능성에 주의하십시오.

    '주스재킹(Juicejacking)'은 파워/데이터 연결용 핸드폰 어댑터 같은 것을 통해 스마트폰을 해킹하는 것입니다. 우리는 아직 실제로 보지 못했지만 우리가 첫 번째 희생자가 되지는 맙시다.

  8. 편집증 환자들이라면 임시 노트북이나 임시 핸드폰을 이용하세요.

    여러분에 관한 중요한 데이터를 휴대하지 않는 것은 비록 여러분의 기기가 도둑맞거나 해킹 당하거나 하더라도 여러분의 정보가 위함에 처하지 않는다는 것을 의미합니다. 여러분이 집으로 돌아가면, 그 기기의 정보는 삭제 됩니다. 

댓글을 달아 주세요

posted by Kwan's 2013. 2. 27. 16:00

http://www.securitytrust.co.kr/bbs/view.asp?tName=tb_sophosnews&RecID=20500

만약 여러분이 Mac에 대한 맬웨어는 거의 없다고 여전히 생각한다면, 여러분은 쿠퍼티노(Cupertino)에 있는 꽤 유명한 과일 회사(Apple)의 보안 엔지니어와 말하기를 원할지도 모릅니다.

로이터 통신에 따르면, “Apple은 최근에 해커들에 의해 공격을 받았는데, 몇 몇 종업원들의 매킨토시 컴퓨터가 감염되었다.”고 합니다.

좀 더 구체적으로는, Apple 엔지니어들의 Mac OS X 노트북들이 지난주 Facebook을 공격했던 것과 동일한 제로데이(zero-day) Java 취약점에 의해 감염되었습니다.

Apple이 더 루프(The Loop)에 했던 성명서에서 Apple 대변인은 “그 맬웨어는 Apple과 다른 회사들(Facebook이나 Twitter등)을 공격할 때 사용되었고, 소프트웨어 개발자들을 위한 웹사이트를 통해 배포되었다”고 전했습니다.

공개적으로 이용 가능한 정보로부터 이 성명서는 이번 공격이 “워터링 홀 공격(watering hole attack)”으로 알려지게 된 것을 재확인하게 되었습니다.

그 컨셉은 회사를 직접적으로 공격하는 것보다 사람들이 자주 가는 사이트를 감염시키는 게 훨씬 더 쉽다는 것입니다.

Facebook과 Apple의 모든 보호막을 깨려고 시도하는 것은 매우 어렵게 될 것입니다.

하지만 Apple과 Facebook, 그리고 다른 고가치 표적들(high value targets)이 자주 방문할지도 모르는 작은 어플리케이션 개발자들의 웹사이트에 대한 보안을 위협하는 것이 훨씬 더 쉬울지도 모릅니다.

나는 Apple OS X가 온라인 공격의 배후에 있는 범인에 의해 더 이상 간과되고 있지 않는 맬웨어에 의해 타깃이 될 만한 사람들 사이에서 충분히 인기가 있다고 말하는 것이 타당하다고 생각합니다.

“어리석은 Mac 사용자만 자발적으로 맬웨어를 설치할 것이다”라고 말하는 사람들은 Apple 자사의 엔지니어들도 희생자가 될 수 있다는 것을 알게 되면 놀랄지도 모릅니다.

이것은 사용자의 역량이나 사람들이 종종 선택하는 웹사이트의 종류에 대한 것이 아닙니다. 패치되지 않은 취약성은 동일한 방법으로 우리 모두에게 영향을 끼치게 됩니다.

이것이 사용하는 플랫폼에 상관없이 안티바이러스를 필수적으로 사용해야 하는 이유입니다. 또한, IPS와 방화벽을 이용함으로써 네트워크 트래픽을 주의 깊게 모니터링 하는 것도 중요합니다.

그것은 최근 안티 바이러스와 만약 여러분이 감염을 막을 수 없다면, 시작시에 감염을 예방하지만 그것을 감지하는 효과적인 방어시작을 얻게 합니다.

사람들은 종종 그들의 방화벽을 단순한 방어 메커니즘으로 생각하지만, 그것은 법의학적인 목적으로 제공되기도 합니다.

만약 여러분이 Apple이나 Facebook을 이용하고 어떤 데이터가 여러분의 범죄 지배자들에게 수색되었는지 알아야 한다면, 여러분의 모니터링 솔루션으로부터 나온 자세한 로그들이 법의학 수사팀에게 필수적입니다.

2-3년간 로그정보를 유지한다는 것이 힘이 들긴 하지만, 여러분이 만약 감염을 당하게 된다면 그것은 여러분의 문제를 해결하는데 가치가 있을지도 모릅니다.

여러분은 이 결과로서 무엇을 해야 할까요? 만약 여러분이 Mac 사용자라면, 여러분의 컴퓨터를 확실히 패치해야 합니다. Apple은 이번 공격에 대응하기 위해 그날 오후에 자바 맬웨어 제거 툴(Java malware removal tool)을 발표할 것이라고 말하였습니다.

또한, 향후의 모든 공격을 발견하기 위해 안티바이러스를 최신으로 업데이트 하고, 여러분이 매일 매일 웹서핑을 하기 위해 자바가 필요하지 않는다면 브라우저에서 자바를 사용안함으로 하는 것이 좋습니다.

공평하게도, 그 충고는 컴퓨터 사용자들이 Windows나 OS X이나 Linux 어떤 것을 좋아하든지 모두에게 적용됩니다. 많은 시간을 안전한 상태로 있는 것이 편하지는 않지만, 길게 보면 투자할 가치가 있는 것입니다. 

댓글을 달아 주세요

posted by Kwan's 2013. 2. 21. 01:09

http://www.securitytrust.co.kr/bbs/view.asp?tName=tb_sophosnews&RecID=20400


작년 동안, 소포스랩은 이미 패치가 적용된 MS 오피스의 오래된 취약점을 이용하는 중국의 소수민족들에 대한 공격에 대해 이야기를 해 왔습니다.

우리는 과거에 몇몇 공격들을 봐왔습니다.

이번 주 초에는, 에일리언봍트(AlienVault)의 직원이 Mac OS X의 오피스 제품에서 동일한 취약점을 사용한 또 다른 공격을 봤는데, 그것은 서부 터키의 위구르(Uyghur) 족을 타깃으로 하는 것입니다.

MS09-027로 알려진 그 취약점은 마이크로소프트 워드에서 원격 코드 실행을 허용하는 것이었고, 2009년 6월에 마이크로소프트에서 패치를 했었습니다.

그 의미는 패치되지 않은 컴퓨터에서 부비트랩 워드문서를 열면 여러분 Mac에 악성코드를 실행시킬 수 있다는 의미입니다. 여러분이 정신이 없어 워드파일의 내용을 읽게 되면, 맬웨어는 눈에 띄지도 않고 조용히 여러분 컴퓨터에 설치됩니다.

많은 Mac 사용자들은 Mac OS가 어떤 소프트웨어를 설치하기 전에 관리자의 사용자명과 비밀번호를 물어볼 것이라는 희망을 가지고 있겠지만, 그것이 유저랜드(userland) 트로이목마(Trojan)와 같은 공격에는 그런 메시지가 뜨지 않고, 관리자 신원정보를 요구 받지도 않을 것입니다.

왜냐하면 이것은 루트 권한을 요구하는 Mac OS X의 /tmp/ nor /$HOME/Library/LaunchAgents 폴더에 있지 않기 때문입니다. 소프트웨어 어플리케이션들은 어떤 어려움도 없이 userland에서 동작할 수 있고, 심지어 네트워크 소켓을 열고 데이터를 전송할 수도 있습니다.

소포스 제품들은 그 악성 문서를 Troj/DocOSXDr-B로 감지하고 그 맬웨어를 Mac 트로이목마 OSX/Agent-AADL로 감지합니다.

확실히 이번 캠페인 동안에 OSX/Agent-AADL는 약간의 성장이 있었습니다. 왜냐하면 우리가 3개의 서로 다른 버전을 봤기 때문인데, 그 첫 번째 것은 매우 흥미롭습니다.:

트로이목마의 최신 버전에서, 그 기능과 다양한 이름들은 밝혀졌고 그 쉘 스크립트 파일명은 더욱 더 감추어졌습니다.

다시 한번, Mac 사용자들은 그들 컴퓨터의 안전이 만족스럽지 않다는 것을 명심할 필요가 있습니다. 비록 Windows 용 맬웨어보다 Mac용 맬웨어가 훨신 적기는 하지만, 만약 여러분이 이와 같은 공격에 타깃이 된다면 어떤 보상도 없을 것입니다.

Windows 사용자들처럼 Mac 사용자들도 최신 보안 패치에 관심을 기울이고 그들의 소프트웨어를 최신 업데이트로 적절히 유지해야 할 필요가 있습니다.

만약 여러분이 아직 그렇게 하고 있지 않다고 하면, 여러분의 Mac에 안티 바이러스 소프트웨어를 설치하십시오. 여러분이 홈 사용자라면, 우리는 Mac 고객을 위한 무료 안티바이러스를 제안합니다.

댓글을 달아 주세요