이때 해당 파일의 행위 분석뿐만 아니라, 해당 파일의 실행과 관련된 모든 연관 파일의 악성 여부, 평판 정보 및 종합적인 행위를 다차원적으로 분석한다. 또 클라우드 기반의 악성코드 분석 시스템 ‘안랩 스마트 디펜스(ASD)’를 기반으로 알려진 파일 및 알려진 악성코드에 대응, 분석 시스템의 성능 부하는 최소화하고 분석 효율성은 극대화했다.
특히 최근...
악성코드를 심는 방법은 특정 문서 형태를 가장해 사용자의 PC로 침입, 해당 문서와 악성파일을 동시에 내려받도록 하는 것이다.
이번 사태의 경우 악성코드가 백신 프로그램 속 한 파일을 가장해 PC로 침투하며 해당 PC들이 관리서버를 공격한 것으로 보인다.
이번 전산망 마비 해킹사고는 드라마 ‘유령’ 속 스토리와 너무나 닮아 모두를 놀라게 하고 있다. 드라마...
국민카드 관계자는“해당 메일을 받은 고객은 절대 첨부파일을 열지 말고 즉시 삭제해달라”고 당부했다.
악성코드가 담긴 메일을 열면 최근 일부 방송사와 금융사에서 발생한 전산 마비처럼 카드 고객의 컴퓨터뿐만 아니라 직장의 전산망에도 악영향을 줄 수 있는 것으로 알려졌다.
이에 다른 카드사들도 자사로 위장한 악성 메일의 유포 현황을 점검하고 있다....
안랩측은 "APC서버에 버그가 있어 파일을 업로드할 때 계정 정보를 입력하는 인증절차가 없었음에도 인증실패 처리가 되지 않았다"며 "인증실패는 악성코드가 농협 내부 컴퓨터에 침투한 이후의 문제"라고 말했다.
이는 '관리 소홀'에 대한 책임은 인정하면서도 악성코드가 농협 내부 컴퓨터로 처음 유입된 것과 서버의 취약점은 별개라는...
파괴 공격을 일으킨 악성코드 가운데 일부는 이메일 통해 유입된 것으로 드러났다고 보도했다.
신용카드 명세서로 위장한 이메일에 첨부된 HTML 파일이 사실은 악성코드를 설치하는 실행 파일이었다는 것.
지난 1월 31일 악성 파일이 만들어져 이달 초 피해기관 종사자들의 이메일을 통해 해당 PC에 설치된 뒤 내부서버를 통해 다른 PC들도 파괴했다는 것이다.
잉카인터넷은 컴퓨터 시간이 3월 20일 오후 3시 이후부터 MBR 등의 파괴기능을 수행하는 변종 악성코드의 경우 시스템폴더 경로에 ‘schsvcsc.exe’, ‘schsvcsc.dll’ 파일을 생성하고, ‘lsass.exe’ 정상 프로세스에 투입돼 작동한다고 밝혔다.
또 한글 문구 등이 포함된 새로운 변종이 발견돼, 관련성 여부 및 코드분석이 진행 중에 있으며 변종도 꾸준히 발견되고 있다....
지난 20일 발생한 주요 방송·금융사의 전산망 마비 사태와 관련 민·관·군 합동대응팀은 21일 “농협 시스템에 대한 분석 결과, 중국IP(101.106.25.105)가 업데이트 관리 서버에 접속해 악성파일을 생성했음을 확인했다”고 발표한 바 있다.
하지만 하루 뒤인 이날 “전날 발표한 농협 해킹이 의심된 중국IP에 대해 피해서버 접속기록 및 IP 사용현황 등을 정밀...
당초 정부는 지난 20일 발생한 주요 방송·금융사의 전산망 마비 사태와 관련 민·관·군 합동대응팀은 21일 “농협 시스템에 대한 분석 결과, 중국IP(101.106.25.105)가 업데이트 관리 서버에 접속해 악성파일을 생성했음을 확인했다”고 발표한 바 있다.
하지만 하루 뒤인 이날 “전날 발표한 농협 해킹이 의심된 중국IP에 대해 피해서버 접속기록 및 IP 사용현황...
민·관·군 합동대응팀은 21일 “농협 시스템에 대한 분석 결과, 중국IP(101.106.25.105)가 업데이트 관리 서버에 접속해 악성파일을 생성했음을 확인했다”고 발표했다.
하지만 하루 뒤인 22일 “전날 발표한 농협 해킹이 의심된 중국IP에 대해 피해서버 접속기록 및 IP 사용현황 등을 정밀 분석한 결과, 내부 직원이 사내 정책에 따라 사설IP로 사용하고 있는...
민·관·군 합동대응팀은 21일 농협 시스템에 대한 분석 결과 중국IP(101.106.25.105)가 업데이트 관리서버에 접속해 악성파일을 생성했다고 발표했다.
하지만 하루만에 이같은 발표가 뒤집어졌다. 합동대응팀은 22일 해당 중국IP에 대해 피해서버 접속기록 및 IP사용현황 등을 정밀 분석한 결과, 내부직원이 사내정책에 따라 사설IP로 사용하고 있는 것으로 확인됐다고...
정부는 ‘민·관·군 합동대응팀’을 구성, 악성코드를 분석한 결과 중국 IP가 PMS 관리 서버에 접속해 악성파일을 생성한 것으로 확인됐다고 21일 밝혔다.
PMS란 각 기업 내 PC 사용자들이 백신 프로그램을 자주 실행하지 않아 악성코드에 노출되는 점을 예방하기 위해 사내 PC의 보안 업데이트를 정기적으로 실시해주는 서버를 말한다.
한국인터넷진흥원(KISA) 관계자는...
코닉글로리는 전날 방송사 및 금융권에 유포돼 장애를 일으킨 해당 악성파일에 대해 2차 감염 및 이상 징후를 탐지 할 수 있는 긴급 패치를 각 기관에 전달한다고 21일 밝혔다.
이번에 유포된 악성 코드는 부팅 영역을 다른 단어로 값을 덮어써 부팅을 하지 못하게 처리하고 그 상위 데이터까지 모조리 다른 값으로 채워 데이터를 복구 불가능하게 만드는 코드다....
해커가 중국 IP를 거쳐 업데이트 관리 서버에 접속한 후 악성파일을 생성한 사실은 피해 업체 중 하나인 농협에서 확인됐다. 중국을 거쳤다는 점에서 북한의 과거 해킹 사례와 공통점이 있기에 북한의 소행이라는데 더 큰 무게가 실린다. 그러나 최초 공격지점과 공격자 등 구체적인 공격 경로는 아직 확인되지 않고 있다.
대응팀은 현재까지 확인된 사실을 토대로...
방통위중심의 민·관·군 사이버위협 합동대응팀은 21일 "농협시스템을 분석한 결과 중국 IP가 백신 소프트웨어(SW)배포 관리 서버에 접속, 악성파일을 생성했음을 확인했다"고 공식 발표했다.
즉 중국을 경유,북한에서 해킹을 시도했을 가능성이 매우 높다는 설명이었다.
문제는 이에 앞서 안랩이 업데이트 관리서버(PMS) 관리자의 아이디와 패스워드 등이...
또 방통위는 농협 시스템에 대한 분석 결과, 중국 IP(101.106.25.105)가 업데이트 관리 서버에 접속해 악성파일을 생성했음을 확인했다.
추가 피해 차단을 위해 안랩, 하우리 및 잉카인터넷 등 백신업체와 협조, 전용 백신을 긴급개발해 한국인터넷진흥원 보호나라 홈페이지 등을 통해 무료 배포한 한편 국가 공공기관, 교통, 전력 등 국가기반시설, 금융사, 병의원 등...
하우리 김희천 대표는 “해커가 악의적인 목적으로 백신 프로그램 파일을 변조한 것으로 보인다”면서 “악성코드 감염 후 디스크 손상으로 인한 부팅불가 증상 발생, 파괴가 유발됐다”고 설명했다.
안랩 역시 “내부 중간 점검 결과, 해커들이 백신 프로그램의 취약점을 악용해 해킹을 한 것으로 보인다”고 밝혔다.
이처럼 해당 백신 프로그램을 위장한...
업체측은 “정상 파일로 위장한 악성코드가 특정 언론사와 금융기관에 침투한 뒤 하위 클라이언트 사용자까지 내려가 실행돼 전산망 마비를 일으켰다”며 “이렇게 위장한 악성코드가 PC의 부팅영역(MBR) 파괴, 드라이브 파디션 정보 파괴를 일으켰다”고 설명하며 파괴된 정보 복구는 불가능할 것으로 진단했다.
하우리 김희천 대표는 “엔진 업데이트 서버가...
사태와 관련 “해커가 지능형지속공격(APT) 공격으로 업데이트 서버 관리자의 아이디와 비밀번호를 탈취한 것으로 추정된다”며 “업데이트 서버 자체의 취약점 때문에 이번 사태가 벌어진 것은 아니다”라고 입장을 밝혔다.
하우리 역시 “이번에 발견된 악성코드가 자사의 백신 프로그램인 ‘바이로봇’의 구성모듈 파일인 ‘othdown.exe’로 위장했다”고 전했다.
민·관·군 사이버위협합동 대응팀에 소속돼 이번 악성코드를 분석하고 있는 보안업체 잉카인터넷은 20일 악성파일 내부에 포함된 파괴일시가 2013년 3월 20일 오후 2시부터라고 밝혔다.
또 이번 전산망 마비와 관련한 전용백신을 홈페이지(www.nprotect.com)를 통해 무료로 배포하고 있다고 덧붙였다. 이 전용 백신은 MBR 손상을 막아주는 기능을 한다.
이를 통해 외형적으로 다르지만 본질적으로는 같은 종류의 변종 및 신종 악성 파일을 더욱 정교하게 진단할 수 있다.
‘악성 통신 검사 장치 및 방법’은 최근 사회적 문제가 되고 있는 피싱 문자 또는 피싱 전화, 그리고 익히 알려진 스팸 문자, 스팸 전화 등의 각종 악성 통신을 차단하기 위한 기술이다. 이번 특허기술을 통해, 피싱 및 스팸 문자와 전화 등의 각종 악성...