최근 보안동향 (18) 썸네일형 리스트형 클릭픽스(ClickFix)에 대해서 1. ClickFix 란?‘복사-붙여넣기’ 기법을 활용한 가짜 팝업 메세지로, 팝업의 버튼을 클릭하면 악성코드나 악의적 프로그램이 다운로드 되는 형태의 공격이다. *이전부터 유사한 공격방식으로 ClickFix공격이 행해지고 있는데, 그 중에서도 2025.3.25 기준 최근 사용되고 있는 공격방식인 "Booking[.]com 가짜 이메일을 보내는 형태"이다.2. 공격 형태① Booking[.]com을 이용한 게스트 중 부정적인 리뷰를 남기고 그에 따른 답변을 요청한 게스트인 척하여 악성 이메일을 보낸다. 메시지 안에는 수신자를 예약 사이트로 안내하는 링크나 PDF 첨부파일도 포함되어 있다.② 클릭하면 정식 Booking[.]com 페이지를 모방하여 디자인된 배경에 겹쳐진 가짜 CAPTCHA 확인 페이지로 .. 캐시미르블랙(KashmirBlack) 봇넷에 대해서 1. 캐시미르블랙(KashmirBlack) 이란? 암호화폐 채굴과 스팸, 웹사이트 변조 공격을 위해 개발된 봇넷 ->워드프레스(WordPress), 줌라(Joomla), 드루팔(Drupal)기반 웹사이트들을 감염시킴 2. 캐시미르블랙의 특징 ①모듈 방식의 인프라 구조를 지님 ②드롭박스(Dropbox), 깃허브(Github)와 같은 클라우드 서비스에 C&C를 마련해 고루 사용함 ->필요한 파일을 저장하고 통신 부하의 균형을 잡음 ③이미 공객된 취약점들을 익스플로잇하여 주로 인기 높은 CMS 플랫폼을 공략 참고 : www.boannews.com/media/view.asp?idx=91996&page=8&kind=1 www.imperva.com/blog/crimeops-of-the-kashmirblack-bot.. 록랫(RokRAT) 랜섬웨어에 대해 북한의 APT37, 바이러스토탈에 악성 워드 문서를 활용한 공격 ->RokRAT을 주입하기 위해, VBA 자체 디코딩 기술을 사용 ->악성 매크로는 다른 매크로 내에서 인코딩 된 다음 동적으로 디코딩되어 실행 ※ unpacker stub (자체 디코딩 기술) : 문서를 열 때 악성 매크로의 압축을 풀고 디스크에 기록하지 않고 Microsoft Office의 메모리에 기록 ->여러 보안 메커니즘을 쉽게 우회 가능 1. 록랫(RokRAT) 랜섬웨어란? 클라우드 기반 원격 접근 트로이목마(RAT)로, 피해자의 시스템으로부터 여러 가지 정보를 추출해 여러 공공 클라우드 서비스에 저장 -> 피씨클라우드(PcCloud), 드롭박스(Dropbox), 박스(box), 얀덱스(Yandex)와 같은 서비스들이 주로 활용 .. 블루크랩(Js.BlueCrab) 랜섬웨어에 대해 1. 블루크랩(Js.BlueCrab) 랜섬웨어란? 다운로드 페이지를 위장한 피싱 페이지로부터 유포 ->최근 '유튜브 영상 고화질 다운로드'로 위장한 피싱 사이트에서 '블루크랩 랜섬웨어'를 유포하는 사례가 발생 2. 공격방법 ①공격자는 취약한 웹서버를 탈취 후 '유튜브 영상 고화질 다운로드'라는 키워드를 이용한 악성 게시글을 업로드 ②사용자가 검색 사이트에 영상 고화질 다운로드 관련 키워드를 입력하면 검색 사이트 결과에 공격자가 제작한 피싱 사이트가 노출 ->사용자가 피싱 사이트에 접속해 다운로드 링크를 클릭하면 압축파일 형태(.zip)의 파일이 다운로드 ③압축해제 후 자바스크립트 형태(.js)의 파일을 실행하면 '관리자 권한'을 요구하는 팝업창이 나타나고 '예'를 누를 경우, 사용자의 PC가 '블루크랩 .. 블리딩투스(Bleeding Tooth) 취약점에 대해 1. 블리딩투스(Bleeding Tooth)란? -> CVE-2020-12351 리눅스 커널 5.9 이전 버전의 경우 블리딩투스 취약점에 노출되어 있다. 인증 과정을 통과하지 않은 사용자가 장비 근처에서 디도스 공격을 하는 취약점 2. 블리딩투스 취약점의 특징 '제로 클릭 공격'을 가능하게 한다. ->피해자가 특정 링크를 누르거나 파일을 열지 않아도 공격이 성립한다. 3. 블리딩투스 공격 ①공격자는 공격 대상자의 Bluetooth 범위 내에서 악용하며, 대상 장치의 bd 주소를 알고 있다 ②이 점을 이용하여, 공격자는 악의적인 l2cap 패킷을 전송한다. -> 서비스 거부 또는 커널 권한으로 임의 코드 실행이 가능해진다. 4. 대안책 리눅스 커널을 5.10 이상 버전으로 올리는 것 *업데이트 권고 5. .. 미라이형 loT 멀웨어 틴트(Ttint)에 대해 1. 틴트(Ttint) 봇넷이란? 원격 접근 트로이목마(RAT)로, 미라이(Mirai)를 기본으로 하고 DDoS 공격기능을 탑재하고 있는 봇넷이다. ★미라이(Mirai) loT 장비를 해킹하여 DDoS공격을 발생시키는 악성코드이다. ->차별점 : 웹 소킷 프로토콜을 사용한다 2. 공격 기능 ①소켓5(Socket5) 프록시 기능 ②라우터 DNS 조작 기능 : 영향을 받는 라우터 장치아래에서 사용자의 네트워크 접근을 가로채어 중요한 정보를 감시하거나 훔칠 수 있다. ③iptable 조작 기능 : 조작을 통해, 트래픽 포워딩(forwarding)과 target address 변환을 쉽게 달성할 수 있다. ④시스템 명령어 실행 기능 : popen 함수를 통해 C2에서 실행한 사용자 지정 시스템 명령을 실행한다 .. 블랙에너지(BlackEnergy) 3 멀웨어 1. 블랙에너지(BlackEnergy) 3 멀웨어를 사용한 사례 2016년 우크라이너의 전력 발전소에 악성코드를 통해 대규모 정전사태를 일으킴 2. 공격 방안 ①스피어피싱 이메일을 통해 멀웨어를 뿌림 ②이메일을 통해 블랙에너지 3 멀웨어는 패치가 되지 않은 오피스가 설치된 시스템을 찾아 매크로를 발동 (네트워크 스니핑을 하기위해) ③매크로를 이용하여 페이로드를 시스템에 퍼트림 ->이를 통헤, 로그인 정보를 포함한 많은 정보를 획득 ④또한 킬디스크(KillDisk)라는 디스크 삭제 멀웨어가 함께 사용 ->이를 통헤, 수동 통제로 전환되고 시스템 전체가 약해짐 (air-gap(망분리)처리되었어야 할 시스템이 인터넷에 연결되어 있었음) ★대립 되는 의견 "정말로 정전을 직접 일으킬 정도로 블랙에너지 멀웨어와 .. 틱톡 프로(TikTok Pro)에 대해 1. 틱톡 프로(TikTok Pro)란? 틱톡이 언제 금지될지 몰라 걱정하고 있는 사용자들의 심리를 노려서 각종 정보를 훔쳐가는 멀웨어이다. ※더욱 본격적인 스파이 기능을 갖춘, 프리미어급 멀웨어가 설치된다. 2. 공격방법 ①새 버전의 틱톡 광고를 하고 다운을 유도하는 메시지를 살포한다. ②링크를 클릭한 사용자의 장비에 멀웨어가 설치된다. ③실행 시, 페이스북 크리덴셜(credential)을 입력하라는 안내와 함께 여러 권한 허용 팝업창이 뜬다. ->페이스북 로그인 정보는 /storage/0/DCIM/.fdat에 저장되고 C&C서버로 전송된다. ④넘어간 크리덴셜은 여러 권한을 통한 스파잉이 시작된다. ⑤가짜 경고 창을 띄우고 피해자가 이 경고 내용에 신경을 쓰는 동안 앱의 아이콘이 삭제된다. ->사용자는.. 크립토시뷸(KryptoCibule)에 대해 1. 크립토시뷸(KryptoCibule)이란? 암호화폐와 관련된 세 가지 유형의 공격을 실시가능한 멀웨어 패밀리. 토르(Tor)네트워크만이 아니라 비트토렌트(BitTorrent) 프로토콜, 트랜스미션(Transmission)이라는 토렌트 클라이언트, 아파치(Apache) httpd, 부루(Buru) SFTP 서버를 공격에 활용한다는 특징을 가지고 있다. 주로 해적판 소프트웨어와 영화, 게임 등을 통해 퍼지고 있다. (2020-09-04 기준, 피해자들은 체코와 슬로바키아에서 나타나고 있다.) 2. 네 가지 암호화폐 관련 공격 기술 ①모네로(Monero) 채굴 ②이더리움(Ethereum) 채굴 ③암호화폐 지갑 주소를 클립보드에서 바꿔치기 함으로써 송금을 엉뚱한 곳으로 유도하기 ④암호화폐와 관련된 파일들 훔.. 다르마(Dharam) 랜섬웨어에 대해 1. 다르마(Dharam) 랜섬웨어란? 사용자가 해당 가짜 설치파일을 실행하면 랜섬웨어에 즉시 감염되어 사용자 PC내 파일이 암호화되고 사용자 PC에 설정된 '윈도우 시스템 복원 지점'을 삭제해 사용자의 시스템 복구를 방해한다. 이후 파일 복구 대가로 비트코인을 요구하는 화면(랜섬노트)이 나타난다. 공격자는 이 랜섬노트에 '언제 연락하는 지에 따라 금액이 변한다'고 적어 가격흥정도 시도한다. 2. 유포방식 공격자는 파일 생성 날짜, 속성 등을 변경.관리하기 위한 특정 외산 프로그램(프리웨어)의 실행파일을 위장해 이메일, 파일공유 사이트(P2P)등으로 다르마 랜섬웨어를 유포한다. 3. 최근 '이란 아마추어 해커'들이 다르마 랜섬웨어를 이용한 방식 처음에는 APT 공격자들이 주로 사용해 왔으나, 2020년 .. 이전 1 2 다음 목록 더보기
