통합검색
'' 검색결과는 총 125 건 입니다.
2023년 9월 상위 랜섬웨어 그룹 (출처 : cyfirma) Cactus 랜섬웨어란 2023년 3월에 대규모 상업 조직을 표적으로 삼는 새로운 변종 랜섬웨어 Cactus 가 등장 하였습니다. 이 랜섬웨어의 고유한 이름인 Cactus는 이 랜섬웨어가 남긴 랜섬노트 Cactus.readme.txt파일 이름에서 유래되었습니다. Cactus는 Lockbit3, LostTrust, Alphv, Ransomedvc등과 함께 9월 상위 5개의 랜섬웨어 그룹 안에 속할 정도로 상당한 위협이 되었습니다. Cactus는 원격 사용자와 네트워크 간의 보안 연결을 설정하는데 사용되는 가상 사설망인 VPN 어플라이언스의 취약점을 악용하여 피해자의 시스템에 대한 초기 액세스 권한을 얻습니다. 이러한 취약점에는 소프트웨어 버그, 약한 암호화 프로토콜 등이 있습니다. Cactus는 다른 랜섬웨어와 마찬가지로 데이터를 훔치고 파일을 암호화는 일반적인 방법을 사용하지만, 탐지를 피하기 위해 다른 방법을 추가하였습니다. 배치스크립트와 7-Zip을 이용한 암호화를 사용하여 바이너리를 보호함으로써 백신 소프트웨어를 통한 바이러스 탐지를 어렵게 합니다. Cactus 랜섬웨어의 공격 기법, 절차( 출처 : Kroll )Cactus 랜섬웨어가 시스템을 감염시키는 방법 Cactus 랜섬웨어는 VPN 어플라이언스의 알려진 취약점을 활용하여 네트워크에 대한 무단 액세스 권한을 얻습니다. 이러한 취약점을 통해 랜섬웨어는 대상 시스템에 침투하는 길을 찾습니다. 네트워크 내부로 들어가면 Cactus 랜섬웨어는 한 장치에서 다른 장치로 이동하면서 측면으로 확산됩니다. 네트워크 보안의 약점, 취약한 비밀번호 또는 패치 되지 않은 소프트웨어를 활용하여 여러 시스템에 대한 제어권을 얻습니다. Cactus는 Chisel, Rclone, TotalExec 및 Scheduled Tasks와 같은 도구를 사용하여 공격 활동을 수행합니다. Chisel은 공격자가 초기 침투에 성공한 장치와의 통신을 하는 것을 은폐하고, msiexec.exe를 사용하여 바이러스 백신 소프트웨어를 제거합니다. Rclone은 클라우드 스토리지 솔루션으로, 민감한 데이터를 클라우드 저장소로 전송 합니다. TotalEXec.ps1이라는 스크립트와 psExec를 사용 하여 관리자 계정 설정 및 랜섬웨어 페이로드 추출 등 배포 설정을 자동화 합니다. Cactus의 랜섬노트 ( 출처 : salvagedata ) Cactus 랜섬웨어의 암호화 과정 블랙리스트에 없는 탐색된 각 디렉터리에 랜섬노트를 생성하고 파일의 경로를 표준화된 형식의 경로로 변환합니다. 파일이 암호화에서 제외된 디렉터리에 속해 있는지, 제외된 파일인지, 제외된 파일 확장자를 가지고 있는지 확인합니다. 이러한 조건 중 하나라도 해당되면 파일을 건너뛰고 다음 파일로 진행합니다. 어떤 조건도 충족되지 않으면 단계에 따라 파일을 암호화 합니다. 암호화할 파일의 이름에 확장자.cts0을 추가합니다. AES-256-CBC 암호화 알고리즘을 사용하여 파일을 암호화하고, 키는 RSA-4096 암호화 알고리즘을 사용하여 암호화됩니다. 원본 소스 파일을 암호화된 버전으로 바꾸고 파일 확장자를 .cts0에서 cts1로 변경 합니다.Cactus의 랜섬노트 Cactus.readme.txt에는 암호화된 메시징 플랫폼인 TOX.chat을 통해 공격자와 협상할 수 있는 방법에 대한 정보가 포함되어 있으며, 암호화된 파일을 복구하기 위한 암호 해독키를 대가로 몸값을 지불하라는 지침과 요구사항이 포함되어 있습니다. 결론 랜섬웨어는 수년 동안 모든 규모의 기업에 가장 큰 위협 중 하나였으며, Cactus 랜섬웨어는 위협 행위자가 최선의 방어 수단을 뚫으려고 계속해서 진화하는 방식을 보여주는 예시 중 하나입니다. 모든 새로운 방어 메커니즘을 통해 사이버 위협 환경은 점점 더 정교해지고 있습니다. 따라서 새로운 위협을 파악하여 징후를 인식하고 시스템을 적절하게 방어하는 것이 중요합니다.Cactus 랜섬웨어의 공격을 방지하는 방법• 출처를 알 수 없는 이메일의 첨부파일을 열지 않습니다. • 안전하다고 확신하지 않는 한 광고를 클릭하지 않습니다.• 의심스러운 웹사이트에 접근하거나 파일을 다운받지 않습니다.Cactus 랜섬웨어에 감염 되었을 경우• 인터넷 연결을 끊고 연결된 모든 장치를 제거하여 감염된 컴퓨터를 격리합니다.• 시스템을 다시 시작하거나 종료하지 않고, 랜섬노트의 스크린샷, 위협 행위자와의 통신, 암호화된 파일의 샘플, 드로퍼 파일, 등 공격 에 대해 가능한 모든 정보를 수집하여야 합니다. 이는 전문가가 데이터를 해독하거나 작동방식을 이해하고, 공격자를 찾는 것에 도움이됩니다. 이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
<2023년 5월 상위 랜섬웨어 그룹><LostTrust 랜섬웨어의 표적이 된 국가>LostTrust 랜섬웨어란위협적인 최신 랜섬웨어 중 하나는 2022년에 출시되어 제한된 수의 12명의 피해자를 기록한 후 자취를 감춘 랜섬웨어인 MetaEncrypotr의 리브랜딩으로 여겨지는 LostTrust입니다.LostTrust의 주요 목표는 데이터를 암호화 하여 피해자가 액세스할 수 없도록 하는 것 입니다. LostTrust는 MetaEncrypotr와 거의 동일한 데이터 유출 사이트 및 암호화 콘솔을 사용하지만 피해자의 수가 더 많고 보다 공격적인 전략을 가지고 있습니다.최근 상위 랜섬웨어 그룹에서 79명의 피해자에게 영향을 미친 Lockbit3의 뒤를 53명의 피해자에게 영향을 미친 LostTrust가 바짝 쫓았습니다. LostTrust 랜섬웨어는 여러 산업을 표적으로 삼으며, 의료 및 교육기관에 대한 공격도 포함이 되었습니다. 미국을 표적으로 한 공격이 많았으며, 선진국의 귀중한 데이터와 리소스를 활용하여 재정적 이익을 극대화하기 위한 것으로 보입니다. <LostTrust 암호화 콘솔 (출처:medium)><LostTrust에 의해 암호화된 파일들 (출처:howtofix)>LostTrust 암호화암호화는 특정한 경로를 암호화는 –-onlypath와, 공유된 네트워크를 암호화 하는 –-enable-shares를 통해 실행이 됩니다. LostTrust 랜섬웨어는 피싱 이메일, 악성 첨부 파일, 가짜 소프트웨어 업데이트, 손상된 사이트 등 다양한 방법을 통하여 전달될 수 있으며, 장치가 감염이 되어 암호화가 시작이 되면 암호화 프로세스 의 현재 상태를 표시하는 콘솔이 열립니다. 암호화 콘솔에 METAENCRYPING 문자열을 통해 LostTrust 암호화 콘솔이 MetaEncrypotr의 암호화 콘솔을 수정하여 사용하고 있다는 것을 알 수 있습니다.LostTrust 랜섬웨어는 Windows 장치를 대상으로 하며, 문서, 이미지, 비디오, 데이터베이스, 아카이브 등과 같은 다양한 유형의 파일들을 암호화 합니다.LostTrust가 실행이 되면 수많은 Windows 서비스를 비활성화 하고 중지하여 모든 파일을 암호화 할 수 있도록 합니다. 또한 Microsoft Exchange와 관련된 추가 서비스를 비활성화 하고 중지합니다. 파일을 암호화 할 때 암호화 콘솔은 암호화 된 파일 이름에 .losttrustencoded 확장자를 추가합니다. 결론LostTrust 랜섬웨어는 데이터를 암호화 하고 암호 해독 키에 대한 몸값을 요구하는 새로운 랜섬웨어 입니다.몸값을 72시간 이내에 지불 하지 않으면 데이터 유출 사이트에서 데이터가 유출 될 가능성이 있으며, MetaEncrypotr와 거의 동일한 데이터 유출 사이트와 암호화 콘솔을 사용하는 MetaEncrypotr의 리브랜딩 랜섬웨어로 여겨집니다. 이 위협으로부터 보호하기 위해서는 아래와 같은 방법들이 있습니다.LostTrust 랜섬웨어로 부터 데이터를 보호하는 방법• 데이터를 외장 드라이브 또는 클라우드 서비스에 정기적으로 백업합니다.• 바이러스 백신 소프트웨어를 사용하고 정기적으로 업데이트 하며, 장치에서 맬웨어 또는 의심스러운 활동이 있는지 검사합니다.• 온라인 계정에 강력한 암호를 사용하고 주기적으로 변경하며, 중요한 서비스에 대해 2단계 인증을 설정합니다.• 오래되거나 지원하지 않는 소프트웨어 버전을 사용하지 않으며, 응용 프로그램과 시스템을 정기적으로 업데이트 합니다. 이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
2022년 Infostealer 멀웨어 상위 제품들의 분포(출처 : magnetforensics)2022년과 2023년 Infostealer 멀웨어의 분기별 피해량 (출처 : Uptycs)Infostealer 멀웨어Infostealer 멀웨어는 네트워크나 시스템에 몰래 침투하여 민감한 정보를 훔치는 악성 소프트웨어 입니다. 개인정보, 금융자격증명, 로그인 자격증명, 웹 검색 기록 등 악의적인 목적으로 사용될 수 있는 중요한 데이터를 은밀하게 훔칩니다. 이는 신원 도용, 금전적 손실, 중요한 데이터에 대한 무단 액세스로 이어질 수 있어 개인, 기업, 조직에 심각한 위협이 됩니다. 2023년 1분기에는 지난해 같은 분기에 비해 Infostealer의 피해량이 2배 이상 증가한 것으로 나타났습니다. 누구나 다크웹에서 Infostealer 멀웨어를 싼 값에 구할 수 있고, 높은 수준의 기술이나 지식이 필요하지않아 쉽게 배포 할 수 있는 점과 텔레그렘과 같은 암호화된 통신 플랫폼에서 도난당한 데이터를 사고 팔 수 있어 빠르게 증가하게 2022년과 2023년 Infostealer 멀웨어의 분기별 피해량 ( 출처 : Uptycs ) 되었습니다. 피싱 메일을 통한 Infostealer 전달과정 (출처 : calyptix)피싱 이메일을 통한 Infostealer 멀웨어 전달 방법 피싱 이메일은 악성 첨부파일을 다운로드 하도록 유도합니다. 가장 일반적인 유형의 악성 첨부 파일은 .doc, .zip 파일로 나타납니다. 메일에 내용에는 첨부파일을 열도록 유도하는 내용이 포함되어있습니다. 또한 합법적으로 보이는 사이트에 대한 링크가 포함된 이메일을 생성하여 자격 증명 손실 또는 멀웨어 설치를 유도합니다. 사용자가 안전하지 않은 웹 사이트를 로드하는 이메일의 링크를 클릭하면 웹 페이지는 공격자에게 기밀 정보에 대한 엑세스 권한을 부여하는 자격증명을 요청하거나, 사용자의 컴퓨터에 멀웨어를 다운로드 합니다. 악성콘텐츠를 통한 Infostealer 멀웨어 침투 (출처 : silentpush) 악성 광고를 통한 Infostealer 멀웨어 침투 (출처 : mayinmavachhcm)광고와 소셜미디어를 통한 Infostealer 멀웨어 전달 방법비즈니스에서 주로 사용하는 정식 소프트웨어에 관심이 있는 사용자를 노려 정상으로 보이는 광고를 제출한 후, 평판이 좋은 웹 사이트에 노출시키거나, 검색엔진 결과 상단에 악성 사이트에 대한 링크를 유료로 삽입하여 사용자의 클릭을 유도 합니다. 사용자가 클릭하면 소프트웨어를 다운받는 웹 사이트로 연결되어 사용자가 멀웨어로 위장한 소프트웨어를 다운받게 됩니다. 다른 방법으로는 평판이 좋은 소셜 미디어 계정을 이용하여 악성 웹사이트로 사용자를 안내하는 자료를 게시합니다. 사용자는 아무 의심없이 악성 사이트를 방문하고, 멀웨어는 사이트에서 다운로드되어 사용자가 무의식적으로 실행하도록 합니다 결론Infostealer는 기술에 익숙하지 않은 범죄자가 기업 및 개인 사용자의 시스템을 손상시킬 수 있는 효과적인 방법입니다. 많은 기업들이 하이브리드 작업에 의존하고 전자적으로 비즈니스를 수행하는 새로운 방법을 찾고 있음에 따라 Infostealer의 위험 은 앞으로 더욱 심각하고 증가할 것입니다.Infostealer의 위협을 완화하기위한 방법은 아래와 같습니다.• 장치에 바이러스 및 멀웨어 방지 소프트웨어를 설치하고 최신버전의 상태로 유지하여 위협을 탐지하고, 차단합니다.• 운영 체제, 응용프로그램 및 소프트웨어를 정기적으로 업데이트하여 보안 취약성을 패치 합니다.• 알 수 없거나 의심스러운 출처에서 온 이메일의 첨부 파일을 다운로드 하거나, 링크를 클릭할 때는 주의해야 합니다. • URL에 HTTPS가 있는 보안 웹 사이트를 선택하고, 민감한 정보를 온라인으로 입력할 때는 주의해야 합니다. • 직원과 사용자는 피싱 및 사회 공학 기술에 대해 인지하여, 이러한 공격에 당하지 않도록 합니다. 이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
<Rhysida 랜섬웨어의 표적분야 (출처 : check point research)><Rhysida 랜섬웨어의 표적 국가 (출처 : socradar)> Rhysida 랜섬웨어2023년 5월 자신을 네트워크 및 시스템 내에서 보안 약점을 찾아주는 사이버 보안 팀 으로 설명하는 랜섬웨어 Rhysida가 처음 발견되었습니다.피해자의 대부분은 미국, 영국, 이탈리아, 스페인 오스트리아 에 거주하였으며, 이전에는 교육, 정부, 제조, 기술 산업 등을 표적으로 삼는 것으로 알려진 Rhysida는 최근 도덕적 갈등때문에 대부분의 랜섬웨어 그룹이 피하는 의료 및 공중 보건 조직도 공격하기 시작하였습니다.Rhysida 랜섬웨어 그룹의 유명한 피해로는 칠레 육군에 대한 공격과, 미국 전역의17개의 병원, 166개의 클리닉에 영향을 미친 공격에 연관이 있어, 미국 보건복지부가 Rhysida 랜섬웨어를 의료 부문에 큰 위협으로 지정한 사건이 있습니다. <Rhysida 랜섬웨어의 공격 과정 (출처 : trendmicro)><Rhysida 랜섬웨어의 공격 과정 (출처 : trendmicro)> Rhysida 랜섬웨어의 공격 과정 Rhysida 랜섬웨어는 일반적으로 피싱을 통해 피해자의 컴퓨터에 접근한 후, 시스템 내 Cobalt Strike를 사용하여 측면 이동을 합니다. 그리고, PsExec을 실행하여 PowerShell 스크립트와 Rhysida 랜섬웨어의 페이로드를 배포하고, Trojan.PS1.SILENTKILL.A로 탐지된 PowerShell 스크립트 g.ps1은 공격자가 바이러스 백신 관련 프로세스 및 서비스 종료, 원격 데스크톱 프로토콜 구성 수정, 디렉토리 암호화를 활성화 합니다.암호화에는 4096비트 RSA키와 AES-CTR을 사용하며, 암호화에 성공하면 .rhysida로 확장자명이 변경이 되고, 랜섬노트인 CriticalBreachDetected.pdf를 생성합니다. pdf문서 파일에는 특정 Tor 웹 브라우저를 이용하여 Rhysida 홈페이지 접속을 유도하고, 암호화 해제 협상을 위해 랜섬 노트에 제공된 고유 토큰을 사용하여 연락합니다. <Rhysida 랜섬웨어 암호화 알고리즘 (출처 : secplicity)><Rhysida 랜섬웨어 암호화에 제외할 디렉터리 목록 (출처 : secplicity)> Rhysida 랜섬웨어의 암호화 과정 1. init_prng(&prng, &PRNG_IDX)Chacha20의 특성을 정의합니다. 2. RSA-4096 공개 키를 가져옵니다.3. AES 암호화 암호를 등록합니다. 4. 다음으로 설정된 CIPHER 상수를 정의합니다.5. CHC(Cipher Hash Construction) 해시 유형을 등록하여 사용자가 블록 암호를 사용하고 이를 해시 함수로 변환할 수 있도록 합니다.6. AES를 CHC 해시의 블록 암호로 등록합니다.7. HASH_IDX결과 CHC 해시에 대한 상수 세트를 정의합니다 . 암호화 제외 대상은 운영 체제가 작동하는데 필요한 대부분의 시스템 디렉터리와, .bat .bin .cab .cmd .com .cur .diagcab .diagcfg, .diagp kg .drv .dll .exe .hlp .hta .ico .lnk .msi .ocx .ps1 .psm1 .scr .sys .i ni Thumbs.db .url .iso .cab등의 확장자 입니다. 결론Rhysida 공격의 심각성을 고려할 때, 조직이 시스템과 데이터를 보호하기 위한 사전 조치가 중요합니다. Rhysida 랜섬웨어를 방어하기 위한 몇 가지 보안 권장 사항은 다음과 같습니다.1. 최소 권한 원칙 사용자 및 애플리케이션의 액세스 권한을 최대한 제한합니다. 이를 통해 랜섬웨어가 파일을 암호화하거나 네트워크 전체에 확산되는 데 필요한 액세스 권한을 얻는 것을 방지할 수 있습니다.2. 네트워크 분할 네트워크를 분할하면 네트워크의 한 부분이 손상된 경우 랜섬웨어의 확산을 제한할 수 있습니다.3. 방화벽 및 침입 탐지 시스템의 사용방화벽 및 침입 탐지 시스템은 의심스러운 활동을 탐지하고 차단하는 데 도움이 되며 잠재적으로 심각한 피해를 입히기 전에 공격을 중지할 수 있습니다. 4. 피싱 인식 교육 Rhysida는 랜섬웨어를 전파하기 위해 피싱 캠페인을 자주 사용하므로 모든 직원에게 정기적인 피싱 인식 교육을 제공하여 피싱 시도를 인식하고 방지하는 데 도움이 될 수 있습니다. 이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
간호사 호출 시스템, 주입펌프 등 최대 사이버 보안 위험
<글로벌 의료 커넥티드 디바이스 시장의 성장 예상 그래프( 출처 : appinventiv)><의료 부문 IoMT 장치의 취약점 분석> 의료 기관 커넥티드 디바이스의 사이버 보안 최근 몇 년 동안 의료 부문 전반에 걸쳐 기술 발전이 가속화 되었습니다. 이러한 기술 혁신의 물결로 인해 환자의 치료 개선과 만족도를 높이는 등의 장점도 있지만, 의료 업계가 사이버 보안 공격에 표적으로 노출 될 위험이 커졌습니다. 7만 개 이상의 IoMT 장치를 배포할 것으로 예상되며, 이는 2021년보다 훨씬 증가한 수치입니다. IoMT 장치의 데이터를 포괄적으로 분석한 결과, 간호사 호출 시스템이 39%의 패치되지 않은 심각한 취약점을 가지고 있어 의료부문에서 가장 위험한 IoMT 장치로 나타났습니다. 두번째로 위험한 IoMT 장치는 주입 펌프로, 27%의 패치되지 않은 심각한 취약점을 가지고 있다고 나타났습니다. 세번째로 위험한 IoMT 장치는 약물 분배 시스템으로 4%가 패치되지 않은 심각한 취약점을 가지고 있다고 나타났습니다. 또한 약물 분배 시스템의 32%는 지원되지 않는 Windows 버전에서 사용이 되고 있으며, IoMT 의료기기의 19%가 지원되지않는 OS 버전에서 사용이 되는 것으로 나타났습니다. 의료 기관 커넥티드 디바이스 공격 방식의료기관의 커넥티드 디바이스를 대상으로한 공격 특성으로는 상대적으로 보안이 취약한 의료기기를 점유해 병원 내부를 침투, 구형 OS, SW가 탑재된 의료기기 공격을 위해 오래된 취약점 활용, 병원 전용 네트워크 프로토콜 등의 특수한 네트워크의 특성과 취약점을 이용한 공격 등이 있습니다. 주요 단계로는 단말의 보안 취약점을 이용하여 단말에 침투해 권한을 획득하는 단말 침투 및 권한 상승 단계, 침투한 기기에 시스템과 네트워크 환경을 분석하여 공격 대상으로 할 것인지, 공격 경로로만 활용할 것인지 결정하는 동작 단계, 다른 기기로 확산을 위한 확산 단계로 구분할 수 있습니다. 의료 기관 커넥티드 디바이스 보안 취약 요인 병원에 설치된 대부분의 의료기기들은 고가의 장비이고, 교체주기가 길지 않아 구형 운영체제가 탑재 된 경우가 많습니다. 또한 사람의 생명, 건강이 직결된 의료기기의 특성상 고가용성이 요구되기 때문에 운영체제와 소프트웨어의 패치 및 업데이트, 백신 등의 보안 모듈의 추가 설치가 자유롭지 않습니다. 제조일, 모델, 제조사가 모두 다른 의료기기와 장비에서 취약점을 찾는 일은 매우 어려운 일입니다. 추가적으로 유무선 네트워크에 연결된 의료 기기들이 증가하는 추세라서 그에 대한 위협도 같이 증가하는 추세입니다. 결론커넥티드 디바이스의 수와 다양성이 증가함에 따라 의료 기관은 노출된 위험을 이해하고 관리해야 하는 새로운 과제를 안게 되었습니다. 공격자는 의료기기가 아닌 다른 범주의 장치를 활용하여 공격을 수행 할 수 있으므로 한 범주의 장치에만 방어를 집중하는 것만으로는 충분하지 않습니다. 의료 기기 뿐만 아니라 의료 환경에서 볼 수 있는 모든 커넥티드 디바이스는 공격을 수행 할 수 있는 잠재적인 통로가 될 수 있습니다. 의료 기관 커넥티드 디바이스의 보안은 개발 단계에서 보안기술을 내재화 하는 전략과 기존에 설치, 운용되고 있는 의료기기의 보안에 취약한 위협 대응으로 접근하여야 합니다.사이버 공격에 대비하기 위한 첫 번째는 보유하고 있는 모든 다양한 유형의 장치에 대한 목록을 작성, 각 장치와 관련된 위험 수준을 평가하고, 위험을 시각화 하여 모든 임상 자산을 능동적이고 지속적으로 보호할 수 있도록 하여야 합니다. 두번째는 커넥티드 디바이스를 투자할때 암호화 및 다단계 인증을 포함한 최신 보안 기능으로 제조된 제조 제품을 사용하고, 장치의 위험 수준에 따라 우선순위를 정할 수 있는 전용 사이버 보안 전략을 구현하여 공격에 대비하여야 합니다. 이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
Tor의 역사인터넷은 인터넷만 있으면 어디든지 소통이 가능하단 장점이 있지만, 프라이버시를 보장하지 않아서 언제든지 기록과 트래킹이 가능했습니다. 미국 정부는 프라이버시를 매우 중요시 하여 미해군 연구소에서 The Onion Routing 이라는 신기술을 개발하였고 이 기술은 웹 페이지에 방문하더라도 완벽한 익명성을 보장 하도록 하였습니다. 기술의 치명적 단점으로는 미국 정부만 Tor 네트워크를 사용하여 사이트에 Tor를 이용한 연결 신호가 들어오면 미국정부 사람이 사이트를 본 것을 들키기 쉬웠습니다. 그래서 사람들 사이에 미국정부가 섞여 들어갈 수 있도록 대중에게도 무료 배포되어 현재 수십만 명의 사람들이 사용하고 있습니다. Tor Browser Tor는 The Onion Router의 약칭으로, Tor Browser는 사용자가 IP 주소를 숨기고 트래픽을 암호화하여 익명으로 웹을 탐색할 수 있는 특수 웹 브라우저입니다. 익명성으로는 서버에 로그가 남을 가능성이 있는 VPN보다 안전하며, 최근 NSA에서 VPN을 패킷 단위로 분석할 수 있다는 발표가 있어, 현재 정보 기관으로부터 안전한 네트워크는 극 소수 밖에 없는데, Tor가 그중 하나 입니다. Tor는 또한 표준 검색 엔진에 의해 색인이 생성되지 않거나 일반 브라우저를 통해 액세스할 수 없는 다크 웹으로 알려진 특수 도메인에 액세스하는 데 사용될 수 있습니다. 지역 언어팩을 제공하는 Tor 설치 프로그램(출처 : bleepingcomputer)악성 Tor Browser가 멀웨어 페이로드를 추출하고 실행하는 과정(출처 : hackread)Tor Browser 클립보드 인젝션 설치과정피해자는 타사 서버 에서 받은 Tor Browser 설치파일을 실행합니다. 설치 프로그램의 이름은 torbrowser.exe가 아닌 torbrowser_ru.exe 같은 이름으로 현지화 되어 있으며 사용자가 원하는 언어를 선택할 수 있는 언어 팩이 포함되어 있습니다아카이브에는 다음 파일이 포함되어 있습니다. •Torbrowser.exe 설치 프로그램 •명령줄 RAR 추출 도구 •암호로 보호된 RAR 아카이브torbrowser.exe 설치를 시작하는 동시에 내장 암호로 보호된 RAR 아카이브에서 RAR 추출 도구를 실행합니다. 암호로 보호하는 목적은 바이러스 백신 솔루션에 의한 정적 서명 검색을 피하기 위해서 입니다.대부분의 경우 실행 파일은 uTorrent와 같은 인기 있는 응용 프로 그램의 아이콘으로 위장됩니다. 주소를 감지하고 교체하는 정규식(출처 : grahamcluley)클립보드 인젝션 실행 과정 보통 암호 화폐 주소는 길고 입력하기가 복잡하기 때문에 클립 보드에 복사한 다음 다른 프로그램이나 웹사이트에 붙여넣는 것이 일반적입니다. 멀웨어는 정규식을 사용하여 클립보드에서 인식 가능한 암호 화폐 지갑 주소를 모니터링하고, 사용자가 암호 화폐 주소를 붙여 넣으면 하드코딩된 목록에서 임의로 선택한 암호 화폐 주소로 대체됩니다. 공격자가 하드코딩된 목록에서 무작위로 선택된 각 멀웨어 샘플에 수천 개의 주소를 사용하는 것은 지갑 추적을 어렵게 만 듭니다. 결론클립보드 인젝션 공격은 겉으로 보기에는 단순하지만 보이는 것보다 더 많은 위험을 가지고 있습니다. 이는 코인의 도난과 관련되었을 뿐만 아니라 멀웨어가 수동적이고 탐지하기 어렵기 때문입니다. 스파이웨어와 랜섬웨어도 피해자의 장치와 공격자의 서버 간에 통신 채널이 필요합니다. 명령 및 제어 서버에 연결되지 않는 웜 및 바이러스도 여전히 네트워크 활동을 생성합 니다. 그러나 클립보드 인젝션은 암호화폐 지갑 주소를 복사해서 붙여넣을 때까지 몇 년 동안 사용자가 인지할 수 없으며 네트워크 활동이나, 다른 증상을 보이지 않을 수 있습니다. 멀웨어에 시스템이 감염되었는지 확인하는 방법(출처 : thehackernews)사용자가 감염되었는지 확인하는 간단한 테스트는 bc1heymalwarehowaboutyoureplacethisaddress를 복사하고 메모장을 열어 붙여넣기를 합니다. 기존에 복사했던 것이 아닌 다른 주소가 붙여 넣기가 되면 클립보드 인젝션 멀웨어에 의해 내 컴퓨터의 시스템이 손상되었다고 확인할 수 있습니다. 모든 클립보드 인젝션의 피해자는 Tor Browser의 공식 홈페이지가 아닌 다른 경로에서 설치를 하여 감염이 되었습니다. 따라서 신뢰할 수 있는 공식 출처의 소프트웨어만 설치하는 것이 좋습니다. 이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
락빗 랜섬웨어 조직, 한국 국세청 해킹했다. 해킹 파일 공개 예정 주장
2022년 7월 ~ 2023년 6월까지의 랜섬웨어 피해 통계 LockBit 랜섬웨어LockBit은 몇 년 동안 가장 눈에 띄는 서비스형 랜섬웨어 중 하나입니다. 서비스형 랜섬웨어는 해커가 랜섬웨어를 제작한 후 범죄집단에 판매하고, 공격자가 이를 구매해 유포하여 공격에 성공할 경우 수익을 나눠 가지며, RaaS라고도 불립니다.2019년 9월 5분 이내 암호화 프로세스를 배포 할 수 있는 능력으로 악명이 높았던 LockBit 1.0으로 첫 출시 이후 2021년 7월 LockBit 2.0이 출시되었고, 2022년 6월 LockBit 3.0을 출시하는 등 탐지를 피하기 위해 문자열과 코드를 더 빠르게 디코딩 하도록 지속적으로 진화했습니다. LockBit의 산업별 공격 대상 통계 또한, 클라우드 기반 서비스를 대상으로하는 LockBit Green과, Mac용 LockBit을 개발 하는 등 수익을 위한 다양한 전략을 보이며, 탐지를 회피하기 위해 수준 높은 해킹 기술을 이용합니다.2022년 7월부터 2023년 6월까지의 랜섬웨어 피해 통계에서는 LockBit에 의한 피해가 가장 높게 나왔고, 공격 사례와 피해도 매년 급속도로 증가하고 있습니다. LockBit이 가장 많이 공격하는 대상은 비즈니스 서비스이고, 다음으로는 유통 산업이 차지하였습니다. LockBit 3.0의 공격 방식LockBit에 공격받아 암호화 된 파일들(출처 : Cyble) 공격의 시작은 LockBit 3.0 랜섬웨어 악성코드를 유포하기 위해 링크를 삽입한 피싱 메일로 위장하여, 링크를 클릭해 파일을 실행하면 사용자의 자격 증명에 접근하고, 네트워크에 진입합니다.다른 방법으로는 무차별 대입 공격을 수행하거나, 취약점을 악용하기도 합니다. LockBit 3.0은 파일 암호화 후 사용자가 암호화 전 파일을 알아볼 수 없도록 오류가 발생할 수 있는 일부 확장자, 문자열 및 폴더를 제외하고 파일명을 7자리의 랜덤한 문자열로 변경하고, 확장자를 9자리의 랜덤한 문자열로 구성된 Personal ID로 변경합니다.암호화에 성공하기 위해 보안서비스와 특정 서비스를 무력화하고 사용자의 데이터 복원을 막아, 랜섬 노트를 통해 감염된 장치의 데이터를 복구하거나 유출을 막기 위해서는 몸값을 지불하라고 요구합니다. 결론국세청과 관련된 자료를 공개했다고 발표한 LockBit(출처 : Security Affaires) 각 기관과 기업들은 랜섬웨어에 감염되지 않도록 PC 취약점을 주기적으로 점검, 보안하고, 신뢰할 수 없는 메일의 첨부파일 실행을 금지, 업무 사이트 외 신뢰할 수 없는 웹 사이트의 연결을 차단하는 등 보안에 주의를 기울이는 것도 중요하지만,패턴기반탐지 솔루션과 행위 기반탐지 솔루션을 항상 최신 상태로 유지해 평상시에 자사 서비스가 공격당하거나 이상 징후가 있는지 주기적으로 모니터링하여 침해에 대응할 수 있는 프로세스를 구축하는 것 또한 중요합니다. 이와 같은 피싱이 발생할 경우, 공격 시도나 이상 징후에 대한 모니터링이 이루 어지지 않으면, 공격자의 협박에 속아 추가적인 피해가 발생할 수 있기에 주의를 기울여야 합니다. 이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
AXLocker 랜섬웨어랜섬웨어는 사용자의 동의 여부와 무관하게 사용자의 장치에 설치되어 암호화된 파일의 이름을 변경하거나, 파일에 확장자를 추가합니다.그러나 최근에 발견된 AXLocker는 암호화 된 파일의 파일 이름을 변경하지 않고 원본 파일명과 원본 아이콘을 그대로 사용하여 공격을하였습니다.또한 이중 갈취 기술을 사용하여 피해자의 장치에서 중요한 데이터를 빼낸 후 파일의 속성을 변경, 육안으로 발견되지 않게하거나 암호화가 완료된 후 팝업 창에 랜섬 노트를 표시하여 대가를 요구하는 등의 방법도 사용하고 있습니다.이처럼 이번에 새롭게 발견된 AXLocker는 컴퓨터 이름, 사용자 이름, 시스템 IP 주소, 시스템 UUID 및 Discord 토큰과 같은 데이터를 수집하여감염된 피해자의 디스코드 계정까지 도용하는 등 기존 랜섬웨어 보다 지능적이고 발전된 공격 방법을 가지고 있어 각별한 주의가 필요합니다.AXLocker는 자체 속성을 이용하여 자신을 숨길 수 있습니다. 다음으로 AXLocker 호출 startencryption() 함수로 타겟 디렉토리인 C드라이브로 들어가 콘텐츠를 암호화 합니다. 함수 내에는 디렉토리를 열거하여 파일을 검색하는 코드가 포함되어 있습니다.ProcessDirecory() 함수는 모든 C드라이브 에서 사용 가능한 디렉토리를 열거하여 파일을 검색하는 코드 입니다. 리스트에 있는 특정 디렉토리를 무시하고 건너뛸 수 있습니다.ProcessFile() 함수는 리스트에 등록된 파일 확장자와 비교하는 함수입니다. 리스트에 등록된 특정 파일 확장자를 대상으로 암호화를 진행합니다.Encryptfile() 함수는 안에 있는 AESEncrypt() 함수는 AES-256-CBC 암호화 알고리즘을 사용하여 파일을 암호화 합니다. 암호화 된 파일의 수가 계산되고 나중에 서버로 전송이 됩니다.EncryptionFIle 매서드 안에서 볼 수 있는 이 새로운 암호화 루틴 은 SHA4 알고리즘을 사용해서 해시된 변수 password에 저장된 문자열을 가지고 옵니다. 이것과 처음 8바이트로 초기화된 솔트 를 사용하여 AES-256으로 파일을 암호화 하는데 사용할 256비트키를 만듭니다.공격자가 이러한 유형의 대칭 암호화를 사용하는 경우 일반적으로 임의의 암호 솔트를 생성하면 공격자만이 암호화에 사용되는 키를 알 수 있습니다.사용자가 데이터베이스를 열 때 만들어지는 파일인 확장자가 ldb인 파일을 검색하고, 이러한 파일에서 특정 정보를 검색하여 목록에 저장합니다.디스코드 토큰 외에도 사용자 이름, IP 주소, 및 시스템 UUID 등 더 많은 정보를 찾아 디스코드에서 제공하는 웹훅 기능을 악용하여 사용자의 PC에서 수집한 정보들을 공격자가 운영하는 디스코드 채팅 방으로 전송합니다.AXLocker에는 랜섬 노트가 포함된 팝업 창을 피해자에게 표시합니다. 랜섬 노트에는 48시간의 타이머가 포함되어 있고, 피해자가 돈을 지불할 때 까지 시간은 줄어듭니다. 보통의 공격자는 금전을 요구하며 요즘에는 비트코인 같은 가상 화폐로 거래를 하는 것으로 알려졌습니다.공격자에게 연락할 수 있도록 공격자의 고유ID와 탐지를 피하기 위해 익명의 이메일 제공업체 이메일 주소가 적혀 있습니다. 하지만 공격자에게 돈을 지불한 후에도 암호 해독 도구를 제공하지 않을 수 있으므로 공격자와 통신을 하는 것을 권장하지 않습니다.■ 결론랜섬웨어 AXLocker는 개인과 개인 Discord 계정을 대상으로 많은 공격을 시도하고 있습니다. 이러한 공격으로부터 발 생되는 피해를 최소화 할 수 있는 가장 좋은 방법은 일반 네트워크와 다른 물리적 오프라인 위치에 저장된 모든 데이터를 정기적으로 백업하고, 소프트웨어를 최신 상태로 유지하는 것입니다.또한 정기적으로 패치를 적용하고, 바이러 스 백신 소프트웨어를 사용하여 장치에 악성 소프트웨어가 있는지 감지할 수 있어야 합니다. AXLocker가 감염된 후에는 랜섬웨어가 훔친 디스코드 토큰을 악용하여 도난당한 Discord 계정의 소유자를 사칭하고 연락처에 대출을 요청하거나 멀웨어를 확산시키는 등의 2차 피해가 발생할 수 있기 때문에 디스코드 암호를 변경하여 추가 피해를 막아야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
"엄마 게임하게 주민번호 좀" 무심코 알려줬다 싹 털렸다, 무슨 일?
3세~16세 어린이에게 가장 인기 있는 온라인 게임과 관련된 위협을 보여주는 통계입니다. 2021년에는 450만 건의 공격이 있었으며, 2022년에는 700만 건 이상 의 공격을 탐지하였고 이는 어린이를 노리는 공격이 전년도 보다 증가한 수치를 보여주었습니다.2022년에는 232,735명의 어린이가 이용하는 게임을 가장한 40,000개의 악성 파일을 발견하였습니다. 2021년과 2022년 사이에 사이버 범죄자들이 악용하는 가 장 인기 있는 게임의 타이틀은 Minecraft와 Roblox입니다. 이 두가지 게임은 어린이들에게 인기있는 게임입니다. 2022년에 Minecraft 플레이어를 가장 많이 표 적으로 삼았으며 약 140,515명의 사용자에게 영향을 미쳤습니다. 공격자는 또한 38,850명의 Roblox 사용자와 27,503명의 Among Us 게이머에게 영향을 미쳤습니다. Minecraft는 수년 동안 Mod를 공유하는 커뮤니티를 가지고 있었습니다. 이 게임은 물건과, 세계를 만드는 게임이며 특히, 많은 어린이들이 설치하는 게임 중 하나입니다. 하지만, Mod를 설치하는데 영향을 받는 플랫폼들에 악성 프로그램이 숨겨져 있을 수 있습니다.최근, Minecraft Mod를 설치하는데 사용되는 두 개의 유명한 플랫폼인 CurseForge와 Bukkit가 공격자의 표적이 되었습니다. 이러한 플랫폼의 API는 게이머가 설치한 Mod가 업데이트되면 자동으로 게임을 자동으로 업데이트 하므로 감염된 Mod를 다운로드하지 않은 사람도 영향을 받을 수 있습니다. 공격자는 Mod 개발자의 계정을 표적으로 정해 개발자의 계정을 해킹하여 Mod의 업데이트 버전에 악성 파일을 업데이트 하는 방식으로 공격하였습니다. 어린이들을 대상으로 하는 가장 일반적인 사회 공학 기술 중 하나는 게임 안에서의 화폐를 무료로 생성하여 주겠다는 제안입니다. 피싱 사이트 사이버 범죄자들은 어린 플레이어들을 표적으로 삼기 위해서 어린이들이 주로 플레이하는 게임의 페이지를 모방하여 만들었습니다. 게임 내 화폐는 어린이들이 하는 게임 세계에서 매우 인기가 많아 무료 화폐를 받고 싶어합니다. 이러한 부분을 이용하는 것이 사이버 범죄자들이 어린이들을 표적으로 사용하는 전략입니다.게임 사용자 이름을 입력하고 원하는 게임 통화 금액을 선택하라는 요청으로 시작되어 정말로 화폐를 지급해 줄 것처럼 꾸밉니다. 다음으로, 사이버 범죄자들은 사용자에게 개인정보를 입력할 것을 요구합니다. 개인정보를 입력한 사용자는 더 이상 정보를 얻을 수 없으며, 링크 클릭 유도를 통해 악성코드를 전송합니다. 대부분의 어린이들은 사이버 보안에 대해 개념이 없기 때문에 공격자는 치밀한 계획을 세우지 않습니다. 인기 있는 어린이 게임인 브롤스타즈의 통화인 보석을 생성하는 한 피싱 사이트에서 사용자는 원하는 만큼 보석을 얻기 위해 네 가지 질문에 답해야 합니다.원하는 보석 수와 게임 내 이름뿐만 아니라 사용자는 온라인 게임 스토어에 연결된 이메일 주소와 비밀번호를 적어야 합니다. 어린이들이 이 데이터를 공유해야 하는 이유를 사이트 제작자는 설명하지 않습니다. 피해자의 이메일과 비밀번호를 소유한 공격자는 스토어 계정에 로그인하고 암호를 변경하여 탈취할 수 있습니다. 피싱 사이버 범죄자들은 어린 플레이어들을 표적으로 삼기 위해서 어린이들이 주로 플레이하는 게임의 페이지를 모방하여 만들었습니다. 사이버 범죄 트릭을 구분 하기 어려운 아이들에게는 Minecraft 또는 Roblox로 위장한 멀웨어는 성인용 게임보다 3-4배 더 자주 설치되었습니다.이러한 어린이들을 대상으로 하는 공격은 사회공학 기술을 활용합니다.사회공학 기술 중 하나는 게임의 치트 및 Mod 설치 페이지를 만들어 아이들을 유도하고, 아이들에게 파일을 설치하기 전에 바이러스 백신을 비활성화를 하지 않으면 완벽하게 설치되지 않는다고 속여 감염된 소프트웨어가 탐지되지 않도록 합니다.다운로드 받은 파일은 압축파일로 되어있으며, 실행 파일은 피해자의 컴퓨터에 대한 전체 액세스 권한을 얻을 수 있도록 관리자 권한으로 실행을 유도합니다.피해자의 바이러스 백신이 비활성화 된 기간이 길어질수록 공격자는 많은 정보를 수집 할 수 있습니다. 자녀가 개인 컴퓨터를 사용하고 있다면 피해가 크지 않겠지만, 공인인증서와, 가족과 공유하는 컴퓨터라면 큰 피해를 입게 됩니다.■ 어린이를 온라인에서 안전하게 보호하는 방법 사이버 범죄자들은 공격 대상의 연령을 제한하지 않고 부모의 장치를 사용할 가능성이 있는 어린이들까지 공격합니다. 어린이들은 사이버 범죄와 같은 경험이나 지식이 거의 없고 가장 기본적인 속임수에도 쉽게 넘어갈 수 있습니다.부모는 자녀가 다운로드 하는 앱이 무엇인지, 기기에 신뢰할 수 있는 보안 장치가 있는지, 그리고 자녀에게 공식 웹 사이트에서 정식으로 돈을 주고 구매하지 않고 무료로 인기있는 게임을 내려 받으려고 할 때, 크랙된 소프트웨어 및 불법 프로그램을 설치할 때 피해자의 장치에서 로그인 정보나 암호와 같은 민감한 데이터를 수집할 수 있는 악성 소프트웨어에 노출이 될 수 있어 사이버 보안에 대해서 교육을 해야 할 필요가 있습니다.또한, 가족이 공유하는 컴퓨터라면 보안 소프트웨어를 최신으로 유지하여 취약점에 노출 되지 않게 하여야 합니다. 이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
HTML Smuggling이란?HTML Smuggling은 특수한 형식의 HTML 주석이나 HTML 태그 내에 악의적인 코드를 숨기고, 자바스크립트의 동적으로 실행되는 특성과 HTML5의 다양한 콘텐츠 형식을 지원하는 특성을 이용해 유저가 특정 HTML 페이지를 방문 시 자동으로 파일을 다운 받도록 하는 기법입니다.HTML Smuggling의 사용 목적보통 멀웨어와 같은 특정파일을 유포할 경우, 파일이나 문서를 첨부하여 사용자에게 실행을 유도하지만, 파일을 다운로드할 때 트래픽이나 특정 솔루션에 의해 탐지될 가능성이 있습니다. 하지만 HTML Smuggling은 파일의 내용을 직접 HTML 코드 안에 포함시킬 수 있으며, 자바스크립트를 이용하여 웹 애플리케이션 내에서 파일을 조립하고 바로 다운로드하는 방식을 사용합니다. 이는 탐지 시스템이 네트워크 트래픽을 검사하여 악성 파일을 탐지하기 어렵게 만듭니다. 그래서 악성코드 유포자들의 HTML Smuggling 사용 목적 중 제일 큰 이유는 솔루션에서 탐지가 어렵다는 특징과, 사회공학 기법을 이용하여 사용자가 다운로드 된 파일을 실행하도록 성공할 확률이 높기 때문인 것으로 보입니다.HTML Smuggling을 활용한 멀웨어HTML Smuggling을 활용한 대표적인 멀웨어로 Qakbot과 코발트 IcedID가 있습니다. QakbotQakbot은 악성코드의 일종으로, 주로 금융 정보를 탈취하기 위해 사용되는 트로이목마입니다. 주로 피싱 메일이나 스팸메일, 악성 URL, 컴퓨터 취약점 등을 통해 유포되고 있으며 피해자의 컴퓨터에서 정보를 수집하고 기록하여 사용자의 민감한 정보를 탈취하기 위해 키로깅(key logging)과 같은 기능을 사용합니다. 이 악성 소프트웨어는 또한 백도어(back door) 기능을 가 지고 있어, 해커가 원격으로 감염된 컴퓨터에 접속하고 제어할 수 있습니다. 이를 통해 해커는 시스템을 제어하여 다른 악성 활동을 수행하거나 악성 파일을 설치할 수 있습니다.Qakbot과 같은 상업용 악성코드들이 MS 오피스 매크로 대신 원노트를 이용하여 실행되는 사례와, 기존 정상 메일을 가로채 악성 파일을 첨부해 회신한 형태인 이메일 하이재킹 방식이 증가하고 있습니다.IcedIDBokBot 으로도 불리는 IcedID 악성코드는 주로 피싱 이메일, 악성 첨부 파일 등을 통해 사용자의 시스템에 침투합니다. 사용자가 이러한 링크를 클릭하거나 악성 첨부 파일을 열면, IcedID는 사용자의 컴퓨터에 설치되어 백도어 기능을 수행합니다. 이를 통해 해커는 피해자의 시스템을 원격으로 제어하고, 금융정보와 인증정보를 탈취하는 등의 악성 활동을 수 행할 수 있습니다. 주로 뱅킹 트로이목마로 알려져 있으며, 사용자의 은행 계정 정보 및 기타 민감한 정보를 탈취하는 것을 목표로 합니다. 또한, 이 악성 코드는 원격 Command and Control (C2) 서버와 연결하여 해커에게 제어 및 지시를 받습니다. 이를 통해 해커는 추가적인 페이로드를 배포할 수 있으며, 랜섬웨어나 "hands-on-keyboard" 공격과 같은 다른 악성 코드들을 시스템에 설치할 수도 있습니다. 또한, 크리덴셜(인증 정보)을 탈취하여 다양한 서비스나 시스템에 대한 액세스 권한을 얻으려고 시도하기도 합니다.뿐만 아니라, IcedID는 취약한 네트워크에서 측면 이동(lateral movement) 기능을 포함하고 있습니다. 이는 악성 코드가 한 시스템에서 다른 시스템으로 확산되는 능력을 의미합니다. 이를 통해 IcedID는 네트워크 내에서 퍼져 다른 시스템을 감염시키고, 추가적인 탈취 및 공격 활동을 수행할 수 있습니다.결론HTML을 활용하는 멀웨어 전달 방법 중 하나인 HTML Smuggling은 공격자가 HTML 콘텐츠를 악성 코드로 가려서 전달하는 기법 입니다. 이때, 일반적인 보안 검사에서는 주로 HTML 첨부 파일만 확인되고, 내부에 숨겨진 악성 코드는 탐지되기 어려울 수 있습니다. 이렇게 악성 코드가 HTML Smuggling을 통해 전달되면, 공격자는 디스크 이미지 데이터를 획득하여 초기 엑세스 권한을 얻을 수 있습니다. 신뢰할 수 없는 이메일은 열지 않고 메일에 첨부된 URL 또는 첨부 파일을 클릭하지 않는 습관을 가지도록 정기적인 보안 교육을 통해 경각심을 가져야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
국가정보원이 공개한 자료에 따르면 최근 3년간 (2020~2022년)간 발생한 북한의 해킹 수법 중 해킹 조직으로부터의 사이버 공격으로 보안 프로그램의 약점을 뚫는 '취약점 악용(20%)' 이나 특정 사이트 접속 시 악성코드가 설치되는 '워터링 홀(3%)' 수법 등이 있었고, 포털사이트 관리자가 보낸 것처럼 가장한 이메일을 발송하여 이것을 클릭한 사람의 컴퓨터에 악성 코드를 심거나 계정의 정보를 빼내는 방식으로 사이버 공격을 하는 '이메일을 이용한 해킹공격(74%)' 이 가장 큰 비중을 차지하였습니다.주로 해킹메일에서 가장 많이 사칭한 기관은 네이버(45%), 카카오(23%), 금융·기업·방송언론(12%), 외교·안보(6%)순서 였습니다.북한은 메일 수신자가 해당 메일을 별다른 의심 없이 열람하도록 유도하기 위해 메일 송신자를 ‘네이버’, ‘NAVER 고객센터’, ‘Daum 게임담당자’ 등 ‘포털사이트 관리자’ 인 것처럼 위장했고 발신자 메일주소 또한 naver를 'navor'로, daum을 'daurn'로 표기하는 등 ‘송신자’와 ‘메일 제목’을 교묘하게 변형해 전송하였습니다. 또한, 사용자들을 속이기 위해 ‘새로운 환경에서 로그인 되었습니다’, ‘[중요] 회원님의 계정이 이용 제한되었습니다’ , ‘해외 로그인 차단 기능이 실행되었습니다’, ‘회원님의 본인확인 이메일 주소가 변경되었습니다’ , ‘알림 없이 로그인하는 기기로 등록되었습니다’ 등 계정에 보안 문제가 생긴 것 처럼 느낄 수 있는 제목으로 해킹 메일을 발송하였습니다. 이렇게 공격당한 시스템에서는 개인정보 및 자료유출, 금전적 피해 등을 일으킬 수 있는 만큼, 보안인식 제고를 통해 악성 메일을 판별하고 이로 인한 피해를 줄일 수 있어야 합니다.■ 해킹메일 식별 방법 1. 아이콘 확인 발신자 이름이 똑같이 ‘네이버’ 및 ‘Daum 게임담당자’이지만 정상메일과 해킹 메일의 아이콘은 서로 다르기 때문에 아이콘을 확인해야 합니다. 2. 보낸 사람 메일 주소를 확인 해킹 메일 발신자의 메일 주소를 확인해 보면, 포털 공식메일로 오인할 수 있는 주소를 사용하고 있어 보낸사람 메일 주소를 확인해야 합니다.3. 링크 주소 확인 피싱 메일 본문의 링크에 마우스를 올려보면 브라우저 왼쪽 아래에서 수상한 링크를 확인할 수 있습니다.4. 로그인 화면 주소를 확인 보안접속일 때는 ‘https://...’로 시작되며, 로그인 접속 URL은 “nid.naver.com/...”(네이버)과 “accounts.akako.com/...”(카카오(다음))이기 때문에 로그인 화면 주소를 확인해야 합니다. 5. 공식 로고 확인 주소창 왼쪽 끝에 자물쇠 마크 또는 접속 계정의 공식 로고가 있는지 확인해야 합니다.■ 이메일 보안 관리 수칙• 포털관리자·업무관계자 또는 지인이 발신한 메일도 신중히 열람• 정부기관 발신 메일도 발신자에게 전화 확인 등 신중히 열람• 수발신 e메일은 활용 즉시 삭제(임시보관함·휴지통 포함)• 주요 내용은 첨부 파일로 수·발신하고, 첨부 파일은 암호 설정• 해외 로그인 차단, 국가·지역별 로그인 허용 등 보안기능 활용• 업무용·개인용 메일은 엄격히 분리 사용(비밀번호 다르게 설정)이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
타이탄스틸러(Titan Stealer)작년 말, 윈도우 기기에서 브라우저 데이터와 암호 지갑 정보, FTP 클라이언트 세부 정보, 스크린샷, 시스템 정보, 캡처된 파일 등 다양한 정보를 훔칠 수 있는 타이탄스틸러(Titan Stealer)라는 이름의 새로운 악성코드가 발견되었습니다. 해당 악성코드는 Go언어로 작성됐으며, 시스템 정보 및 액세스할 수 있는 모든 파일을 포함하여 Windows 컴퓨터에 침투해 여러 가지 정보를 훔쳐가는 기능을 가지고 있습니다.타이탄스틸러의 위협적인 능력타이탄스틸러는 보안 소프트웨어로 탐지하기 더 어려운 작은 이진 파일을 만들 수 있고, 언어의 사용 용이성 덕분에 많은 시간을 소비하지 않고도 악성코드를 신속하게 배포할 수 있는 Go언어를 사용합니다. Go는 단순성, 효율성이 좋기로 유명하므로 Windows, Linux 및 macOS와 같은 여러 운영 체제에서 실행될 수 있는 교차 플랫폼 악성코드를 생성하려는 공격자에게 이상적인 선택입니다공격자는 판매자가 제공하는 빌더를 사용해 탈취할 파일 확장자와 대상 도메인 등을 지정한 "Titan"악성코드를 생성합니다. "Titan"은 실행 이후, 피해자 PC에서 브라우저 세션 쿠키와 암호, 설치된 프로그램 목록 및 스크린샷 등의 정보를 수집하고, 탈취한 암호 화폐 지갑의 자격 증명과 함께 공격자 C&C 서버로 전송하고, 이를 통해 특정 위협 목적과 얻고자 하는 정확한 정보 유형에 맞게 위협의 바이너리를 조정할 수 있습니다.타이탄스틸러(Titan Stealer) 공격 대처법 1. 스팸 메일의 URL 또는 첨부 파일을 클릭하지 않아야 합니다.많은 바이러스가 스팸 메일 메시지에 첨부되고, 첨부 파일을 열자마자 퍼집니다. 따라서 예상하는 첨부 파일이 아니라면 열지 않는 것이 가장 좋습니다. 2. 최신 Windows 업데이트로 유지해야합니다. Microsoft에서는 PC를 보호할 수 있는 특별한 보안 업데이트를 정기적으로 발표합니다. 이러한 업데이트로 가능한 보안 허점을 차단하여 타이탄스틸러 공격을 막을 수 있습니다. 3. 악성코드를 제거하기 위해 컴퓨터의 운영 체제를 다시 설치하는 것이 좋습니다. 운영 체제를 다시 설치하면 대부분의 악성코드는 제거할 수 있지만, 일부 특별히 정교하게 설계된 악성코드는 존재할 수 있습니다. 감염된 날 이후의 파일로 다시 설치 하는 것은 컴퓨터를 다시 감염시킬 수 있기 때문에 언제 컴퓨터가 감염되었는지 알고 있다면, 감염된 날 이전의 파일을 다시 설치해야 합니다. 4. 맬웨어 방지 앱을 사용합니다. 맬웨어 방지 앱을 설치하고 최신 상태로 유지하면 바이러스 및 기타 맬웨어(악성 소프트웨어)로부터 PC를 방어하는 데 도움이 될 수 있습니다. 하지만 여러 맬웨어 방지 앱을 동시에 실행하면 시스템이 느리거나 불안정해질 수 있어 주의가 필요합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스
대세 컨테이너 오케스트레이션 플랫폼 쿠버네티스를 겨냥한 사이버공격 증가
최근 오픈소스의 운영 주체가 기존 개발자에서 빅테크 기업으로 전환되면서 빅테크들이 주도하는 ‘인공지능‘, '블록체인‘, '메타버스' 등의 차세대 기술이 오픈소스 생태계 속 시드 기술로 활용되고 성장하고 있습니다. 빅테크 기업 중 쿠버네티스는 컨테이너화된 애플리케이션을 배포, 관리, 확장할 때 수반되는 다수의 수동 프로세스를 자동화하는 오픈소스 컨테이너 오케스트레이션 플랫폼으로 최근 기업의 핵심 소프트웨어 인프라로 자리잡고 수익모델로 주목받으면서 쿠버네티스를 겨냥한 사이버공격이 계속 증가하고 있는 만큼 보안취약점의 위험성도 커지고 있습니다. '2022 쿠버네티스 보안 상태 보고서'에 의하면, 조사 대상자 93%가 쿠버네티스 환경에 영향을 미치는 사건을 최소 한번 이상 보고했습니다.보고된 전체 보안 사고의 53%는 잘못된 구성 , 38%는 취약성 악용으로, 공격 표면 증가와 취약성 관리 복잡성으로 인한 취약성 증가를 보여줍니다. 2022년 쿠버네티스 보안 취약점은 2019년 급증해 증가추세로 작년 연간 40건을 넘어섰습니다. 주로 발견된 취약점은 서비스거부, 권한 에스컬레이션, 우회, 버퍼 오버플로, 임의코드실행, 디렉토리 또는 파일 통과였습니다.대표적인 취약점을 통한 사이버 공격 사례는 2017년 타이포스쿼팅 공격, 2018년 플랫맵 스트림 패키지에 악성코드 삽입, 2019년 헤로쿠와 트래비스 CI에 발급된 오쓰(OAuth) 사용자 토큰 탈취 후 손상된 아마존웹서비스 액세스 키로 접근 권한을 상승시킨 공격 등이 있습니다.쿠버네티스의 대표적인 보안 취약점 ■ 컨테이너 이스케이프 취약점(CVE-2022-0811) 작년 주요 취약점 중 컨테이너 이스케이프는 가장 일반적인 공격 수단이었습니다. 쿠버네티스 컨테이너 런타임인 CRI-O의 컨테이너 이스케이프 취약점은 CVE점수 9.0(심각)으로 액세스 권한을 획득한 악의적 행위자가 쿠버네티스 클러스터에 팟(POD)을 생성해 호스트에서 임의의 커널 매개변수를 설정할 수 있습니다. 해커는 쿠버네티스 컨테이너를 벗어나 호스트의 루트 접근 권한을 획득할 수 있고, 이를 통해 악성코드 배포나 데이터 유출, 클러스터 이동 등을 수행할 수 있습니다. ■ execSync 요청을 통한 메모리 고갈 방식의 노드 DOS(CVE-2022-1708) CRI-O 컨테이너 런타임의 취약성으로 CVE 점수는 7.5(높음)를 받은 execSync 요청을 통한 메모리 고갈 방식의 노드 DOS취약점은 노드에서 메모리나 디스크 공간 고갈을 유발해 시스템 가용성에 영향을 미칩니다. 쿠버네티스 API 접근권한을 가진 사람 누구나 명령을 실행하거나 컨테이너에서 동기식으로 로그를 가져오는 execSync를 호출할 수 있고 출력이 크면 메모리나 디스크 공간을 가득 채워 노드나 공동 호스팅 서비스를 사용불가능하게 만드는 것이 특징 입니다.■ 아르고CD 우회(CVE-2022-29165)CVE 점수 최고점인 10점을 받은 아르고CD 우회 취약점은 쿠버네티스 클러스터에 애플리케이션을 배포하는데 널리 쓰이는 CICD 도구 '아르고CD(ArgoCD)'에서 발견됐습니다. 인증되지 않은 사용자가 익명의 접근권한을 획득할 수 있고, 특수 제작된 JSON웹토큰을 전송해 관리자를 포함한 다른 사용자로 가장할 수 있다는 것이 큰 특징 입니다. 공격자는 아르고CD 계정이 필요없어 악용하기 매우 쉽습니다. 아르고CD 서비스 계정은 관리자 역할을 가지므로 쿠버네티스 클러스터에 대한 전체 접근 권한을 공격자에게 넘겨줄 수 있습니다■ 어떻게 보안을 높여야 하나1) 서비스 계정 및 사용자에게 역할 및 권한을 할당할 때 최소 권한 원칙을 따름으로써, 공격자가 클러스터에 침투하더라도 과도한 권한을 얻을 가능성을 줄여야 합니다.2) 큐브스케이프에서 RBAC 시각화 도우미를 활용해 불필요한 권한을 가진 역할 및 행위자를 감지하여 예방 및 대응해야 합니다.3) 악의적인 행위자가 측면 이동을 달성하고 데이터를 유출하는 것을 더 어렵게 하기 위해 심층 방어 기술을 사용해야 합니다.4) 쿠버네티스 매니페스트 파일, 코드 저장소 및 클러스터를 자주 지속적으로 스캔하여 예방해야 합니다.5) 취약점 공개 직후 해커가 패치되지 않은 대상을 겨냥하는 경우를 대비하기 위해 쿠버네티스 클러스터에서 소프트웨어 패키지를 정기적으로 업데이트하는 프로세스를 설정하여 최신화 해야합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
과학기술정보통신부는 지난1월 31일 민간기업이 공공부문에 클라우드 서비스를 공급하기 위해 필요한 인증인 클라우드컴퓨팅 서비스 보안인증(CSAP[1]) 일부 개정안을 고시했으며, 현재 시행 중에 있다. 이는 2016년 4월에 「클라우드컴퓨팅서비스 정보보호에 관한 기준」이 고시된 이후 7년이 되어가는 시점에서의 개정이다.[1] CSAP: 클라우드 서비스 제공자가 제공하는 서비스에 대해 『 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 』 제 23조 제2항에 따라 정보보호 기준의 준수여부 확인을 인증기관이 평가·인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도 이번 개정안의 주요 내용은 공공부문 클라우드 보안인증 체계를 시스템 중요도에 따라 상·중·하 등급으로 나눠 각기 다른 보안 규제를 하겠다는 것이다. 특히 ‘하’ 등급은 물리적 망분리 이외에 논리적 망분리까지 허용하는 것으로 보안 규제를 완화한다. 더욱이 오는 2025년까지 추진될 행정·공공기관 정보시스템 클라우드 전환 사업이 상대적으로 덜 민감한 업무인 ‘하’ 등급부터 시작될 것으로 보여, 국내와 해외 클라우드 서비스 사업자(CSP[2]) 간의 희비가 교차하고 있는 상황이다. 보안규제 완화가 제한된 공공 영역을 개방해 클라우드 시장 전반을 활성화하고 공공 서비스를 혁신하기 위한 결정이라지만, 해외CSP에 비해 상대적으로 경쟁력이 부족한 국내 CSP가 경쟁에서 밀릴 수 있다는 우려도 제기되는 상황이다.[2] CSP(Cloud Service Provider): 공공 클라우드 인프라, 플랫폼 서비스를 제공하는 업체를 의미한다. CSP는 자체 데이터센터를 구축해 다수의 물리 서버를 가상화해 제공하며 네트워크, 스토리지, 전력 등 서버 운영에 필요한 모든 것을 지원하고 있다. 대표적으로 아마존의 ‘AWS’, 마이크로소프트의 ‘Azure’, 구글의 ‘GCP’ 등이며, 국내기업으로는 네이버클라우드, NHN클라우드, KT클라우드 등이 있다. 이번 헤드라인에서는 클라우드 서비스 보안인증제도가 개정된 배경과 국내/해외 클라우드 사업자(CSP)의 상황, 그리고 이번 개정안으로 변경된 관리/물리/기술적 보호조치 내용에 대해 살펴보고자 한다.■ 클라우드 서비스 보안인증제도(CSAP) 개편 배경 및 경과그간 아마존웹서비스(AWS)나 마이크로소프트(MS), 구글 클라우드 등 해외CSP는 한국 시장 진입을 위해 클라우드 서비스 보안인증제도(CSAP)의 규제완화를 꾸준히 요청해왔다. 지난 2022년 5월 조 바이든 미국 대통령이 방한 후 주한미국상공회의소에서 과학기술정보통신부에 클라우드 서비스의 보안인증제도(CSAP) 와 논리적 망분리 허용에 관한 내용이 담긴 공문을 보냈다는 소식이 전해지기도 했다. 이후 국가정보원이 국내 CSP로부터 클라우드 서비스 보안인증제도(CSAP)완화에 대한 의견을 마련하면서, 규제완화에 대한 세부내용이 발표되기 시작했다. 2022년 6월 과학기술정보통신부에서 ‘SW산업의 질적 도약을 위한 국내 SW 기업의 성장 및 해외 진출 지원방안’ 간담회를 열고 클라우드 서비스 보안인증제도(CSAP) 완화·개편 지시와 3분기 내 보안인증제를 완화 계획을 알렸으며, 7월에는 과학기술정보통신부에서 보안인증을 상·중·하 등급으로 세분화한 계획을 발표, 8월에는 보안인증제 등급 및 완화 차등 적용을 공식화했다. 같은 해 11월 과학기술정보통신부는 클라우드 보안인증 개편안 설명회를 개최하며 클라우드 보안인증 평가기관 지정계획, 인증평가 수수료의 부과 및 지원계획 등 고시 개정에 따른 주요 변경사항과 함께 기존의 보안인증 과정에서 기업이 부담을 호소했던 인증 평가 방식에 대한 개선 계획을 안내했다. 이러한 과정 중 보안인증과 관련하여 국내 CSP와 회의를 진행하려 했지만 대다수의 업체들이 불참하였고, 도리어 국내 CSP는 국정감사에서 정부가 추진하는 클라우드 서비스 보안인증제도 개편에 대해 ‘글로벌 추세 역행’이라고 비판하며 제도적 보완을 요구하기도 했다. 이후 2022년 12월 과학기술정보통신부는 「클라우드컴퓨팅 서비스 보안인증에 관한 고시」일부 개정안 행정예고를 2023년 1월 18일까지 하였고, 최종으로 2023년 1월 31일에「클라우드컴퓨팅 서비스 보안인증에 관한 고시」(과학기술정보통신부 고시 제 2023-3호)를 일부 개정하여 고시했다. 과학기술정보통신부가 밝힌 개정 이유는 “공공부문의 민간 클라우드 이용 활성화를 위해 국가기관 등의 시스템을 3등급으로 구분하고 등급별로 차등화 된 보안인증기준을 적용하는 클라우드 보안인증 등급제 도입을 위해 필요한 사항을 정하기 위함”이라고 전했다. ■ 클라우드 서비스 보안인증제도(CSAP) 개정 사항2023년 1월 31일에 고시된 주요 개정내용은 크게 3가지로 구분된다. 가. 기존 클라우드 보안인증의 등급제 신설(제14조 개정) - 클라우드컴퓨팅 서비스의 정보보호 수준에 따라 보안인증 기준을 차등화해 적용하는 등급제(상등급, 중등급, 하등급) 시행 근거 마련 나. 보안인증 유형 및 등급에 따른 세부 점검항목을 공개(제15조 개정) - 클라우드 보안인증 유형 및 등급에 따라 보안인증기준 내에서 세부 점검항목을 공개할 수 있는 근거 마련 다. 클라우드 보안인증의 등급화에 따른 보안조치 개정(별표 1, 2, 3, 4, 7) - 관리적, 물리적, 기술적, 국가기관 등이 이용하는 클라우드컴퓨팅 서비스 보호조치 개정 개정된 클라우드 서비스 보안인증제도(CSAP)를 살펴보면첫 번째, 「클라우드컴퓨팅 서비스 보안인증에 관한 고시」 제14조(보안인증 유형 및 등급)의 내용을 보면 클라우드컴퓨팅 서비스 보안인증 유형 4가지와 3개의 등급으로 나눈다. 보안인증의 유형은 다음과 같다.위 보안인증의 유형에 따라 보안인증 등급은 기존 IaaS, SaaS(표준등급), SasS(간편등급), PaaS에서 개정 후 상, 중, 하로 구분한다.2016년부터 2023년 2월까지 클라우드 서비스 보안인증을 받아 국가기관에서 사용 가능한 시스템은 82개로 IaaS 9개, SaaS 표준 22개, SaaS 간편 48개, DaaS 3개다.두 번째, 제15조(보안인증기준)는 클라우드컴퓨팅 서비스 보안인증제도(CSAP) 항목을 14개 통제항목과 117개 평가항목으로 분류했다. 관리적/물리적/기술적 보호조치(별표 1∼3)를 위한 14개 통제항목과 106개 평가항목을 적용한다.또한, 행정기관 및 공공기관에게 클라우드컴퓨팅 서비스를 제공하려는 경우 국가기관 등이 이용하는 클라우드컴퓨팅 서비스 보호조치(별표 4)는 1개 분야 11개 평가항목을 적용하는 것이다.마지막으로 클라우드 보안인증의 등급화에 따른 관리적/물리적/기술적 보호조치를 위한 평가항목이 일부 변경됐다. 특히, 국가기관 등이 이용하는 클라우드컴퓨팅 서비스 보호조치와 관련하여, 물리적 보호조치 내 물리적 위치 및 영역 분리 통제항목에 상·중·하 등급이 모두 적용되는 부분에 가장 논란이 많다. 클라우드 시스템, 백업 시스템 및 데이터와 이를 위한 관리·운영 인력의 물리적 위치 기준 충족을 위해서는 데이터센터가 국내에 위치해야 하고, CC인증은 국가정보원이 주관하는 공통평가기준을 통과해야 한다. 망분리는 기존에 적용했던 물리적 망분리를 상·중등급에 적용하고, 하등급만 적용하도록 하여 일반 이용자용 클라우드컴퓨팅 서비스 영역과 물리적 또는 논리적 망분리가 가능하다.
> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계
Q. 이 페이지에서 제공하는 정보에 대하여 어느 정도 만족하셨습니까?
평균 3.1점 / 27명 참여