2019-12-15 02:30 (일)
백신피해 오랜기간 잠복하는 악성코드 활개
상태바
백신피해 오랜기간 잠복하는 악성코드 활개
  • 길민권
  • 승인 2011.08.11 11:53
이 기사를 공유합니다

범죄자, 모바일용 트로이목마 개발에 주력
피싱으로 항공사 비행기 '마일리지'를 훔쳐내기도
Kido 웜과 Sality 바이러스, 백신탐지되지 않고 오랜기간 잠복
보안 컨텐츠 관리 솔루션 전문기업 카스퍼스키 랩은 사용자 컴퓨터와 인터넷 상의 악성 프로그램 활동에 대한 월간 보고서를 발표했다.
 
아래 자료는 카스퍼스키랩 제품의 카스퍼스키 시큐리티 네트워크을 실행 중인 컴퓨터의 7월 데이터를 사용해 작성되었다.

다음은 6월 통계 자료의 비교표다.
 
 
구글 vs. co.cc 도메인 영역
7월 달의 가장 주목할 만한 사건 중 하나는 구글이 자사의 검색 결과에서 *.co.cc 주소를 가지는 11,000,000개 이상의 URL을 제외시켰다는 것입니다. '차단'된 도메인 영역은 등록된 도메인 이름 부분에서 .com, .de와 .net 다음인 네번째로써 세계 최대 규모 중 하나다.
 
이러한 과감한 조치에 대한 이유는 정기적으로 악성 안티바이러스 프로그램을 확산하거나 Drive-by 공격을 실시하는 사이버 범죄자들에 의해 사용되는 도메인 URL들이기 때문이다.
 
.co.cc 도메인이 대한민국에 속하는 반면, .cc 영역은 코코스 제도에 속한다는 것을 알아야 합니다. 사이버 범죄자들 사이에서 .co.cc의 인기 이유는 도메인 등록 기관에서 무료 또는 매우 저렴한 가격으로 등록되는 3등급 도메인 이름이기 때문이다.
 
카스퍼스키랩 조사에서는 구글의 공세가 실제로는 사이버 범죄자들이 .co.cc 도메인을 적은 빈도로 사용한다는 결과를 보여준다. 사이버 범죄자들은 다른 도메인 영역을 사용하기 시작했기 때문이다. 따라서 구글의 캠페인이 얼마나 성공적인지 말하기는 어렵다. 또한 합법적이고 법률을 준수한 도메인 소유자가 우연히 구글의 행동으로 영향을 받을 수도 있다.


 
안드로이도용 제우스(ZeuS)
7월, 악명 높은 ZeuS 트로이목마의 모바일 버전인 ZitMo 스파이 트로이목마의 네번째 사례가 탐지되었다. 우리는 이미 심비안, 윈도우 모바일 및 블랙베리 플랫폼에서 실행하는 ZitMo의 버전을 접했었지만 이번에는 ZitMo가 안드로이드 장치를 공격하도록 수정되었다.
 
ZitMo(카스퍼스키랩에서는Trojan-Spy.AndroidOS.Zbot로 분류)는 원격 거래를 하기 위해 사용되는 일회용 암호인 mTAN 코드를 도용해 설계되었다. 은행 사용자들은 SMS로 코드를 받고 그것은 온라인 뱅킹을 할 때 보호 레벨 2를 보장한다.
 
사용자들은 스스로 스마트폰에 보안 애플리케이션을 설치하기 위해 ZeuS 백도어로부터 명령프롬프트를 통해 악성 프로그램을 설치한다. 만약 사용자의 컴퓨터가 ZeuS에 감염되면 모바일 폰은 ZitMo에 감염되고, 사이버범죄자는 피해자의 은행 계좌에 접근할 권한을 얻으며, 사용자에게 은행에서 보내는 일회용 거래 암호를 가로챌 수 있다. 이 경우에 mTAN 코드를 사용한 인증은 은행 계좌에서 피해자의 돈이 도난 되는 것을 막을 수 없다.
 
온라인 뱅킹 보안 기술을 개발할 수록 사이버 범죄자들 역시 점점 모바일 모듈로 사용자의 컴퓨터에서 작동하는 스파이 트로이목마를 개선할 것이고, 그들은 피해자의 은행 계좌에서 돈을 훔칠 더 나은 기회를 갖게 된다. 따라서 사용자들은 스마트폰에 프로그램을 설치할 때 매우 주의를 기울여야 한다.  

 
 
 
피셔(phishers)들의 활동
7월에 카스퍼스키 랩 전문가들은 흥미로운 사건을 소개했다. 은행 계좌 정보 이외에 브라질 피셔는 항공사 비행기 단골 손님들에게 발생한 '마일리지'를 훔치기 시작했다. 뿐만 아니라 현금의 형태로도 티켓을 구입하기 위해 마일리지를 사용한다. 다른 메시지에서 항공 마일리지가 도난 신용 카드로 제공되는 동안, 사이버범죄자는 IRC 메시지에서 60,000 마일을 댓가로 브라질의 스팸 발송 봇넷에 대한 권한을 판매했다. 이것은 사이버 범죄자들이 모든 종류의 정보에 흥미를 가질 것이고 틀림없이 모든 것을 훔칠 준비가 되어 있다는 우리의 2011년 예상과 일치한다.
 
악성 프로그램 순위
사용자의 컴퓨터에서 탐지된 악성 프로그램 Top 20은 몇 개월 동안 거의 변하지 않은 반면, 온라인 악성 프로그램의 순위에서는 매 달 새로운 개체가 등장했다. 7월도 예외 없이 온라인 순위 중 60% 프로그램들이 이번 달에 새롭게 등장했다.
 
이것은 사이버 범죄자에 의해 정기적으로 업데이트되는 악성 스크립트들이 사용자의 컴퓨터에 위치하지 않고 원격 서버에서 배포되고 있기 때문이다. 한편, Kido와 같은 네트워크 웜과 Sality와 같은 바이러스들은 사용자 컴퓨터의 악성 프로그램 Top 20 순위에서 두드러진다.
 
이 프로그램들은 상당한 기간 동안 안티 바이러스 솔루션에서 발견되지 않은 상태로 잠복해 있을 수 있다. 하지만 지속적으로 네트워크 폴더 또는 이동식 미디어를 통해 다른 컴퓨터를 감염시키려고 하고 있으며, 안티 바이러스 솔루션은 이러한 악성 행위로부터 시스템을 보호할 것이다.
 
대부분의 경우 사이버 범죄자들은 매우 빠르게 악성 프로그램을 업데이트한다. 변종 악성 프로그램의 짧은 활동 특성은 시그니처 탐지 기법으로 탐지하기에는 역부족이며, Top 20 순위 안에 올라오는 것도 힘들다는 것을 의미한다. 성공적으로 이러한 변종 보안 위협에 대처하기 위해 안티 바이러스 업체는 시그니처 기반 탐지 방법뿐만 아니라 휴리스틱과 클라우드 기술을 사용한다.
 
웹사이트 방문 시 자동 감염되는 Drive-by-download 공격은 악성 프로그램을 사용하여 사용자의 컴퓨터를 감염시키는 가장 인기 있는 방법 중 하나다. 매 달 리디렉터, 스크립트 다운로더, 익스플로잇과 같이 공격을 가능하게 하는 새로운 개체들이 온라인 악성 프로그램 Top 20에 등장하고 있다. 7월에는 11개의 이러한 개체들이 새로 추가되었다.
 
<온라인 악성 프로그램 Top 20>


 
<사용자 컴퓨터에서 탐지된 악성 프로그램 Top 20>

 
[정보제공. 카스퍼스키랩 / 데일리시큐=길민권 기자]