랜섬웨어의 또 다른 진화? 퓨어락커, 누구의 작품일까?

대부분 백신에서 탐지되기 힘든 퓨어 베이직이라는 언어로 만들어지고

실행 조건 까다롭게 확인 후 공격 시작...협박 편지에는 돈에 대한 요구도 없어

[보안뉴스 문가용 기자] 퓨어 베이직(Pure Basic)이라는 프로그래밍 언어로 작성 랜섬웨어 퓨어락커(PureLocker)가 윈도우와 리눅스 기반 서버들을 공격하고 있는 모습이 포착됐다. 전문가들에 따르면 퓨어락커는 랜섬웨어는 몇 가지 면에서 혁신적인 모습을 보이고 있다고 한다. 랜섬웨어 공격자들도 안주하지 않고 있다는 것이 다시 한 번 드러났다.

퓨어 베이직은 널리 사용된다고 말하기 힘든 프로그래밍 언어다. 하지만 보안 업체 인트저(Intzer)와 IBM이 공동으로 분석한 바에 의하면 몇 가지 특장점이 존재한다. “대부분의 백신 소프트웨어가 퓨어 베이직으로 만들어진 바이너리를 제대로 탐지하지 못합니다. 또한 퓨어 베이직의 코드는 윈도우 ,리눅스, OS-X 간 포팅이 자유롭습니다. 따라서 공격을 광범위하게 펼치기 쉽습니다.”

​ 

해외 송금 알바를 가장한 보이스피싱 인출책 모집 광고 조심!

[보안뉴스 박미영 기자] 금감원은 최근 문자메시지, 온라인 커뮤니티·구인구직사이트 게시글 또는 모바일메신저를 통해 다수의 구직자들이 ‘해외 송금 알바’에 지원했다가 자신도 모르게 보이스피싱 피해금 인출책이 돼 범죄에 연루되는 사례가 증가함에 따라 금융이용자들의 주의를 당부했다.

해외 구매대행업체, 환전업체로 위장한 보이스피싱 사기범은 해외 송금 대가로 송금액의 1~10%, 하루 50만원 지급을 보장한다는 알바 모집 문자메시지를 발송하거나 인터넷 커뮤니티에 광고글을 게시한다.

또 이를 보고 연락 온 구직자들에게 신분증 등 인적사항과 계좌번호를 요구한 뒤 보이스피싱 피해자가 송금한 피해금을 입금해 주고, 자금 추적이 어려운 캄보디아·베트남·홍콩 등 해외 현지 은행(계좌)에 모바일·인터넷 뱅킹으로 송금하게 해 피해금을 가로채는 수법이다. 연간 5만달러 이내 해외 송금의 경우 외국환거래은행에 송금 사유 및 지급 증빙 서류를 제출하지 않아도 된다는 점을 악용한 것이다.

​ 

참조사이트  
 http://www.dailysecu.com
 http://www.boannews.com
 http://www.boan.com
 http://www.dt.co.kr/
 http://www.datanet.co.kr/
 http://www.itdaily.kr


 [패치 및 업데이트]
 금일 최신 패치 및 업데이트는 없습니다.

 [최신 바이러스 정보]

Trojan/Win32.Detplock.C3563025

최초 발견일: 2019-11-15

종    류: 트로이목마

형    태: 실행파일

감염/설치경로: 파일실행, 메일, 다운로드

설   명: ​Trojan/Win32.Detplock.C3563025은 Windows의 시스템을 대상으로 하며 시스템 내부에서 명령을 수행하여 시스템 설정, Windows 버전, 네트워크 구성 등과 같은 데이터를 수집하는 트로이목마이다.

  ​

[보안TIP]

새 아이폰 탈옥 도구 체크라인에 보안 담당자들이 긴장

[보안뉴스 문가용 기자] 아이폰의 탈옥을 가능케 해주는 툴이 공개됐다. 이름은 체크라인(checkra1n)으로, 보안 전문가들의 신경을 곤두서게 만들기 충분할 정도로 강력하다고 알려져 있다. 하지만 체크라인은 해커들과 일반 아이폰 사용자들 사이에서 빠르게 퍼져나가고 있는 중이다.

탈옥이란 일종의 해킹 기술을 뜻하는 단어로, 아이폰 사용자들이 장비에 걸려 있는 DRM 제한을 무시할 수 있도록 해준다. 장비를 탈옥시킨 사용자들은 허가되지 않은 앱들을 설치할 수 있게 된다. 그러므로 각종 멀웨어가 설치될 위험에 노출된다. 사용자 스스로가 이런 위험을 자초하는 것도 위협이 되지만, 누군가 장비를 물리적으로 탈취해 체크라인을 심어 강제로 탈옥시키는 것도 문제가 될 수 있다.

보안 업체 짐페리움(Zimperium)의 수석 부회장인 크리스토퍼 시나모(Christopher Cinnamo)는 블로그 게시글을 통해 “체크라인은 잠재적 위험성이라는 측면에서 유례가 없을 지경”이라고 표현한다. “애플이 장비에 설치해둔 각종 보안 장치를 무력화시킬 수 있는 것으로, 표적 공격을 하려는 수많은 사람들에게 유용한 도구가 될 것입니다.”

체크라인이 공식 발표된 건 지난 주 금요일의 일이다. 아이폰 사용자들을 위한 쉬운 탈옥 도구로서 소개됐다. 체크메이트(checkm8)라는 이름으로 잘 알려진 부트롬(BootROM) 익스플로잇을 기반으로 하고 있다. 체크메이트는 지난 9월 액시엄엑스(axi0mX)라는 이름으로 활동하는 한 해커가 발표한 것으로, “패치가 불가능한 영구 익스플로잇”이라고 광고됐다. 체크메이트가 해킹할 수 있는 장비는 A5~A11 칩으로 만들어져 있거나, iOS 12.3~13.2.2 버전까지 영향을 받는다.

액시엄엑스가 ‘영구 익스플로잇’이라고 표현한 이유는 기기 리부트 등을 통해 장비를 탈옥 이전 상태로 돌릴 수 없기 때문이다. 하지만 이는 과장된 내용이다. 보안 업체 룩아웃(Lookout)의 보안 전문가인 크리스토프 헤비스(Christoph Hebeis)는 “리부트를 통해 탈옥 상태를 취소시키는 게 가능하다”고 주장한다. “즉 피해자가 장비를 새로 시작하면 탈옥 상태에서 벗어날 수 있다는 겁니다. 그렇지만 공격을 지속시켜주는 앱을 미리 사이드로딩 함으로써 계속해서 공격을 이어갈 수 있습니다. 즉, 영구한 익스플로잇이 간접적으로는 가능하다는 겁니다.”

원 사용자가 모르게 아이폰을 탈옥시킨다는 것 역시 그리 간단한 일은 아니다. “체크라인을 설치하려면 잠금장치가 풀린 아이폰에 접근하고 익스플로잇 코드를 실행하고 있는 맥OS 장비와 테더링시켜야 합니다. 까다로운 조건이긴 합니다.” 하지만 헤비스는 “비현실적인 공격 시나리오는 아니”라고 주장한다. “예를 들어 국경을 건널 때 검사를 위해 아이폰을 넘기는 순간 공격을 성립시킬 수 있습니다. 중국의 국경 수비대의 경우 실제로 이런 식으로 여행자들의 폰에 감시 앱을 심었던 적이 있죠.”

보안 전문가들은 “기업들 입장에서 가장 경계해야 할 건 직원들이 스스로 자기 아이폰을 탈옥시키고 여러 가지 소프트웨어를 설치하는 것”이라고 경고한다. “그런 일이 벌어질 경우 조직 차원에서 각종 규정을 위반하게 될 가능성이 높습니다. 실제 사이버 공격은 고사하고 각종 벌금을 내야할 위험에 처하게 된다는 것이죠. 금융권이나 의료 업계 직원들이 회사 모르게 이런 일을 함으로써 조직은 명성과 금전적 손실을 입을 수 있습니다. 당연히 고객의 정보나 회사의 지적재산이 유출될 가능성도 생기는 것이고요.”

체크라인의 또 다른 무서움은 아이폰에 탑재된 칩셋의 오류를 통해 공격 지속성을 확보할 수 있다는 것이다. 애플이 설계하고 삼성이 만든 A5부터 애플이 설계하고 TSMC가 생산한 A11 칩셋까지 체크라인에 당할 수 있다. “이 칩셋들의 부트롬은 읽기만 가능한 메모리(ROM)로, 스타트업 혹은 부트업 명령어를 내포하고 있습니다. 읽기만 가능한 메모리라는 건, 취약점 패치가 불가능하다는 뜻입니다.”

체크라인은 기존 아이폰 탈옥 솔루션들과 다른 차별성을 가지고 있다. 보안 업체 완데라(Wandera)의 마케팅 책임자인 알렉스 안스텟(Alex Anstett)은 자사 블로그를 통해 “여태까지 등장했던 탈옥 소프트웨어는 iOS 소프트웨어에 있던 취약점을 익스플로잇 했었지만, 체크라인은 부트롬을 익스플로잇 하기 때문”이라고 설명했다. 그러면서 “즉 체크라인을 막기 위해 취약점 패치와 같은 방법을 사용할 수 없다는 것”이라고 강조했다.

룩아웃은 블로그를 통해 “직원들의 개인 장비에 대한 정책을 새롭게 수립할 필요가 있다”고 강조했다. “특히 잠시 도난당하거나 분실됐던 장비의 경우 비밀번호를 바꾸거나 다중 인증 시스템을 구축하는 등의 규칙을 세우는 것이 안전합니다. 또한 개인 장비를 통해 중요한 기업용 앱에 접근하지 못하게 하거나, 특정 기간이 지난 이후에 회사 네트워크에 접속하게 하는 등의 규칙도 도움이 됩니다.”

http://www.krcert.or.kr/data/secNoticeList.do
http://www.microsoft.com/korea/security/default.mspx
http://www.adobe.com/kr/downloads/updates/