천객만래 [千客萬來] (It has an interminable succession of visitors)

중국 판매 PC 20대 중 4대는 이미 백도어 맬웨어에 감염된 것





마이크로소프트는 중국에서 출하시 PC에 강력한 봇넷 맬웨어가 미리 설치되어 출시됐다는 놀랄 만한 증거를 공개하고 있다. 중국에서 맬웨어 조사를 행하는 Operation B70이 개시된 것은 2011년 8월의 일.

마이크로소프트 문서에는 디지털 범죄 유닛(DCU)이 중국내의 다양한 지역에서 20개 브랜드의 PC를 구입하여 조사를 행한 결과, 그 가운데 4대가 이미 설치된 백 도어형 맬웨어에 의해서 감염되었으며 그 가운데 하나는 이미 알고 있는 ‘Nitol’이라고 불리는 루트 킷이 포함되어 있다고 한다.

조사 팀이 Nitol의 활동을 추적한 결과, C&C 서버가 존재하고 있다는 사실이 밝혀졌다. 이 맬웨어에 감염되었던 PC가 보다 큰 봇, 필시 DDoS 공격을 시도하는 데 사용된 것을 찾아내었다고 한다.

USB 등의 removal media에 자기 자신의 복사를 남김으로써 Nitol은 미리 설치되었던 PC이외에도 확대되고 있다. Nitol에 의해서 C&C서버에서 맬웨어를 호스트된 경우, 맬 웨어 범죄자들에 있어서는 거의 모든 문제 행동이 가능하게 된다. 키 로거나 제어 웹 카메라, 검색 설정의 변경 등, 다양한 것을 범죄자 측이 원격 조작으로 행하게 된다.

마이크로소프트는 오랫동안 맬웨어가 PC 제조 중, 또는 제조 후 바로 PC에 설치되지 않았을까라는 의심을 갖고 있었다고 한다. 마이크로소프트는 조사 결과를 소개한 블로그에서 “특히 불안정한 것은 수송, 기업간 이동 등 Supply Chain의 어떤 시점에서 PC에 맬웨어가 설치되어 있다는 것이다”라고 강조하고 있다.

시큐리티 대책을 추가하기 전에, 누군가에 의해 제조시에 맬웨어가 설치되어 있다는 상황은 공정의 후방에서 시큐리티 대책을 추가하는 시큐리티 시스템 이 자체를 수정하지 않으면 안 된다. 게다가, End User가 이들에 의한 위험을 회피하는 데에는 기지의 안전한 이미지 파일을 사용해서 OS를 재 설치 하는 방법밖에 없다.

Operation B70은 PC의 시큐리티 상태가 원하지 않는 상황에 놓여있다는 점을 지적함과 동시에 Supply Chain에 있어서의 시큐리티 의문을 던지고 있다. Microsoft는 이미 지난 주 전반에、Nitol 봇 넷에 명령을 내리기 위해 사용되고 있는 C&C서버를 제어하기 위해 미국 재판소로부터 허가를 취득하였다고 한다. (Computer. 2012/09/17) [출처] 마이크로소프트, 중국에서 출하시부터 맬웨어 감염 PC 발견—공장에서 설치

Posted by SB패밀리
[IT/보안] 악성코드 진단 종류

Rootkit(루트킷)
자기자신 혹은 다른 악성코드가 사용자로부터 발견되지 않도록 은폐기능을 수행하는 놈
 
- Backdoor (백도어) 
공격자가 감염된 사용자의 시스템에 접속할 수 있게 하는 놈
 
- Trojan (트로이 목마)      
자체적인 확산기능은 없고, 사용자 몰래 악의적인 기능을 수행
 
- Trojan-Dropper (트로이목마-드롭퍼) 
악성코드에 포함된 추가적인 악성코드를 설치 
 
- Trojan-Exploit (트로이목마-익스플로잇) 
운영체제나 특정 프로그램의 취약점을 이용하여 공격하는 악성코드 
 
- Trojan-Downloader (트로이목마-다운로더) 
추가적인 악성코드를 인터넷이나 네트워크를 통하여 다운로드하여 설치 
 
- Trojan-PWS (트로이목마-패스워드스틸러) 
감염된 시스템에서 암호 정보를 유출하기 위해 제작된 트로이 목마 
 
- Trojan-Proxy (트로이목마-프록시)
프록시 설정을 이용하여 악의적인 기능을 수행하는 트로이목마 
 
- Trojan-Clicker (트로이목마-클리커) 
사용자의 클릭을 유도하기 위해 제작된 트로이목마 
 
- Trojan-Spy (트로이목마-스파이) 
감염된 시스템에서 다양한 정보 유출을 위해 제작된 트로이목마 
 
- Exploit (트로이목마-익스플로잇) 
운영체제나 특정 프로그램의 취약점을 이용하여 공격하는 악성코드 
 
- Adware (애드웨어) 
악의적인 팝업 및 사이트 고정등 일반적인 악성코드.
 
- Worm (웜) 
네트워크 또는 이메일 등을 통하여 자체적으로 전파되는 악성코드 
*단 E-Mail웜은 W32/Delf.234@mm 이런식으로 명명 (@mm이 붙으면 이메일웜)
 
- W32/Win32 (바이러스) 
Microsoft Windows 32bit 기반 운영체제에서 동작하는 파일 감염 바이러스 
 
- W95/ win95 (바이러스) 
Microsoft Windows 95 운영체제에서 동작하는 파일 감염 바이러스 
 
- Joke (조크) 
악의적인 기능은 없으며 사용자를 놀라게 하거나 장난으로 만들어진 파일 
 
- Constructor (컨스트럭터) 
악의적인 기능의 프로그램을 쉽게 만들기 위해 제작된 프로그램 
 
-PP7M,XF,X97M,W97M
매크로 바이러스 (ppt,워드,엑셀 등등..)


=======================================================
※ Win-PUP 진단명은 유해 가능 프로그램에 대한 진단으로 악의적인 목적으로 제작되지 않았지만, 사용자에게 피해(불편)를 줄 수 있는 파일(프로그램)을 의미합니다.
 
Posted by SB패밀리