주변의 IT 종사자 분들로 부터 들을 수 있는 고충이 고스란히 적힌 공감성 기사라 퍼왔습니다. 고개를 끄덕일 수 밖에 없는 부분이 많네요. IT 관련 직업 생각하시는 분들에게 큰 도움이 될 것 같습니다. 어떤 부분에서는 우리가 참아야 하는... 

어쩌면 스트레스 받는 많은 IT 종사자들에게 자신의 고충이 외부에 알려지는 것에 대해서 속이 시원함을 느끼지 않을까 생각됩니다. 저도 일찍부터 벌써 비슷한 상황을 겪어 가고 있는데 너무나 공감가는 뉴스기사에 피식 웃고 있는 제 자신을 발견했습니다. ;) 

http://mcaf.ee/h26l7
우리나라가 불법복제 상위 랭크에 든다는 것은 국민 모두가 아는 사실이라 생각합니다. 도덕성이 동반되지 않은 IT 강국 답게, 도덕적으로도 문제가 있는 불법복제가 너무나 공개적으로 이루어지고 있습니다. 예로 토렌트를 들 수 있는데, 최근에 토렌트 사이트를 대부분 차단했습니다만, 몇년간 운영하며 유출된 불법 소프트웨어만도 상당합니다. 

불법 복제율이 저하된 것은 환영할 일입니다만, 횟수로 따졌을 때는 저하되었지만 피해금액은 오히려 늘었습니다. 즉, 고가의 소프트웨어가 불법복제가 되어지고 있다는 것을 의미 하는 것이겠지요. 저작권에 관련되어 많은 교육이 실시되었습니다. 

이러한 교육의 결과로 일부 국민들 사이에서는 정품구매 하시는 분들도 많이 늘었습니다만, 결국 계속 불법복제하시는 분들은 더욱 많은 소프트웨어를 불법복제 했다는 것을 의미하는 것일 수도 있습니다. 
할사람은 하고, 안할 사람은 안하고.. 이런 격차현상이 발생한 것입니다.

http://mcaf.ee/37jt2
중국인들이 자주 이용하는 동영상 제공 사이트에서 바이러스가 유포되고 있다는 기사입니다. 우리나라도 많은 동영상 제공 서비스를 하고 있습니다. MGoXX, PanDoXX 등등 우리가 무심코 이용하면서 보안에 대해서는 전혀 생각하지 못했던 사이트들 입니다. 

비록 지금은 중국에서 일어난 사건이지만 우리나라가 중국으로 부터 바이러스 배포지로 전락하고 있는 우리나라도 피해자가 될 수 있다는 점을 인지해야 합니다.

http://mcaf.ee/dprzu
예전에 포스팅한 글 중에서 카스퍼스키 백신의 복구기능 에 대해 언급한 적이 있습니다. 바이러스 치료시에 발생하는 손상파일을 파일복구할 수 있는 두마리의 토끼를 모두 잡은 카스퍼스키가 백신순위에서 당당히 고득점을 차지하였습니다.

이러한 기능을 이스트소프트 측에서 의식을 한 것이라고 저는 생각합니다. 물론 비트디펜더라는 외산백신을 사용하고 있어서, 백신순위에 오를 수 있을지는 모르겠지만, 복구기능을 결합한다면 충분히 백신인지도를 높일 수 있을 것입니다.

http://mcaf.ee/24iyf
인터넷 쇼핑몰 성공사례가 우후죽순 쏟아지면서 10대부터 너도나도 인터넷 쇼핑몰 차리고 있습니다. 컴퓨터 지식에 얕은 상태에서의 쇼핑몰 운영은 중소기업에서도 소홀이 여기는 보안이 취약할 수 밖에 없습니다. 

기사를 찬찬히 읽는 과정에서 저는 "정부에서 지원을 해주는 편" 이 어떻게나 생각을 합니다. 잘못을 관리자에게만 돌리기에는 자본이 너무나 부족합니다. 모든 쇼핑몰이 보안에 신경 써주면 좋겠지만, 그만큼 나가는 돈도 많아지는 만큼 보안이 취약함을 알면서도 신경쓰지 못하는 상황도 많이 발생합니다. 

http://mcaf.ee/yc8ed
IT 강국 답게 우리나라에는 무료도메인이 상당히 많습니다. 저도 지금 사용하고 있는 .com 전에는 광고없는 무료도메인 몇개를 이용했었습니다. 

거의 매일 들어오는 악성코드 유포지를 찬찬히 살펴보면 도메인이 상당히 다양합니다. 여기 조사결과와는 다르게 저는 .com 을 제일 많이 봤고, .net은 그리 많이 본적은 없습니다. 

co.cc 는 무료 DNS 지원이라는 파격적인 서비스로 유명했으니 잘 알고 있었습니다만, 도메인을 즉시 활성화 시킬 수 있다는 기능을 악용하여 대량의 도메인을 생성해 피싱 사이트로 무차별 연결시켜버리는 것 같습니다. 

http://mcaf.ee/qr4vi
구글 크롬 사회공학기법 공격에 이어서 우후죽순처럼 사회공학기법 공격이 늘어나고 있습니다. 

화면 꾸미기만 한다면 얼마든지 바이러스에 감염이 된 것처럼 꾸밀 수 있기 때문에 점차 확산되는 것 같습니다. 

일류 백신회사 카스퍼스키도 이를 피해갈 수는 없나봅니다.

http://mcaf.ee/t059b
추후에 나오게 될 아이폰에도 클라우드 기반 I-클라우드를 탑재할 만큼 클라우드 연구가 활발하게 이루어지고 있는 만큼 이 자료도 매우 유용하리라 생각합니다.

 
크롬 브라우저가 취약하다는 해외 기사를 번역한 것을 포스팅하고나서 국내 보안뉴스를 검색하여보니 또 다시 비주류 브라우저에 대한 경고가 담긴 기사를 찾을 수 있습니다. 

주류 브라우저라 하면 인터넷 익스플로러(IE) 이며, 비주류라 하면 FireFox, Chrome, Safari 등 예로 들 수 있습니다. 비주류 브라우저는 아무래도 바이러스를 만든다고 하더라도 사용자가 얼마 없어서 피해를 주지 못하니 크래커들 사이에서는 기피하는 대사이였습니다. 

하지만 점차 비주류 브라우저가 IE의 점유율을 갉아먹을 정도로 사용자가 늘게 되자 점차 대상으로 하는 악성코드의 양도 많아지고 있습니다. 대부분 Malware 혹은 피싱 형태로 유도되고 있습니다. IE 에서 처럼 언제가는 페이지를 오픈만 하더라도 악성코드가 감염이 되는 취약점이 발견될 것입니다. 

피해는 상상할 수도 없을 것입니다. 이제는 비주류 브라우저는 안전하다는 사고에서 벗어나야 합니다.

http://mcaf.ee/xto02

Malware authors target Google Chrome
 

Every time I write about Internet Explorer, it’s usually a matter of minutes—sometimes even seconds—until someone in the Talkback section proclaims, smugly, that they’ve switched to Google Chrome or Firefox and are therefore immune from malware attacks.
시간날때면 크롬, 파이어폭스는 말웨어 공격을 막아낼 수 있다고 잘난체 하는 TalkBack 게시판의 의견에 대해 몇분간 의견을 적곤 합니다. 
 
 

They’re wrong, and malware authors have begun preying on users of alternative browsers to push dangerous software, including Trojans and scareware. The problem is that most malware attacks aren’t triggered by exploits that target vulnerabilities in code. Instead, according to one recent study, “users are four times more likely to come into contact with social engineering tactics as opposed to a site serving up an exploit.”
그건 틀렸습니다. 트로이목마와 스캐어웨어가 포함된 위험한 소프트웨어를 브라우저에 나타나기 시작했습니다. 코드상의 취약점을 목표로 동작하지는 않지만 연구에 따르면 "취약한 사이트를 이용한 사회공학기법 공격이 4배 늘었다" 라고 밝혔습니다. 
 

I found a perfect example yesterday, thanks to an alert from Silverlight developer Kevin Dente. He had typed in a simple set of search terms—Silverlight datagrid reorder columns—at Google.com, using the Google Chrome browser on Windows. You can follow along with what happened next in the screenshot gallery that accompanies this post.
SilverLight 제작자 Kevin Dente의 경고 때문에 아주 좋은 예를 하나 발견할 수 있었습니다.  


The first page of Google search results included several perfectly good links, but the sixth result was booby trapped. Clicking that link in Google Chrome popped up this dialog box:
구글 검색결과 중 첫페이지에는 아무문제가 없었지만, 여섯째 페이지부터는 문제가 있었습니다. 클릭해보니 다음 박스가 하나 떴습니다. 
 


당신의 시스템에서 심각한 프로세서가 실행중입니다. 
크롬 보안팀은 빠르게 시스템 파일을 검사할 것입니다. 

That led to a basic social engineering attack, but this one has a twist. It  was customized for Chrome. If you’ve ever seen a Google Chrome security warning, you’ll recognize the distinctive, blood-red background, which this malware author has duplicated very effectively.
이것은 전형적인 사회공학공격이지만, 좀더 지능화되었습니다. 크롬브라우저에 맞게 수정하였습니다. 만약 구글 보안경고를 본 경험이 있는 사용자라면 빨강 바탕화면을 연상합니다. 이 말웨어는 이 점을 이용하여 똑같이 복제하였습니다. 
 

After the fake scan is complete, another dialog box comes up, warning that “Google Chrome recommends you to install proper software.”
가짜 검사가 끝난후, 곧 다음 경고창이 뜹니다. "구글은 당신에게 맞는 소프트웨어를 설치할 것을 추천합니다" 
 


당신의 시스템은 수많은 바이러스 공격을 받고 있습니다.
구글은 당신 컴퓨터를 보호하기 위한 소프트웨어를 설치할 것을 추천드립니다.

That’s terrible grammar, and this social-engineering attack is likely to fail with an English-speaking victim, who should be suspicious of the odd wording. But a user whose primary language is something other than English might well be fooled. And the malware author has anticipated the possibility that you might click Cancel in the dialog box. If you do, it still tries to download the malicious software.
문법이 엉망인 이 사회공학공격은 의심스러운 문장력 떄문에 영어권에서는 효용이 없습니다. 하지만 주 언어가 영어가 아닌 다른 사용자에게는 안 좋은 결과를 초래할 수 있습니다. 말웨어 제작자들은 취소 버튼을 누를 수도 있다는 것을 염두하여 취소를 누르더라도 악성코드가 다운되도록 설정하였습니다. 
 

Each time I visited this page, the download I was offered was slightly different. My installed antivirus software (Microsoft Security Essentials) didn’t flag it as dangerous. When I submitted it to VirusTotal.com, only five of the 42 engines correctly identified it as a suspicious file. Less than 8 hours later, a second scan at VirusTotal was a little better. This time, eight engines confirmed that the file was suspicious. Microsoft’s virus definitions had been updated and a scan identified the rogue file asWin32/Defmid.
제가 이 페이지를 접속했을 때에는 약간 바뀌었습니다. 사용중인 백신 MSE는 위험감지를 하지 않았습니다. 바이러스토탈에 바이러스를 업로드해보니 42개 엔진중 5개 엔진에서만 의심파일로 진단하였습니다. 채 8시간이 지나지 않아 다시한번 바이러스토탈에 업로드 해보니 8개 엔진에서 진단하는 것으로 약간 호전되었습니다. 현재 MS에서는 Win32/Defmid 진단명으로 감지하고 있습니다. 
 

Panda and Precx identified the file as “Suspicious” and “Medium risk malware,” respectively. BitDefender, F-Secure, and GData flagged it as “Gen:Trojan.Heur.FU.quX@am@e97ci.” AntiVir detected it as “TR/Crypt.XPACK.Gen.” Kaspersky says it is “Trojan-Downloader.Win32.FraudLoad.zdul.” Every other antivirus engine, as of a few minutes ago, waved this suspicious executable right through.
Panda와 Precx는 "의심", "중위험군" 으로 감지하고, 비트디펜더와 F-secure, G-Data는 휴레스틱 진단으로 진단하고 있습니다. Antivir는 "
TR/Crypt.XPACK.Gen", 카스퍼스키는 "Downloader.Win32.FraudLoad.zdul" 로 감지하고 있습니다. 다른 백신 엔진도 곧 진단할 것입니다.
 

Meanwhile, back in the browser, Google Chrome’s warnings are completely generic. If you download the software it shows up in the Downloads folder looking perfectly innocent.
이 글에서 의미하는 것은 구글 크롬도 위험하다는 것입니다. 만약 소프트웨어를 다운 받는다면 프로그램을 완벽하게 묘사한 다운로드 폴더로 속일 수도 있습니다.  
 

Interestingly, this set of “poisoned” search terms also affected Bing, although the dangerous search result was on a different site, which didn’t show up until the fifth page of search results. And the download that it offered was, apparently, a completely different Trojan/scareware product. But the end result would have been the same, regardless of which browser I was using.
흥미로운건, 악의적인 검색이 Bing 에서도 가능하다는 것입니다. Bing에서 검색을 하면 구글에서는 7번째 페이지에도 보이지 않던 또 다른 위험사이트가 검색됩니다. 그리고, 다운로드 된 바이러스 또한 완전히 다른 유형입니다. 하지만 우리가 피해본다는 결과는 동일합니다.
 

This case study shows that malware authors are beginning to adapt to changing habits of PC users. There’s nothing inherently safer about alternative browsers—or even alternative operating systems, for that matter—and as users adapt, so do the bad guys.
이번사례로 말웨어 제작자들은 PC유저의 습관에 적응해나가기 시작했다는 것을 볼 수 있습니다. 허무맹랑한 브라우저의 안전과 OS의 안전등을 미끼로 접근함으로써 상황이 악화되고 있습니다.
 


Be careful out there.
조심하십시오 
 

 

원문: http://www.zdnet.com/blog/bott/malware-authors-target-google-chrome/3162?tag=must-read

+ Recent posts