Skip to content

위협 보고서

2017년 트렌드마이크로 보안 예측 보고서
넥스트 티어 (THE NEXT TIER)

보고서 읽기

모두 열기

2013년 1분기 위협 보고서

올초에는 자바와 어도비 플래시 플레이어, 아크로뱃, 리더와 같이 널리 사용되는 애플리케이션을 표적으로 하는 여러가지 제로데이 익스플로잇이 발견되었습니다. 또한 예측한대로 스팸, 봇넷, 뱅킹 트로잔 등 잘 알려진 위협들의 기능이 한층 개선되었습니다. 3월 20일에는 주요 방송사, 금융사의 전산망이 마비되는 사이버테러가 발생하였습니다.

보고서 읽기: 2013년 1분기 위협보고서 - 연초부터 사용자들을 강타한 제로데이 공격(PDF)

2012년 모바일 위협 보고서

2012년, 트렌드마이크로는 35만개의 악성 및 고위험 안드로이드 앱 샘플을 찾아냈으며 이는 2011년에 발견했던 천개의 샘플에 비해 그 숫자가 엄청나게 증가한 모습입니다. 게다가 윈도우 악성코드의 경우 14년이나 걸렸던 반면, 악성 및 고위험 안드로이드 앱이 이러한 수치에 도달하는 데에는 채 3년도 걸리지 않았습니다.

보고서 읽기: 2012년 모바일 위협보고서 - 반복되는 역사(PDF)

2012년 연간 위협 보고서

전문가들은 지난 몇 년 동안 포스트 PC 시대의 도래를 예측해 왔습니다. 포스트 PC 시대는 사이버 범죄가 PC의 시대를 넘어서는 시점이라고 말할 수 있습니다. 2012년에는 사이버 범죄자들의 공격이 안드로이드, 소셜 미디어 플랫폼, 매킨토시로 확대되었으며 따라서 진정한 포스트 PC 시대가 시작되었다고 볼 수 있습니다.

보고서 읽기: 2012년 연간 위협보고서 - 포스트 PC 시대의 진화하고 있는 위협들(PDF)

2012년 3분기 위협 보고서

3분기에 주목해야 할 악성코드로 모바일 악성코드가 선정되었으며, 안드로이드 및 iOS 악성코드의 숫자도 이러한 사실을 입증합니다. 한편 미국은 3분기 URL 클릭 피해 및 악성 사이트 호스팅 국가 1위라는 불명예를 얻었습니다. 그밖에 블랙홀 익스플로잇 툴킷 스팸 활동이 지속되고 있는 것으로 확인되었으며, 1,000개 이상의 취약점이 보고되었습니다.

보고서 읽기: 2012년 3분기 위협보고서(PDF)

2012년 1분기 위협 보고서

트렌드마이크로는 1분기에 안드로이드 기반의 스마트 기기 앱에서 약 5,000여 종류의 악성코드를 발견하였습니다. 모바일 기기의 위험성 중 하나로 예측되었던 안드로이드 스마트폰에 대한 사이버 공격의 증가가 현실화되었습니다. 그리고 트렌드마이크로의 2012년 보안예측이 맞아떨어지는 위협이 대다수 포착되었습니다.

보고서 읽기: 2012년 1분기 위협보고서 - 모빌리티 시대의 보안(PDF)

2011년 연간 위협 보고서

2011년에는 전세계 여러 조직들이 표적 공격에 노출되었고 새로운 디지털 화폐로 일컬어지는 데이터가 유출되면서 '데이터 유출의 해'라는 별칭을 얻게 되었습니다. 개인과 조직이 클라우드 환경으로 이전함에 따라 트렌드마이크로는 클라우드 내/외부에 데이터 보호 기능을 제공하여 고객을 지속적으로 지원할 것입니다.

보고서 읽기: 2011년 연간 위협보고서 - 정보가 곧 돈이다(PDF)

2012년의 12가지 보안예측

공격자는 점점 정교해지고 있으며 PC 중심의 데스크톱 공격에서 다른 부문으로 이동하고 있습니다. 컨슈머라이제이션, 가상화 및 클라우드를 수용함에 따라 2012년에는 효과적인 보안과 개인정보보호를 위해 좀 더 데이터 중심의 모델로 전향해야 할 것입니다.

보고서 읽기: 2012년의 12가지 보안예측(PDF)

2011년 3분기 위협 보고서

트렌드마이크로 연구진과 분석가들은 이번 3분기동안 다양한 사이버 범죄 활동을 적발하는 데 많은 기여를 했습니다. FAKEAV 제휴 네트워크와 SpyEye 활동들을 적발함으로써 법 집행기관들이 좀 더 수월하게 범죄자를 체포할 수 있게 도왔습니다.

보고서 읽기: 2011년 3분기 위협보고서(PDF)

2011년 2분기 위협 보고서

2분기에는 데이터 유출, 취약점 공격, 새로운 안드로이드 악성코드의 확산, 소셜 네트워킹 신용 사기 및 기존 시스템 감염원들의 발전이 두드러진 시기였습니다. 사이버 범죄자들은 1분기와 마찬가지로 여전히 다양한 악의적인 공격 방법을 모색하였고 도구, 대상, 전략 및 규모 면에서 훨씬 더 교묘해지고 심각해졌습니다.

보고서 읽기: 2011년 2분기 위협보고서(PDF)

2011년 3월 위협 보고서

3월은 사이버 범죄 근절을 위해 애쓰는 이들에게 특히 힘든 시기였습니다. 여러가지 공격들을 성공적으로 근절시키고 적시에 처리함으로써 보안 전문가들이 우세를 보이기는 했지만, 사이버 범죄자들도 타겟팅된 대규모 변조 공격을 효과적으로 펼칠 수 있는 저력을 보여주었습니다.

보고서 읽기: 2011년 3월 위협보고서(PDF)

2013년 2분기 위협 보고서

2분기에는 안드로이드 모바일 위협과 온라인뱅킹 위협이 두드러진 시기였습니다. 고위험군 악성 안드로이드 앱의 수가 급증했으며, 저렴한 악성코드 툴킷의 보급이 증가하면서 악성코드 공격에 의한 온라인뱅킹 위협이 심각한 것으로 나타났습니다.

보고서 읽기: 2013년 2분기 위협보고서 - 안드로이드 보안 위협과 온라인뱅킹 악성코드의 증가(PDF)

2013년 3분기 위협 보고서

이번 분기에는 여러 국가들의 온라인뱅킹 악성코드 감염률이 증가했고 감염된 사이트의 규모도 대폭 증가했습니다. 그리고 모바일 환경에서 악성 고위험 안드로이드 앱의 수가 1억 개를 돌파했습니다. 사회공학적 기법의 피싱도 지속되어 애플 제품 관련된 피싱메일이 꾸준히 발견되었습니다.

보고서 읽기 : 2013년 3분기 위협보고서 - 보이지않는 웹의 출현(PDF)

2014년 보안 예측 보고서

2014년에는 모바일뱅킹 이용자가 늘어나면서 모바일 위협들이 증가할 것입니다. 또한 표적형공격의 수법은 이메일을 통한 공격에 그치지 않고 워터링홀 공격이나 모바일 공격 등의 형태로 다양해질 것입니다. 그리고 지원이 종료되는 OS나 소프트웨어의 취약점을 악용한 공격이 거세질 것으로 예측됩니다.

보고서 읽기 : 2014년 보안 예측 보고서 - 모호해진 경계(PDF)

2013년 연간 위협 보고서

2013년에는 사용자의 정보를 훔쳐 현금화하려는 사이버범죄가 기승을 부렸습니다. 온라인뱅킹 악성코드는 일년 내내 지속적으로 증가했으며, 10월에는 몸값요구형 악성코드인 랜섬웨어의 감염률이 급증했습니다. 이러한 악성코드와 정교해진 위협들은 사이버범죄자들이 새로운 위협을 개발하기 보다는 기존 도구를 개선하여 이용할 것이라는 우리의 예측을 입증해 주었습니다.

보고서 읽기: 2013년 연간 위협보고서 - 디지털 정보의 현금화(PDF)

2014년 1분기 위협 보고서

이번 분기에는 작년과 같이 금전을 노린 사이버범죄가 계속되었으며, 보다 큰 성과를 얻기 위해 공격 수법이 변화하고 새로운 영역으로의 공격이 확대되었습니다. POS시스템과 가상화폐를 표적으로 삼은 악성코드가 발견되었으며, 특정 국가나 지역에서의 감염 확대를 노린 공격수법이나 Tor를 이용해 추적을 회피하려는 수법이 확인되었습니다.

보고서 읽기 : 2014년 1분기 위협보고서 - 전혀 예상치못한 분야를 대상으로 한 사이버범죄 발생(PDF)

2014년 2분기 위협 보고서

2분기에는 고위험성 취약점 문제, 사이버 위협 및 개인정보 유출 사고가 계속되면서 데이터 보호를 위한 전략적인 대안책을 마련해야 할 필요성이 높아졌습니다. 코드스페이스는 디도스 공격, 계정 탈취, 데이터 손실 등으로 사업을 접어야만 했고 이베이는 해킹을 당해 고객 정보가 유출되는 등 전략적인 보안 대책이 필수적이라는 것을 보여주었습니다.

보고서 읽기 : 2014년 2분기 위협보고서 - 사이버공격에 대한 판도를 바꾸다(PDF)

2015년 보안 예측 보고서

사이버 범죄자들이 미국에서 표적 공격을 통해 주목할 만한 위협 행위를 전개한 이후로 2015년에는 표적 공격 캠페인이 지속적으로 증가할 것으로 예상됩니다. 트렌드마이크로 위협 연구진은 최근에 확인된 것처럼 말레이시아나 인도네시아와 같이 공격이 자주 발생하지 않았던 국가의 조직들에 대한 공격도 볼 수 있게 될 것이라고 내다봤습니다.

보고서 읽기 : 2015년 보안 예측 보고서 - 보이지 않는 위협의 출현(PDF)

2014년 3분기 위협 보고서

3분기에는 소프트웨어 취약점이 사이버 범죄에서 가장 선호하는 대상이 되고 있다는 사실을 다시 한 번 보여주었습니다. 3분기에 발견된 셸쇼크 취약점은 전 세계 5억 개 이상의 서버와 리눅스 및 유닉스 시스템을 위협했습니다. 이는 OS나 애플리케이션 안에 오랫동안 발견되지 않은 채 숨어 있는 취약점들이 더 존재할 수도 있다는 사실을 암시합니다.

보고서 읽기 : 2014년 3분기 위협 보고서 - 사이버 공격에 사용되는 취약점(PDF)

연변 모바일 갱 - 한국 사용자를 타깃으로 한 모바일 위협

연변 모바일 갱은 2013년부터 피해자들의 계좌에서 성공적으로 돈을 인출하고 있습니다. 해커들은 가짜 뱅킹 및 그 밖의 유명한 앱들을 이용하여 2013년부터 2014년까지 4,000명 이상의 한국 안드로이드 모바일 뱅킹 고객들에게 피해를 입혔습니다. 본 보고서는 연변 모바일 갱의 구성, 활동 및 역량에 대한 심층 정보를 제공합니다

보고서 읽기: 연변 모바일 갱 - 한국 사용자를 타깃으로 한 모바일 위협(PDF)

점점 진화하는 ‘몸캠 피싱’용 안드로이드 모바일 악성코드 연구 보고서

최근 이슈가 되고 있는 화상채팅을 하며 찍은 음란 영상을 유포하겠다고 협박해 돈을 뜯는 이른바 '몸캠 피싱'에 사용된 모바일 악성코드에 관한 보고서로 신종 수법의 모바일 악성코드에 대한 분석과 이를 제작 및 유포한 해커 조직들에 대한 정보를 제공합니다.

보고서 읽기: 극동지역에서 발생되는 섹스토션 (성관련 협박사건) (PDF)

2015년 1분기 위협 보고서

Best practices are failing. No matter how good you are at sticking to them, they can no longer guarantee your safety against the simplest threats we saw last quarter. Malicious advertisements are in the sites you frequent, data-leaking apps come preinstalled in your gadgets, and data-encrypting malware run silently in your office networks. Even the macro threats that were supposedly long gone are now back in the wild. Today’s threats leave zero room for error.

보고서 읽기: 2015년 1분기 위협 보고서 - Bad Ads and Zero Days: Reemerging Threats Challenge Trust in Supply Chains and Best Practices (영문)

2015년 2분기 위협 보고서

A supposed airline hack and other similar incidences this past quarter have made it clear: Attackers are finding more inventive ways to infiltrate and abuse existing technologies. This signals a rise in threats that go beyond just stealing data, and whose effects are more physical, evident, or close to home.

보고서 읽기: 2015년 2분기 위협 보고서 - New Hacks Threaten Public Technologies (영문)

2016년 보안 예측 보고서

매년 접하게 되는 사이버 보안 관련 성공 및 실패 사례들은 우리에게 중요한 교훈과 함께 미래를 예측할 수 있는 힌트를 주기도 합니다. 이를 자세히 살펴보면 앞으로 발생될 일들에 대한 선명한 그림을 완성할 수 있는 퍼즐 조각을 얻을 수 있습니다. 2015년을 마감하면서 올해 발생된 사건들을 되돌아보고 정보를 토대로 미래를 예측해보고자 합니다.

보고서 읽기: 2016년 보안 예측 보고서 - The Fine Line

2015년 3분기 위협 보고서

전문가들이 사람들에게 재난에 대비할 것을 요구할 땐 항상 앞으로 닥칠 사건에 대한 징후를 보고 경고를 합니다. 우리는 이번 분기에 개인의 삶과 조직의 운영에 손해를 끼칠 수 있는 기밀 데이터의 유출 위험을 알리는 여러 가지 표지들을 보았습니다. 세간의 이목을 끄는 정보 유출, 취약점 악용 및 우리가 지난 분기에 본 여러 공격들은 모두 앞으로 발생될 보안 문제들의 지표가 됩니다.

보고서 읽기: 2015년 3분기 위협 보고서 - 발생될 공격을 예고하는 현재의 위협들

모두 열기

W32.Tinba(Tinybanker): The Turkish Incident

다음 보고서에는 Tinba Trojan-Banker에 대한 기술 분석 내용이 포함되어 있습니다. ‘Tinba’라는 이름은 CSIS에서 명명한 것으로, 소규모의 Trojan-Banker(약 20KB)라는 의미를 담은 것입니다. 이 이름은 ‘tiny’라는 단어와 ‘bank’라는 단어에서 파생된 것입니다. 이 악성코드는 ‘Tinybanker’ 또는 ‘Zusy’라고도 알려져 있습니다.

보고서 읽기: W32.Tinba(Tinybanker): The Turkish Incident

타이도어 캠페인: 심층 분석

트렌드마이크로에서 BKDR_SIMBOT의 변종으로 발견한 타이도어(Taidoor) 악성코드는 그 동안 표적 공격에서의 사용이 기록되어 있습니다. 네트워크 트래픽에 일치시키기 위해 개발된 기술을 활용하는 타이도어 악성코드는 C&C 서버와 통신할 때 생성됩니다. 따라서 이들이 손상된 것으로 나타날 경우 희생자를 확인할 수 있습니다. 트렌드마이크로에서 발견한 모든 공격 희생자들은 대만에서 발견되었고, 대부분의 정부 기관이었습니다.

보고서 읽기: Taidoor 캠페인: 심층 분석

APT 도구 상자에 안드로이드 및 Mac OS X 악성코드 추가

APT와 관련된 대부분의 악성코드가 Windows 플랫폼에 집중하는 한편, 공격자들은 다른 플랫폼을 대상으로 하는 악성코드도 활발하게 개발하고 있습니다. 많은 공격 대상이 새로운 플랫폼과 장치를 도입함에 따라 공격자들 역시 그 공격 대상 기반을 확장하고 있습니다. 따라서, Mac OS X 악성코드는 물론 모바일 위협을 사용하는 방식도 모색 중입니다. 그 동안 APT 공격자들이 모바일 플랫폼을 대상으로 할 수 있다는 의견들이 있었기 때문에 트렌드마이크로는 심층 조사를 통해 럭키캣(Luckycat) 캠페인 뒤에 감춰진 공격자들이 모바일 악성코드 생성을 활발하게 진행시키고 있다는 증거를 발견하였습니다.

보고서 읽기: APT 도구 상자에 안드로이드 및 Mac OS X 악성코드 추가

가상 환경의 지속적인 모니터링

2012년의 위협 환경은 그야말로 매우 정교하고 공격적이었습니다. 트렌드마이크로의 최신 위협 보고서에서는 사이버 범죄자들과 위험 인물 조직의 주목할 만한 변화와 사이버킬 체인(Cyber kill chain)의 상당한 진화에 대해 설명합니다. 디지털 에코시스템을 보호하려면, 이제 지난날 단순한 바이러스의 혼합에 지나지 않던 위험이 2012년, 치명적인 악성코드와 조직화된 사이버 캠페인으로 진화했음을 정확하게 인식해야 할 것입니다.

보고서 읽기: 가상 환경의 지속적인 모니터링

블랙홀 익스플로잇 킷: 스팸 캠페인

지난 몇 달 동안 트렌드마이크로는 블랙홀 익스플로잇 킷을 호스팅하고 있는 웹 사이트로 사용자를 유인했던 일부 고용량 스팸 발송 현상을 조사하였습니다. 조사는 이와 같은 수많은 스팸이 발송되면서 시작되었습니다. 이처럼 갑작스럽게 출현한 스팸은 Intuit, 링크드인, USPS(미국 우체국 서비스), US Airways, 페이스북, 및 페이팔 등과 같은 적법한 회사로부터 온 것처럼 되어 있습니다.

보고서 읽기: Blackhole Exploit Kit

Operation Ghost Click: Rove Digital 체포

지난 몇 년 동안 트렌드마이크로는 에스토니아 기반의 사이버 범죄 조직인 Rove Digital을 체포하기 위해 FBI, OIG(감사실) 및 보안 업계 파트너들과 긴밀하게 협력해 왔습니다. 그리고 이러한 협조 체제는 2011년 11월 9일, 큰 성공을 거두어, 법 집행 기관에서 미국 및 에스토니아에 있던 여러 데이터 센터를 거점으로 한 Rove Digital의 거대한 네트워크 인프라를 확보하고, CEO인 Vladimir Tsastsin을 비롯해 6명의 용의자를 체포하였습니다.

이 보고서에는 트렌드마이크로가 2006년, Rove Digital 에 대해 조사하고 발견했던 정보들이 들어 있습니다. 2006년 초 트렌드마이크로는 Rove Digital이 DNS(도메인 네임 시스템) 체인저 트로잔을 유포하고 있으며, 감염부터 감염된 봇의 수익화 과정까지 전 과정을 관리하고 있다는 사실을 발견하였습니다. 하지만 법 집행 기관에서 사이버 범죄 주모자들에 대한 적절한 법적 조치를 취하고 고객을 보호할 수 있도록 특정 정보의 발표를 보류하기로 결정하였습니다. 그러나 이제 주범들이 체포되었고, Rove Digital의 네트워크가 중단되었기 때문에, 트렌드마이크로는 이들의 지난 5년 간의 활동 상황에 대해 수집한 세부 정보들을 공유하기로 하였습니다.

보고서 읽기: Rove Digital 체포

자동화된 온라인 뱅킹 사기—자동 이체 시스템: 최신 사이버 범죄 툴킷 기능

이 연구 보고서에서는 사이버 범죄자들이 WebInject 파일의 일부로 SpyEye 및 ZeuS 악성코드 변종과 함께 사용하기 시작한 ATS(자동 이체 시스템)에 대해 설명합니다. 또 국가가 왜 다른 기관에 비해 더 표적이 되고 있는지에 관해서도 몇 가지 통찰력을 제공할 것입니다.

보고서 읽기: 자동화된 온라인 뱅킹 사기

IXESHE: APT 캠페인

표적 공격의 수는 확실히 증가하고 있습니다. 이 고도의 표적 공격은 중요한 정보 수집을 위해 개별 기관들을 집중적으로 공격하고 있습니다. 여러 면에서 이는 수많은 사용자를 대상으로 훨씬 활발했던 공격과 컴퓨터 웜이 등장하기 전인 ‘과거 해킹 시절’로의 회귀와도 같습니다. 때때로 이러한 표적 공격은 이른바 국가가 후원하는 활동과 연계되기도 하고, 그러한 목표를 갖고 있는 개별 그룹에 의해 수행되기도 합니다.

이 연구 보고서는 ‘IXESHE’(‘이-스시’라고 읽음)라고 불리는 또 다른 유명한 공격자 그룹에 대해서도 집중 탐구하는 데, 특히 보안 업체들이 이들의 악성코드에 많이 붙이는 일반적인 탐지 이름 중 하나를 토대로 설명이 이루어질 것입니다. 이 캠페인은 동아시아 정부, 전자 제품 제조업체 및 독일 통신 기업을 대상으로 하는 것으로 악명이 높습니다.

보고서 읽기: IXESHE: APT 캠페인

Luckycat Redux: 인도 및 일본의 여러 공격 대상을 표적으로 하는 APT 캠페인

표적 공격의 수는 급격히 늘어났습니다. 표적 공격은 사이버 범죄와 관련된 신용 카드 및 은행 정보를 훔치는 데 집중하던 대규모의 무차별 공격과는 확실히 다른 것으로, ‘사이버 스파이 활동’이라고 규정하는 것이 더 적합할 것입니다. 고도의 표적 공격은 특정 목표를 공격적으로 추적하여 손상시키고, 종종 사회 공학 기술을 활용해 희생자의 네트워크 내에 지속적으로 존재하면서 측면으로 이동해 중요한 정보를 추출하는 컴퓨터 침입 위협 행위자 활동입니다.

사이버 스파이 활동은 종종 지리적 위치와 더불어 특정 업계나 이익 집단에도 집중합니다. 그리고 가시성의 정도 차로 인해 동일한 위협 행위자가 또 다른 추가 대상을 추적하기도 합니다. 일례로 전에 트렌드마이크로에서 ‘럭키캣(Luckycat)’이라는 이름의 캠페인을 추적할 때, 동일한 캠페인이 인도의 군사 연구 기관(과거 시만텍에서 발견)과 함께 일본 및 티벳의 여러 기관 및 집단을 대상으로 하고 있다는 사실을 발견한 적이 있습니다.

보고서 읽기: Luckycat Redux

‘Police Trojan’: 심층 분석

랜섬웨어는 희생자로부터 디지털 자산을 빼앗은 뒤 자산 공개에 대한 대가를 요구하는 일종의 악성코드입니다. 랜섬웨어 공격은 2005-2006년에 러시아에서 처음 나타났으며, 그 이후 여러 차례 전술과 대상을 변경하였습니다. 트렌드마이크로는 그 시작부터 소위 ‘Police Trojan’이라는 캠페인을 추적해 왔으며, 이제 조사에 대한 결론을 발표할 준비가 되었습니다. 정교하게 조작한 사회 공학 전술과 매우 뛰어난 동적 네트워킹 모델의 조합은 Police Trojan의 개발자가 끈질기고 독창적인 것 외에도 얼마나 체계적인가를 잘 보여 줍니다.

보고서 읽기: Police Trojan

악성코드 배포 도구로 사용된 트래픽 이동 시스템

소개 등을 통해 돈을 벌고자 트래픽을 이동시키는 것은 인터넷 상에서 돈을 버는 일반적이고 적법한 방법입니다. 따라서, 사이버 범죄라는 위법적인 세상에서도 동일한 현상이 벌어진다는 것은 놀랄 일이 아닐 것입니다. 소위 TDS(트래픽 이동 시스템)는 그 정교함이 더 대단합니다. 이 연구 보고서에서는 그러한 시스템이 어떻게 작동하고, 사이버 범죄자들에 의해 어떻게 악용되며, 보안 업계가 이를 위해 할 수 있는 일은 무엇인가에 대해 논의합니다.

보고서 읽기: 트래픽 이동 시스템

산업 제어 시스템 네트워크를 위한 보다 안전한 자세

이 백서에서는 저자가 모든 ICS(산업 제어 시스템) 네트워크 통합 노력에서 필수 요소라고 확신하는 항목들에 관해 설명합니다.

또 SCADA(감시 제어 데이터 수집)와 기업의 기존 네트워크를 통합할 때 따라야 할 모범 사례와 제안된 아키텍처를 구성하는 각 구성 요소의 중요성과 필요 이유에 대해서도 다룹니다.

보고서 읽기: ICS(산업 제어 시스템) 네트워크

트래픽의 증가와 함께 늘어나는 부당한 이익: 더 많은 상처를 입힌 KOOBFACE

KOOBFACE 봇넷은 PPI(설치당 지불) 및 PPC(클릭당 지불) 비즈니스 모델을 사용해 수익을 창출하는 것으로 알려져 있습니다. 실제로 2009년 KOOBFACE 봇넷 악용자들은 자신들의 악의적인 행동을 통해 2백만 달러(미화)를 벌어들인 것으로 조사되었습니다. 심지어 더 많은 돈을 벌기 위해 KOOBFACE 사이버 갱들은 제휴 사이트를 참조하는 모든 트래픽을 처리할 정교한 TDS(트래픽 이동 시스템)를 개발해 봇넷의 프레임워크를 업그레이드하였습니다. 또 새로운 바이너리 구성 요소를 도입하여 TDS로 흘려 들어가는 인터넷 트래픽 양을 증가시켰고, 이를 통해 더 많은 이익을 거두었습니다.

이 연구 보고서에서는 KOOBFACE의 TDS가 어떻게 작동하고, 봇넷의 바이너리가 어떻게 이와 협력하여 TDS로 흘러 드는 인터넷 트래픽의 양을 증가시키는지에 대해 설명합니다.

보고서 읽기: 더 많은 상처를 입힌 KOOBFACE

HTML5 공격 시나리오 살펴보기

HTML5는 전에는 Flash나 너무나도 복잡한 Javascript를 통해서만 가능했던 새롭고 훌륭한 기능들을 제공함으로써 웹 디자이너들에게 훨씬 크고 놀라운 세상을 열어 주고 있습니다. 또 미래 기술이 아니기 때문에 이미 선호하는 브라우저에 뛰어난 지원 기능이 내장되어 있을 수도 있습니다.

이 보고서에서는 공격자의 시각에서 HTML5를 살펴 봅니다. 사용자에게 시멘틱 웹, 편집 가능한 컨텐츠, 내장형 확인 기능, 로컬 스토리지 및 뛰어난 동영상 지원 기능을 선사하는 HTML5가 역으로는 공격자에게 수많은 새로운 기회를 의미하기 때문입니다.

따라서, 트렌드마이크로에서는 이 새 HTML5 표준이 야기한 골치 아픈 새로운 공격 내용들과 공격자들이 스스로의 이익을 위해 이러한 공격 방식을 활용하는 방법, 그리고 복잡한 Javascript의 도움 없이 공격자들이 어떻게 희생자의 브라우저에 봇넷을 구축할 수 있는지에 대해 살펴 보았습니다.

보고서 읽기: HTML 5 공격

표적 공격 동향

흔히 사회 공학 및 악성코드를 사용하는 표적 공격은 공격자들이 대상 네트워크 상에서 측면으로 이동하며 중요한 정보를 추출할 수 있도록 희생자의 네트워크에 지속적으로 머무르려 합니다. 이러한 공격은 거의 일반적으로 시민 사회 단체, 일반 기업 및 정부/국방 네트워크를 목표로 합니다. 대상화로 인해 확산 속도는 느리지만, 손상을 입은 기관에 미치는 영향은 매우 큽니다. 따라서, 표적 공격은 위험도가 매우 높은 위협입니다.

이 보고서에서는 정찰(식별) 단계부터 데이터 유출 단계에 이르는 표적 공격의 여러 단계에 대해 검토하고, 그러한 공격에 사용되는 도구, 전술 및 절차에서 드러나는 동향들을 살펴 봅니다. 완화 전략에서는 위협 인텔리전스와 데이터 보안 기능을 활용해 각 조직에 위협을 분석하여 이에 대응할 수 있는 능력을 배가시키고, 방어 상태에 가장 적합한 방식으로 기술 솔루션을 사용자 정의하는 데 필요한 정보를 제공합니다.

보고서 읽기: 표적 공격 동향

통찰력 있는 관계: 멕시코 봇넷 연결

이 연구 보고서에서는 소위 구성 봇넷을 구축할 때 사용한 툴킷이 PHP 스크립트를 사용했다고 해서 이름 지어진 Botnet PHP 류에 속하는 4가지 구성 요소 기능에 대해 설명합니다.

PHP는 폭넓게 사용되는 일반적인 용도의 스크립팅 언어로, 웹 개발에 특히 적합하고 HTML에 추가할 수도 있습니다. Botnet PHP 류는 4개의 봇넷으로 구성되는데, 그 중 가장 유명한 것이 멕시코 사용자들을 대상으로 하는 Tequila와 Mariachi 봇넷입니다.

보고서 읽기: 멕시코 봇넷 연결

봇넷 싱크홀링(sinkholing)에서 얻은 교훈 – 보는 것만큼 쉽지 않습니다!

10월 5~7일, 안티 바이러스 업계의 가장 큰 이벤트인 VirusBulletin 컨퍼런스가 바르셀로나에서 열렸습니다. 그리고 이 컨퍼런스에서 2명의 트렌드마이크로 수석 연구원이 봇넷을 차단하는 싱크홀링 기술에 대한 합동 보고서를 발표하였습니다. 이 보고서에서 Sancho와 Link 연구원은 봇넷 싱크홀링의 장/단점에 대해 이야기하고, 이 강력한 기술을 사용할 때 이를 방해할 수 있는 장애물들에 대해 설명하였습니다.

보고서 읽기: Virus Bulletin 보고서

러시아에서 헐리우드까지: SpyEye 관련 사이버 범죄에 대한 반격

올해 3월, 트렌드마이크로는 한 사이버 범죄자가 개발하여 제어하고 있던 특정 SpyEye 봇넷을 조사하기 시작했습니다. 이 보고서에서는 그의 SpyEye 봇넷과 관련된 활동들을 보다 심층적으로 탐구합니다. 그리고 전 세계 다양한 조직, 그 중에서도 특히 미국에 많은 영향을 미친 그의 충동적인 공격 성공 사례, 그가 개발한 특정 봇넷의 작동 방법, 그가 지금까지 시행한 악의적인 캠페인에서 벌어들인 불법적 수익 등에 대해서도 설명합니다. 또 트렌드마이크로가 러시아에서부터 헐리우드까지 어떻게 그를 추적할 수 있었는지에 대해 설명하고, 그 과정에서 그와 그의 공범자들에 대해 알게 된 내용들에 관해서도 밝힙니다.

보고서 읽기: SpyEye에 대한 반격

LURID APT 해부 – 캠페인, 공격, 전술 및 희생자

2009년 후반, 구글의 ‘오로라(Aurora)’ 공격이 크게 발표되기 전 최소 20여 개의 다른 업체들이 이미 이로 인한 피해를 입었지만 표적 공격에 관한 대중의 인식은 매우 부족한 상태였습니다. 그러나 그러한 공격이 몇 년간 지속되면서, 오늘날에는 정부, 군 기관, 기업, 교육 및 시민 사회 네트워크에까지 영향을 미치고 있습니다. 따라서, 이제 미국 정부 및 관련 네트워크에 대한 그러한 공격은 매우 잘 알려져 있는 상태이며, 기타 다른 정부 및 많은 기업들 역시 비슷한 위협에 처해 있습니다.

보고서 읽기: LURID APT 해부

소스를 대상으로 삼는 공격: FAKEAV 제휴 네트워크

지하의 에코 시스템은 최소한의 투자로 악성코드 운영을 구축하고 유지하는 데 필요한 모든 내용을 지원합니다. 그래서 기술이 부족하고 기본적인 연결 관계가 많지 않는 이들도 투자에 대한 상당한 수익을 거둘 수 있습니다.

이 연구 보고서에서는 FAKEAV 제휴 네트워크의 운영 방식과 이들이 사용하는 확산 전략, 그리고 그러한 악의적인 활동을 통해 벌어들이는 불법 수익에 대해 보고합니다. 또 중간 계층의 FAKEAV 공급자로 활동하는 ‘메타’ 제휴 네트워크의 등장을 비롯한 악의적인 행위자들 간의 다양한 기본 연결 관계에 대해서도 알아 봅니다.

보고서 읽기: FAKEAV 제휴 네트워크

기타 연구 조사 보고서

  1. Sinkholing Botnets(봇넷 싱크홀링)
  2. 신뢰할 수 있는 웹 검색의 단면 - Blackhat SEO부터 시스템 감염까지
  3. 봇넷 연대기 - 악행의 역사
  4. Blackhat SEO의 확장 방법
  5. 파일 패칭 ZBOT 변종 - ZeuS 2.0 레벨업
  6. XWM Trojan 킷 해부
  7. WMI 악성코드에 대한 이해
  8. 웹 2.0 봇넷 진화 - KOOBFACE 재방문
  9. ZeuS - 끈질긴 범죄 기업
  10. FAKEAV의 실체
  11. 쇼 미 더 머니!: KOOBFACE의 수익화
  12. KOOBFACE의 핵심: C&C와 소셜 네트워크 전파
  13. KOOBFACE의 실체: 발표된 가장 큰 웹 2.0 봇넷
  14. 에스토니아의 사이버 범죄 허브

기간 시설에 대한 공격 조사 보고서

트렌드마이크로는 일상 생활에 필수 불가결한 전력, 가스, 수도 등 산업 설비 제어 시스템에 대한 사이버 공격에 대해 모의 실험을 통하여 타겟 공격을 모니터링한 결과 보고서를 발표하였습니다.

보고서 읽기: 기간 시설에 대한 공격 조사 보고서 - ICS 장비의 공격 실체(PDF)

중국의 모바일 사이버범죄 지하시장

업무나 여가를 위해 다양한 모바일 기기를 사용하는 사람들이 증가하고 있습니다. 이러한 변화는 사이버범죄 지하시장에도 영향을 미치고 있으며 이로 인해 '모바일 지하경제'가 형성되었습니다. 본 연구보고서에서는 중국의 모바일 지하경제 활동에 대해 설명하고 지하시장에서 판매되고 있는 몇가지 모바일 제품, 서비스 및 가격을 소개합니다.

보고서 읽기: 중국의 모바일 사이버범죄 지하시장(PDF)


Connect with KR on