Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

http://www.zdnet.co.kr/news/news_view.asp?artice_id=20151222101950&type=det&re=

카드결제정보를 노리는 사이버범죄조직이 백신 등으로 탐지가 어렵도록 부팅단계에서 악성코드를 실행시키는 부트킷을 악용하고 있는 것으로 나타났다.

파이어아이와 이 회사의 침해사고대응조직인 맨디언트 연구원들은 최근 이 같은 수법을 발견해 '부트래시(Bootrash)'라고 명명했다고 22일 밝혔다.

이 악성코드는 부팅영역에 설치되는 탓에 탐지나 제거가 어렵다. 맨디언트에 따르면 러시아 기반 사이버범죄조직인 'FIN1'이 부트래시를 악용해 금융회사 수익과 직결되는 데이터를 훔치고 있는 것으로 추정된다.

맨디언트는 최근 한 금융 업체에 대한 해킹사고를 조사 하던 중 FIN1이 수행한 사이버범죄활동을 감지했다. FIN1은 '네메시스(Nemesis)'라 불리는 악성코드 생태계를 통해 다수 악성파일과 악성툴 등을 공격에 악용했다. 

 

 

부트래시는 정상적인 부팅 과정(윗쪽)의 중간에 악성코드를 심어 기존에 가상 파일 시스템에 

숨겨놓은 추가적인 악성코드를 불러오는 수법으로 백신 탐지를 회피한다.

 

네메시스에는 다양한 네트워크 프로토콜과 해커가 공격명령을 내리거나 훔쳐낸 정보를 저장하는 C&C서버와 통신채널을 지원하는 백도어 등이 포함돼 있다.

FIN1은 해킹툴의 변종을 생성하고 기능을 추가하는 등 지속적으로 네메시스를 업데이트했으며, 올해 초에는 정상적인 시스템의 '볼륨부트레코드(VBR)'를 변경하는 부트래시를 툴셋에 포함시켰다.

이 사이버범죄조직은 부트래시를 악용해 시스템 부팅 프로세스를 장악하고, 윈도OS의 코드 보다 네미시스의 구성 요소들을 먼저 로딩한다. 일반적인 부팅 과정에서 마스터부트레코드(MBR)는 OS에 대한 코드를 불러오는 VBR을 로딩한다.

그러나 이 영역에서 부트래시 부트스트랩(bootstrap) 코드가 덮어 쓰인 VBR이 대신 로딩된다. 이 코드는 가상 파일 시스템에 저장된 네메시스 부트킷 요소를 불러와 본래의 부트 섹터를 제어한다. 이처럼 부트킷이 부팅영역을 제어한 이후 에는 탐지나 제거가 어렵게 된다.

부트래시는 또한 OS보다 먼저 실행돼는 탓에 OS에서 실행되는 무결성 검사를 우회할 수 있다. 악성코드 페이로드를 불어오기 위해 사용되는 요소들은 윈도 파일 시스템 외부에 있는 가상 파일 시스템에 저장되는 점도 백신의 탐지를 어렵게 한다. 악성코드 요소들 역시 가상 파일 시스템, 윈도 레지스크리에 저장돼 백신의 탐지에서 벗어나게 된다.

맨디언트 연구원들은 결국 원시 메모리 상에서 조사하는 방법 밖에 없다고 설명했다. 맨디언트는 부트래시를 조사하는 과정에서 원시 디스크에 대한 접근을 가능케 하는 자체 호스트 기반 기술인 '맨디언트 인텔리전트 리스폰스(MIR)'를 사용해 운영 체제 외부에 존재하는 악성코드를 발견했다.

이 툴은 파티션 시작에서부터 0xE 영역에 저장된 VBR 코드의 백업 복사본이 있는 시스템들을 신속하게 파악할 수 있도록 해 부트래시 감염 여부를 조사했다.

또한 탐지되지 않은 부트래시 변종이 정상 VBR 코드의 백업 복사본에 저장돼 있을 경우를 대비해 다른 파티션이 시작될 때 MIR를 사용해 디스크의 여러 위치에서 무작위로 VBR 코드의 존재를 검색했다.

파이어아이 전수홍 지사장은 "OS 외부에 존재하는 악성코드가 사용되는 경우에는 기존 탐지 및 제거 방식과는 다른 방식으로 접근할 필요가 있다"며 "부트래시와 같은 부트킷 악성코드에는 맨디언트 인텔리전트 리스폰스와 같이 원시 디스크 포렌식 이미지에 접근하고 검색할 수 있는 툴이 효과적"이라고 설명했다.


자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

PSY

엮인글 :

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

달림이

2016.06.26 12:13
가입일: 2015:11.28
총 게시물수: 823
총 댓글수: 7588
조심이 제일 .
profile

커피향기

2016.06.26 12:13
가입일:
총 게시물수: 11
총 댓글수: 347
항상 조심해야겠네요
profile

상현

2016.06.26 12:13
가입일: 2015:12.02
총 게시물수: 333
총 댓글수: 3850
이거 원 무서버서....
profile

나라하늘

2016.06.26 12:13
가입일: 2018:10.03
총 게시물수: 31
총 댓글수: 630
참나 별게 다있네요...ㅜㅜ
profile

행운의포인트

2016.06.26 12:13
가입일:
총 게시물수: 0
총 댓글수: 12453
[나라하늘님 에게]
축하드립니다. ;)
나라하늘님은 행운의포인트에 당첨되어 9포인트 지급되었습니다.
profile

바이러스

2016.06.26 12:13
가입일:
총 게시물수: 5
총 댓글수: 479
정보감사합니다
profile

행운의포인트

2016.06.26 12:13
가입일:
총 게시물수: 0
총 댓글수: 12453
[바이러스님 에게]
축하드립니다. ;)
바이러스님은 행운의포인트에 당첨되어 6포인트 지급되었습니다.
profile

메이데이컴퓨터

2016.06.26 12:13
가입일: 2015:11.29
총 게시물수: 84
총 댓글수: 2876
아 요즘은 무서워서 쇼핑도 잘 못하게되는... ㅎ
profile

날개

2016.06.26 12:13
가입일: 2015:11.29
총 게시물수: 26
총 댓글수: 283
정보 감사합니다.
profile

청가람

2016.06.26 12:13
가입일: 2015:11.29
총 게시물수: 83
총 댓글수: 338
여러가지 바이러스가 있네요
생각도 못해본....
조심해야 겠네요
profile

빨간별

2016.06.26 12:13
가입일: 2016:04.03
총 게시물수: 24
총 댓글수: 603
보안이 점점 힘들어지는군요.
profile

달림이

2016.06.26 12:13
가입일: 2015:11.28
총 게시물수: 823
총 댓글수: 7588
원시 디스크 포렌식 이미지에 접근하고 검색할 수 있는 툴이 효과적
profile

영원한

2016.06.26 12:13
가입일:
총 게시물수: 37
총 댓글수: 7469
잘 봤습니다 좋은 정보 고맙습니다.
List of Articles

일반정보 오래된 안드로이드 기기, 재활용 하는 5가지 방법

오래된 안드로이드 기기, 재활용 하는 5가지 방법 ​

  • 등록일: 2015-12-25

2088

VIEWS

10

COMMENTED

일반정보 삼성·애플 위협하는 스마트폰 제조사 톱5

삼성·애플 위협하는 스마트폰 제조사 톱5 ​

  • 등록일: 2015-12-25

1393

VIEWS

6

COMMENTED

일반정보 카드결제정보 노린 공격, 부트킷까지 악용 - 직구할 때 조심!

http://www.zdnet.co.kr/news/news_view.asp?artice_id=20151222101950&type=det&re=카드결제정보를 노리는 사이버범죄조직이 백신 등으로 탐지가 어렵도록 부팅...

  • 등록일: 2015-12-23

1759

VIEWS

13

COMMENTED

MS소식 오피스2016(365) 무료 신청 file

예전과 달리 오피스 2016 인증이 쉽지 않습니다. MAK 키도 찾기 어려울 뿐아니라, 전화 인증역시 쉽지 않습니다. 이번 기회는 떳떳하게 정품 사용하실 수 있는 ...

  • 등록일: 2015-12-22

3539

VIEWS

31

COMMENTED

기타정보 美베스트바이, 아이폰6S 16GB 단돈 '1달러' 판매

http://www.kbench.com/?q=node/158272 애플의 최신 스마트폰 아이폰6S 16GB 모델이 18일(현지시간) 미국 베스트바이에서 단돈 '1달러'에 판매된다고 나인투파이...

  • 등록일: 2015-12-19

2984

VIEWS

26

COMMENTED

유용정보 SKY Capture Program v1.8 배포(드라이버 포함)

SKY TV CAPTURE TV CARD를 사용하시는 회원님들께서는 아래 링크에서 2015년 12월18일 최신 빌드 SKY Capture Program v1.8 배포(드라이버 포함) 버전을 다운 받...

  • 등록일: 2015-12-19

2823

VIEWS

2

COMMENTED

기타정보 윈도용 64비트 파이어폭스, 마침내 공개

http://news.naver.com/main/read.nhn?mode=LS2D&mid=shm&sid1=105&sid2=283&oid=092&aid=0002088464 윈도용 64비트 파이어폭스, 마침내 공개 기사 일부 (지디넷...

  • 작성자: Op
  • 등록일: 2015-12-17

2872

VIEWS

18

COMMENTED

윈도정보 MS, 윈도10 프리뷰 올해 마지막 빌드 공개

http://news.naver.com/main/read.nhn?mode=LS2D&mid=shm&sid1=105&sid2=283&oid=092&aid=0002088463 MS, 윈도10 프리뷰 올해 마지막 빌드 공개 기사일부 (지디넷...

  • 작성자: Op
  • 등록일: 2015-12-17

2301

VIEWS

7

COMMENTED

윈도정보 윈도우10 Insider Preview build 11082 Redstone

Microsoft rolls out Windows 10 Insider Preview build 11082, its first Redstone releaseBy Andy Weir @gcaweir · 10 hours ago · HOT!55 Christmas has come...

  • 등록일: 2015-12-17

2011

VIEWS

5

COMMENTED

IT정보 미래부, 액티브X-플러그인 대체 웹표준 솔루션 소개

http://www.itnews.or.kr/?p=13458http://news.naver.com/main/read.nhn?mode=LS2D&mid=shm&sid1=105&sid2=283&oid=092&aid=0002088483 미래부, 액티브X-플러그인...

  • 작성자: Op
  • 등록일: 2015-12-17

1586

VIEWS

10

COMMENTED

일반정보 HP 스타워즈 에디션 노트북 "포스가 함께 하길..."

HP 스타워즈 에디션 노트북 "포스가 함께 하길..." ​

  • 등록일: 2015-12-15

1885

VIEWS

7

COMMENTED

유용정보 PC 랜섬웨어 주의보…두 달 새 피해건수 10배 늘어

http://www.yonhapnews.co.kr/economy/2015/12/15/0303000000AKR20151215158700017.HTML?template=5566 PC 사용자의 개인정보를 빼돌리는 랜섬웨어에 의한 피해가...

  • 등록일: 2015-12-15

1980

VIEWS

15

COMMENTED

IT정보 구글, 한국 사용자 '세이프서치' 강제 적용 - 그리고 해결법

http://www.domawe.net/2015/09/googlecokr-googlecom.htmlhttp://www.mt.co.kr/view/mtview.php?type=1&no=2015121118130025495&outlink=1 강제 세이프 적용으로...

  • 등록일: 2015-12-14

2963

VIEWS

24

COMMENTED

기타정보 Gaming / Work Build - Fractal Define S / Core i5-6600K Skylake / GTX 970

Gaming / Work Build - Fractal Define S / Core i5-6600K Skylake / GTX 970 조립 컴퓨터가 이렇게 완성됩니다. 조립이 어려운게 아니에요.잘보고 따라하시면 됩...

  • 등록일: 2015-12-13

1722

VIEWS

4

COMMENTED

기타정보 $1000 Build - Intel Core i5-4590 / GTX 970 / Corsair 350D

$1000 Build - Intel Core i5-4590 / GTX 970 / Corsair 350D 컴사장님들이 참고하시면 좋은 사이트 http://pcpartpicker.com/

  • 등록일: 2015-12-13

1649

VIEWS

4

COMMENTED