Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

국내에서도 널리 알려진 윈도 운영체제(OS)용 최적화 소프트웨어(SW) 'C클리너(Cleaner)' 설치파일 속에서 백도어 성격의 PC 악성코드가 발견됐다.

해커가 변조한 설치 프로그램이 공식사이트에서 정상 프로그램처럼 배포됐다.

문제가 된 제품은 지난달(8월) 15일과 24일 각각 배포된 32비트 윈도용 C클리너 5.33.6162 및 C클리너 클라우드 1.07.3191 버전이다.

수백만명이 이를 내려받아 설치한 것으로 파악됐다.

C클리너는 영국 SW회사 피리폼(Piriform)'이 개발, 배포해 왔다. 피리폼은 지난 18일 자사 홈페이지를 통해 사용자에게 해당 문제를 알렸다.

회사측은 "이 문제를 빠르게 조치했으며 실제로 발생한 피해는 없는 것으로 파악했다"고 밝혔다. C클리너 및 C클리너 클라우드 최신 버전을 내려받으라고 권고하고 사과하며 재발방지를 약속했다. 32비트 윈도 사용자 약 227만명이 감염된 SW를 쓴 걸로 추정됐다. [☞원문보기]

이 사건은 사이버보안업체에 인수된 조직에서 사이버침해 사고가 발생한 사례다. 이 회사는 지난 7월 안티바이러스업체 어베스트(Avast)에 인수됐다. 어베스트가 피리폼을 인수할 당시 발표 내용에 따르면 이 회사의 제품 사용자는 세계 1억3천만명에 달한다. [☞원문보기] 이만한 규모의 사용자를 보유한 업체에서 홈페이지를 통해 공식 배포한 설치파일이 해커에 의해 변조돼 있었다는 건 그것만으로 꽤 문제다.

윈도용 PC최적화 및 관리 소프트웨어 C클리너(CCleaner) 실행 화면. 227만명이 감염된 악성코드를 포함했던 설치프로그램은 32비트 버전이며, 이번 사건은 64비트 버전 사용자에겐 영향을 주지 않았다.

윈도용 PC최적화 및 관리 소프트웨어 C클리너(CCleaner) 실행 화면. 227만명이 감염된 악성코드를 포함했던 설치프로그램은 32비트 버전이며, 이번 사건은 64비트 버전 사용자에겐 영향을 주지 않았다.

피리폼 측은 공지 당시 자사 SW가 어떻게 변조당했는지 파악하지 못했다. 해커에 의해 변조된 설치파일이 버젓이 배포될 수 있었던 이유도 설명되지 않고 있다. 변조된 C클리너 프로그램은 사이버보안업체 시만텍이 피리폼에 발급한 정상적인 인증서로 서명돼 있었다. 피리폼의 개발 환경 일부에 침입해 C클리너에 악성코드를 삽입했을 수도, 악의적인 내부자가 있었을 수도 있다는 뜻이다.

해커는 뭘 하려고 했을까. 초기 분석 결과는 미국 지디넷 보도를 통해 소개됐다. 변조된 SW 버전을 설치한 PC는 컴퓨터의 이름, IP주소, 설치된 SW 목록, 활성 SW 목록, 네트워크 장치 목록 등을 미국에 위치한 제3자의 서버로 전송하게 된다. 이는 감염 PC를 프로파일하는 용도로 쓰일 수 있다. 데이터를 수집한 뒤엔 제3자 서버에서 2차 악성 동작을 위한 페이로드를 내려받는다. [☞원문보기]

2차 악성 동작을 위한 페이로드는 암호화돼 있었다. 피리폼 측은 이 페이로드가 무슨 동작을 수행하는지 설명하지 않았지만, 그게 실행됐거나 활성화된 것으로 판단하진 않는다고 밝혔다. 페이로드의 동작에 대해선 지난 18일 악성코드를 분석한 시스코시스템즈의 탈로스인텔리전스가 분석했다. 그에 따르면 도메인 생성 알고리즘(DGA)과 하드 코딩된 명령제어 기능이 포함돼 있었다는 설명이다. [☞원문보기]

21일(현지시간) 탈로스인텔리전스의 추가 분석 결과, 악성코드의 새로운 위협이 드러났다. 악성코드 제작자가 삼성, 시스코, 마이크로소프트(MS)같은 글로벌 IT업체를 겨냥한 정황이 발견됐다. [☞원문보기] 이날 미국 지디넷은 "C클리너 맬웨어 오퍼레이터가 시스코, MS, 삼성같은 테크 업체를 표적으로 삼았다"며 "위협 행위는 이 업체의 지적재산을 노린 것으로 추정된다"고 보도했다. [☞원문보기]

보도는 탈로스인텔리전스의 추가 분석을 인용해 해커가 시스코, MS, 삼성, HTC, 소니, 인텔 등을 노린 단서를 소개했다. 근거는 탈로스가 9월 중 4일간 악성코드 명령제어서버의 2차 악성 동작 내역을 추적, 분석한 결과 그 동작의 표적이 된 도메인 목록이었다. 탈로스 측은 "새로 발견된 내용은 가치가 있는 지적재산을 노린 공격자의 존재를 시사하며 이 사건의 우려 수준을 높여 준다"고 지적했다.

시스코 탈로스인텔리전스는 변조된 C클리너 프로그램 설치후 추가 악성행위를 분석한 결과, 명령제어서버를 통해 특정 기업의 PC 사용자를 대상으로 한 공격이 진행됐으며 이는 해당 기업의 지적재산을 노린 시도로 보인다고 추정했다.

시스코 탈로스인텔리전스는 변조된 C클리너 프로그램 설치후 추가 악성행위를 분석한 결과, 명령제어서버를 통해 특정 기업의 PC 사용자를 대상으로 한 공격이 진행됐으며 이는 해당 기업의 지적재산을 노린 시도로 보인다고 추정했다.

명령제어서버는 악성코드에 감염된 PC와 공격자간의 통신을 제어하는 PHP파일을 포함했다. 서버는 보안분석가의 탐지 및 분석을 회피하기 위한 일련의 확인 동작을 구현했고 감염된 시스템의 OS 버전, 아키텍처, 관리자 권한을 갖고 구동되는지 등의 정보를 수집했다. 이렇게 수집한 정보를 일종의 SQL 데이터베이스에 저장했다.

시스템이 악성코드 요구사항에 맞으면 백도어를 만들고 잠재적으로 공격자가 표적 기업의 정보를 훔치고 첩보 행위를 할 수 있는 길을 트는 2차 악성 동작이 진행됐다.

탈로스 측은 "(명령제어) 웹서버는 공격에 사용된 주요 변수와 명령어를 정의한 2번째 PHP 파일을 포함한다"며 "흥미롭게도 그 지역시간 설정값이 중화인민공화국(People's Republic of China)과 일치하는 'PRC'였지만, 이에 의존해 배후 지목(attribution)을 할 수는 없다"고 강조했다.

어베스트 측에서도 추가 분석 결과를 발표했다. 그에 따르면 8개 회사의 20대 머신이 공격 표적이었다. 다만 "주어진 기록은 단지 3일 가량에 불과한 기간동안 수집된 것이라, 2차 악성 행위로 노려진 실제 컴퓨터 수는 적어도 수백대 규모였을 것으로 짐작된다"고 추정했다. 회사측은 앞서 2차 악성 행위가 수행되지 않았을 것이라는 기존 판단을 철회하고, 이 공격을 '전형적인' 워터링 홀 공격으로 분류했다.


http://www.zdnet.co.kr/news/news_view.asp?artice_id=20170922091719


  [☞원문보기]

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

세계일주

2017.09.27 15:16
가입일: 2018:10.09
총 게시물수: 86
총 댓글수: 737

감사합니다.

profile

까리뚜마

2017.10.05 07:53
가입일:
총 게시물수: 0
총 댓글수: 441
profile

Bobono

2017.10.10 08:06
가입일: 2016:12.05
총 게시물수: 17
총 댓글수: 815

좋은 정보 고맙습니다.

profile

루인루

2017.12.07 00:42
가입일:
총 게시물수: 1
총 댓글수: 104

좋은 정보 고맙습니다

profile

mantoman

2017.12.27 16:48
가입일:
총 게시물수: 0
총 댓글수: 185

좋은 자료 고맙습니다.

profile

suhyou

2018.01.20 15:43
가입일:
총 게시물수: 1
총 댓글수: 784
좋은 정보 고맙습니다
List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 565
320 보안 소식 메가스터디 개인정보 또 유출 + 6 우오아아아웅 10-03 315
319 보안 소식 한국 겨냥 ‘올크라이’ 랜섬웨어 소강상태 “긴장 늦춰선 안 돼” + 6 우오아아아웅 10-03 294
318 보안 소식 디지털 서명없이 배포되고 있는 네이트온(NateOn) 6.0.9.0 설치 파일 + 6 티오피 09-29 303
317 보안 소식 파일암호화에 부팅도 불가능하게 하는 레드부트(RedBoot) 랜섬웨어 감염 주의 + 5 티오피 09-29 286
316 보안 소식 美 DHS 연방정부에서 카스퍼스키 제품 사용금지 운영지침 발표 + 4 티오피 09-29 259
315 보안 소식 록키(Locky) 랜섬웨어 변종 등장 + 4 티오피 09-29 254
314 보안 소식 애플의 macOS High Sierra 익스플로잇, 해커들이 키 체인 비밀번호를 순수 텍스트 형태로 훔치는데 악용할 수 있어 + 4 티오피 09-29 235
313 보안 소식 Your data is a hostage, 과감히 실체를 드러내는 랜섬웨어 + 6 티오피 09-26 179
312 보안 소식 악성 첨부파일 형태로 이용당한 한글 워드프로세서와 PostScript + 5 티오피 09-26 147
311 보안 소식 540,000대의 차량 추적 장치의 비밀번호, 온라인에 유출 돼 + 4 티오피 09-26 86
310 보안 소식 6개월마다 비밀번호 변경하면 과연 해킹으로부터 안전할까 + 6 티오피 09-26 103
309 보안 소식 문서편집 프로그램 공짜로 사용하려다 '악성코드 감염' + 5 티오피 09-26 80
» 보안 소식 "윈도 최적화SW 악성코드, 삼성·MS 지적재산 노렸다" + 6 티오피 09-25 134
307 보안 소식 이스트소프트 '알툴즈' 개인정보 유출. file + 13 파란하늘 09-06 155
306 보안 소식 스미싱 알림 모음 + 10 티오피 08-04 209
305 보안 소식 호기심에 클릭했다가… 음란물 위장 악성코드 '주의' + 11 티오피 08-04 209
304 보안 소식 MS는 20년동안 존재했던 SMB 취약점에 대해 수정하지 않겠다고 밝혔다 + 7 티오피 08-04 127
303 보안 자료 카스퍼스키랩 안티바이러스 무료화 + 15 정인 07-29 303
302 보안 소식 안랩, 'PC방 관리 프로그램' 이용한 악성코드 유포 주의 + 9 파란하늘 07-25 137
301 보안 소식 '직소' 랜섬웨어 변종 발견 + 8 파란하늘 07-24 147
300 백신 자료 어베스트 랜섬웨어 제거 및 복호화 프로그램 + 5 Shalom 07-21 481
299 보안 소식 빗썸 해킹 피해 지속…"어제도 수억원 털렸다" + 5 크로커스 07-21 128
298 일반 공유기·CCTV 해킹…우리집을 중국 해커가 엿본다 + 6 파란하늘 07-19 200
297 보안 소식 랜섬웨어 기승에...모방 악성파일까지 등장 file + 7 파란하늘 07-12 123
296 보안 소식 이번엔 '매트릭스' 랜섬웨어 …"4일 후엔 복구 불가"협박 + 9 크로커스 07-07 187