Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

국내에서도 널리 알려진 윈도 운영체제(OS)용 최적화 소프트웨어(SW) 'C클리너(Cleaner)' 설치파일 속에서 백도어 성격의 PC 악성코드가 발견됐다.

해커가 변조한 설치 프로그램이 공식사이트에서 정상 프로그램처럼 배포됐다.

문제가 된 제품은 지난달(8월) 15일과 24일 각각 배포된 32비트 윈도용 C클리너 5.33.6162 및 C클리너 클라우드 1.07.3191 버전이다.

수백만명이 이를 내려받아 설치한 것으로 파악됐다.

C클리너는 영국 SW회사 피리폼(Piriform)'이 개발, 배포해 왔다. 피리폼은 지난 18일 자사 홈페이지를 통해 사용자에게 해당 문제를 알렸다.

회사측은 "이 문제를 빠르게 조치했으며 실제로 발생한 피해는 없는 것으로 파악했다"고 밝혔다. C클리너 및 C클리너 클라우드 최신 버전을 내려받으라고 권고하고 사과하며 재발방지를 약속했다. 32비트 윈도 사용자 약 227만명이 감염된 SW를 쓴 걸로 추정됐다. [☞원문보기]

이 사건은 사이버보안업체에 인수된 조직에서 사이버침해 사고가 발생한 사례다. 이 회사는 지난 7월 안티바이러스업체 어베스트(Avast)에 인수됐다. 어베스트가 피리폼을 인수할 당시 발표 내용에 따르면 이 회사의 제품 사용자는 세계 1억3천만명에 달한다. [☞원문보기] 이만한 규모의 사용자를 보유한 업체에서 홈페이지를 통해 공식 배포한 설치파일이 해커에 의해 변조돼 있었다는 건 그것만으로 꽤 문제다.

윈도용 PC최적화 및 관리 소프트웨어 C클리너(CCleaner) 실행 화면. 227만명이 감염된 악성코드를 포함했던 설치프로그램은 32비트 버전이며, 이번 사건은 64비트 버전 사용자에겐 영향을 주지 않았다.

윈도용 PC최적화 및 관리 소프트웨어 C클리너(CCleaner) 실행 화면. 227만명이 감염된 악성코드를 포함했던 설치프로그램은 32비트 버전이며, 이번 사건은 64비트 버전 사용자에겐 영향을 주지 않았다.

피리폼 측은 공지 당시 자사 SW가 어떻게 변조당했는지 파악하지 못했다. 해커에 의해 변조된 설치파일이 버젓이 배포될 수 있었던 이유도 설명되지 않고 있다. 변조된 C클리너 프로그램은 사이버보안업체 시만텍이 피리폼에 발급한 정상적인 인증서로 서명돼 있었다. 피리폼의 개발 환경 일부에 침입해 C클리너에 악성코드를 삽입했을 수도, 악의적인 내부자가 있었을 수도 있다는 뜻이다.

해커는 뭘 하려고 했을까. 초기 분석 결과는 미국 지디넷 보도를 통해 소개됐다. 변조된 SW 버전을 설치한 PC는 컴퓨터의 이름, IP주소, 설치된 SW 목록, 활성 SW 목록, 네트워크 장치 목록 등을 미국에 위치한 제3자의 서버로 전송하게 된다. 이는 감염 PC를 프로파일하는 용도로 쓰일 수 있다. 데이터를 수집한 뒤엔 제3자 서버에서 2차 악성 동작을 위한 페이로드를 내려받는다. [☞원문보기]

2차 악성 동작을 위한 페이로드는 암호화돼 있었다. 피리폼 측은 이 페이로드가 무슨 동작을 수행하는지 설명하지 않았지만, 그게 실행됐거나 활성화된 것으로 판단하진 않는다고 밝혔다. 페이로드의 동작에 대해선 지난 18일 악성코드를 분석한 시스코시스템즈의 탈로스인텔리전스가 분석했다. 그에 따르면 도메인 생성 알고리즘(DGA)과 하드 코딩된 명령제어 기능이 포함돼 있었다는 설명이다. [☞원문보기]

21일(현지시간) 탈로스인텔리전스의 추가 분석 결과, 악성코드의 새로운 위협이 드러났다. 악성코드 제작자가 삼성, 시스코, 마이크로소프트(MS)같은 글로벌 IT업체를 겨냥한 정황이 발견됐다. [☞원문보기] 이날 미국 지디넷은 "C클리너 맬웨어 오퍼레이터가 시스코, MS, 삼성같은 테크 업체를 표적으로 삼았다"며 "위협 행위는 이 업체의 지적재산을 노린 것으로 추정된다"고 보도했다. [☞원문보기]

보도는 탈로스인텔리전스의 추가 분석을 인용해 해커가 시스코, MS, 삼성, HTC, 소니, 인텔 등을 노린 단서를 소개했다. 근거는 탈로스가 9월 중 4일간 악성코드 명령제어서버의 2차 악성 동작 내역을 추적, 분석한 결과 그 동작의 표적이 된 도메인 목록이었다. 탈로스 측은 "새로 발견된 내용은 가치가 있는 지적재산을 노린 공격자의 존재를 시사하며 이 사건의 우려 수준을 높여 준다"고 지적했다.

시스코 탈로스인텔리전스는 변조된 C클리너 프로그램 설치후 추가 악성행위를 분석한 결과, 명령제어서버를 통해 특정 기업의 PC 사용자를 대상으로 한 공격이 진행됐으며 이는 해당 기업의 지적재산을 노린 시도로 보인다고 추정했다.

시스코 탈로스인텔리전스는 변조된 C클리너 프로그램 설치후 추가 악성행위를 분석한 결과, 명령제어서버를 통해 특정 기업의 PC 사용자를 대상으로 한 공격이 진행됐으며 이는 해당 기업의 지적재산을 노린 시도로 보인다고 추정했다.

명령제어서버는 악성코드에 감염된 PC와 공격자간의 통신을 제어하는 PHP파일을 포함했다. 서버는 보안분석가의 탐지 및 분석을 회피하기 위한 일련의 확인 동작을 구현했고 감염된 시스템의 OS 버전, 아키텍처, 관리자 권한을 갖고 구동되는지 등의 정보를 수집했다. 이렇게 수집한 정보를 일종의 SQL 데이터베이스에 저장했다.

시스템이 악성코드 요구사항에 맞으면 백도어를 만들고 잠재적으로 공격자가 표적 기업의 정보를 훔치고 첩보 행위를 할 수 있는 길을 트는 2차 악성 동작이 진행됐다.

탈로스 측은 "(명령제어) 웹서버는 공격에 사용된 주요 변수와 명령어를 정의한 2번째 PHP 파일을 포함한다"며 "흥미롭게도 그 지역시간 설정값이 중화인민공화국(People's Republic of China)과 일치하는 'PRC'였지만, 이에 의존해 배후 지목(attribution)을 할 수는 없다"고 강조했다.

어베스트 측에서도 추가 분석 결과를 발표했다. 그에 따르면 8개 회사의 20대 머신이 공격 표적이었다. 다만 "주어진 기록은 단지 3일 가량에 불과한 기간동안 수집된 것이라, 2차 악성 행위로 노려진 실제 컴퓨터 수는 적어도 수백대 규모였을 것으로 짐작된다"고 추정했다. 회사측은 앞서 2차 악성 행위가 수행되지 않았을 것이라는 기존 판단을 철회하고, 이 공격을 '전형적인' 워터링 홀 공격으로 분류했다.


http://www.zdnet.co.kr/news/news_view.asp?artice_id=20170922091719


  [☞원문보기]

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

세계일주

2017.09.27 15:16
가입일: 2018:10.09
총 게시물수: 86
총 댓글수: 737

감사합니다.

profile

까리뚜마

2017.10.05 07:53
가입일:
총 게시물수: 0
총 댓글수: 441
profile

Bobono

2017.10.10 08:06
가입일: 2016:12.05
총 게시물수: 17
총 댓글수: 815

좋은 정보 고맙습니다.

profile

루인루

2017.12.07 00:42
가입일:
총 게시물수: 1
총 댓글수: 104

좋은 정보 고맙습니다

profile

mantoman

2017.12.27 16:48
가입일:
총 게시물수: 0
총 댓글수: 185

좋은 자료 고맙습니다.

profile

suhyou

2018.01.20 15:43
가입일:
총 게시물수: 1
총 댓글수: 784
좋은 정보 고맙습니다
List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 565
445 보안 소식 삼성전자, 핀테크 중심축으로 ‘블록체인‧암호화폐 지갑’ 내세워 돌까루 05-28 69
444 보안 소식 천만원 넘은 비트코인..블록체인 업계 숨통 트이나 돌까루 05-28 63
443 보안 소식 오픈소스DB '마이SQL' 노린 랜섬웨어 공격 발생 돌까루 05-28 51
442 보안 소식 서울에 모인 이더리움 개발자들 "블록체인으로 세상 바꾸자" 돌까루 05-28 50
441 보안 소식 '안면인식' 논쟁 불붙은 美…"범죄자 추적 유용" vs "사생활 침해" 돌까루 05-28 52
440 보안 소식 갠드크랩 다음은 블루크랩? 신종 랜섬웨어 '비상' 돌까루 05-28 50
439 보안 소식 금융시장 불안에 살아난 비트코인, 1년만에 1000만원 탈환 돌까루 05-28 25
438 보안 소식 "삼성 스마트폰은 디지털 금고" 돌까루 05-27 29
437 보안 소식 유니클로 모회사, 사이버공격당해 46만명 이상 고객 데이터 유출 kargans 05-27 30
436 보안 소식 TA505 해킹조직, 피싱 메일 살포해 악성 설치파일 유포중...주의 kargans 05-27 43
435 보안 소식 새로운 인텔 부채널 보안취약점, 좀비로드에 대한 리눅스 진영의 대응 kargans 05-27 32
434 보안 소식 프랑스 해커, 모든 삼성 스마트폰 벽돌로 만들 수 있는 방법 발견 kargans 05-27 52
433 일반 유명 인스타그램 사용자들의 개인정보 다량으로 유출 루릿페 05-27 60
432 보안 소식 아이넷캅, 모바일 안티 바이러스 ‘온백신’, 정식 서비스 돌입 kargans 05-24 84
431 보안 소식 윈도우10 로컬 권한상승 제로데이 취약점 온라인에 공개돼 kargans 05-24 95
430 보안 자료 인텔 CPU서 새로운 보안 취약점 발견…구형일수록 ‘위험’ + 2 소금과빛 05-22 99
429 일반 스마트폰 블랙마켓이란 무엇일까요? + 1 소금과빛 05-11 234
428 보안 소식 구글 플레이 스토어 ... 악성앱 + 2 루릿페 04-28 208
427 보안 소식 MS, 엣지용 애플리케이션 가드 구동 위한 크롬·파이어폭스 애드온 공개 루시드림 03-28 275
426 일반 Live Update ASUS 서버 해킹 + 3 루릿페 03-26 347
425 바이러스 [주의] 국내에 확산되고 있는 SMB취약점(MS17-010) 공격시도 루시드림 03-26 385
424 바이러스 컴퓨터에서 감염된 파일을 수동으로 직접 제거하는 방법 file 루시드림 03-26 336
423 보안 자료 암호화된 트래픽 속 악성 활동을 감시하는 3가지 방법 루시드림 03-22 93
422 보안 자료 최고의 무료 보안 도구 20선 루시드림 03-22 163
421 보안 소식 가장 사랑받는 취약점 10개 중 8개가 MS 오피스 버그 파란하늘 03-21 87