1. 또 다시 등장한 스파이멜 바이러스
<사진출저: 보안뉴스>
14년쯤엔가 한번 유행했던 트로이목마종류 바이러스인데 17년 1월에 또 다시 나타났다. 해커들은 윈도우 os를 공격하기 위해 이메일에다 악성스크립트 파일을 첨부해서 보낸다. 사용자들은 아무생각없이 열어볼 수 있고 파일을 다운받자마자 윈도우 os에 삽시간에 퍼져 작업관리자 프로세스 관리도구등의 어플리케이션을 탐지한다. 더 재밌는 사실은 스파이멜 바이러스는 알약등과 같은 악성코드를 잡아낼 수 있는 앱이 실행되지 못하도록 막는다. 한마디로 보안프로그램 자체를 동작 못하게 해서 정보를 빼낸다는 이야기다. 어플리케이션을 탐지하는 과정에서 인증서등을 탈취해서 마치 '합법적인'소프트웨어인거마냥 둔갑하는 바이러스가 바로 스파이멜 바이러스이다. 이런식으로 악성코드에 대항하는 앱이 실행되지 못하게 만들어 놓고 인증서를 탈취하고 C&C서버와 통신하면서 사용자의 정보, 하고있는 활동등을 전송시킨다.
2. 스파이멜 바이러스의 위협
앞서서도 말했지만 스파이멜 바이러스의 특징은 바로 인증서를 탈취한다는 것이다. 특히 디지털인증서를 노리는데 디지털인증서만 탈취하게 되면 굳이 보안프로그램을 우회하는 기법을 개발하지 않고도 쉽게쉽게 사용자컴퓨터에 접근할 수 있다. 스파이멜이 갖추고 있는 인증서는 SBO 인베스트(SBO Invest)라는 기관에서 발행한 인증서인데 SBO인베스트도 이와 같은 스파이멜 바이러스때문에 주기적으로 업데이트 작업을 해주면서 예방하려고는 노력하는데 스파이멜 해커들도 이에 대응해서 계속 업데이트를 하면서 SBO 인베스트의 또 다른 인증서를 탈취해 사용한다. 인증서의 취약점을 노려 인증서를 탈취해서 사용자 정보를 빼내면 비용도 저렴하고 시간도 절약되서 많은 해커들이 스파이멜바이러스를 만들어 사용하고 있다. 인증서를 발급할때 철저한 절차대로 해야하지만 그렇지 못하기 때문에도 이와 같이 취약점을 노려 가짜인증서를 만들거나 합법적인 인증서를 훔쳐가지고 사용자 정보를 빼내 전송시킬 수 있는 것이다. 공인인증서에 대한 철저한 보안과 발급절차의 강화가 필요한 시점인 것 같다.
'보안동향 > 최근보안동향(17년)' 카테고리의 다른 글
| IOT를 새로운 먹거리로 삼는 보안,SW 기업체들 (0) | 2017.01.31 |
|---|---|
| 이스트시큐리티, IoT 기기 좀비 만드는 `미라이` 악성코드 국내서도 발견 (0) | 2017.01.28 |
| 랜섬웨어 범죄 주의보 …번거로워도 '백업'을 (0) | 2017.01.28 |
| 한글문서 취약점 악용, 악성코드 감염 주의 (0) | 2017.01.28 |
만년필석사