Ultimate Performance를 활성화하여 Windows 10/11에서 성능을 최적화하는 방법
Microsoft는 2018년 4월 Windows 10 업데이트에 Ultimate Performance라는 기능을 추가했습니다. 이는 시스템을 고성능 작업 모드로 전환하는 데 도움이 되는 기능이라고 이해할 수 있습니다.
모듈형 악성코드 - 데이터를 훔치는 새로운 스텔스 공격 방법
악성 소프트웨어( 맬웨어 )는 다양한 형태와 규모의 공격입니다. 또한 악성 코드의 정교함은 수년에 걸쳐 크게 발전했습니다. 공격자들은 전체 맬웨어 패키지를 시스템에 한 번에 주입하는 것이 항상 가장 효과적인 방법은 아니라는 것을 알고 있습니다.
시간이 지나면서 악성코드는 모듈화되었습니다. 일부 맬웨어 변종은 다른 모듈을 사용하여 대상 시스템에 영향을 미치는 방식을 변경할 수 있습니다. 그렇다면 모듈형 악성 코드는 무엇이며 어떻게 작동합니까? 다음 글을 통해 알아보도록 하겠습니다!
모듈형 악성코드 - 데이터를 훔치는 새로운 스텔스 공격 방법
모듈형 악성 코드란 무엇입니까?
모듈형 악성 코드는 다양한 단계에서 시스템을 공격하는 위험한 위협입니다. 악성코드 모듈은 직접적인 공격 대신 2차적인 접근 방식을 취합니다.
이를 위해서는 필수 구성 요소만 먼저 설치하면 됩니다. 그런 다음 팡파르를 터뜨리고 사용자에게 그 존재를 알리는 대신 첫 번째 모듈은 시스템과 사이버 보안을 목표로 합니다. 어떤 부분이 주로 책임이 있는지, 어떤 유형의 보호 방법이 적용되고 있는지, 악성코드가 어디에서 취약점을 찾을 수 있는지, 어떤 공격이 성공 가능성이 가장 높은지 등을 살펴봅니다.
로컬 환경을 성공적으로 탐지한 후 1단계 악성코드 모듈은 명령 및 제어(C2) 서버와 통신할 수 있습니다. 그런 다음 C2는 악성 코드가 작동하는 특정 환경을 활용하기 위해 추가 악성 코드 모듈과 함께 추가 지침을 보내 응답할 수 있습니다.
모듈형 악성 코드는 모든 기능을 단일 페이로드로 묶는 악성 코드보다 더 유용합니다. 특히 다음과 같습니다.
- 맬웨어 제작자는 바이러스 백신 및 기타 보안 프로그램을 회피하기 위해 맬웨어의 신원을 신속하게 변경할 수 있습니다 .
- 악성 코드 모듈을 사용하면 다양한 환경으로 기능을 확장할 수 있습니다. 이를 통해 맬웨어 제작자는 특정 대상에 반응하거나 특정 환경에서 사용할 특정 모듈을 표시할 수 있습니다.
- 원래 모듈은 매우 작았고 변경하기가 더 쉬웠습니다.
- 여러 악성 코드 모듈을 결합하면 보안 연구원이 다음에 무슨 일이 일어날지 예측하는 데 도움이 됩니다.
모듈형 악성 코드는 새로운 위협이 아닙니다. 맬웨어 개발자는 오랫동안 모듈식 맬웨어 프로그램을 효과적으로 사용해 왔습니다. 차이점은 보안 연구원들이 다양한 상황에서 더 많은 악성 코드 모듈을 접하고 있다는 것입니다. 연구원들은 또한 악성 코드 모듈을 확산시키는 대규모 Necurs 봇넷 (Dridex 및 Locky 랜섬웨어 변종 배포로 악명 높음 )을 발견했습니다.
악성코드 모듈 예시
악성코드 모듈의 매우 흥미로운 예가 있습니다. 다음은 그 중 몇 가지입니다.
VPN필터
VPNFilter 는 라우터와 IoT(사물인터넷) 장치를 공격하는 최신 버전의 악성코드입니다 . 이 악성코드는 세 단계로 작동합니다.
1단계 악성 코드는 명령 및 제어 서버에 접속하여 2단계 모듈을 다운로드합니다. 두 번째 단계 모듈은 데이터를 수집하고 명령을 실행하며 장치 관리에 개입할 수 있습니다(라우터, IoT 장치 또는 NAS를 "정지"하는 기능 포함). 두 번째 단계에서는 두 번째 단계의 플러그인 역할을 하는 세 번째 단계 모듈을 다운로드할 수도 있습니다. 3단계 모듈에는 SCADA 트래픽 탐지 패킷, 감염 모듈, 2단계 악성코드가 Tor 네트워크를 사용해 통신할 수 있게 해주는 모듈이 포함된다 .
다음 문서를 통해 VPNFilter에 대해 자세히 알아볼 수 있습니다. VPNFilter 맬웨어가 라우터를 파괴하기 전에 탐지하는 방법.
T9000
Palo Alto Networks 보안 연구원들은 T9000 악성 코드(Terminator 또는 Skynet과 관련 없음)를 발견했습니다.
T9000은 정보 및 데이터 수집 도구입니다. T9000을 설치하면 공격자는 Microsoft Office 제품 파일뿐만 아니라 "암호화된 데이터를 캡처하고, 특정 애플리케이션의 스크린샷을 찍고, 특히 Skype 사용자를 표적으로 삼을 수 있습니다". T9000에는 24가지 보안 제품을 회피하도록 설계된 다양한 모듈이 포함되어 있어 설치 프로세스가 감지되지 않도록 변경됩니다.
다나봇
DanaBot은 공격자가 기능을 확장하기 위해 사용하는 다양한 플러그인을 갖춘 다단계 뱅킹 트로이 목마 입니다 . 예를 들어, 2018년 5월 호주 은행에 대한 일련의 공격에서 DanaBot이 탐지되었습니다. 당시 연구진은 감염 탐지 플러그인 묶음, VNC 원격 보기 플러그인, 데이터 수집 플러그인, 보안 통신이 가능한 Tor 플러그인을 발견했다.
Proofpoint DanaBot 블로그에 따르면 "DanaBot은 뱅킹 트로이 목마입니다. 즉, 어느 정도 지역을 타겟팅해야 한다는 의미입니다."라고 합니다. “미국 캠페인에서 보았던 것처럼 많은 예방 조치가 취해졌음에도 불구하고 악성 코드의 활발한 성장, 지리적 확장 및 정교함을 쉽게 볼 수 있습니다. 피해가 증가하고 있습니다. 악성 코드 자체에는 여러 가지 분석 방지 기능은 물론 정기적으로 업데이트되는 정보 도용 및 원격 제어 모듈이 포함되어 있어 대상에 대한 위협이 가중됩니다.”
Marap, AdvisorsBot 및 CobInt
Proofpoint의 뛰어난 보안 연구원들이 세 가지 변종을 동시에 조사했기 때문에 이 기사에서는 세 가지 악성 코드 모듈 변종을 하나의 섹션으로 결합했습니다. 이러한 악성 코드 모듈 변종은 유사하지만 용도가 다릅니다. 또한 CobInt는 은행 및 금융 부문의 수많은 사이버 범죄자와 관련이 있는 범죄 조직인 Cobalt Group 캠페인의 일부입니다.
Marap과 AdvisorsBot은 방어를 위해 전체 대상 시스템을 표적으로 삼고 네트워크를 매핑한 다음 악성 코드가 전체 페이로드를 다운로드해야 하는지 여부를 결정하기 위해 만들어졌습니다. 대상 시스템이 요구 사항을 충족하는 경우(예: 가치가 있는 경우) 악성 코드는 공격의 2단계를 계속합니다.
다른 악성 코드 모듈 버전과 마찬가지로 Marap, AdvisorsBot 및 CobInt는 3단계 프로세스를 따릅니다. 첫 번째 단계는 일반적으로 초기 악용 목적으로 악성 코드에 감염된 첨부 파일이 포함된 이메일입니다. 익스플로잇이 완료되면 악성코드는 즉시 2단계를 요청합니다. 두 번째 단계에서는 대상 시스템의 보안 조치와 네트워크 환경을 평가하기 위한 정찰 모듈을 수행합니다. 악성코드가 모든 것이 정상이라고 말하면 마지막 단계에서는 기본 페이로드를 포함하여 세 번째 모듈을 다운로드합니다.
신체 상해
Mayhem은 악성 코드 모듈의 약간 오래된 버전입니다. 2014년에 처음 등장했습니다. 그러나 Mayhem은 여전히 훌륭한 모듈식 악성 코드의 예입니다. Yandex의 보안 연구원이 발견한 이 악성코드는 Linux 및 Unix 웹 서버를 표적으로 삼습니다. 악성 PHP 스크립트를 통해 설치됩니다.
일단 설치되면 스크립트는 악성코드의 최적 사용법을 결정하는 여러 플러그인을 호출할 수 있습니다.
플러그인에는 FTP, WordPress 및 Joomla 계정을 대상으로 하는 무차별 비밀번호 크래커 , 기타 취약한 서버를 검색하는 웹 크롤러, Heartbleed 익스플로잇 OpenSLL이 포함되어 있습니다.
다이아몬드폭스
오늘 기사의 최종 악성코드 모듈 변종 역시 가장 완전한 버전 중 하나입니다. 이것은 또한 몇 가지 이유로 가장 걱정스러운 것 중 하나입니다.
첫째, DiamondFox는 다양한 지하 포럼에서 판매되는 모듈식 봇넷입니다. 잠재적인 사이버 범죄자는 DiamondFox 모듈식 봇넷 패키지를 구매하여 다양한 고급 공격 기능에 액세스할 수 있습니다. 이 도구는 정기적으로 업데이트되며 다른 모든 온라인 서비스와 마찬가지로 맞춤형 고객 지원을 제공합니다. (변경 로그도 있습니다!)
두 번째 이유는 DiamondFox 모듈식 봇넷이 여러 플러그인과 함께 제공된다는 것입니다. 이러한 기능은 스마트 홈 앱에 적합하도록 대시보드를 통해 켜고 끌 수 있습니다. 플러그인에는 적합한 스파이 도구, 자격 증명 도용 도구, DDoS 도구, 키로거 , 스팸 메일 및 RAM 스캐너도 포함됩니다.
모듈형 악성 코드 공격을 방지하는 방법은 무엇입니까?
현재로서는 악성 코드 모듈 변종으로부터 사용자를 보호할 수 있는 특정 도구가 없습니다. 또한 일부 악성 코드 모듈 변종은 지리적 범위가 제한되어 있습니다. 예를 들어 Marap, AdvisorsBot 및 CobInt는 주로 러시아와 CIS 국가에서 발견됩니다.
Proofpoint 연구원들은 현재의 지리적 제한에도 불구하고 다른 범죄자들이 모듈식 악성 코드를 사용하는 확립된 범죄 조직을 발견하면 확실히 그 뒤를 따를 것임을 보여주었습니다.
맬웨어 모듈이 시스템에 어떻게 도달하는지 인식하는 것이 중요합니다. 기록된 사례의 대부분은 악성 VBA 스크립트가 포함된 Microsoft Office 문서를 포함하는 악성 코드에 감염된 이메일 첨부 파일을 사용했습니다. 공격자가 이 방법을 사용하는 이유는 맬웨어에 감염된 이메일을 수백만 명의 잠재적인 대상에게 보내기가 쉽기 때문입니다. 게다가 초기 익스플로잇은 규모가 매우 작아 일반 Office 파일로 쉽게 위장됩니다.
언제나 그렇듯이 시스템을 최신 상태로 유지하고 고품질 바이러스 백신 소프트웨어에 투자하는 것을 고려하십시오. 그것은 가치!
더보기:
Windows 10 Sun Valley와 같은 새로운 파일 탐색기 아이콘 세트를 설치하는 방법
Windows 10 Sun Valley와 같은 파일 탐색기의 새 아이콘이 마음에 들면 아래 문서에 따라 완전히 새로운 파일 탐색기 인터페이스를 변경하세요.
Windows 10 웹캠을 테스트하는 방법
Windows 컴퓨터에서 웹캠이 제대로 작동하는지 확인하는 것은 빠르고 쉽습니다. 다음은 카메라를 확인하는 데 도움이 되는 단계입니다.
Windows 10에서 마이크를 테스트하는 방법
어쩌면 좋은 품질의 헤드폰이 연결되어 있을 수도 있지만 어떤 이유에서인지 Windows 노트북은 끔찍한 내장 마이크를 사용하여 계속 녹음을 시도합니다. 다음 문서에서는 Windows 10 마이크를 테스트하는 방법을 안내합니다.
마우스 오른쪽 버튼 클릭 메뉴에서 Malwarebytes로 검사를 제거하는 방법
더 이상 필요하지 않은 경우 마우스 오른쪽 버튼 클릭 상황에 맞는 메뉴에서 Malwarebytes로 검사 옵션을 제거할 수 있습니다. 방법은 다음과 같습니다.
BGP(Border Gateway Protocol)에 대해 알아보기
BGP(Border Gateway Protocol)는 인터넷에 대한 라우팅 정보를 교환하는 데 사용되며 ISP(다른 AS) 간에 사용되는 프로토콜입니다.
나만의 Windows 레지스트리 해킹 파일을 만드는 방법
팁을 읽을 때 레지스트리 해킹 파일을 사용하여 Windows 컴퓨터를 사용자 정의하고 조정하는 방법을 궁금해하는 사람들을 자주 볼 수 있습니다. 이 문서에서는 자신만의 레지스트리 해킹 파일을 만드는 기본 단계를 안내합니다.
Windows 10에서 자동 레지스트리 백업을 활성화하는 방법
Microsoft는 레지스트리를 자동으로 백업했지만 Windows 10에서는 이 기능이 조용히 비활성화되었습니다. 이 기사에서 Quantrimang.com은 레지스트리를 폴더에 자동으로 백업하는 단계를 안내합니다. \RegBack)(Windows 10).
Windows PC에서 작업을 실행 취소하는 방법
컴퓨터를 사용하는 동안 실수를 하는 것은 완전히 정상적인 현상입니다.
Windows 10/11에서 이더넷 연결이 계속 끊어지면 어떻게 해야 합니까?
Windows 10 또는 11 PC에서 뚜렷한 이유 없이 이더넷 연결이 끊어지면 때때로 좌절감을 느낄 수 있습니다.