Windows 10에 macOS Big Sur/iOS 14 위젯을 설치하는 방법
macOS Big Sur 버전은 최근 WWDC 컨퍼런스에서 공식적으로 발표되었습니다. 그리고 Rainmeter 도구를 사용하면 macOS Big Sur의 인터페이스를 Windows 10으로 완전히 가져올 수 있습니다.
모듈형 악성코드 - 데이터를 훔치는 새로운 스텔스 공격 방법
악성 소프트웨어( 맬웨어 )는 다양한 형태와 규모의 공격입니다. 또한 악성 코드의 정교함은 수년에 걸쳐 크게 발전했습니다. 공격자들은 전체 맬웨어 패키지를 시스템에 한 번에 주입하는 것이 항상 가장 효과적인 방법은 아니라는 것을 알고 있습니다.
시간이 지나면서 악성코드는 모듈화되었습니다. 일부 맬웨어 변종은 다른 모듈을 사용하여 대상 시스템에 영향을 미치는 방식을 변경할 수 있습니다. 그렇다면 모듈형 악성 코드는 무엇이며 어떻게 작동합니까? 다음 글을 통해 알아보도록 하겠습니다!
모듈형 악성코드 - 데이터를 훔치는 새로운 스텔스 공격 방법
모듈형 악성 코드란 무엇입니까?
모듈형 악성 코드는 다양한 단계에서 시스템을 공격하는 위험한 위협입니다. 악성코드 모듈은 직접적인 공격 대신 2차적인 접근 방식을 취합니다.
이를 위해서는 필수 구성 요소만 먼저 설치하면 됩니다. 그런 다음 팡파르를 터뜨리고 사용자에게 그 존재를 알리는 대신 첫 번째 모듈은 시스템과 사이버 보안을 목표로 합니다. 어떤 부분이 주로 책임이 있는지, 어떤 유형의 보호 방법이 적용되고 있는지, 악성코드가 어디에서 취약점을 찾을 수 있는지, 어떤 공격이 성공 가능성이 가장 높은지 등을 살펴봅니다.
로컬 환경을 성공적으로 탐지한 후 1단계 악성코드 모듈은 명령 및 제어(C2) 서버와 통신할 수 있습니다. 그런 다음 C2는 악성 코드가 작동하는 특정 환경을 활용하기 위해 추가 악성 코드 모듈과 함께 추가 지침을 보내 응답할 수 있습니다.
모듈형 악성 코드는 모든 기능을 단일 페이로드로 묶는 악성 코드보다 더 유용합니다. 특히 다음과 같습니다.
- 맬웨어 제작자는 바이러스 백신 및 기타 보안 프로그램을 회피하기 위해 맬웨어의 신원을 신속하게 변경할 수 있습니다 .
- 악성 코드 모듈을 사용하면 다양한 환경으로 기능을 확장할 수 있습니다. 이를 통해 맬웨어 제작자는 특정 대상에 반응하거나 특정 환경에서 사용할 특정 모듈을 표시할 수 있습니다.
- 원래 모듈은 매우 작았고 변경하기가 더 쉬웠습니다.
- 여러 악성 코드 모듈을 결합하면 보안 연구원이 다음에 무슨 일이 일어날지 예측하는 데 도움이 됩니다.
모듈형 악성 코드는 새로운 위협이 아닙니다. 맬웨어 개발자는 오랫동안 모듈식 맬웨어 프로그램을 효과적으로 사용해 왔습니다. 차이점은 보안 연구원들이 다양한 상황에서 더 많은 악성 코드 모듈을 접하고 있다는 것입니다. 연구원들은 또한 악성 코드 모듈을 확산시키는 대규모 Necurs 봇넷 (Dridex 및 Locky 랜섬웨어 변종 배포로 악명 높음 )을 발견했습니다.
악성코드 모듈 예시
악성코드 모듈의 매우 흥미로운 예가 있습니다. 다음은 그 중 몇 가지입니다.
VPN필터
VPNFilter 는 라우터와 IoT(사물인터넷) 장치를 공격하는 최신 버전의 악성코드입니다 . 이 악성코드는 세 단계로 작동합니다.
1단계 악성 코드는 명령 및 제어 서버에 접속하여 2단계 모듈을 다운로드합니다. 두 번째 단계 모듈은 데이터를 수집하고 명령을 실행하며 장치 관리에 개입할 수 있습니다(라우터, IoT 장치 또는 NAS를 "정지"하는 기능 포함). 두 번째 단계에서는 두 번째 단계의 플러그인 역할을 하는 세 번째 단계 모듈을 다운로드할 수도 있습니다. 3단계 모듈에는 SCADA 트래픽 탐지 패킷, 감염 모듈, 2단계 악성코드가 Tor 네트워크를 사용해 통신할 수 있게 해주는 모듈이 포함된다 .
다음 문서를 통해 VPNFilter에 대해 자세히 알아볼 수 있습니다. VPNFilter 맬웨어가 라우터를 파괴하기 전에 탐지하는 방법.
T9000
Palo Alto Networks 보안 연구원들은 T9000 악성 코드(Terminator 또는 Skynet과 관련 없음)를 발견했습니다.
T9000은 정보 및 데이터 수집 도구입니다. T9000을 설치하면 공격자는 Microsoft Office 제품 파일뿐만 아니라 "암호화된 데이터를 캡처하고, 특정 애플리케이션의 스크린샷을 찍고, 특히 Skype 사용자를 표적으로 삼을 수 있습니다". T9000에는 24가지 보안 제품을 회피하도록 설계된 다양한 모듈이 포함되어 있어 설치 프로세스가 감지되지 않도록 변경됩니다.
다나봇
DanaBot은 공격자가 기능을 확장하기 위해 사용하는 다양한 플러그인을 갖춘 다단계 뱅킹 트로이 목마 입니다 . 예를 들어, 2018년 5월 호주 은행에 대한 일련의 공격에서 DanaBot이 탐지되었습니다. 당시 연구진은 감염 탐지 플러그인 묶음, VNC 원격 보기 플러그인, 데이터 수집 플러그인, 보안 통신이 가능한 Tor 플러그인을 발견했다.
Proofpoint DanaBot 블로그에 따르면 "DanaBot은 뱅킹 트로이 목마입니다. 즉, 어느 정도 지역을 타겟팅해야 한다는 의미입니다."라고 합니다. “미국 캠페인에서 보았던 것처럼 많은 예방 조치가 취해졌음에도 불구하고 악성 코드의 활발한 성장, 지리적 확장 및 정교함을 쉽게 볼 수 있습니다. 피해가 증가하고 있습니다. 악성 코드 자체에는 여러 가지 분석 방지 기능은 물론 정기적으로 업데이트되는 정보 도용 및 원격 제어 모듈이 포함되어 있어 대상에 대한 위협이 가중됩니다.”
Marap, AdvisorsBot 및 CobInt
Proofpoint의 뛰어난 보안 연구원들이 세 가지 변종을 동시에 조사했기 때문에 이 기사에서는 세 가지 악성 코드 모듈 변종을 하나의 섹션으로 결합했습니다. 이러한 악성 코드 모듈 변종은 유사하지만 용도가 다릅니다. 또한 CobInt는 은행 및 금융 부문의 수많은 사이버 범죄자와 관련이 있는 범죄 조직인 Cobalt Group 캠페인의 일부입니다.
Marap과 AdvisorsBot은 방어를 위해 전체 대상 시스템을 표적으로 삼고 네트워크를 매핑한 다음 악성 코드가 전체 페이로드를 다운로드해야 하는지 여부를 결정하기 위해 만들어졌습니다. 대상 시스템이 요구 사항을 충족하는 경우(예: 가치가 있는 경우) 악성 코드는 공격의 2단계를 계속합니다.
다른 악성 코드 모듈 버전과 마찬가지로 Marap, AdvisorsBot 및 CobInt는 3단계 프로세스를 따릅니다. 첫 번째 단계는 일반적으로 초기 악용 목적으로 악성 코드에 감염된 첨부 파일이 포함된 이메일입니다. 익스플로잇이 완료되면 악성코드는 즉시 2단계를 요청합니다. 두 번째 단계에서는 대상 시스템의 보안 조치와 네트워크 환경을 평가하기 위한 정찰 모듈을 수행합니다. 악성코드가 모든 것이 정상이라고 말하면 마지막 단계에서는 기본 페이로드를 포함하여 세 번째 모듈을 다운로드합니다.
신체 상해
Mayhem은 악성 코드 모듈의 약간 오래된 버전입니다. 2014년에 처음 등장했습니다. 그러나 Mayhem은 여전히 훌륭한 모듈식 악성 코드의 예입니다. Yandex의 보안 연구원이 발견한 이 악성코드는 Linux 및 Unix 웹 서버를 표적으로 삼습니다. 악성 PHP 스크립트를 통해 설치됩니다.
일단 설치되면 스크립트는 악성코드의 최적 사용법을 결정하는 여러 플러그인을 호출할 수 있습니다.
플러그인에는 FTP, WordPress 및 Joomla 계정을 대상으로 하는 무차별 비밀번호 크래커 , 기타 취약한 서버를 검색하는 웹 크롤러, Heartbleed 익스플로잇 OpenSLL이 포함되어 있습니다.
다이아몬드폭스
오늘 기사의 최종 악성코드 모듈 변종 역시 가장 완전한 버전 중 하나입니다. 이것은 또한 몇 가지 이유로 가장 걱정스러운 것 중 하나입니다.
첫째, DiamondFox는 다양한 지하 포럼에서 판매되는 모듈식 봇넷입니다. 잠재적인 사이버 범죄자는 DiamondFox 모듈식 봇넷 패키지를 구매하여 다양한 고급 공격 기능에 액세스할 수 있습니다. 이 도구는 정기적으로 업데이트되며 다른 모든 온라인 서비스와 마찬가지로 맞춤형 고객 지원을 제공합니다. (변경 로그도 있습니다!)
두 번째 이유는 DiamondFox 모듈식 봇넷이 여러 플러그인과 함께 제공된다는 것입니다. 이러한 기능은 스마트 홈 앱에 적합하도록 대시보드를 통해 켜고 끌 수 있습니다. 플러그인에는 적합한 스파이 도구, 자격 증명 도용 도구, DDoS 도구, 키로거 , 스팸 메일 및 RAM 스캐너도 포함됩니다.
모듈형 악성 코드 공격을 방지하는 방법은 무엇입니까?
현재로서는 악성 코드 모듈 변종으로부터 사용자를 보호할 수 있는 특정 도구가 없습니다. 또한 일부 악성 코드 모듈 변종은 지리적 범위가 제한되어 있습니다. 예를 들어 Marap, AdvisorsBot 및 CobInt는 주로 러시아와 CIS 국가에서 발견됩니다.
Proofpoint 연구원들은 현재의 지리적 제한에도 불구하고 다른 범죄자들이 모듈식 악성 코드를 사용하는 확립된 범죄 조직을 발견하면 확실히 그 뒤를 따를 것임을 보여주었습니다.
맬웨어 모듈이 시스템에 어떻게 도달하는지 인식하는 것이 중요합니다. 기록된 사례의 대부분은 악성 VBA 스크립트가 포함된 Microsoft Office 문서를 포함하는 악성 코드에 감염된 이메일 첨부 파일을 사용했습니다. 공격자가 이 방법을 사용하는 이유는 맬웨어에 감염된 이메일을 수백만 명의 잠재적인 대상에게 보내기가 쉽기 때문입니다. 게다가 초기 익스플로잇은 규모가 매우 작아 일반 Office 파일로 쉽게 위장됩니다.
언제나 그렇듯이 시스템을 최신 상태로 유지하고 고품질 바이러스 백신 소프트웨어에 투자하는 것을 고려하십시오. 그것은 가치!
더보기:
RDSealer 악성 코드로부터 원격 데스크톱을 보호하는 방법
RDSealer는 RDP 서버를 감염시키고 원격 연결을 모니터링하여 자격 증명과 데이터를 훔치려는 악성 코드입니다.
파일 탐색기를 대체할 최고의 Windows용 파일 관리 소프트웨어 7가지
이제 파일 탐색기에 작별 인사를 하고 타사 파일 관리 소프트웨어를 사용할 때가 되었습니까? 다음은 최고의 Windows 파일 탐색기 대안 7가지입니다.
LoRaWAN은 어떻게 작동하나요? IoT에 왜 중요한가요?
LoRaWAN 또는 장거리 무선 영역 네트워크는 장거리 저전력 장치 간의 통신에 유용합니다.
Windows 10에서 고급 시작 옵션을 여는 8가지 방법
고급 시작 옵션으로 이동하면 Windows 10 재설정, Windows 10 복원, 이전에 생성한 이미지 파일에서 Windows 10 복원, 시작 오류 수정, 명령 프롬프트를 열어 다른 옵션 선택, UEFI 설정 열기, 시작 설정 변경 등을 수행할 수 있습니다. ..
소셜 네트워크 계정에 로그인하기 전에 신중하게 생각해야 하는 이유는 무엇입니까?
새로운 서비스에 가입할 때마다 사용자 이름과 비밀번호를 선택하거나 Facebook이나 Twitter로 간단히 로그인할 수 있습니다. 하지만 꼭 해야 할까요?
Google DNS 8.8.8.8 및 8.8.4.4 변경 지침
DNS Google 8.8.8.8 8.8.4.4는 많은 사용자가 특히 네트워크 액세스 속도를 높이거나 차단된 Facebook에 액세스하기 위해 사용하기로 선택하는 DNS 중 하나입니다.
Windows 10에서 항상 InPrivate 모드로 Microsoft Edge를 시작하는 방법
공유 Windows 10 컴퓨터에서 Microsoft Edge를 사용하고 검색 기록을 비공개로 유지하려는 경우 Edge가 항상 InPrivate 모드에서 실행되도록 설정할 수 있습니다.
대칭 암호화와 비대칭 암호화의 차이점 살펴보기
오늘날 일반적으로 배포되는 암호화에는 대칭 암호화와 비대칭 암호화라는 두 가지 유형이 있습니다. 이 두 암호화 유형의 기본적인 차이점은 대칭 암호화는 암호화 및 암호 해독 작업 모두에 단일 키를 사용한다는 것입니다.
Windows에서 전체 화면 모드를 종료하는 방법
컴퓨터의 전체 화면 모드는 불필요한 콘텐츠를 제거합니다. 그렇다면 Windows 전체 화면 모드를 종료하는 방법은 무엇입니까?