일반적으로 악성 코드(바이러스, 웜, 스파이웨어)는 윈도우 운영체제에서 동작할 수 있도록 설계되어 있으며, 보안 업계에서도 이러한 공격을 막기 위해 주로 윈도우 운영체제를 중심으로 보안 제품을 설계 및 개발하고 있다.

물론, 맥이나 리눅스에서 동작하는 안티바이러스와 같은 보안 제품이 실제로 사용되고는 있지만, 이들 운영체제에서 동작하는 악성코드를 예방하는 것보다는 사실상 공유 폴더와 같이 윈도우 운영체제의 PC에서 공유하는 파일에서 악성코드가 전파되는 문제를 예방하는데 주 목적이 있다.

최근 시만텍의 STAR(Security Technology and Response)에서 언급한 자료에 따르면, Tojan.Jnanabot은 윈도우, 맥뿐만 아니라 리눅스에서도 감염시킬 수 있는 크로스플랫폼 봇으로 원시 코드는 자바로 작성되었다. 아래표는 Jnanabot이 감염된 운영체제에 대한 통계정보로 윈도우 이외의 운영체제가 약 16%정도를 차지하고 있다.


실제 컴퓨터에서 사용되는 운영체제의 비율을 감안한다면 OS X의 감염률이 꽤 높다는 것을 알 수 있다.

특히 작년부터 꾸준히 발생하고 있는 페이스북과 같은 SNS에서 발생하는 보안 문제가 바로 clickjacking 공격으로 업로드된 트윗이나 포스트에 교묘하게 조작된 URL을 추가하여 사용자가 이 링크를 클릭하는 순간 공격이 이뤄지도록 하고 있다.


따라서, Jnanabot이 SNS 쪽으로 타겟으로 하는 공격으로 변화하게 되면 이에 따른 피해가 엄청날 것으로 예상된다.

감사합니다.




"Everyone knows" that the huge majority of viruses, Trojans, and other malicious software are written for the Windows platform. There are just so many more Windows boxes out there that it hardly pays to target MacOS or Linux. Sure, there are a handful of Mac viruses and even some Linux-platform threats. SophosSymantec, and ESET, among others, offer antivirus products for the Mac. But Windows is the main target for most.

Gardner introduced me to what Symantec calls Trojan.Jnanabot, an equal-opportunity, cross-platform bot that will infect Windows, MacOS, or Linux. Not surprisingly, it's written mostly in Java, the "write once run anywhere" language. Jnanabot spreads by posting links in a victim's social-networking accounts and sending attacks based on friend lists. The initial platform-independent Java script downloads platform-specific components to complete the infection. As the following chart shows, most of the real-world infections that Symantec has detected are Windows systems, but there's a sizeable chunk running Mac OS. 
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    지난 2002년 이후로 인터넷에 대한 강력한 위협 요소 가운데 하나가 바로 DDoS(Distributed Denial of Service, 서비스 거부 공격) 공격입니다.

    주로 바이러스와 같은 악성 프로그램을 유포하면서 봇을 양산하며, 최근에는 그동안 잠잠했었던 봇넷이 다시금 기지개를 편다는 소식도 있습니다.


    최근 보안 전문가에 따르면, 돈만 주면 어떤 대상이라도 가리지 않는 상업용 DDoS 서비스를 제공하는 새로운 봇넷이 출현했으며, 빠른 속도로 몸집을 불리고 있다고 합니다.

    "IMDDOS" 봇넷이라고 하며, DDoS 공격 서비스를 제공하던 웹사이트의 이름을 본 따 지은 것입니다.(발음은 I'M DDOS) 이 도메인은 지난 3월 20일 경에 등록되었으며 현재 중국에서 서비스를 제공하고 있습니다.

    매일 1만대 이상의 새로운 봇(봇넷 프로그램이 설치 및 감염되어 원격에서 조정이 가능한 컴퓨터)들이 추가되고 있으며 현재 전세계적으로 활동하는 거대한 봇넷 중의 하나입니다.


    홈페이지에서는 DDoS 서비스에 대한 소개, 공격 방식, 연락처 등을 포함하고 있으며, 현재 상업적으로 서비스가 진행 중입니다.

    만약 서비스를 이용하고자 하는 경우에는 중국에서 많이 사용하는 QQ 메신저를 통해 가격적인 부분 뿐만 아니라 기술 지원까지 받을 수 있으며, 상업 소프트웨어와 마찬가지로 3단계의 기술지원 방식 및 24x7 까지도 가능하다고 합니다.

    IMDDOS 봇넷의 통제 서버인 C&C 도메인은 대부분 중국에 위치하고 있으며, 일부의 경우 미국에도 위치하고 있습니다.

    특히 봇에 감염시키기 위해 "Windows 7 Crack"이라는 프로그램에 은밀하게 악성 프로그램을 포함시켜 이를 통해 봇넷을 더욱더 키우고 있습니다.

    따라서, 누군가가 인터넷에서 서비스하는 회사에 대해 DDoS 공격을 진행하는 경우에 단지 중국 IP만을 차단한다고 해서 해결될 수 없게 됩니다. 개인 사용자 뿐만 아니라 보안 관련 회사, 당국의 적극적인 대처가 더욱더 요구됩니다.

    감사합니다.

    IMDDOS 관련 자료: http://www.damballa.com/downloads/r_pubs/Damballa_Report_IMDDOS.pdf
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      시만텍은 '노턴 안티봇(Norton AntiBot)'이라는 무료 베타 프로그램을 최근 출시했습니다. 노턴 안티봇은 기존의 안티바이러스 보안 솔루션의 방어의 보조 수단으로, 동작을 기반으로 악성 프로그램으로부터 보호하도록 동작한다.

      안티 바이러스 제품의 가장 중요한 기능이라면 상주 감시(메모리 감시)와 검사(필요시 검사, 예약 검사)를 통해 파일이나 레지스트리 등을 검사합니다. 하지만 노턴 안티봇은 프로그램이 잠재적인 공격을 유발할 수 있는 비정상적인 동작을 하는지 검사합니다.
      사용자 삽입 이미지

      이 프로그램은 작년 초에 소개했었던 SONAR(Symantec Online Network for Advanced Response) 기술을 사용합니다.

      노턴 안티봇의 중요한 목적은 컴퓨터를 원격에서 하이재킹, 제어, 또는 모니터링하는 공격을 차단하는데에 있습니다. 이러한 공격은 봇, 키로깅 프로그램, 스파이웨어 등이 합니다. 노턴 안티봇은 실행 프로그램 및 프로그램의 인터넷 연결을 추적함으로써 기존의 안티바이러스 프로그램보다 나은 예방 기능을 제공한다고 합니다.

      하지만, 노턴 안티봇은 기존의 안티바이러스를 대체하는 것이 아니고 보조적인 수단으로 사용한다는 점을 명심해야 합니다.

      노턴 안티봇 베타 다운로드

      직접 다운로드 링크

      주요 특징
      • 실시간 감시
      • 감염된 봋 및 관련 요소를 완벽하게 제거
      • 봇 및 관련된 위협에 대한 추가적인 보호 수단을 제공하여 보안을 강화

      하드웨어 요구사항
      • 운영체제: Windows XP Home/Professional, Windows Vista 32/64bits Edition
      • CPU: 600Mhz 이상(XP), 1GHz 이상(Vista)
      • RAM: 256MB(XP), 1GB(Vista)
      • HDD: 50메가 이상 여유공간

      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus


        Web Analytics Blogs Directory