2011년 회고 트렌드랩 연간 보안 보고서 - trend micro · 2013-01-17 · 안드로이드...
TRANSCRIPT
2011년 회고
트렌드랩 연간 보안 보고서정보가 곧 돈이다
우리가 예측했던 바와 같이 2011년에는 전 세계 여러 조직 들이 표적 공격에 노출되었고 새로운 디지털 화폐로 일컬어 지는 데이터가 유출되면서 “데이터 유출의 해”라는 별칭을 얻게 되었습니다. 개인과 조직이 모두 클라우드 환경으로 이전함에 따라 법 집행기관 및 보안 업체의 사이버 범죄 수사팀들과 함께 트렌드마이크로는 클라우드 내/외부에 데이터 보호 기능을 제공함으로써 고객을 지속적으로 지원 할 것입니다.
......................................................................................18
트렌드마이크로 보안 성과
트렌드마이크로의 예측들 중 입증된 내용들
.......................................................................................................
.......................................................................................................4
..............................................................................................................................6
....................................................................................8
................................................................................................................10
12
.......................................................................................162011년에는 정치적 쟁점을 가진 새로운 위협자들이 출현하였습니다
2011년, 트렌드마이크로는 업계 파트너 및 법 집행 기관들과 함께 사이버 범죄와의 전쟁에서 상당한 성과를 달성하였습니다
멀웨어, 스팸 및 악성 링크의 활동이 중단되지 않으면서 2011년에도 이러한 기존 매개체를 활용한 공격이 성행하였습니다
2011년은 소셜 미디어 스패머와 사기범들이 호재를 누린 해였으며 사이트 관리자와 규제 기관들에겐 힘든 한 해였습니다
모바일 멀웨어의 양이 급격히 증가하면서 2011년에는 모바일 위협 수준이 성숙한 단계에 도달하였습니다
전 세계 여러 조직들이 엄청난 정보 및 재정적 손실을 입게 되면서 2011년은 “데이터 유출의 해”라는 별칭을 얻게 되었습니다
공식적으로 보고된 취약점의 감소에도 불구하고 2011년은 여전히 취약점 악용 측면에서 악재를 면하지 못했습니다
1 http://www.rsa.com/node.aspx?id=38722 http://arstechnica.com/gaming/news/2011/04/sony-admits-utter-psn-failure-
your-personal-data-has-been-stolen.ars
2011 년 예측표적 공격과 사이버 스파이 활동이 더 빈번해질 것이다.
기밀 정보 유출로 기업 이미지를 훼손시키고 피해 복구를 위한 엄청난 비용을 야기시킨 표적 데이터 유출 공격으로 많은 조직들이 피해를 입었던 2011년은 보안 업체들에게 특히 힘든 한 해였습니다. 가장 큰 규모의 공격 대상이었던 RSA1와 Sony PlayStation2는 그들의 인프라가 공격 받았음을 공식적으로 발표하여 고객들이 적절한 조치를 취하도록 할 수 밖에 없었습니다.
전 세계 기업들이 엄청난 정보 및 재정적손실을 입게 되면서 2011년은 “데이터 유출의 해”
라는 별칭을 얻게 되었습니다.
RSA APT 공격
SONY PLAYSTATION 데이터 유출
•
6
7
—Nart Villeneuve, 트렌드마이크로
선임 위협 연구원
7 http://us.trendmicro.com/imperia/md/content/us/trendwatch/cloud/wp01_targetedattacks_111012us.pdf
데이터 유출의 구조
“현재의 표적 멀웨어 공격은 데이터를 도용하는데 사용되고 있지만 미래의 공격은 데이터 변조를 목표로 할 수 있습니다.”
데이터 유출(데이터베이스 및 파일 서버)
대상 공격(소셜 엔지니어링, 인프라 취약성, 웹 사이트, 웹 서버)
대상 선정 및 기밀 정보 수집
RSA에서 유출된 정보는 미국 정부와 거래하는 가장 큰 규모의 IT 업체인 Lockheed Martin를 표적으로 한 광범위한 공격에 사용되었습니다.
이를 해결하기 위해 RSA는 피해자들을 위한 모범 사례를 발표하였으며 방위 산업 고객들이 보유하고 있는 토큰을 교체하였습니다.
SecurID 2단계 인증 제품에 관련된 특정 정보가 RSA 시스템에서 유출되었습니다.
Sony는 표적 공격에 대한 관련 사실을 발표한 후 자사의 PlayStation 네트워크 서비스를 중단해야 했습니다.
RSA의 회장인 Arthur W. Covellio, Jr.는 APT 공격을 받은 고객들에게 공개 서신을 발표하였습니다
3
4
•
•
http://www.rsa.com/node.aspx?id=38914
idUKTRE74P7U320110526
•
3http://uk.reuters.com/article/2011/05/26/us-lockheed-network-
5
Sony는 공격으로 인한 피해를 복구하기 위해 최소
미화1억7100만 달러를 지출하였습니다.
7천7백만 PlayStation 네트워크 및 Qriocity 사용자 계정에 대한 정보가 유출되었습니다.
•
••
72157626521862165/http://about-threats.trendmicro.com/RelatedThreats.aspx?language=us&name=Anatomy+of+a+Data+Breach
6
5
http://blog.trendmicro.com/a-snapshot-of-android-threats-infographic/9 http://blog.trendmicro.com/2011-in-review-mobile-malware/10 http://blog.trendmicro.com/massive-code-change-for-new-droiddreamlight-
variant/
2011년 예측모바일 장치에 대한 공격이 증가할 것이다.
모바일 멀웨어가 전 세계를 강타하였고 사용자들은 안드로이드 멀웨어의 양이 엄청난 규모로 증가한 것을 인식하지 못했습니다.8 모바일 멀웨어는 개인 정보 및 그 밖의 기밀 정보를 도용하여 장치 사용자의 개인 정보를 침해하였습니다. 가장 악명 높은 안드로이드 멀웨어 변종들 중 RuFraud9와 DroidDreamLight10는 많은 사용자들에게 데이터 및 비용 손실의 고통을 안겨주면서 세간의 큰 주목을 받았습니다.
모바일 멀웨어의 양이 급격히 증가하면서 2011년에는 모바일 위협 수준이 성숙한
단계에 도달하였습니다.
8
DROIDDREAMLIGHT 변종
•
RUFRAUD 변종
•
•
•
•
11
http://blog.trendmicro.com/checking-the-legitimacy-of-android-apps/
12 http://www.canalys.com/static/press_release/2011/canalys-press-release-010811-android-takes-almost-50-share-worldwide-smart-phone-market_0.pdf
13 http://www.facebook.com/press/info.php?statistics
“이러한 추세라면, 2012년 말에는 120,000건 이상의 악성 안드로이드 앱이 발견될 것입니다.”14
—Menard Oseña, 트렌드마이크로 솔루션
제품 관리자
14 http://blog.trendmicro.com/how-big-will-the-android-malware-threat-be-in-2012/
안드로이드 멀웨어 종류
•
•
•
•
•
•
15 http://blog.trendmicro.com/snapshot-of-android-threats
2011년 안드로이드 멀웨어 증가량
5,990만
3억 5천만 이상
475이상
2011년 안드로이드 멀웨어 증가량
감염된 장치가 루팅되었는지 확인한 후 특정 패키지를 설치 및 설치 해제합니다.
감염된 사용자의 연락처로 몰래 메시지를 전송합니다.
원격 URL로 전송되는 모든 종류의 장치 및 개인 정보를 훔쳐냅니다.
배터리 모니터링, 작업 관리, 설치된 앱 조회 도구로 위장합니다.
이 변종은 안드로이드 마켓의 구글의 10B 다운로드 달성 기념 행사 시기에 확산되었기 때문에 공식 앱 스토어에서 퇴출되기 전, 일부 사용자들이 다운로드 받았을 수 있습니다11
“프리미엄 서비스 남용자"로 분류됩니다.
안드로이드 마켓에서 발견되었습니다중국 기반의 제3 앱 스토어에서 주로 발견되었으며 일부 변종들은 안드로이드 마켓에도 퍼져 있었습니다.
•
•
•
•
안드로이드 기반 장치의 수12
페이스북의 모바일 제품을 배포하고 사용을 장려하는 전 세계 모바일 운영자의 수13
모바일 장치를 통해 사이트에 액세스하는 페이스북 사용자의 수
발견 직후 구글에 의해 안드로이드 마켓에서 퇴출되었 습니다
데이터 절취
프리미엄 서비스 남용자
클릭 사기행위자
악성 다운로더
스파이 도구
루터(Rooters)15
16 http://about-threats.trendmicro.com/RelatedThreats.aspx?language=us&name=Spam%2c+Scams+and+Other+Social+Media+Threats
17 http://dataprotection.ie/viewdoc.asp?DocID=1175&m=f
2011 년 예측멀웨어 활동이 더 똑똑해질 것이다.
2011년에는 설문 조사 신용 사기와 상상할 수 있는 모든 인기 검색어를 활용하는 다양한 종류의 스팸이 소셜 네트워킹 사이트를 오염시켰습니다. 발전된 소셜 엔지니어링 및 해킹 전술과 도구로 무장한 스패머와 사기꾼들은 지속적으로 전 세계 소셜 네트워커들에게 큰 피해를 입혔으며 이들은 이른바 “새로운 통화로 일컬어지는 데이터”를 쫓고 있습니다.16 이러한 상황을 고려하여, 규제 기관들은 소셜 네트워킹 사이트들로 하여금 사용자의 개인 정보를 보호할 수 있는 정책과 메커니즘을 구현하도록 요청하기 시작하였습니다.17
2011년은 소셜 미디어 스패머와 사기범들이 호재를 누린 해였으며 사이트 관리자와
규제 기관들에겐 힘든 한 해 였습니다.
소셜 미디어 스팸
•
•
•
•
•
•
18 http://blog.trendmicro.com/facebook-scam-leverages-lady-gagas-death-bypasses-https/
19 http://blog.trendmicro.com/hurricane-irene-scam-hits-facebook/20 http://blog.trendmicro.com/seasons-warnings-iphone-4s-scam-and-other-
holiday-threats/
설문조사 신용 사기
•
•
21 http://blog.trendmicro.com/free-breaking-dawn-part-2-tickets-scam-spreads-in-facebook/
22 http://blog.trendmicro.com/survey-scams-as-cross-platform-threats/
—Jamz Yaneza, 트렌드마이크로
위협 연구 책임자
소셜 미디어에서 공개적으로 이용 가능한 정보(상위 3개)
가장 일반적인 페이스북 공격 유형 3가지
소셜 미디어 보안 위험(상위 3개)
피해자들은 개인 데이터가 유출되거나 심한 경우 재정적 손실을 입게 됩니다.22
사용자 클릭을 유도하기 위해 인기 있는 가젯이나 애플리케이션 릴리스를 이용합니다.20
최대한 많은 희생자를 끌어들이고 재정적 수익을 얻기 위해 허리케인 아이린과 같은 비극적인 사건까지도 이용합니다.19
피해자의 담벼락이나 리트윗에 대한 자동 리포스팅을 통해 전파합니다.18
멀웨어 호스트나 사이트 리디렉터 역할을 하는 피싱 페이지와 가짜 사이트로 이동하는 링크를 사용합니다.
사용자들이 설문 조사 페이지로 이동하는 링크를 클릭하도록 유도하기 위해 뉴스거리가 되는 사건이나 개봉 영화 티켓과 같은 유혹적인 제안을 이용합니다.21
BBC와 같은 유명 미디어 회사의 이름을 발송자로 도용합니다.
피해자를 끌어들이기 위해 레이디 가가 사망설과 같은 다양한 인기 검색어를 사용합니다.
“페이스 북을 사용하건 혹은 사용하지 않건, 무지한 사용자들은 실수를 하게 될 것이며 어떤 소셜 네트워크를 방문하건 상관 없이 개인 정보를 노출하게 될 것입니다.”
불량 애플리케이션
전파 공격
스팸 활동라이크재킹(Likejacking)
공격
데이터 유출 본의 아닌공격 참여
멀웨어 감염
거주 도시 고등학교전자메일주소
23 http://cvedetails.com/browse-by-date.php24 http://blog.trendmicro.com/microsoft-releases-out-of-band-update-before-year-
ends/25 http://blog.trendmicro.com/2011-in-review-exploits-and-vulnerabilities/
2011 년 예측취약점과 익스플로잇의 활용 수준이 발전하게 될 것이다.
공개적으로 보고되는 취약점의 수가 2010년 4,651건에서 2011년에는 4,155건으로 줄어들긴 했지만,23 익스플로잇 공격은 복잡성과 정교함에 있어서 발전된 양상을 보였습니다. 2011년에 탐지한 익스플로잇 공격들은 표적화되어 있고 독창적이며 우수하게 통제되며 이들 중 가장 주목할 만한 공격은 CVE-2011-3402, CVE-2011-3544 및 CVE-2011-341424와 함께 어도비 제품 제로 데이 취약점을 대상으로 하였습니다.25
공식적으로 보고된 취약점의감소에도 불구하고 2011년은 여전히
취약점 악용 측면에서 악재를 면하지 못했습니다.
CVE-2011-3402
•
•
26 http://about-threats.trendmicro.com/Vulnerability.aspx?language=us&name=Vulnerability+in+TrueType+Font+Parsing+Could+Allow+Elevation+of+Privilege+(2639658)
CVE-2011-3544
•
•
27 http://about-threats.trendmicro.com/vulnerability.aspx?language=us&nam
Environment
CVE-2011-3414
•
•
•
28 http://about-threats.trendmicro.com/vulnerability.aspx?language=us&name=Vulnerabilities%20in%20.NET%20Framework%20Could%20Allow%20Elevation%20of%20Privilege%20(2638420)
취약점 수에 따른 상위 5개 업체
• Microsoft
• Apple
• Oracle
• Adobe29
29 http://cvedetails.com/top-50-vendors.php?year=2011
취약한 Adobe Reader 버전을 이용하는 기업 사용자 비율31
보안되지 않은 Java 버전으로 웹을 검색하는 사용자 비율30
30 http://www.csis.dk/en/csis/news/332131 http://www.zscaler.com/pdf/Zscaler-Labs-State-of-the-Web-2011Q2.pdf
최악의 대량 SQL 주입 공격
32 http://blog.armorize.com/2011/07/willysycom-mass-injection-ongoing.html
33 http://www.zdnet.com/blog/security/over-a-million-web-sites-affected-in-mass-sql-injection-attack/9662?tag=mantle_skin;content
“2011년의 추세가 2012년에도 지속될 것이며 공격은 더 복잡해질 것입니다.”34
—Pawan Kinger, 트렌드마이크로
취약점 연구 책임자
34 http://blog.trendmicro.com/2011-in-review-exploits-and-vulnerabilities/
.
d-in-
보고된 취약점, 1999–2011
37%
56%
8M1M ASP.NET 사이트를 표적으로 한 공격이
진행되는 시기에 감염된 페이지 수33
willysy.com에 대한 공격이 진행되는 시기에 감염된 페이지 수32
DUQU 멀웨어에 의해 악용되었습니다26
Microsoft가 2011년 이전에 발표한 대역외 패치가 만료된 취약점28
ASP.NET 사이트의 기존 계정을 통해 임의의 명령이 실행될 수 있습니다.
잠재 공격자가 공격 대상에게 악의적으로 만들어진 웹 요청을 전송할 경우 권한을 상승시킬 수 있는 취약점
원격 Java Web Start 애플리케이션과 Java 애플릿(applets)이 스크립팅과 관련된 알려지지 않은 매개체를 통해 시스템의 기밀성, 무결성 및 가용성에영향을 미칠 수 있습니다.27
Oracle Java SE Java 개발 키트와 JRE의 Java 런타임 환경(JRE) 구성 요소의 명시되지 않은 취약점
Microsoft Windows 구성 요소의 취약점으로 공격자들이 취약한 시스템에서 코드를 실행할 수 있도록 허용합니다
35 http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/from_russia_to_hollywood-turning_the_tables_on_a_spyeye_cybercrime_ring.pdf
36 http://us.trendmicro.com/imperia/md/content/us/trendwatch/
pdf37 http://us.trendmicro.com/imperia/md/content/us/trendwatch/
38 http://us.trendmicro.com/imperia/md/content/us/pdf/trendwatch/spam_trends_in_today_s_business_world.pdf
2011 년 예측사이버 범죄 세계에서 기존 멀웨어의 재감염과 통합이 이루어질 것이다.
멀웨어, 스팸 및 악성 링크는 여전히 사용자들에게 고통을 주고 다양한 방식으로 혼란을 야기시켰습니다. SpyEye,35 KOOBFACE,36 FAKEAV37 및 기타 변종들과 같은 멀웨어는 더 많은 악성 프로그램을 전파하고 탐지를 피하기 위해 한층 더 강화되었습니다. 스팸 역시 멀티 플랫폼 위협으로 강화되어 사용자의 시스템뿐 아니라 모바일 장치까지 침범하고 있습니다.38 악성 링크는 구별해 내기가 더 어려워졌으며 전자메일 스팸과 인스턴트 메시지를 통해 위험을 야기시키던 전통적인 방식에서 더 나아가 다양한 소셜 네트워킹 사이트의 다이렉트 메시지나 포트와 같은 더 대중적인 방식을 통해 위험을 야기시키고 있습니다. 별개의 감염 도구로 활용되거나 혹은 결합되어 더 강력한 다면적 위협을 구성하는 방식으로 멀웨어, 스팸 및 악성 링크는 위협 환경 속에서 명맥을 유지하고 있으며 이로써 사이버 범죄자들을 훔친 데이터를 판매하여 수익을 올릴 수 있습니다.
멀웨어, 스팸 및 악성 링크의 활동이 중단되지 않으면서 2011년에도 이러한
기존 매개체를 활용한 공격이 성행하였습니다.
사이버 범죄 세계에서의 신용 카드 번호의 가치
미화 1-3달러
아시아, 중동 및 기타 국가의 신용카드 번호 1건 당 가격
중앙 아메리카, 호주 및 유럽 기반의 신용카드 번호 1건 당 가격
미국 기반의 신용카드 번호 1건 당 가격
미화 3–8달러
미화 6–10 달러
1 PayPal 계정(예, 신용카드 또는 은행 계좌와 연계된
계정)은 범죄 세계에서 미화 1-6달러에 거래되고 있습니다.39
39 http://blog.trendmicro.com/tricks-and-threats/
“1초마다 3.5건의 새로운 위협이 생성됩니다. 점차 더 많은 기업과 개인 사용자들이 클라우드로 이전하게 되면서 데이터의 위험과 재정적 손실이 훨씬 높아지고 있습니다.”40
—Trend Micro
40 http://blog.trendmicro.com/threat-morphosis/
PayPal와 eBay는 피싱에 가장 많이 사용되는 사이트입니다.41
41 http://blog.trendmicro.com/online-shopping-safety-tips-infographic/
범례: 노란색 - DOWNAD; 파란색 – KEYGEN; 빨간색 – SALITY* 트렌드마이크로가 전 세계 고객 보호를 위해 탐지한 상위 3개의 멀웨어
KOOBFACE 봇넷은 단 1 시간 내에
~7,900건의 트윗, 2,200건의
AOL Lifestream 게시글, 1,700건의
FriendFeed 게시글을 생성합니다.
스팸 첨부파일의
4건 중 1건이 악성 파일입니다.
* 트렌드마이크로가 고객 보호를 위해 탐지한 상위 10개 스팸 국가
* 트렌드마이크로가 고객 보호를 위해 탐지한 영어권 및 비 영어권 스팸의 비율
* 2011년 스팸 활동을 위해 가장 자주 사용된 소셜 엔지니어링 검색어
* 트렌드마이크로가 고객의 액세스를 차단한 상위 10개 악성 IP 도메인
* 트렌드마이크로가 고객의 액세스를 차단한 상위 10개 악성 URL
42 http://blog.trendmicro.com/lulzsec-disbands-now-what/
2011년에는 정치적 쟁점을 가진 새로운 위협자들이 출현하였습니다.
올해에도 Anonymous, LulzSec과 같은 핵티비스트 그룹은 Operation AntiSec이라는 기치 하에 인터넷 사용자들에게 그들의 악의적 넷을 지속적으로 알려 왔습니다. 다양한 정치적 문제에 불만을 가진 전 세계 핵티비스트 그룹의 회원들은 엄선한 대상들에 대한 대대적 공격을 실시하였습니다. 2011년, 분산형 서비스 거부 공격(DDos) 공격 실시에 주력하던 핵티비스트들은 이러한 공격 대신 그들의 공격 대상을 추적하여 데이터를 훔쳐냈습니다. LulzSec이 해산되었음에도 불구하고 이러한 공격은 계속 이어졌는데 이는 핵티비스트 그룹의 분권화된 특성 때문이기도 합니다.42
STRATFOR 핵티비스트 공격
•
•
•
•
43 https://www.facebook.com/stratfor/posts/1015045641850342944 http://pastebin.com/8yrwyNkt45 https://twitter.com/#!/anonymouSabu/status/151141501492137986
STRATFOR 핵티비스트 공격 동안 유출된 개인 식별 정보
전화 번호
암호에 사용된 평균 문자
미국 거주 피해자의 전자메일 주소47
전자메일 주소
해시된 암호, ~11.8% 가량이 쉽게 해독될 수 있었음
신용카드 번호, 이 중 유효기간이 만료되지 않은 카드의
수 36,000개
47 Releases-New-Analysis-of-StratforAnonymous-Breach3b-Warns-Victims-to-Beware-of-Phishing-and-Change-Passwords.aspx
“LulzSec 배후의 인물들이 활동을 중단하였다고 생각하지 않습니다. 이들은 법 집행기관의 주목을 받는 다는 이유로 해체 하였으며 다른 해커들은 자신의 행위를 인정하지 않고 있습니다.”46
68,063859,31150,569
860,160
7.2
50,618
사용자들이 Stratfor에 대한 핵티비스트의 공격으로 피해를 입었습니다48
48 http://news.hitb.org/content/lulzsecs-topiary-had-750000-passwords-his-posession
750,000
LulzSec의 리더로 알려진 Sabu가 공격에 가담한 것이라는 주장이 제기되었습니다.45
공격의 배후로 여겨졌던 Anonymous는 그들의 개입을 부인하였습니다.44
“개인 고객”으로 분류된 조직 구성원들의 목록도 외부에 공개되었습니다.43
2011년 12월 24일, 신용카드 데이터를 포함한 조직 구성원의 일부 개인 식별 정보가 외부에 공개되었습니다.
—Kevin Stevens, 트렌드마이크로
선임 위협 연구원
46 http://blog.trendmicro.com/lulzsec-disbands-now-what/
49 http://blog.trendmicro.com/esthost-taken-down-biggest-cybercriminal-takedown-in-history/
힘든 한 해였음에도 불구하고 2011년은 보안 업계과 사이버 범죄 수사팀 모두에게 있어서 성공적인 해였습니다. 2011년이 끝나기 전에 우리는 여러 사이버 범죄 조직들이 해체되는 것을 볼 수 있었습니다. 트렌드마이크로는 일명 “역사상 최대 규모의 사이버 범죄 근절”로 일컬어지는 범죄와의 전쟁을 위해 전 세계의 업계 파트너 및 법 집행 기관들과 협력하여 싸웠습니다.49
2011년, 트렌드마이크로는 업계 파트너 및 법 집행 기관들과 함께
사이버 범죄와의 전쟁에서 큰 성과를 달성하였습니다.
RUSTOCK 스팸봇(SPAMBOT) 근절
•
•
•
•
50
“2011년에는 법 집행 기관과 보안 업계 간의 협력이 중요한 영향력을 발휘할 수 있음이 입증되었습니다. 주요 사이버 범죄에 있어서 용의자의 체포 가능성은 더 이상 문제가 되지 않으며 이들을 언제 체포하느냐가 관건입니다.”
—Feike Hacquebord, 트렌드마이크로
선임 위협 연구원
KELIHOS 스팸봇 근절
•
•
•
COREFLOOD 근절
•
•
•
•
51
cz.cc 도메인 차단으로 수십 만 개에 달하는 Kelihos의 서브도메인이 오프라인되었고 다른 모든 2단계 도메인 (SLD)들도 남용 사례에 대해 책임을 져야 한다는 본보기 가 되었습니다.
cz.cc 도메인 소유자는 소송장에 명시적으로 명명되었 습니다.
마이크로소프트는 소유자에게 사전 공지 없이 2011년 9월 Kelihos의 모든 명령 및 통제(C&C) 서버의 IP 주소 를 차단할 수 있도록 연방 법원 판사를 설득하였습니다.
마이크로소프트의 변호사는 Rustock의 서버의 압수 권한을 가지고 있었던 시애틀 연방 법원을 설득시키기 위해 새로운 법적 논거를 사용하였고 이는 향후 유사 사례에 적용될 수 있는 중요한 판례를 만들었습니다.
마이크로소프트는 Rustock 갱 단원의 신원, 체포 및 유죄 판결에 도움이 되는 정보를 제공하는 사람에게
미화 250,000달러의 보상금을 제공한다는 광고를 러시아 신문에 게재하였습니다.
트렌드랩 데이터에 의하면 3월 16일 스팸봇이 근절된
시기에 Rustock 스팸이 95% 이상 줄어든 것으로 나타났습니다.50
2011년 3월 16일 마이크로소프트에 의해 Rustock 스팸봇이 근절되었습니다.
미국 정부가 봇넷의 C&C 인프라를 장악한 후 봇들에게 명령을 보내어 봇마스터와 접촉할 수 없도록 한 최초의 사례로 기록되었습니다.
FBI는 미국 내 봇들에 중단 명령을 전송하였고 이로써 멀웨어가 시스템에서 빠져나가게 되었습니다.
FBI는 CoreFlood의 C&C 서버를 압수한 후 2011년 6월 중순까지 운영하였습니다.
이 사건은 미국 사법부와 FBI의 수사로 진행되었습 니다.51
OPERATION GHOST CLICK
•
•
•
•
CHRONOPAY 근절
•
•
OPERATION TRIDENT BREACH
•
•
•
•
52 http://www.fbi.gov/news/pressrel/press-releases/international-cooperation-disrupts-multi-country-cyber-theft-ring
수백만 달러가 들어있는 은행 계좌는 동결되었고 다른 자산들도 압수되었습니다.
Rove Digital CEO인 Vladimir Tsastsin과 대변인인
Konstantin Poltev를 포함한 6명의 용의자들이 에스토니아에서 체포되었습니다.
Chronopay의 또 다른 대주주인 Rove Digital CEO, Vladimir Tsastsin은 Operation Ghost Click에 연루되어 체포되었습니다.
이번 Operation Trident Breach 사건에는 FBI, 뉴욕 자금 운반책 특별 조사 위원회, Newark 사이버 범죄 전담반, Omaha 사이버 범죄 전담반, 네덜란드 경찰국, SBU 및 영국 메트로폴리탄 경찰이 공조하였습니다.52
중소기업, 지방 자치 당국, 교회 및 개인을 대상으로 하며 이들의 시스템에 ZeuS 멀웨어를 감염시키는 갱단이
미화 2억 2천만 달러의 절도를 시도하였으며
피해자의 은행 계좌에서 실제로 미화 7천만 달러가 빠져나갔습니다.
50여명의 SBU 직원들과 정예 전술 부대를 통해 8회에 걸쳐 수색이 이루어졌습니다.
우크라이나 보안 당국은 2010년 9월 30일 Trident Breach 갱단의 핵심 단원들을 체포했습니다.
트렌드마이크로와 업계 파트너들은 FBI 및 에스토니아
경찰과 협력하여 2011년 11월 8일 4백만 개 이상의 봇을 근절시켰습니다.
FBI는 뉴욕과 시카고에 있는 두 곳의 데이터 센터를
급습하였고 100대 이상의 서버를 손상시킨 Rove Digital의 C&C 인프라를 제거하였습니다.
신용 카드 어음 교환소인 Chronopay의 공동 창업자이자 CEO인 Pavel Vrublevsky는 2011년 6월 경쟁사에 사이버 공격을 시도한 혐의로 러시아에서 체포되었습니다.
이번 해에는 2012년에 대한 12가지 예측을 구상하였으며 이는 다음과 같은 4가지 항목으로 크게 구분됩니다.
모바일 동향 위협 동향 데이터 유출
및 범법 행위
Raimund Genes, 트렌드마이크로 CTO
53 http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/12_security_predictions_for_2012.pdf
주목할만한 IT 동향
이번 예측에서 우리가 확인한 내용은 공격자가 점차 정교해지고 있으며 PC 중심의 데스크톱 공격에서 다른 부문으로 이동하고 있다는 것입니다. 새로운 운영 체제가 세상을 더 안전하게 만들어 줄 것이라는 우리의 바램은 이루어지지 않았습니다. 이 말은 곧 고객들이 소비자화(consumerization), 가상화 및 클라우드를 수용함에 따라 2012년에는 효과적인 보안 및 개인 정보 보호를 위해 좀 더 데이터 중심의 모델로 전향해야 한다는 것을 의미합니다. 트렌드마이크로 역시 2012년에도 고객들이 이러한 위협 동향에 잘 대처할 수 있도록 지원하기 위해 주요 위협 부문에 대한 노력을 계속해야 할 것입니다.53
©2012 by Trend Micro, Incorporated. All rights reserved. Trend Micro and the Trend Micro t-ball logo are trademarks or registered trademarks of Trend Micro, Incorporated. All other product or company names may be trademarks or registered trademarks of their owners.
TRENDLABSSM트렌드마이크로™
TrendLabs(트렌드랩)은 필리핀, 미국에 본부를 두고 있으며 일본, 대만, 독일, 아일랜드, 중국, 프랑스, 영국, 브라질 등 10개국 12군데의 각국 거점과 연계하여 솔루션을 제공하고 있습니다. 세계에서 선발된 1,000명 이상의 스탭들이 24시간 365일 체제로 인터넷 위협동향을 상시 감시•분석하고 있습니다. 또한 전세계에서 수집한 위협정보를 각종 레퓨테이션 데이터베이스 및 악성코드, 스팸메일 등의 각종 패턴파일 등 글로벌 공통의 솔루션에 수시로 반영하고 있습니다. 고객이 만족할 수 있는 지원 체제를 정비하여 보다 많은 위협에 신속하게 대응하고 있습니다.
트렌드마이크로는 세계적 클라우드 보안 리더로서 일본 도쿄에 본사를 두고 있는 다국적 기업으로서 전세계 46개국에 5,000명이 넘는 직원을 두고 있습니다. 기업과 개인 사용자를 위한 디지털 정보 교환을 보안하는 분야에서 시작한 전세계 서버 보안 분야의 시장점유율 1위라는 업계 위상을 통해 클라우드 보안의 선두적인 입지를 다지고 있습니다. 현재 도쿄증권거래소에 상장되어있으며 365일 24시간 전세계 위협 관리 전문가들이 다양한 글로벌 위협 보안 서비스를 제공하고 있습니다. 트렌드마이크로에 대한 더 자세한 내용은 홈페이지 www.trendmicro.co.kr 을 참고하시기 바랍니다.