본문 바로가기

도메인

벌새::Analysis 2021. 7. 31. 21:34 뽐뿌 유사 도메인을 이용한 Magniber 랜섬웨어 감염 주의 (2021.7.31) 최근 인터넷 정보를 확인하던 중 뽐뿌(PPomppu) 커뮤니티 게시판에 Magniber 랜섬웨어(Ransomware) 감염 피해를 본 회원의 글이 보여서 자세하게 관련 내용에 대한 재현을 확인해 보았습니다. 해당 내용은 국내에서 Magniber 랜섬웨어 감염으로 피해를 보는 전형적인 방법인데 단지 뽐뿌 접속 중에 실수로 URL 주소를 잘못 입력한 부분이 특징이며, 이 글을 작성하게 된 부분은 사실 해당 게시글의 댓글에 내용 때문입니다. 댓글 내용 중에 단순히 사이트를 잘못 접속하는 행위만으로는 악성코드 감염이 이루어질 수 없다는 내용으로 이 부분에 대해 다시 한 번 취약점(Exploit)에 의한 자동 감염에 대한 경각심이 필요하기에 작성하게 되었습니다. ▷ 오픈캡쳐(OpenCapture) 프로그램 설치 ..
벌새::Analysis 2020. 9. 2. 20:23 네이버 피싱 목적으로 생성되었던 도메인을 통한 Magniber 랜섬웨어 유포 (2020.9.2) 저번에 블로그를 통해 정보를 공개하였던 오픈캡쳐(OpenCapture) 사이트 접속 시 취약점(Exploit)을 통해 Magniber 랜섬웨어(Ransomware)에 감염될 수 있는 위험성에 대해 살펴보았습니다. ▷ 오픈캡쳐(OpenCapture) 프로그램 설치 시 Magniber 랜섬웨어 감염 주의 (2020.7.3) 이번에는 과거 네이버(Naver) 피싱(Phishing) 목적으로 등록되었던 다양한 네이버 유사 도메인 주소로 등록된 사이트에 실수로 접속할 경우 Magniber 랜섬웨어 감염에 노출될 수 있는 부분에 대해 살펴보도록 하겠습니다. ▷ 포털·은행 주소 오타냈다가...악성코드의 덫에 빠지다 (2016.9.2) 이들 유사 도메인 주소는 2016년경에 이미 언론 보도를 통해서도 공개되어 있으며 ..
벌새::Analysis 2020. 5. 4. 14:03 "storage.googleapis.com" 도메인을 이용하는 티스토리 계정 수집 메일 주의 (2020.5.4) 최근 국내 인터넷 사이트 계정을 노리는 다양한 피싱(Phishing) 공격이 발견되고 있는데, 이번에는 티스토리(Tistory) 계정을 대상으로 정보 수집을 하는 사례가 확인되어 살펴보도록 하겠습니다. 2020년 5월 4일 오전에 "귀하의 이메일이 비활성화 된 것으로보고되었습니다" 제목으로 수신된 피싱 메일에서는 티스토리(Tistory) 관리자가 발송한 것처럼 구성되어 있으며, 한글로 작성되어 있지만 맞춤법에서 상당히 부자연스러운 것을 느낄 수 있습니다. 소중한 hummingbird, 위반으로 인해 귀하의 이메일이 정지 된 것으로보고되었습니다 tistory.com 정책 법. 귀하의 이메일 계정은 며칠 내에 삭제됩니다. 업데이트하려면 아래를 확인하십시오 hummingbird@tistory.com 수신 메시..
벌새::Analysis 2020. 3. 1. 14:45 경찰청을 비롯한 정부 기관 사칭 도메인(g-o.kr) 주의 (2020.3.1) 최근 인터넷 커뮤니티에 게시된 글에 포함된 댓글을 확인하던 중 정부 기관 도메인을 사칭한 주소(URL)가 확인되며 해당 링크를 클릭할 경우 미국에서 운영되는 중국어로 작성된 에포크 타임스(Epoch Times) 사이트로 연결시키는 동작이 확인되고 있습니다. 특히 해당 도메인을 한국 정부 기관 도메인을 다수 악용하고 있다는 점에서 악의적인 목적으로 활용될 것으로 추정됩니다. 정치/시사적 내용을 가지고 있는 인터넷 커뮤니티글에 경찰청 도메인(police.go.kr)과 매우 유사하게 등록된 "police.g-o.kr" 도메인으로 시작하는 링크를 통해 클릭을 유도하고 있습니다. 해당 링크를 클릭할 경우 g-o.kr 주소를 경유하여 에포크 타임스(Epoch Times) 중국어 메인 페이지로 연결이 이루어지도록 설..
벌새::Analysis 2018. 4. 21. 16:27 구글 애드센스 광고 클릭 유도 목적으로 삽입된 JavsScript 코드를 이용한 납치 사례 (2018.4.21) 최근 국내 모 회사 홈 페이지에 악성 스크립트가 삽입되어 다른 사이트로 납치되어 구글 애드센스(Google AdSense) 광고 배너 클릭을 유도하는 사례가 확인되어 살펴보도록 하겠습니다. 문제의 사이트 메인 페이지 소스를 확인해보면 String.fromCharCode 함수를 사용하는 JavaScript가 포함되어 있는 것을 확인할 수 있으며, 해당 코드를 복호화해보면 .tk 도메인을 사용하는 웹 사이트로 연결하도록 구성되어 있음을 알 수 있습니다. 연결된 웹 페이지에서는 qwerty33= 쿠키값 체크를 통해 반복 접속을 차단하고 있으며 추가적인 페이지(r.php)로 연결하도록 설정되어 있습니다. 이후 연결된 페이지에서는 새로운 도메인을 가진 특정 .tk 페이지로 연결을 시도하도록 구성되어 있습니다. 다..
벌새::Analysis 2015. 12. 21. 20:11 유명 동영상 재생 플레이어 공식 블로그를 이용한 악성코드 유포 주의 (2015.12.21) 최근 국내 유명 동영상 재생 플레이어 공식 블로그(※ 정확한 사이트 이름을 공개하지 못하는 점을 양해해 주시기 바랍니다.)에 접속할 경우 Adobe Flash Player 취약점을 이용한 악성코드 유포를 목적으로 한 악성 스크립트가 지속적으로 삽입되는 공격이 확인되고 있습니다. 해당 공격은 개인적으로 2015년 12월 19일(토요일)과 2015년 12월 21일(월요일)에 확인되었으며, 최초 확인은 바이러스 제로 시즌 2 보안 카페의 철이님이 Kaspersky 보안 제품이 해당 블로그에 접속하는 과정에서 HEUR:Exploit.SWF.Agent.gen 진단이 이루어지고 있다는 정보를 제공하면서 인지하게 되었습니다. 하지만 기술적 문제로 인하여 당시에는 바이러스 제로 시즌 2 보안 카페의 골프라이온님이 추가..
벌새::Computer & IT 2015. 12. 13. 12:29 구글 세이프서치(Google SafeSearch) 강제 적용 소식 (2015.12.12) 최근 대한민국에서 구글(Google) 검색을 이용할 경우 강제로 세이프서치(SafeSearch) 필터링 적용을 통해 성인용 콘텐츠를 비롯한 유해한 검색 결과를 표시하지 않도록 강제 적용했다는 소식이 있습니다. 구글, 한국 사용자 '세이프서치' 강제 적용 (2015.12.11) 예전부터 구글(Google) 검색에서는 검색 설정을 통해 사용자가 세이프서치(SafeSearch) 필터링 사용 여부를 결정할 수 있도록 제공하고 있었지만, 이번 강제 적용을 통해 임의로 세이프서치(SafeSearch) 사용을 중지할 수 없도록 하고 있습니다. 단지 이번 강제 적용은 특정 국가에 대한 테스트(Test) 단계이며 확정적으로 정책이 결정된 것은 아닌 것처럼 언급하고 있지만 사실상 구글(Google) 내부적인 결정보다는 한..
벌새::Analysis 2015. 2. 1. 23:26 정부 기관(go.kr) 웹 사이트를 통한 파밍(Pharming) 악성코드 유포 주의 (2015.2.1) 주말을 이용한 악성코드 유포 행위 중 go.kr 도메인을 사용하는 정부 기관 웹 사이트를 통한 유포가 확인되었으며, 확인된 정부 기관 웹 사이트는 기상청(kma.go.kr), 한국장학재단(kosaf.go.kr)입니다. 이를 통해 2015년 1월 31일경 보안 패치가 제대로 이루어지지 않은 PC 환경으로 해당 웹 사이트를 방문할 경우 취약점(Exploit)을 이용하여 자동 감염이 이루어졌을 것으로 추정됩니다. 실제 유포와 관련된 증거는 구글(Google) 검색을 통해 관련 웹 사이트 방문시 "다음 사이트에 멀웨어가 있습니다." 경고창을 통한 차단이 이루어지고 있는 것으로 알 수 있습니다. 해당 정부 기관(go.kr) 유포시 사용된 호스팅 도메인 주소를 기반으로 추정해보면 2015년 1월 31일 오후 5시경..

티스토리툴바