2,073 2015-07-14
개요
PUP은 Potentially Unwanted Program의 약자로 S/W 설치 시 약관의 동의 없이 광고를 노출하거나 브라우저의 시작 페이지를 특정 사이트로 변경하는 역할의 악성코드입니다. 이러한 단순 PUP 악성코드가 변조되어 PC에 저장된 공인인증서를 외부로 전송하는 악성코드가 발견되었다고 합니다. |
PUP의 변경점 및 공인인증서 전송 방식
기존 PUP 악성코드는 S/W 설치 시 광고나 시작페이지 변경을 위한 별도의 프로세스를 몰래 생성하여 사용자 PC의 인터넷 브라우저나 레지스트리 변조를 통하여 광고를 노출했습니다. |
변경된 PUP은 기존 생성하던 광고 조작 프로세스와 공인인증서 탈취를 위한 프로세스 두 가지 전부 생성하게 됩니다.
해당 작업 완료 후 이 프로세스는 공인인증서를 검색(NPKI 폴더) 하여 폴더 그대로 복사 후 인증서를 압축합니다. 해당 압축파일은 유동적이고 불특정한 서버로 전송하게 됩니다. 악성코드는 공인인증서를 전송할 뿐만 아니라 금융권 유사 사이트를 띄워 공인인증서의 비밀번호를 입력하게 유도하여 공인인증서의 비밀번호까지 유출시킵니다. |
예방 방법
· S/W 다운로드는 해당 저작권사 혹은 기업 내의 허가받은 경로로 접속하여 다운로드하고 설치하는 것이 안전합니다. · 공인인증서는 USB에 저장하여 필요시에만 USB 연결하여 사용한 후 연결을 해제해주는 것이 안전합니다. · 금융권 사이트 접속시 유사 페이지 여부를 꼭 확인하여 접속합니다. · 화이트 리스트 기반의 프로세스 차단 솔루션을 도입하여 악성코드를 사전에 예방합니다. |