읽기 시간 : 4 분
Comodo Threat Research Labs의 보안 엔지니어 및 IT 전문가는 크고 작은 IT 인프라에 대한 파괴와 혼란을 유발하려는 수천 개의 맬웨어 제품군을 지속적으로 분석하고 있으며 Comodo 고객이 이러한 맬웨어 제품군으로부터 안전하게 보호되도록합니다.
블로그 (comblog.comodo.com)에서 진행중인 일련의 게시물에서 코모도의 보안 전문가는 특정 멀웨어 군을 조사하여 코모도의 고급 소프트웨어와 비교합니다. 엔드 포인트 보호 봉쇄 기술과 코모도의 기술이 왜 모든 맬웨어를 물리칩니다. Comodo 공학 Egemen Tas 수석 부사장 및 위협 연구 책임자 Igor Demihovskiy는 Paul Mounkes 선임 제품 마케팅 관리자에게이 판에 대한 관점을 제시했습니다.
살펴보기
2007 년에 처음보고 된 Zeus는 일반적으로 온라인 뱅킹 응용 프로그램 사용자를 대상으로하는 브라우저 내 악성 코드입니다. Zeus의 제작자이자 운영자는 미국에서만 감염된 3.6 만 대의 봇넷을 개발했으며 미국, 영국 및 우크라이나에 대규모의 해커 및 돈 노새 네트워크를 구축했습니다. 그들은 FBI가 70 년에 조직을 해체하기 전에 최소한 2010 천만 달러를 지불했습니다.
제우스는 여전히 위협입니까?
제우스가 죽었다고 생각하면 다시 생각하십시오. 성공적인 맬웨어는 결코 죽지 않습니다. 그것은 단지 변화하고, 더 정교 해지고 그리고 / 또는 다른 방식으로 사용됩니다. Zeus 자체는 여러 가지 성공적인 변종을 만들어 냈으며 Carbanak과 같은 APT (Advanced Persistent Threat) 공격의 일부로 사용 된 것으로 생각됩니다. Zeus의 구성 요소를 사용하여 Gameover를 만들 때 더 높은 명성을 얻었습니다. 제우스 봇넷 무서운 Cryptolocker 랜섬웨어를 배포했습니다.
은행과 보안 기술이 MitB 공격을 막는 데 도움이되었지만 사이버 범죄의 세계는 움직임과 반격으로 가득 찬 복잡한 체스 게임입니다. Zeus는 오래되고 피곤한 뉴스입니까? Zeus로부터 안전합니까? 당신은 판사입니다. 다음은 작년에 나온 두 가지 헤드 라인입니다.
2015 년 1 월 29 일: "새로운 Zeus 변형이 정교한 제어판 사용"
2015 년 8 월 24 일: "스핑크스 : 암시장에서 판매되는 새로운 Zeus 변형"
제우스는 무엇을합니까?
Zeus는 피싱 및 드라이브 바이 다운로드와 같은 일반적인 사회 공학 공격을 사용하여 시스템에 추가됩니다. 일단 설치되면 키 로깅과 폼 그래 빙 / 후킹 기술을 사용하여 사용자의 로그인 코드와 개인 데이터를 훔칩니다. 그러나 그것이 특별한 이유는 아닙니다. 결국, 바이러스는 Zeus가 태어나 기 오래 전부터 그렇게 해왔습니다.
Zeus의 천재성은 1) Document Object Model Module Interface를 납치하여 브라우저의 HTTP 트래픽에 커스텀 코드를 주입하여 해커가 사용자 세션을 충분히 제어하여 은행이 사용자의 행동을 가로 채고 변경할 수 있도록합니다. 대신 해커의 지시. 2) 악의적 인 활동을 숨기려면 화면에 표시되는 내용을 조작하십시오. 이것은 해커가 돈을 훔치는 동안 사용자는 여전히 일반적인 도난 계좌 잔고를보고 거래 기록은 숨겨져 있음을 의미합니다. 이러한 유형의 속임수는 사이버 범죄자들이 계획하고 운영 할 수있는 비교적 큰 기회 창을 만듭니다.
제우스는 교활하다
Trusteer에 따르면완전히 최신의 전통 바이러스 백신 소프트웨어 Zeus에 대한 테스트 성공률은 23 %에 불과합니다. 이 특정 트로이 목마와 관련하여 바이러스 백신 소프트웨어 성능은 일반적인 적중률보다 훨씬 나쁩니다. 미스 미스 미스 히트와 비슷합니다. 그것은 AV를 갖는 것이 중요하지만 거의 충분하지 않다는 것을 의미합니다.
일단 감지되면 어려움없이 Zeus를 제거 할 수 있습니다. 그러나 대부분의 경우 하루 감염으로 은행 계좌를 비우기에 충분하기 때문에 이미 사용자에게 피해를 입혔을 것입니다. 그렇기 때문에 Zeus가 시스템에서 발판을 확보하는 것을 막아야합니다.
코모도는 제우스를 어떻게 물 리치나요?
Comodo One 고객과 함께 고급 종단점 보호Zeus 실행 파일은 맬웨어로 즉시 인식되어 검역소에 보관되거나 알 수없는 파일로 지정되어 안전한 가상 격리로 실행됩니다. 설치 관리자는 폴더와 두 개의 파일 (구성 파일과 도난당한 데이터를 저장하기위한 파일)을 만들려고 시도합니다. Comodo One Client 컨테이너는 시스템의 하드 드라이브에 대한 액세스를 거부하여 보호 된 시스템과 완전히 격리 된 가상 드라이브로 작업을 리디렉션합니다.
실행 파일은 다음과 같은 여러 서비스에 자신을 주입하려고 시도합니다. Winlogon.exe가, Explorer.exe에서 과 svchost.exe를. 이러한 서비스는 가상화되므로 보호 된 시스템에 아무런 해가 없습니다.
앞에서 언급했듯이 Zeus는 사용자가 전송하는 데이터와 화면에 표시되는 데이터를 변경하기 위해 브라우저 프로세스에 사용자 지정 코드를 주입하기 위해 문서 개체 모듈 인터페이스에 액세스하려고합니다. 실행 파일이 격리 상태에서 실행되면 모든 사용자 및 시스템 프로세스가 볼 수 없습니다. 공격을 수행하는 데 필요한 것을 찾을 수 없으며 실패합니다.
그러나 이러한 시도를하기에 충분히 오랫동안 실행 파일이 격리 상태에서 실행될 수는 없습니다. 파일은 Comodo One 다층 접근 방식을 사용하여 샌드 박스 처리 및 분석됩니다. 로컬 및 클라우드 기반 전문 위협 분석 보호 (STAP) 엔진은 지능형 해석과 결합하여 알려진 불량에 대한 평결을 반환합니다. 실행 파일이 관리자 정책에 따라 종료되고 처리되었으며 컨테이너는 아무 일도없는 것처럼 삭제됩니다.
코모도 만이 제우스는 진정으로“죽었다”.
회사의 IT 환경이 피싱, 맬웨어, 스파이웨어 또는 사이버 공격의 공격을 받고 있다고 생각되면 보안 컨설턴트에게 문의하십시오. 코모도의 위협 연구소: https://enterprise.comodo.com/contact-us.php
이메일 보안 테스트 인스턴트 보안 점수를 무료로 받으십시오 출처 : https://blog.comodo.com/containment/comodo-containment-vs-zeus-mitb/
