안녕하세요. 반디소프트입니다.

먼저 이런 사건이 발생하여 사용자 분들께 불편을 드려서 죄송하단 말씀 드립니다


2016 3 26일 토요일 14:00부터 16:00까지 약 두 시간 동안, 반디소프트 홈페이지(www.bandisoft.co.kr)가 외부로부터 공격을 받아, 이 기간 동안 반디소프트 홈페이지를 통해서 꿀뷰를 다운로드 받으신 약 200여분들에게 꿀뷰 설치 파일 대신 악성코드가 다운로드 되는 문제가 발생하였습니다. (애플리케이션 자체 업데이트는 문제가 없었습니다.)

 


검사 및 치료 방법

먼저, 아래 링크의 안티 바이러스 프로그램 중 하나를 다운로드 및 설치하여 시스템을 검사해 주시기 바랍니다.

 

1) 알약 다운로드 http://www.alyac.com/

2) V3 다운로드 http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=8&from=v3lite

 

2016 3 27일 현재 해당 악성 코드는 알약, V3, Comodo, 카스퍼스키등의 안티바이러스 프로그램으로 검출 및 치료가 가능합니다.

시스템이 악성코드에 감염된 경우, 아래와 같은 화면이 표시됩니다.

 

  


 

상세 사건 개요

해커는 반디소프트 홈페이지가 있는 IDC내에 반디소프트 홈페이지와 같은 IP 대역을 사용하는 서버를 해킹 한 후, ARP 스푸핑이라는 방법을 사용하여, 사용자가 홈페이지 접근 시 반디소프트 홈페이지의 내용을 외부에서 변조하는 방법을 사용하여, 해당 기간 동안 홈페이지를 통해서 꿀뷰를 다운로드 받으려고 하는 사용자에게 꿀뷰 대신, 외부 사이트에 올려 놓은 악성 코드를 대신 다운로드 받도록 하였습니다.

웹로그를 확인한 결과 해당 시간동안 악성코드를 다운로드 받은 사용자는 중복IP를 제거하면, 약 200명 정도로 추산되며, 사건이 발생한 2016년 3월 26일 당일에는 Microsoft Defender, Avast 등에서는 악성코드로 탐지가 되었지만, 국내에서 많이 사용하는 V3, 알약등에서는 악성코드로 검출이 되지 않았습니다.

해당 악성 코드를 실행할 경우, 사용자에게는 원래 꿀뷰 설치 파일을 실행하도록 하고, 악성 코드는 시스템의 자동 실행에 등록되도록 하여, 외부의 명령을 실행하거나, 시스템의 정보를 탈취합니다. 

이에 반디소프트는 ARP 스푸핑을 차단하기 위하여 게이트웨이의 MAC 어드레스를 고정시켜 놓았으며, 향후 추가적인 문제 발생을 막기 위하여, 홈페이지의 모든 http 프로토콜을 차단하고, https 로만 접근이 가능하도록 홈페이지를 변경하였으며, 반디소프트 메인 홈페지의 IDC 이전 작업을 진행하였습니다.

 


사건 일지

2016 3 26()

14:00 – ARP 스푸핑 공격 시작 추정 시간

14:53 – 담당자의 ARP 스푸핑 공격 인지

16:00 – ARP 스푸핑 공격 중지

16:39 – 반디소프트 홈페이지의 모든 http 프로토콜을 https 프로토콜로 전환

18:40 - 안랩 및 이스트소프트에 악성코드 신고

19:21 – 한국 인터넷 진흥원(kisa)에 사건 접수

21:22 – 한국 인터넷 진흥원(kisa)에 로그 파일 제공


2016년 3월 27일(일)

09:39 - 알약에서 해당 악성코드를 탐지하는것 확인됨

11:40 - 블로그 안내글 게시 및 반디소프트 홈페이지 상단 공지 안내 시작

11:50 - 안랩 V3 Lite 에서 해당 악성코드를 탐지하는것 확인됨

15:22 - 꿀뷰와 반디집 설치시 프로세스 목록에 cacls.exe 가 있을 경우 안내페이지를 띄우는 기능 추가 후 업데이트


2016년 3월 28일(월)

17:00 - 반디소프트 홈페이지 IDC 이전

 


질문과 답변


Q) 악성 코드를 검사했는데 검출되지 않았습니다. 혹시 악성 코드가 설치되었는지 쉽게 확인할 방법이 있나요.

A) 홈페지이에서 다운로드 받은 프로그램 설치시 악성 코드는 왼쪽과 같이 "알 수 없는 게시자" 라고 표시되며, 정상 설치 파일은 "Bandisoft" 라고 표시됩니다. 프로그램 설치시 게시자 정보에 문제가 없었다면 악성 코드가 설치되지 않았으니 걱정하지 않으셔도 됩니다.


Q) 해당 악성 코드는 어떤 작동을 하나요?

A) 시스템의 프록시 설정을 바꾼 후, 중국에 있는 외부 서버를 통해서 포털 사이트 접속시 아래 화면과 같이 금융 감독원을 사칭하는 페이지를 띄우는 파밍작동을 하며, 기타 개인 정보 및 아이디/패스워드를 탈취할 수 있습니다.

좀더 자세한 사항은 인카인터넷의 분석글을 참고하시기 바랍니다. http://erteam.nprotect.com/522



Q) 꿀뷰 이외에 반디집과 같은 프로그램을 설치한 사용자에게도 문제가 발생하였나요?

A) 공격 대상은 꿀뷰 설치 파일을 다운로드 받은 사용자였으며, 반디집 사용자는 공격 대상이 아니었습니다.

 

Q) 홈페이지가 아니라, 꿀뷰의 자체 업데이트 기능을 사용하여 프로그램을 설치하였습니다. 이 경우에도 문제가 발생하나요?

A) 꿀뷰의 자체 업데이트 기능을 사용할 경우 보안 프로토콜(https) 사용 및, 설치 파일의 무결성을 체크하기 때문에 문제가 발생하지 않았습니다.

 

Q) 반디소프트 홈페이지가 해킹을 당한 것인가요?

A) 저희 홈페이지나 서버 자체가 해킹을 당한 것은 아니며, 외부의 공격에 의해서 문제가 발생한 것입니다.

 

Q) 이제 더 이상 이런 문제가 발생하지 않나요?

A) ARP 스푸핑 공격은 비 보안 프로토콜(http)를 사용할 때 문제가 될 수 있습니다. 현재 반디소프트 홈페이지는 전부 보안 프로토콜(https)로 전환하였기 때문에 이제 동일한 방법으로 공격하는 것은 불가능 합니다.

 

Q) 왜 문제가 발생하기 전까지 보안 프로토콜을 사용하지 않았나요?

A) 보안 프로토콜(https)를 사용할 경우, 일부 구버전의 OS 와 브라우저(XP, IE6)를 사용하는 사용자 분들은 홈페이지 접속이 안될 수 있으며, 그 이외에도 홈페이지의 접속 속도가 약간 느려 지는 문제가 있기 때문에, 보안 프로토콜과 비 보안 프로토콜을 혼용하여 사용하였습니다만, 이번 사건 이후로 100% 보안 프로토콜만을 사용하도록 홈페이지를 바꾸었습니다.

 


악성 코드 확인 방법

해당 악성 코드가 시스템에 설치되었는지 여부는 다음과 같은 방법으로 확인해 보실 수 있습니다.

 

1) 작업 관리자를 실행하여, 프로세스 목록에 cacls.exe 가 포함되어 있는지 확인합니다. cacls.exe 자체는 OS의 내장 프로그램이며, 악성 코드가 아닙니다만, 이번에 배포된 악성 코드는 이 프로세스를 이용하여 시스템에 상주하는 방식을 사용하고 있습니다. 만일 작업관리자 에 cacls.exe가 있다면, 해당 프로세스를 강제 종료 하신 후, 위에 링크가 걸려 있는 안티 바이러스 프로그램을 이용하여 시스템을 점검해 보시기 바랍니다cacls.exe 관련 사항은 http://intumyself.tistory.com/2355 를 참고하시기 바랍니다.



2) 레지스트리 에디터를 실행시킨 후 HKLM\Software\Microsoft\Windows\CurrentVersion\Run 항목에 아래와 같이 임의의 영문과 숫자가 포함된 항목에 HONEYVIE-SETUP-KR.EXE 항목이 있는 경우, 해당 항목을 삭제 후 시스템을 검사해 보시기 바랍니다.


 

 

3) 컴퓨터를 시작하자 마자 아래와 꿀뷰 설치 프로그램이 실행되는 경우, 해당 악성코드가 설치된 상태이므로 위에 언급된 cacls.exe 프로세스를 종료 후 시스템을 검사해 보시기 바랍니다.


 

4) 이 악성 코드는 시스템의 프록시 설정을 바꿉니다. 프록시 설정을 원상복구 시키기 위해서는 아래와 같은 방법을 사용하시기 바랍니다.




악성 코드 샘플 제공
추가적인 문제를 막기 위해서 해당 악성 코드의 샘플을 제공해 드리겠습니다. 악성 코드가 필요하신 전산/보안 담당자 분들은 apps@bandisoft.com 으로 요청 메일 주시기 바랍니다. 단, 악의적인 사용을 방지하기 위해서, naver/daum/gmail 과 같은 계정이 아닌 회사 메일을 사용해 주시기 바랍니다.

악성 코드의 진단명은 https://www.virustotal.com/ko/file/6d5963d61cda57baeb6b67cb8cb42fe3f62a873232ab966f99c323d1e29e92a9/analysis/ 를 참고하시기 바랍니다. 



 

이런 문제가 발생하게 되어 사용자 분들께 불편을 드려 다시한번 죄송하단 말씀 드립니다. 이번 악성코드와 관련된 문의 사항은 apps@bandisoft.com 으로 연락 주시면 최대한 문제 해결을 위해서 노력하겠습니다.


앞으로 더욱 노력하도록 하겠습니다. 감사합니다.


 



저작자 표시
Posted by 반디소프트 트랙백 0 : 댓글 19

댓글을 달아 주세요

  1. 이전 댓글 더보기
  2. addr | edit/del | reply ㅍㅍㅌ 2016.03.28 09:16

    https://www.virustotal.com/ko/file/6d5963d61cda57baeb6b67cb8cb42fe3f62a873232ab966f99c323d1e29e92a9/analysis/

    파밍 악성코드입니다.

    감염된 상태에서 네이버 들어가니 가짜 금융감독원 창 나오고 어쩔..

  3. addr | edit/del | reply 유영준 2016.03.28 16:02

    하...그래 하필 어제 다운받았는데 이상하더라니... ㅠ.,아..

  4. addr | edit/del | reply 나루 2016.03.28 19:12

    역시 믿고쓰는 반디소프트 이비다!!빠른대처에 감탄합니다!!

  5. addr | edit/del | reply kdy 2016.03.29 01:22

    와 ... 반디소프트 대응에 박수쳐드리고갑니다

  6. addr | edit/del | reply Dongil Kim 2016.03.29 18:13

    보안사고 발생 시 교과서로 써도 손색없는 대응을 보여줬습니다. 사고를 막는 것도 중요하지만 감추지 않고 대응을 공개함으로써 신뢰 하락을 막는 것도 중요하다는 것을 몸소 보여줬습니다. 멋집니다.

  7. addr | edit/del | reply ㅇㅇ 2016.03.30 08:30

    퍄퍄 진짜 모범적인 대응이란건 이런걸 두고 하는 말이지..

  8. addr | edit/del | reply 고로무사 2016.03.30 13:39

    세상 모든 업체가 이런 대응을 한다면 정말 갓죠센이 될텐데... 현실은 헤...헤..헬죠!씹헬죠1! 으악!!

  9. addr | edit/del | reply 꿀뷰반디집굳 2016.03.31 02:03

    문제에대한 대처방법이 마음에 드는것같습니다. 어느부분에서 어떠한 문제가발생해서 어떻게 조치가 이루어졌는지 비전문 이용자들도 이해가 쉬웠습니다. 앞으로 세심한 부분도 고려하여 더욱 완벽한 회사로 거듭났으면합니다

  10. addr | edit/del | reply 믿고쓰는 반디 2016.03.31 10:15

    와진짜 대응이 아주 훌륭합니다!

  11. addr | edit/del | reply 부니기 2016.03.31 14:34

    은행은 반디소프트를 보고 배워야 할게 많네요.
    수고많으셨습니다.

동영상 구간 자르기 프로그램인 '반디컷'을 출시했습니다.


반디소프트는 허접한 제품은 만들지 않는 거 아시죠?

간단할지언정 제 기능에 충실한 물건만 만듭니다. 비디오 파일을 화질열화없이 빠르게 잘라줍니다.


무료 평가판 써 보시고 많은 조언 부탁 드립니다.



 

- 반디컷 홈페이지: http://www.bandisoft.co.kr/bandicut/

 

 

특징 및 장점


  • 인코딩 없이 원본 파일을 그대로 잘라 줍니다.
  • 정확한 프레임 단위로 동영상 컷팅이 가능합니다.
  • 다양한 압축 코덱을 지원합니다.(Xvid, MPEG-1, Motion JPEG 등)
  • 매우 빠른 속도로 동영상 자르기가 가능합니다.
  • 사용법이 매우 쉽습니다.



저작자 표시
Posted by 반디소프트 트랙백 3 : 댓글 3

댓글을 달아 주세요

  1. addr | edit/del | reply 이승훈 2013.08.20 01:43

    반디소프트 제품은 믿고 쓰게되네요
    반디집 정말로 잘쓰고있습니다^^

  2. addr | edit/del | reply event_log 2013.09.11 11:01

    안녕하세요.
    평소에 영상 자를때 윈도우 무비 메이커나 유투브에 원본 올려놓고 동영상 편집으로 잘랐는데,
    빠르고 편한 반디컷이 생겨서 좋네요. ㅎㅎ

    다름이 아니고 추가 되었으면 하는 기능이 있어서 댓글 남깁니다.

    여러개의 짤막한 영상을 모아서 한 파일로 만들고 싶을 때가 있는데요.

    영상파일을 순차적으로 선택해서,
    저장을 누르면 선택한 순서대로 붙여서
    하나의 파일로 저장되는 기능이 있으면 좋을 것 같아요 ㅎㅎ

  3. addr | edit/del | reply 설리찡 2013.11.11 22:54

    반디소프트 개발자님들! 반디캠, 반디집, 반디카메라, 꿀뷰 모두 잘 쓰고 있습니덩! 하지만, 영상 플레이어도 힘드시겠지만 만들어주시면 안됄까요? 윈도우 미디어 플레이어나 KMPlayer를 쓰고있었는데 어디로 매각돼고나서 광고가 많아져서 반디소프트 개발자님들이 심플한 UI와 영상 재생에 필요한 최소한의 기능만 넣어주셔도 돼고 엄청나도 좋아요 만들어져서 무료버전과 유료버전이 나눠진다면 유료버전도 살 수 있어요 한번 심심하실때 만들어주세요 :'(

반디앱스. 그러니까 반디소프트에서 만든 앱들을 모아서 제공하는 사이트는 http://apps.bandisoft.com 였습니다만, 이번에 디자인 개편과 함께 http://www.bandisoft.co.kr 도메인으로 바꾸었습니다.


기존에 번잡하게 사용하던 반디소프트의 도메인들을 정리하고자 앞으로 .com 도메인은 영어(글로벌) 전용으로,  .co.kr 은 한국어 전용으로 사용하기로 결정하였습니다. 그리고, 그 첫번째 작업으로 http://apps.bandisoft.com 도메인에서 제공하던 서비스를 http://www.bandisoft.co.kr 도메인으로 바꾸는 작업이 어제 완료되었습니다. 기존의 공돌이 감성으로 만들어졌던 사이트가 구조는 바뀌지 않은채, 디자이너의 손길로 좀 더 이뻐졌습니다.


바뀐 모습을 한번 비교해 보시죠.







저작자 표시
Posted by 반디소프트 트랙백 1 : 댓글 4

댓글을 달아 주세요

  1. addr | edit/del | reply archmond 2013.05.12 04:27

    깔끔하네요 ^^

  2. addr | edit/del | reply 후눈 2013.07.15 14:17

    좋은 소프트웨어 잘 사용 하고있습니다.

    후원계좌 열어놓으실 생각은 없으신지요?

    적은 돈이나마 도움되고 싶습니다.

    앞으로 유용한 프로그램 많이 만들어주세요.

    항상 행복하시고요.

  3. addr | edit/del | reply ㅋ3ㅇ 2013.11.21 23:22

    설치할 위치의 선택지를 주세요.

  4. addr | edit/del | reply serpiko 2015.05.21 20:31

    좋은 프로그램 항상 감사합니다.