Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 8월 20일] 주요 보안 이슈
작성일 2018-08-20 조회 989

1. [기사] 전세계 절반의 웹사이트가 위험 수준에 있다
[https://threatpost.com/threatlist-almost-half-of-the-worlds-top-websites-deemed-risky/136636/]

전세계적으로 조회수가 높은 웹사이트들이 취약한 소프트웨어를 사용하고, 상당한 active 컨텐츠와 많은 양의 코드 실행으로 인해 방문자를 위험에 빠지게 하는 것으로 밝혀졌다. 
멘로 시큐리티 (Menlo Security)의 연례 웹 보고서 (Web of the Web)에 따르면, 패치가 적용되지 않아 취약한 소프트웨어를 사용한 Alexa Top 100,000 사이트의 전체 42%가 위험한 것으로 간주되었다. 또는 사이트가 악성 코드 서비스를 시작하거나 지난 해 보안 침해를 입은 경우이다. 예를 들어 사용자가 웹 사이트를 방문할 때마다 해당 사이트는 평균 25개의 백그라운드 사이트를 호출하여 콘텐츠 전송 네트워크 (CDN) 서버의 최신 바이러스 비디오 또는 광고와 같은 다양한 유형의 콘텐츠를 가져온다. 이러한 백그라운드 사이트 중 하나라도 위험한 사이트는 사이버 공격자가 사이트를 손상시키는 데 사용될 수 있다. 또한 위험한 사이트에서 액티브 콘텐츠를 배포하고있는 Alexa 상위 50 개 사이트의 비율이 프랑스의 거의 50 %에서 호주의 20 % 미만까지 다양하다는 사실도 발견했다. 액티브 콘텐츠는 웹 개발자가 웹 사이트를 동적이고 개인화하기 위해 사용하는 소프트웨어이다. 공격자는 백그라운드 사이트에서 전달되는 액티브 콘텐츠를 사용하여 악성 코드, ransomware 및 기타 악의적인 페이로드를 은밀하게 전달한다.
호주의 웹 사이트에서 실행되는 가장 취약한 백엔드 소프트웨어이기도 한 Microsoft IIS 버전 7.5가 2009 년에 거의 10 년 전에 출시되었고, 다운받는 코드가 많을수록 위험한 것으로 드러났다. 

 

 

2. [기사] 중국의 국가 간 사이버 보안 기준, 외국 기업에 대한 리스크 고려
https://www.bleepingcomputer.com/news/government/chinas-national-cybersecurity-standards-considered-a-risk-for-foreign-firms/

중국 정부가 외국 시장이 중국으로 들어오려는 것을 막기 위해 300개의 사이버 보안 기준을 사용할 것으로 보인다. 국가 사이버 보안 기준은 정부가 발행한 문서로 라우터, 방화벽, 소프트웨어 등에 관한 다양한 사이버보안 관련 권고를 포함한다.
중국 정부는 이러한 보안 기준들이 가이드라인으로써 의무는 아니라고 하지만, 실제 중국에서 사업을 하기 위해선필요할 것이라고  CSIS (Strategic and International Studies) 센터가 말했다. 사설 중국 기업은 특정 표준과 관련된 인증이없는 업체로부터 제품을 구매하지 않을 수도 있으며, 표준을 준수하기 위해 외국 기업은 국제 표준과 호환되지 않는 중국 시장을 위해 제품을 재설계해야 할 수도 있다고 말했다. 게다가, 정부에게 중요 정보를 접근가능하게 해주는 것도 암시하고 있으며, 불필요한 경우임에도 소스코드가 유출될 수 있는 일을 강압적으로 당할 수 있다고 말했다. 이 기준은 미국 기업이 중국 시장에 접근하는 것을 막는데 사용될 수 있으며, 관세 전쟁이 끝나더라도 중국 시장에서 발판을 마련하려는 비 중국 기업을 저해할 수 있다. 

 


3. [기사] 필립스 취약점, 심장 환자 정보 공개
[https://threatpost.com/philips-vulnerability-exposes-sensitive-cardiac-patient-information/136669/]

Philips IntelliSpace Cardiovascular (ISCV) 의료 데이터 관리 제품의 취약점은 권한 상승 및 임의 코드 실행을 허용하여 공격자가 의료 이미지 및 전체 진단 세부 정보를 비롯한 모든 종류의 기밀 환자 정보를 찾아 낼 수 있다. 
ISCV / Xcelera 서버에 대한 로컬 액세스 권한을 가진 공격자는이 결함을 사용하여 관리 액세스 권한을 얻고 인증된 사용자에게 쓰기 권한이 있는 실행 파일이있는 폴더를 열 수 있다.  그러면 정보 유출 맬웨어, 백도어, ransomware 또는 다른 종류의 악성코드를 실행할 수 있다. 또한 ISCV는 "시스템, 환자, 연구 및 시리즈 수준"에 대한 상호 관련 정보를 제공하는 타사 응용 프로그램을 실행할 수 있는 기능을 제공하여 데이터 유출이 ISCV 자체가 차지하는 수준보다 훨씬 클 수 있다. 
취약한 제품은 ISCV 3.1 이전 버전 및 Xcelera 4.1 이전 버전이다. Philips에 따르면 ISCV 버전 3.2와 함께 2018 년 10 월에 패치가 릴리스 될 예정이다.

 


4. [기사] 마이크로소프트 VBScript Engine 취약점이 Darkhotel APT에 사용됨
[https://threatpost.com/office-365-phishing-campaign-hides-malicious-urls-in-sharepoint-files/136525/]

VBScript Engine 취약점이 Darkhotel 운영 시스템을 공격했다. VBScript는 윈도우 이전 버전과 Internet Explorer 11에서 사용가능하다. 하지만 최신 윈도우 버전에는 마이크로소프트가 VBScript 작동을 막아 취약점을 사용할 수 없게 하였다. 
그렇지만 스크립트를 로드할 수 있는 방법이 있다. 예를 들면, Office 제품군의 응용 프로그램은 IE 엔진을 사용하여 웹 콘텐츠를 로드하고 렌더링한다. 이 익스플로잇 코드를 분석 한 결과, CVE-2018-8174에서 5 월에 패치된 오래된 VBScript 취약점에 대해 익스플로잇에서 난독화 기술을 공유한다는 사실을 발견했다. 더블 킬(Double Kill)이라고도 알려진 이 취약점은 중국 보안 회사인 Qihoo 360의 전문가들에 의해 보고되었다. 지난 5월 Qihoo 360 전문가들은 Double Kill을 분석하여 Darkhotel 그룹 (APT-C-06)의 해독 알고리즘과 동일하다는 것을 발견했다. 따라서 Darkhotel은 Operation Blockbuster에 묶여있는 Dark Seoul 악성코드와 직접적인 관련이 있음을 확인할 수 있었다. 

 


5. [기사] 악성코드 캠페인이 MS Publisher을 통해 은행에 RAT를 유포
[https://threatpost.com/unique-malspam-campaign-uses-ms-publisher-to-drop-a-rat-on-banks/136656/]

새로운 이메일 캠페인은 수많은 은행들을 대상으로 FlawedAmmyy RAT로 이끄는 악의적인 URL이 포함된 MS Publisher 파일을 이용하는 잘 알려진 백도어를 사용하여 피해자 시스템을 감염시키는 것으로 밝혀졌다. 또한, malspam 이메일에 FlawedAmmyy 원격 액세스 트로이 목마(RAT)를 다운로드하는 URL이 있음을 발견했다. 이는 원격제어를 가능하게 하며, Ammyy Admin 원격 데스크톱 소프트웨어의 버전 3에 대한 유출된 소스 코드를 기반으로 원격 데스크톱 제어, 파일 시스템 관리자, 프록시 지원 및 오디오 채팅 기능을 포함한다. 
이메일에 첨부된 .pub파일을 열면 매크로 사용 메시지가 뜨며 매크로 스크립트는 URL에 액세스하여 다운로드한 파일을 실행한다. 곧 RAT는 "id", "os", "names"및 자격 증명과 같은 시스템 정보를 공격자에게 전송한다. FlawedAmmyy RAT는 잘 알려진 금융 범죄 그룹 TA505의 광범위한 스팸 캠페인의 일환으로 7월 초에 발견되었다.

첨부파일 첨부파일이 없습니다.
태그 RAT  VBScript Engine  ISCV