Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 9월 17일] 주요 보안 이슈
작성일 2018-09-17 조회 777

1. [기사] OilRig APT Continues Its Ongoing Malware Evolution
[https://threatpost.com/oilrig-apt-continues-its-ongoing-malware-evolution/137444/]

이란과 연계된 APT가 지속적인 도구 개발 상태에 있는 것으로 보인다. 이란과 관계가 있는 것으로 여겨지는 APT 단체인 OilRig는 중동에서 또 다른 캠페인에서 발견0되었는데, 이번에는 BondUpdater 트로이 목마에서 진화한 변형으로 공개되지 않은 정부 내의 희생자들을 목표로 하고 있다.
 Cobalt Gypsy, Crambus, Helix Kitten 혹은 PT34라고도 불리는 이 그룹은 최근 OoopsIE 트로이목마를 재부팅하여 사용, 중동 지역 기업들의 정보를 캐내기 위한 목적인 것으로 밝혀졌다. 이처럼 OliRig의 최신 공격들은 이전의 자체 개발 도구를 반복 사용하고 있다. BondUpdater 트로이 목마는 백도어 기능을 갖추고 있어 파일 업로드 취약점과 명령어 실행 취약점이 존재한다. 또한 분석 결과 업데이트된 멀웨어는 C2 서버와 통신하여 파일을 수신하고 파일 이름의 문자를 명령으로 사용하는 것과 관련된 명령 처리 및 C2 통신 기능을 유지하는 것으로 나타났다. 공격 방법은 매크로가 포함된 악성 문서를 첨부하여 중동 국가 고위 사무실로 피싱 메일을 발송한다. 악성코드가 설치되면 지속성을 위해 매 분마다 실행되도록 설계된 VBScript와 PowerShell 프로세스가 실행되는 시간을 결정하는데 사용되는 잠금 파일이 존재한다. 
그러나 명령 구조의 유연성을 확장하는 TXT 기반 통신 옵션도 포함되어 있다. 여기서 TXT는 특히 파일 이름과 파일에 쓸 데이터를 얻기 위해 추가 명령을 기록한다. 
OilRig는 매우 다양하고 지략이 풍부한 위협 단체로서, 이전에 사용했던 도구와 악성코드의 변종을 사용하는 만큼 개발 시간이 단축되고 성공률이 극대화될것이라고 예측했다.

 


2. [기사] Windows Systems Vulnerable to FragmentSmack, 90s-Like DoS Bug
[https://threatpost.com/apple-yet-to-patch-safari-browser-address-bar-spoofing-flaw/137395/]

마이크로소프트가 여러 버전의 윈도우에 영향을 줄 수 있는 서비스 거부 취약점 보안 권고문을 발표했다.
이 취약성은 2018년 9월 패치 화요일 업데이트의 일부로 출시된 최신 보안 업데이트가 없는 윈도우즈 7 ~ 10( 8.1 RT 포함), 서버 2008, 2012 및 핵심 설치의 모든 버전에 영향을 미친다. CVE-2018-5391는 수신 최대 전송 단위(MTU)에 맞게 패킷 크기를 조정하는 프로세스인 IP 조각화에 응답하기 때문에 maniker FragmentSmack을 받았다. IP 조각화 공격은 알려진 서비스 거부 형식이며, 작은 크기의 여러 IP 패킷을 수신한다. FragmentSmack은 TCP 조각화 공격 유형이며, 수신자 끝부분에서 패킷을 모으는 것을 방지하는 Tardrop 공격이라고도 불린다. 공격자는 무작위로 시작 오프셋을 사용하여 8바이트 크기의 IP 조각을 보낼 수 있지만 마지막 조각을 보류하고 IP 조각을 재조립할 때 연결된 목록의 복잡성을 악용할 수 있다고 밝혀졌다. 그 결과 시스템의 CPU가 최대 사용률 수준에 도달하고 운영 체제가 응답하지 않게 된다. 따라서 패킷 재조립을 방지하는
Netsh int ipv4 set global reassemblylimit=0
Netsh int ipv6 set global reassemblylimit=0
으로 설정하여 버그를 해결할 것을 권장했다. CheckPoint의 일부 보안 제품도 FragmentSmack의 영향을 받고 있으며, 리눅스에서도 Linux에서 처음 발견되어 SegmentSmack(CVE-2018-5390)이라는 또 다른 DoS 취약성으로 커널 버전 3.9 이상에서 실행되는 장치에 영향을 주었다. 

 


3. [기사] New Brrr Dharma Ransomware Variant Released
[https://www.bleepingcomputer.com/news/security/new-brrr-dharma-ransomware-variant-released/]

암호화된 파일에 .brrr 확장자를 추가하는 새로운 버전의 Dama Ransomware가 발견되었다. 이 Brrr 변형을 포함한 Dahma Ransomware 제품군은 인터넷에 직접 연결된 원격 데스크톱 서비스를 해킹하는 공격자에 의해 수동으로 설치된다. 공격자는 일반적으로 TCP 포트 3389에서 RDP를 실행하는 컴퓨터를 인터넷에서 검색한 다음 컴퓨터에 대한 암호를 강제로 적용하려고 시도한다. 공격자가 네트워크의 다른 컴퓨터를 암호화할 수 있는 경우 공격자는 네트워크상의 다른 컴퓨터도 암호화하려고 시도한다.
Brrr Darma Ransomware는 파일을 스캔한 후 확장자를 .id-[id] 형식으로 암호화한다. 예를 들어 test.jpg라는 파일은 암호화되고 test.jpg.id-BCBEF350으로 이름이 변경된다. 이 VDC 소프트웨어는 매핑된 네트워크 드라이브, 공유 가상 시스템 호스트 드라이브 및 매핑되지 않은 네트워크 공유를 암호화한다. 따라서 실제로 액세스가 필요한 사용자만 사용 권한을 가질 수 있도록 네트워크의 공유가 잠겨 있는지 확인하는 것이 중요하다. 여기에는 원격 데스크톱 서비스를 실행하는 컴퓨터가 인터넷에 직접 연결되어 있지 않은지 확인하는 작업이 포함된다. 무엇보다도, 항상 신뢰할 수 있고 테스트된 데이터 백업을 가지고 있어야 하며, 이러한 백업은 긴급 상황 발생에 대비하여 복구할 수 있다. 

 


4. [기사] New Cold Boot Attacks Can Evade Current Mitigations
https://latesthackingnews.com/2018/09/16/new-cold-boot-attacks-can-evade-current-mitigations/

많은 사람들이 노트북을 종료하는 대신 'Sleep' 모드에 두는 경향이 있다. 한 사이버 보안 회사가 전체 디스크 암호화로도 노트북 데이터에 액세스할 수 있는 방법을 발견했다. 컴퓨터에 물리적으로 접근하는 사람은 누구나 새로운 콜드 부트 공격을 통해 데이터를 훔칠 수 있다고 한다. 
가장 최근 버전의 펌웨어 취약성이 존재하며, 이를 통해 공격자가 새로운 콜드 부트 공격으로 인해 암호화 키와 랩톱의 모든 데이터를 훔칠 수 있다. 이러한 공격을 수행하려면 공격자가 디바이스에 물리적으로 액세스해야 한다. 콜드 부트 공격은 컴퓨터를 다시 설정한 후 RAM에 저장된 정보에 액세스하는 것을 포함한다. 새로운 콜드 부트 공격을 행하려면 하드웨어를 조작하기만 하면 된다. 따라서 이들은 이 취약성이 현재 거의 모든 최신 노트북 브랜드에 영향을 미친다고 밝혔다. 이 취약성을 일반 대중뿐만 아니라 Microsoft, Apple, Intel과 같은 공급업체와 공유하기로 결정했다. 이러한 공식 사이트에서 공격으로부터 사용자를 보호하기 위한 수정 사항을 공개할 때까지 사용자들에게 랩톱을 '슬립' 모드로 설정하지 말 것을 권장했다. 대신 노트북을 최대 절전 모드로 전환하거나 종료하는 것이 좋다고 전했다.

 


5. [기사] Fallout Exploit Kit Pushing the SAVEfiles Ransomware
[https://www.bleepingcomputer.com/news/security/fallout-exploit-kit-pushing-the-savefiles-ransomware/]

지난 주 Fallout 익스플로잇 키트는 갠드크랩 랜섬웨어를 배포하고 있었다. 이번주에는, SAVEfiles라고 불리는 새로운 랜섬웨어로 배포하기 시작했다. 일본, 프랑스 및 기타 지역의 IP 주소를 대상으로 배포되고 있음을 발견했다. 
배포되는 방식은 방문자가 Falloutoutoit 키트를 호스팅하는 사이트에 도달할 때까지 일련의 리디렉션 과정을 거치게 되고, 공격 키트가 자동으로 SAVEfiles Vehicware를 다운로드하여 컴퓨터에 설치된다. http://xxxart.pp.ua/1/get.php에 연결하는 것은 암호화 키를 받기 위해 명령 & 제어 서버에 연결하는 것이다. 사용자도 모르게 파일이 .SAVEfiles 확장자로 암호화되고, '!!!SAVE__FILES__INFO!!!.txt' 랜섬 노트를 만든다. Fallout은 방문자의 시스템에서 VBScript 및 Flash Player의 취약성을 이용하려고 시도한다. 공격 키트를 실행하는 사이트로 리디렉션하거나 방문하기만 하면 취약하면 컴퓨터에 맬웨어가 자동으로 설치된다.

첨부파일 첨부파일이 없습니다.
태그 OliRig APT  Windows DOS  Brrr Dharma