Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 11월 14일] 주요 보안 이슈
작성일 2018-11-14 조회 713

1. [기사] Emotet Campaign Ramps Up with Mass Email Harvesting Module
[https://threatpost.com/emotet-campaign-ramps-up-with-mass-email-harvesting-module/139041/]

새로운 Emotet 뱅킹 트로이목마를 퍼뜨리는 대규모 스팸 캠페인이 발견됐다. 대규모 이메일 수집 모듈이 발견된지 약 일주일만이다. Emotet은 기술적으로 뱅킹 트로이 목마이지만, 주로 다양한 2차 정보 수집 기능(TrickBot, Zeus Panda Banker, IcalID 및 기타 악성 프로그램 포함)의 드로퍼로 사용된다. 유연한 모듈형 구조를 가지고 있는데, 네트워크 전체에 걸친 빠른 자가 전파의 지속성 및 웜과 같은 방법과 결합하면 상당한 위협이 될 수 있다. 해당 취약점은 송장, 은행 계좌 알림 또는 급여 보고서로 위장된 악성 링크 또는 Microsoft Word 및 PDF 첨부 파일을 포함한다. 메이저 은행, 합법적인 로고 등을 사용한다. Word 문서의 매크로 또는 PDF 문서의 링크를 클릭하면 매크로가 실행된다. Emotet의 페이로드가 설치되고, 실행하면 컴퓨터에서 머무르기 위한 지속성을 설치하고 C&C서버와의 연결을 보고한다. 그 후에, 어떤 공격 모듈과 다운받을 두번째 모듈에 대한 지시를 받는다. 영어와 독일어를 사용하는 사람들을 대상으로 한 것으로 보이며, 미국, 영국, 터키, 남아프리카에서 가장 활발한 활동을 하고 있는 것으로 보인다.


2. [기사] Adobe Fixes Acrobat and Reader Flaw With Publicly-Available PoC
[https://threatpost.com/adobe-fixes-acrobat-and-reader-flaw-with-publicly-available-poc/139050/]

Adobe는 화요일 이미 PoC(Proof-of-concept)를 사용할 수 있는 해시 암호를 공개하는 Adobe Acrobat 및 Reader의 결함 수정과 같은 3가지 패치를 발표했다. 정보 유출 취약점인 CVE-2018-15979는 Adobe Acrobat 및 Windows용 Reader에 존재한다. 해당 취약점은 공격자가 사용자를 조직 외부의 악의적인 리소스로 리디렉션하여 NTLM 인증 메시지를 얻을 수 있도록 허용한다. 공격 성공 시, 사용자의 해시된 NTLM 암호가 유출될 수 있다. NTLM은 윈도우즈 운영 체제를 실행하는 시스템과 독립 실행형 시스템에서 사용되는 인증 프로토콜이다. 
CVSS 점수는 높은 수준이며 영향을 받은 버전에는 Acrobat DC 및 Reader DC 2019.008.20080 이전 버전, Acrobat Classic 및 Reader Classic 2017.011.30105 이전 버전, Acrobat DC Classic 버전 등이 있다. 마지막으로 Adobe Photoshop CC for Windows 및 MacOS의 취약점에 대한 업데이트를 발표했다. 해당 취약점은 CVE- 2018년-15980으로 Photoshop CC 19.1.6 및 이전 19.x 버전에 있다. 


3. [기사] Microsoft Patches Zero-Day Bug in Win7, Server 2008 and 2008 R2
[https://threatpost.com/microsoft-patches-zero-day-bug-in-win7-server-2008-and-2008-r2/139073/]

Microsoft의 11월 패치에는 제로 데이 취약점에 의해 Windows 7, Server 2008 및 Server 2008 R2가 공격을 받을 수 있다. 제로 데이 취약점(CVE-2018-8589)은 Windows 장치 드라이버 "Win32k.sys"로 추적되며 공격자는 로컬 시스템 컨텍스트에서 권한을 올리고 임의 코드를 실행할 수 있다. Kaspersky Lab에 따르면, 제로 데이(zero day)는 다수의 APT에서 사용되고 있다고 한다. 이 취약점을 이용하려면 시스템에 로그온해야 하지만 공격자가 영향을 받는 시스템을 완전히 제어할 수 있다. CVSS점수는 높음으로 등급되었고, 공격자는 취약점을 이용하려면 시스템에 로그온해야 하지만 공격자가 영향을 받는 시스템을 완전히 제어할 수 있다. 
메모리 손상 취약점(CVE-2018-8551, CVE-2018-8555, CVE-2018-8556, CVE-2018-8557, CVE-2018-8588)은 취약한 시스템에서 악의적으로 조작된 웹사이트 또는 컨텐츠를 접근할 경우 원격 코드 실행이 발생할 수 있다. 
Microsoft는 128비트 또는 256비트 암호화로 하드 드라이브를 암호화하는 BitLocker 도구에 영향을 미치는 취약성(CVE-2018-8566)도 수정했다. 해당 취약점은 보안 기능 우회 취약점이 존재하며 공격 성공 시 암호화된 데이터에 접근 및 획득할 수 있다. 


4. [기사] Unpatched Android OS Flaw Allows Adversaries to Track User Location
https://threatpost.com/unpatched-android-os-flaw-allows-adversaries-to-track-user-location/139056/

안드로이드 운영체제에 와이파이 라우터를 통해 사용자들의 위치를 파악할 수 있는 취약점이 발견됐다. 해당 취약점(CVE-2018-9581)는 프로세스 간 통신에 의한 정보 유출을 허용한다. 해당 취약점은 Android OS 자체에서 와이파이 연결에 대한 정보를 정기적으로 공유하고 있음이 밝혀졌다. 이 정보에 접근하는데는 특별한 권한이 필요하지 않는다. 모든 안드로이드 버전이 영향을 받는 것으로 추정된다. 정보 유출 취약점(CVE-2018-9489)은 WiFi 정보를 노출하여 로컬 WiFi 네트워크를 탐색 및 공격하거나 Android 장치를 식별하고 물리적으로 추적할 수 있도록 지원한다. 이 정보에는 장치의 MAC 주소, WiFi 액세스 지점의 BSSID 및 네트워크 이름, 로컬 IP 범위, 게이트웨이 IP 및 DNS 서버 주소와 같은 다양한 네트워킹 정보가 포함된다. (현재는 패치되었다.)CVE-2018-15835의 경우, Android OS에서 보낸 의도 메시지는 특별한 사용 권한 없이 애플리케이션 전체에서 사용자를 고유하게 식별하고 추적하는 데 사용할 수 있는 배터리에 대한 자세한 정보를 유출한다.  구글은 이 취약점을 보안 문제로 분류하지 않고 있으며 어떤 수정 계획도 내놓지 않았다고 말했다. 


5. [기사] 암호화폐 거래소 ‘퓨어빗’ 먹튀 논란... 피싱 피해도 우려
[https://www.boannews.com/media/view.asp?idx=74583&kind=&sub_kind=]

암호화폐 거래소 퓨어빗이 13일부터 웹사이트 접속이 불가능해지면서 먹튀 논란이 일고 있다. 11월 5일부터 거래소 사전가입 이벤트를 열고 투자자 참여를 유도한 후 약 31억원을 모았다. 또한, 해외 암호화폐 거래소로 자금이 여러 번 이동한 정황도 포착되면서 먹튀 가능성은 더욱 커지고 있다. 공공기관 관계자는 “해킹 사건이라기 보단 전형적인 먹튀 금융사기 사건”이라며 “수사기관이나 한국인터넷진흥원에는 현재까지 접수된 건은 없는 것으로 알고 있다”고 밝혔다.
이에 따라 암호화폐 거래소 피해 예방을 위해 △신규 암호화폐 발행 금지 △자금세탁 방지 △외국환 거래 규제 △이용자의 정보보호 △금융소비자의 보호가 필요하다고 강조했다. 암호화폐 취급업소의 특성과 해킹 경로를 살펴보면 사이버위협에 대부분 노출돼 있고, 취급업소 핫월렛의 개인 키만 유출돼도 암호화폐 전체가 탈취되는 피해가 발생하게 된다. 따라서 전반적인 보안 강화와 함께 전자지갑과 안전한 개인 키 관리, 비정상 거래 탐지체계 구축, 관리자 PC 접근제어, 관리적 보안 조치 등이 필수다. 하지만 거래소의 해킹 추적이 어려운 이유는 공격자들이 추적하기 어려운 믹싱 기법을 이용하기 때문에, 거래소에서는 사건 발생에 대비해 여러 정보를 수집·기록함으로써 최대한 많은 정보를 확보해 놓아야 한다.

첨부파일 첨부파일이 없습니다.
태그 암호하폐  안드로이드  Microsoft Zero-Day  Adobe  Emotet