Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 2월 14일] 주요 보안 이슈
작성일 2019-02-14 조회 690

1. [기사] 인기 높은 안드로이드 파일 관리 앱에서 심각한 취약점 발견
[https://www.boannews.com/media/view.asp?idx=76919&page=1&kind=1]
대중적인 파일 관리 애플리케이션 ES 파일 탐색기(ES File Explorer)에서 취약점이 발견되었다. 이 취약점은 CVE-2019-6447로 ‘오픈 포트 취약점’이라고 분류된다. 시큐어루트에 의하면 “공격자와 피해자가 동일 네트워크 망을 사용하고 있을 경우 ES 파일 탐색기 기능을 공격자가 원격에서 실행하여 중요한 정보에 접근하거나 유출시킬 수 있다”고 한다. 해당 애플리케이션 실행 시 활성화되는 59777 포트는 애플리케이션이 배경에서 동작하는 중에도 공격자가 접근할 수 있으며, 공격자는 이 포트를 통해 JSON 형태로 명령을 보내 정보를 무단으로 탈취하는 것이 가능하다. 이 취약점은 같은 네트워크 망에 있어야만 익스플로잇이 가능하다는 제한 조건이 붙어 특정 조직이나 인물에 대한 사전 조사가 선행되는 표적형 공격에 많이 활용될 것으로 예상된다. 시큐어루트는 “해당 취약점을 분석한 결과 디바이스에 저장된 파일을 탈취할 수 있는 심각한 취약점이며, 공격 코드가 해외에 공개되어 공격 가능성이 높은 만큼, 해당 앱을 삭제할 것을 권고”했다.

 

2. [기사] 지방 경찰서 사칭 갠드크랩 랜섬웨어, 이번엔 이력서 위장 공격
[https://www.boannews.com/media/view.asp?idx=76918&page=1&kind=1]
순천향대 SCH사이버보안연구센터는 자료를 입수해 분석한 결과, 채용 공고를 낸 국내 중소기업(S사) 앞으로 보내는 이력서로 위장한 갠드크랩 랜섬웨어가 유포됐다고 밝혔다. 특히, 해당 메일은 지난 2월 11일 지방 경찰서를 사칭해 출석 통지서로 위장 유포된 갠드크랩 랜섬웨어와 파일 크기, 패킹된 패커, 그리고 파일 속성의 언어가 동일하고, 사용한 도메인을 추적해보면 같은 제작자로부터 유포됐다는 것을 알 수 있다고 설명했다. 첨부파일은 ‘김** 경력 포트폴리오.doc(공백).exe’, ‘김** 이력서.doc(공백).exe’ 로 총 2개로 이루어져 있다. 첨부파일은 지난번 유포된 ‘출석요구서.doc(공백).exe’, ‘온라인 명예훼손 고소장.doc(공백).exe’ 파일과 같이 프로그램 아이콘으로 마이크로소프트 워드(.doc) 아이콘을 사용하며, 파일 크기와 작성된 언어도 동일하다. 특히 도메인을 추적해보면 ‘mshuherk@gmail.com’ 계정이 소유하고 있음을 알 수 있다. SCH사이버보안연구센터는 “버전 업데이트와 함께 이전에도 비슷한 방식으로 유포했던 공격자가 다시 갠드크랩 랜섬웨어를 유포하고 있어 기업 인사채용 담당자의 절대 주의가 필요하다”고 강조했다.

 

3. [기사] Hacker deleted all data from VFEmail Servers, including backups
[https://securityaffairs.co/wordpress/81030/hacking/vfemail-destructive-cyberattack.html]
정체가 밝혀지지 않은 해커가 VF이메일(VFEmail)을 공격해 사용자의 이메일과 백업본을 전부 삭제했다. VF이메일 측은 “공격자가 미국 내에 보관된 데이터베이스와 백업 시스템을 전부 파괴했다”며 “최대한 많은 데이터를 복구하기 위해 노력을 기울이고 있다”고 공지했다. 공격은 현지 시각으로 이번 주 월요일에 일어난 것으로 보인다. 공격자는 VF이메일의 데이터 센터들에 연결된 서버들 중 외부와 접속이 가능한 것들을 전부 노렸다고 한다. VF이메일은 “서버들의 운영 체제는 다양했으며, 같은 인증 크리덴셜로 접속할 수 있는 것도 아니었지만 공격자는 모든 서버에 침투할 수 있었고, 모든 데이터를 삭제하는 데 성공했습니다.”고 밝혔다. 일부 보안 전문가들은 이번 사태가 안전한 데이터 백업 및 복구 전략이 없을 때 일어날 수 있는 최악의 사례로 보고 있다.

 

4. [기사] Experts found a way to create a super-malware implanted in SGX-enclaves
[https://securityaffairs.co/wordpress/81050/hacking/sgx-enclaves-malware.html]
Intel SGX 보안 구역 속에 멀웨어를 숨길 방법이 발견되었다. Intel Software Guard eXtensions(SGX)는 특정 코드와 데이터가 수정되거나 유출되지 않도록 따로 분리하여 보호하는 기술로 엔클레이브(Enclave)라고 불리는 메모리에서 분리된 보안영역 내에서 코드를 실행시킨다. 연구원들이 만든 기술은 이곳에 악의적인 코드를 배포하여 탐지를 어렵게 한다. 연구원들은 return-oriented programming(ROP)라는 오래된 기법을 활용하여 엔클레이브 내에 멀웨어를 심어 시스템 보호를 우회하는 방법을 고안했다고 설명했다. 이들은 또한 운영체제 수준의 응용 프로그램들이 격리된 내부 영역인 엔클레이브를 확인할 수 없다는 설계도 활용하였다고 밝혔다.

 

5. [기사] Dirty Sock vulnerability lets attackers gain root access on Linux systems
[https://www.zdnet.com/article/dirty-sock-vulnerability-lets-attackers-gain-root-access-on-linux-systems/?fbclid=IwAR3l80RbCQ3IaB2mzzRgOnTlxOL4BIrVyS4YSLvkZnx2cae9jDRsq_fmg-o]
우분투를 비롯한 다른 리눅스 배포판들에 주로 영향을 미치는 취약점에 대한 PoC가 지난 12일 발표되었다. 해당 취약점은 지난달 말 Chris Moberly가 발견하였고 PoC 발표 하루 전 이에 대한 패치(USN-3887-1)가 릴리즈되었다. Dirty Sock이라고 불리는 해당 취약점은 공격자가 취약한 시스템에 원격으로 침입하는 것을 허용하지는 않는다. 그러나 아직 패치가 적용되지 시스템에 공격자가 들어가기만 한다면 운영체제 전체를 제어할 수 있게 된다. Dirty Sock은 공격자가 루트 수준의 계정을 만들 수 있는 로컬 권한 상승 이슈를 뜻하는 전문 용어이다. 취약점은 우분투 운영체제가 아닌 Snapd 데몬에 존재하는 것으로 알려졌다. Moberly는 Snapd 데몬의 로컬 REST API 서버에 설정된 접근제어 제한을 우회하여 루트 사용자에 연관된 제한된 기능을 포함한 모든 API 기능들에 접근하는 방법을 찾은 것이라고 밝혔다.

첨부파일 첨부파일이 없습니다.
태그