Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 3월 21일] 주요 보안 이슈
작성일 2019-03-21 조회 771

1. [기사] 디도스 공격, 지난 사사분기에 크게 줄어들었지만
[https://www.boannews.com/media/view.asp?idx=77994]
2018년 사사분기가 진행되는 동안 디도스 공격의 평균 크기가 85%나 줄었다. 특히, 지난해 말, 
미국 당국이 디도스 공격 대행 서비스 웹사이트인 부터(booter)를 폐쇄한 후부터 감소세가 분명해졌다. 보안 업체 넥서스가드(Nexusguard)가 발표한 바에 따르면 “FBI의 대규모 폐쇄 작전이 전체적인 디도스 공격 트렌드에 큰 영향을 미쳤다”고 한다. 또한 디도스 공격의 횟수가 11% 줄어들었고, 가장 큰 공격의 용량이 24%나 줄었다고 밝혔다. 이 결과가 사이버 공격자들이 디도스를 많이 하지 않게 됐다는 의미는 아니다. 공격자들은 비트 앤 피스(bit-and-piece)라는 기법의 디도스 공격을 선호한다. 비트 앤 피스 전략이란, 작게 조각난 악성 코드를 정상 트래픽 내에 삽입하는 걸 말한다. 이 공격은 기존 디도스 방어 기술로는 탐지가 어렵고 2018년 3~4분기에 해당 유형의 공격이 많이 증가했다. 전문가는 스트레서 서버를 폐쇄하더라도 디도스 서비스나 공격은 다시 생겨날 것이므로 주의해야 한다고 강조했다.


2. [기사] 구글, 윈도우에서 또 제로데이 취약점 발견
[https://www.boannews.com/media/view.asp?idx=77986&page=1&kind=1]
구글 프로젝트 제로(Google Project Zero) 팀에 소속된 한 보안 전문가가 윈도우와 윈도우용 드라이버에 영향을 줄 수 있는 새로운 버그를 발견했다. 이 전문가는 윈도우 일부 버전에 탑재된 커널 모드 드라이버들이 특정 요청을 처리하는 과정에서 충분한 확인을 하지 않는 것이 문제의 근원이라고 밝혔다. MS에 따르면 윈도우는 PreviousMode 필드를 UserMode나 KernelMode로 설정함으로써 시스템 호출을 구분한다고 한다. 그런데 포쇼는 윈도우에 있는 일부 커널 모드 드라이버에서 IRP_MJ_CREATE와 관련된 요청들이 처리될 때 접근 권한 관련 검사가 제대로 실행되지 않는다는 것을 발견했다. 이에, MS는 포쇼와 함께 공동으로 이 버그에 대한 분석을 실시했다. 그리고 현재 MS가 지원하는 윈도우 버전들에는 로컬에서의 권한 상승을 야기하는 initiator와 receiver가 쌍으로 존재하지 않는다는 것을 알아낼 수 있었다. 즉 이론상으로는 공격이 가능하지만 실제로 이 취약점을 익스플로잇 하는 것 자체는 쉽지 않을 수 있다는 것이다. MS는 해당 문제를 차기 버전에 적용될 심층 방어의 일환으로 윈도우 10 19H1 버전부터 수정결과를 모두 포함시킬 예정이다. 


3. [기사] Attacks Target AmEx, NetFlix Users with Phishing
[https://www.infosecurity-magazine.com/news/attacks-target-amex-netflix-users-1/]
Windows Defender Security Intelligence는 American Express 및 NetFlix를 대상으로 한 피싱 공격을 알렸다. 보안팀의 트윗에 따르면 Office 365 ATP를 사용하면 해당 피싱 공격의 사전 예방이 가능하다고 한다. 보안 전문가에 따르면 이와 같은 피싱 전자 메일은 간단하게 제작할 수 있을 뿐만 아니라 배포하기도 쉽다. 또한 사이버 범죄자들은 사용자가 링크를 클릭하거나 첨부 파일을 열지 않을 경우 나쁜 일이 발생할 것을 우려하도록 설계하여 유도한다. 이에, 보안 전문가는 피싱 이메일을 식별하는 방법과 이유를 사용자에게 교육하는 보안 인식 프로그램은 필수적이고 근본적인 것이라고 강조했다. 또한, 사용자들은 이메일이 합법적인지 아닌지에 대해 의심스러울 때, 추가적인 안전 예방 조치는 잠재적인 문제를 별도의 대화로 해결하는 것을 권고했다. 이에 대한 방법으로 벤더 지원 라인에 전화를 걸어 확인하거나 새로운 이메일 체인을 시작하는 방법이 있다.


4. [기사] Researcher Says NSA’s Ghidra Tool Can Be Used for RCE
[https://threatpost.com/nsa-ghidra-bug-rce/142937/?fbclid=IwAR3R3NN00OqZQ0xwzAj7KyDGC-brtVY5pyTTMBRGje8SXXwtxt-C1KISQeA]
Ghidra v9.0에 XXE(XML External Entity) 취약성이 발견됐고, 연구원은 해당 취약점의 PoC를 발표했다. Ghidra는 Java로 작성된 디스에셈블러이다. NSA는 이를 수년 동안 내부적으로 사용해왔고, 최근 이를 공개했다. 이번에 발견된 취약점은 24시간도 되지 않아 @sghctoma란 이름의 연구원에 의해 발견됐다. 연구진은 이 공격이 외부 엔티티에 대한 참조가 포함된 XML 입력이 XML 파서에 의해 처리될 때 발생한다고 밝혔다. 또한 기밀 데이터의 공개, 서비스 거부, 서버측 요청 위조, 파서가 위치한 기계의 관점에서 포트 스캔, 기타 시스템에 영향을 미칠 수 있다고 말했다. 이에, NSA의 개발자와 Threatpost는 @sghctoma의 트윗 게시글에 응답하여 버그를 해결하였다. 연구원은 이 해결책이 아직 공개되지 않은 9.0.1 릴리스의 일부이며, 이 취약점은 소프트웨어에서 XML을 구문 분석하는 방법(프로젝트뿐만 아니라 도구 등)에 있으며 프로젝트 자체에는 구문 분석 방법이 없다고 언급했다. 따라서 프로젝트가 언제, 또는 어떤 버전으로 생성되었는지는 중요하지 않다고 한다.


5. [기사] SimBad malware infected million Android users through Play Store
[https://securityaffairs.co/wordpress/82654/malware/simbad-malware-google-play.html]
체크포인트(Check Point) 보안 전문가들은 공식 구글 플레이스토어를 통해 SimBad 악성코드를 배포하는 것을 적발했다. 전문가에 따르면, 이미 1억 5천만 명 이상의 사용자가 영향을 받았다고 한다. SimBad는 광고로 위장하며, 광고 목적 및 수익 창출에 사용되는 RXDrioder 소프트웨어 개발 키트(SDK)에 숨겨져 있다. 따라서 이 SDK를 사용하여 개발된 모든 애플리케이션에 SimBad 악성코드가 포함돼 있다. 악성코드에 사용하는 GoDaddy를 통해 등록된  ‘addroider[.]com’ 도메인을 사용하며 Android 사용자를 손상된 피싱 웹 사이트로 리다이렉션하고 Play Store 또는 원격 서버에서 더 많은 악성 프로그램을 다운로드할 수 있다. 악성코드에 감염되면 악성코드를 'BOOT_COMPLETE' 및 'USER_PRESENT' 에 등록하여 부팅 단계가 완료되면 작업을 수행하게 한다. 그 후, C&C(명령 및 제어) 서버에 연결되고 수행할 명령을 수신한다. 전문가는 SimBad 악성코드가 수익을 위한 것이며, 설치과정에서 새로운 악성코드가 설치될 수 있으므로 RXDrioder SDK를 사용하는 애플리케이션 사용을 주의해야 한다고 강조했다.

첨부파일 첨부파일이 없습니다.
태그 디도스  SimBad  ZeroDay  phising  Ghidra