Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 11월 14일] 주요 보안 이슈
작성일 2019-11-14 조회 674

1. [기사] 멕시코 석유 회사 페멕스, 도플페이머로 보이는 랜섬웨어에 감염돼
[https://www.boannews.com/media/view.asp?idx=84484&page=1&kind=1]
멕시코의 국영 석유 회사인 페멕스(Pemex)가 주말 동안 랜섬웨어 공격에 당했고, 이 때문에 네트워크 일부가 마비됐다. 페멕스는 빠른 대처를 통해 공격을 무력화시켰고, 약 5% 미만의 컴퓨터만이 영향을 받았다고 발표했다. 또한, 현재 모든 사업과 장비가 정상적으로 가동되고 있으며, 생산이나 공급과 관련된 기능은 전혀 영향을 받지 않았다고 강조했다. 하지만 사건 자체에 대해서는 별다른 정보를 공개하지 않고 있으며, 일부 보안 전문가들이 트위터를 통해 이번 공격에 연루된 건 도플페이머(DoppelPaymer)라는 랜섬웨어라고 공개한 바 있다. 도플페이머는 올해 7월 처음 상세 공개된 랜섬웨어로, 비트페이머(BitPaymer)라는 랜섬웨어의 변종으로 분류된다. 비트페이머는 해킹 단체인 TA505가 개발한 것으로 알려져 있고, TA505는 드리덱스(Dridex)와 록키(Locky) 랜섬웨어라는 악명 높은 멀웨어를 개발하기도 했다. 보안 전문가 비탈리 크레메즈(Vitali Kremez)에 의하면 도플페이머는 이모텟(Emotet)이라는 드로퍼에서부터 드롭되어 시스템을 감염시키며, 이모텟은 원래 드리덱스를 퍼트리는 데 사용되던 악성코드다. 


2. [기사] Strange AnteFrigus Ransomware Only Targets Specific Drives
[https://www.bleepingcomputer.com/news/security/strange-antefrigus-ransomware-only-targets-specific-drives/]
AnteFrigus라는 새롭고 이상한 랜섬웨어가 Hookads 악성 광고를 통해 배포되어 사용자를 RIG 익스플로잇 키트로 리디렉션한다. 다른 랜섬웨어와 달리 AnteFrigus는 C 드라이브를 대상으로 하지 않고, 일반적으로 이동식 장치 및 매핑된 네트워크 드라이브와 관련된 다른 드라이브만 대상으로 한다. 또한, 전문가는 해당 랜섬웨어가 매우 정교해 보이지 않으며 수많은 디버깅 심볼, 소스 참조 및 테스트/디버그 위치를 포함하고 있다고 말했다. 그래서 AnteFrigus가 아직 개발 또는 테스트 모드라고 추측한다. 그리고 랜섬웨어 개발자가 RIG 익스플로잇 키트 설치 비용을 지불하고 랜섬웨어를 테스트하기 위해 개발 중인 랜섬웨어를 배포하는 것은 어리석은 일이라고 덧붙였다. 현재 랜섬웨어의 취약점을 이용해 무료 암호 해독기를 만들 수 있는지는 알 수 없다. 


3. [기사] 파이어폭스에서 발견된 취약점, 기술 지원 사기 공격에 활용
[https://www.boannews.com/media/view.asp?idx=84480&page=2&kind=1]
모질라(Mozilla)가 파이어폭스 브라우저에서 버그가 발견됐으며, 문제는 이를 기술 지원 사기단들이 먼저 찾아내 활용하기 시작했다는 것이다. 모질라는 이 문제를 파악하고 패치 개발을 시작했다고 한다. 보안 업체 멀웨어바이츠(Malwarebytes)의 보안 전문가인 제롬 세구라(Jerome Segura)는 최근 기술 지원 사기단들이 활용하고 있는 버그는 총 두 가지라고 말했다. 그리고 피해자들이 특수하게 만들어진 웹사이트를 방문하기만 하면 취약점 익스플로잇이 가능하며, 이 사이트들에 접속하면 번호가 하나 뜨면서 '윈도우 기술 지원을 위해 이리로 전화하라'는 경고 창이 뜬다. 이 두 가지 버그 중 하나를 세구라가 모질라에 알린 건 2년 전이며, 당시에도 기술 지원 사기단들이 이 취약점을 크롬에서 익스플로잇 하고 있었다. 공격자가 다운로드 관련 API를 익스플로잇 해서 모든 CPU 자원을 고갈케 함으로써 브라우저를 마비시키게 해주는 취약점이었다. 해당 취약점은 아직도 고쳐지지 않았으며, 조사 과정 중에 기술 지원 공격자들이 새롭게 익스플로잇 하기 시작한 버그도 발견했다. 이번에 발견한 버그는 인증 관련 문제를 사용자들에게 끊임없이 냄으로써 알림 관련 기능을 어뷰징 할 수 있게 해주는 취약점이다. 또한, 세구라는 최근에 발견한 취약점이 2년 전에 발견된 인증 팝업 익스플로잇의 확장판 버전으로 보인다고 말했다. 모질라 측은 정확한 입장 발표를 하지 않고 있지만 파이어폭스 71 버전에 픽스가 포함될 것으로 예상되며, 71 버전은 12월 3일에 발표될 예정이다.


4. [기사] New TSX Speculative Attack allows stealing sensitive data from latest Intel CPUs
[https://securityaffairs.co/wordpress/93816/hacking/tsx-speculative-attack.html]
TSX Asynchronous Abort라고도하는 ZombieLoad 2는 CVE-2019-11135로 추적된 새로운 취약점으로, TSX Speculative 공격을 시작하기 위해 악용 될 수있는 최신 Intel CPU에 영향을 미친다. 해당 결함은 인텔 프로세서의 TSX(Transactional Synchronization Extensions) 기능에 영향을 미치며 로컬 공격자 또는 악성 코드에 의해 악용되어 기본 운영 체제 커널에서 중요한 데이터를 훔칠 수 있다. 또한, Zombieload 2 공격은 2013년 이후 제조된 모든 Intel CPU에서 적용되는 Intel TSX 명령어 세트 확장을 지원하는 CPU에만 영향을준다. 인텔 TSX는 커밋되거나 중단된 원자 메모리 트랜잭션을 지원한다. Intel TSX 메모리 트랜잭션이 동기식 또는 비동기식으로 중단되면 트랜잭션 내부의 모든 이전 메모리 쓰기가 트랜잭션이 시작되기 전의 상태로 롤백된다. Intel TSX asynchronous abort (TAA)가 보류 중인 동안 아직 완료되지 않은 트랜잭션 내부의 특정로드는 마이크로 아키텍처 구조에서 데이터를 읽고 추측에 따라 해당 데이터를 종속 작업에 전달할 수 있고, 이는 마이크로 아키텍처 부작용을 유발할 수 있으며, 나중에 마이크로 아키텍처 구조의 데이터 값을 유추하기 위해 측정될 수 있다. 전문가들은 메모리 트랜잭션 중단으로 인해 프로세스가 운영 체제 커널 데이터를 포함하여 실행 중인 다른 프로세스에서 찾은 데이터를 계산할 수 있음을 발견했습니다. 공격자는 이 결함을 악용하여 암호 및 암호화 키를 포함한 민감한 데이터를 훔칠 수 있습니다.


5. [기사] A flaw in PMx Driver can give hackers full access to a device
[https://securityaffairs.co/wordpress/93826/hacking/pmx-driver-intel-driver-flaw.html]
8월에 Eclypsium 연구원들은 AMI, ASRock, ASUS, ATI, 바이오스타, EVGA, Getac, Gigabyte, Huawei, Insyde, Intel, MSI, NVIDIA, Phoenix Technologies, Realtek, Supermicro, Toshiba 등 수십 개 벤더의 40개 이상의 기기 드라이버에서 복수의 심각한 취약점을 발견했다. 전문가들은 공격자가 취약 시스템에 지속적인 백도어를 배치하기 위해 악용할 수 있는 취약성이 있다고 경고한다. Eclypsium에 따르면 인텔은 자사의 PMx Driver(PMxDrv)의 취약점을 해결했다. 해당 취약점은 기기에 대한 완전한 접근을 위해 이용될 수 있으며, 드라이버는 물리적 메모리에 대한 읽기 및 쓰기, 모델 특정 레지스터, 제어 레지스터, IDT 및 GDT 디스크립터 테이블, 디버그 레지스터, I/O 및 PCI 액세스를 포함한 모든 기능의 상위 세트를 구현한다. 전문가들은 사용자와 조직이이 기능을 지원하는 장치에 대해 HVCI(Hypervisor-protected Code Integrity)를 활성화할 것을 권장한다. 이 옵션은 모드 기반 실행 제어와 같은 새로운 프로세서 기능인 7세대 이상의 프로세서에서만 작동하며, 이는 많은 장치에서 HVCI를 활성화할 수 없음을 의미한다.

첨부파일 첨부파일이 없습니다.
태그 DoppelPaymer  AnteFrigus  Hookads   ZombieLoad 2