Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 3월 11일] 주요 보안 이슈
작성일 2020-03-11 조회 266

1. [기사] 세계보건기구 사칭한 코로나19 악성메일 등장
[https://dailysecu.com/news/articleView.html?idxno=106817]
코로나19가 전 세계를 공포에 떨게 만드는 가운데, 국내에서 세계보건기구(WHO)를 사칭한 코로나19 관련 악성 메일이 발견돼 주의가 요구된다. 이 악성 메일에 첨부된 악성파일을 실행할 경우 사용자의 정보가 고스란히 명령제어(C&C) 서버로 전송돼 해커들에게 탈취된다. 메일 본문에 SNS 아이콘이 있는데, 이를 클릭하면 실제 WHO의 공식 SNS 계정으로 연결된다. 해당 메일에는 ATT00001.zip 파일이 첨부되어 있는데, 파일 안에는 MyHealth라는 실행파일(.exe)이 포함되어 있다. 만약 사용자가 첨부파일 안에 있는 exe 파일을 실행하면, 공격자가 사전에 세팅해 둔 구글 드라이브에 접속해 인코딩된 파일을 다운받은 후, 디코딩하고 정상 프로세스에 인젝션해 악성 행위를 수행한다. 최종적으로 실행되는 코드는 Formbook 악성코드다. 현재 알약에서는 해당 악성코드에 대해 Trojan.Agent.FormBook으로 탐지 중이다.


2. [기사] 구글, 보안 키 등록에 사파리 브라우저 활용할 수 있도록 조치 취해
[https://www.boannews.com/media/view.asp?idx=86883]
사용자들이 자신의 구글 계정에 보안 키를 등록할 때, 크롬 외 다른 웹 브라우저를 사용할 수 있다고 구글이 발표했다. 이는 안드로이드나 맥OS 사용자 모두에게 해당한다. 구글이 말하는 보안 키란, 이중 인증(2FA)을 가능하게 해주는 장치로, 사용자들은 이를 사용해 계정을 피싱 공격 등으로부터 안전하게 지킬 수 있다. 구글은 비밀번호라는 보안 장치를 제거하려고 노력 중이며, 대체 가능한 인증 수단을 전도 중이다. 구글의 발표에 의하면 이번 향상된 조치는 독립적으로 등록된 보안 키에도 적용이 되지만, 사용자가 ‘고급 보호 프로그램(Advanced Protection Program, APP)’에 등록할 때에도 적용이 된다고 한다.


3. [기사] 랜섬웨어 공격자들, 사람의 ‘손맛’을 가미해 탐지 피하기 시작
[https://www.boannews.com/media/view.asp?idx=86871&page=1&kind=1]
마이크로소프트가 인간의 적극적인 개입을 필요로 하는 랜섬웨어 캠페인이 극성을 부리기 시작했다고 경고했다. 레빌(REvil), 비트페이머(Bitpaymer), 류크(Ryuk)는 최근 방어 시스템으로 탐지하기 힘든 방법을 차용했다고 한다. MS가 발표한 보고서에 따르면 높은 권한을 가진 계정을 탈취하거나 환경 설정 오류를 악용한다고 한다. 즉 크리덴셜을 통해 계정을 장악하고 감시망을 피하는 공격 기법이 랜섬웨어에 적용된 것이라고 할 수 있다. MS는 자동화 기술을 사용하지 않고 탈취한 정상 크리덴셜이나 환경 설정 오류를 통해 은밀히 들어와 각종 사이버 공격은 물론 랜섬웨어까지 한꺼번에 혹은 조합해서 실행하는 공격은, 사건이 터진 후에야 탐지가 되는 것이 보통이라고 강조한다. 그러면서 이모텟(Emotet), 드리덱스(Dridex), 트릭봇(TrickBot)이 현재로서는 가장 조심해야 할 초기 멀웨어라고 짚었다.


4. [기사] Microsoft, 실수로 Wormable Win SMBv3 CVE-2020-0796 결함 공개
[https://securityaffairs.co/wordpress/99340/hacking/cve-2020-0796-smb-flaw.html]
오늘 마이크로소프트는 실수로 Microsoft Server Message Block(SMB) 프로토콜의 웜 취약성에 대한 보안 업데이트 정보를 유출했다. CVE-2020-0796으로 추적된 이 결함은 SMBv3이 악의적으로 조작된 압축 데이터 패킷을 처리하는 방식의 오류로 인해 발생하며, 인증되지 않은 원격 공격자는 이 결함을 이용하여 응용프로그램의 컨텍스트 내에서 임의 코드를 실행할 수 있다. 이 취약점은 Windows 10 버전 1903, Windows Server 버전 1903 (Server Core 설치), Windows 10 버전 1909 등을 실행하는 장치들에 영향을준다. 마이크로소프트는 자사 홈페이지에 SMBv3 압축을 해제하는 방법과 네트워크 보호 절차를 보안 권고로 게재했다.


5. 보기 드문 스팸 첨부파일을 통해 배포되는 파라다이스(Paradise) 랜섬웨어
[https://www.bleepingcomputer.com/news/security/paradise-ransomware-distributed-via-uncommon-spam-attachment/]
공격자들은 피해자 PC에 파라다이스 랜섬웨어 다운로드와 설치를 위해 피싱 캠페인의 Excel 웹 쿼리 첨부 파일을 보내기 시작했다. 파라다이스 랜섬웨어는 지난해 9월 BleepingComputer 포럼에서 피해자에 의해 처음 보고된 활동으로 상당히 오래된 것이다. 공격자들이 보낸 이메일에는 랜섬웨어를 다운로드하고 PowerShell 명령을 시작하게 하는 Excel 수식이 포함된 IQY 첨부 파일이 있었다. 이러한 IQY에는 페이로드(URL)가 없으므로 조직에서 탐지하는 데 어려움이 있을 수 있다. 조직에서나 가정에서 IQY 파일을 특별히 사용하지 않는 한 보안 소프트웨어를 사용하여 파일을 차단하거나 첨부 파일로 활용하는 전자 메일을 삭제하는 것이 좋다.

첨부파일 첨부파일이 없습니다.
태그 WHO  CVE-2020-0796  Paradise Ransomware