Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 3월 21일] 주요 보안 이슈
작성일 2017-03-21 조회 1508

1. [기사] 근로계약서로 위장한 한글 악성파일 유포중
[http://www.boannews.com/media/view.asp?idx=53902&page=1&kind=1]
올해 초 북한관련 한글 문서 악성코드와 유사한 한글 파일 악성코드가 다시 등장했다.이번에 발견된 한글 문서 악성코드는 ‘근로계약서를 보내 드립니다’라는 이메일 제목으로 전달된다. 이메일에는 ‘근 로 계 약 서.hwp’와 ‘실행예산변경.hwp’이라는 파일명의 한글 문서 2개가 첨부되어 있으며, 해당 문서를 열람할 경우 정보탈취 악성코드에 감염되어 PC 내의 정보들이 외부로 전송되는 기능이 포함되어 있다.

 

2. [기사] 국내 ATM 해킹
[http://www.boannews.com/media/view.asp?idx=53895&page=1&kind=1]
[http://www.ddaily.co.kr/news/article.html?no=153999]
[http://imnews.imbc.com/replay/2017/nwdesk/article/4241975_21408.html]
[http://news.sbs.co.kr/news/endPage.do?news_id=N1004103199]
국내 한 기업에서 관리하는 ATM 기기에 악성코드를 이용한 공격이 진행됐고, 은행계좌 및 카드정보 등 개인신용정보가 유출된 것이 확인됐다. 이번 ATM기기 공격에 사용됐던 악성코드가 지난해 벌어진 ‘이니텍’의 코드서명(Code Signing)이 탑재된 전자인증서를 탈취·위조해 10개 국내 기관 19개 컴퓨터(PC)에 유포됐던 악성코드와 유사하다는 의견을 제시했다. 이 때문에 상당수 보안전문가들은 이번 사건을 북한의 공격으로 추정하고 있다.

 

3.[기사] 중국의 PUP, 악의적인 백도어 드라이버 내포
[https://www.bleepingcomputer.com/news/security/big-surprise-chinese-pups-deliver-backdoored-drivers/]
[https://blog.malwarebytes.com/threat-analysis/2017/03/helpdetectwz-chinese-backdoor-drivers/]
중국어 소프트웨어 용 PUP 패키지를 통해 비밀리에 설치된 드라이버에는 타사에서 서명되지 않은 드라이버를 로드하거나 Windows 컴퓨터에서 높은 권한으로 코드를 실행할 수있는 백도어가 포함되어 있다. 해당 백도어는 제 3자가 Windows PC에 서명되지 않은 드라이버를 설치할 수 있게 하며, 공격자의 코드를 가져 와서 드라이버를 통해 실행하여 로컬 권한 상승을 가능하게하는 메커니즘으로, 커널 수준의 액세스가 기본적으로있어 공격자의 코드에 동일한 액세스 수준을 부여한다.

 

4. [기사] 시스코, 'Vault 7' 에서 0-day 취약점 발견
[http://www.securityweek.com/cisco-finds-zero-day-vulnerability-vault-7-leak?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
[https://threatpost.com/cisco-warns-of-critical-vulnerability-revealed-in-vault-7-data-dump/124414/]
[https://www.bleepingcomputer.com/news/security/ciscos-investigation-into-vault-7-leak-uncovers-0-day-affecting-318-products/]
[http://securityaffairs.co/wordpress/57285/breaking-news/vault7-cisco-flaw.html]
[http://thehackernews.com/2017/03/cisco-network-switch-exploit.html]
최근 공개 된 WikiLeaks "Vault 7"누설이 회사 제품에 어떤 영향을 미치는지 조사하기 위해 전사적 인 노력을 기울여 제로 데이를 발견했다. Vault 7은 2 주 전에 온라인으로 버려진 WikiLeaks 문서 모음으로, CIA의 해킹 도구에 대한 내부 문서 파일이다.CIA 맬웨어가이 결함을 악용 한 것인지 확신 할 수는 없지만 연구자들은 코드에서 문제를 발견했다.이 취약점 (CVE-2017-3881)은 Cisco IOS 및 Cisco IOS XE Software의 클러스터 관리 프로토콜 코드에 있습니다. Cisco에 따르면 318 개의 제품 모델에 설치된 펌웨어가 현재 영향을 받는다.

 

5. [기사] 모질라, Pwn2Own에서 발견된 파이어폭스 취약점 패치
[http://www.securityweek.com/mozilla-patches-firefox-flaw-disclosed-pwn2own?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
[https://threatpost.com/mozilla-patches-pwn2own-zero-day-in-firefox/124415/]
[https://www.bleepingcomputer.com/news/security/it-took-mozilla-22-hours-to-patch-a-firefox-vulnerability-discovered-at-pwn2own/]

 

6. [기사] 해커, 패스워드 없이 윈도우 사용자 세션을 쉽게 탈취하는 방법
[http://thehackernews.com/2017/03/hack-windows-user-account.html]
[http://www.securityweek.com/fileless-attack-can-bypass-user-account-control-windows-10?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]

 

7. [분석정보] DNS 쿼리를 이용해 명령을 주고받는 파일리스 악성코드
[http://www.ryansecurity.co.kr/3619]
[http://blog.talosintelligence.com/2017/03/dnsmessenger.html]

 

8. [분석정보] 북한발 악성코드 정보
- HWP 악성코드
2017년 03월 20일 금일 오전 9시 31분 북 공작조는 HWP 취약점을 이용해 Fileless 기반의 공격을 수행하였습니다.
관련 공격 기법은 HWP 취약점을 이용해 Shellcode를 메모리에 은닉하는 Fileless 기법으로 내부에는 다음과 같은 흔적이 존재합니다.
[D:HighSchoolversion 13First-Dragon(VS2015)SampleReleaseDogCall.pdb]
2월 경 발견된 변종에서는 다음과 같은 흔적이 존재했었는데, 계속 버전업 하는 것으로 볼 수 있습니다.
[E:HappyWorkSourceversion 12First-DragonSampleReleaseDogCall.pdb]

- 비너스 락커
비너스락커 제작자는 3월 19일 일요일 저녁 7시경 새로운 변종을 제작해 유포했습니다. 보안 인증서 파일처럼 둔갑시켜 은밀하게 공격하고 있습니다.
휴일도 반납하고 일요일 저녁에도 그들은 쉬지않고 공격을 수행 중입니다.
아직까지 신규 비트코인 지갑에는 거래가 없는 상태이지만, 곧 유입이 활성화 될 것으로 보입니다. 마치 전방위적으로 외화벌이에 나서는 모양새입니다
[https://blockchain.info/ko/address/1JKVwmeokitMHAFxCUeC4yrd8pdWxDAjZW]

 

첨부파일 첨부파일이 없습니다.
태그   21일