Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 5월 29일] 주요 보안 이슈
작성일 2017-05-29 조회 1858

 

 

1. [기사] Google은 HTTP 통신으로 로그인 처리하는 일부 사이트 블랙리스트 처리
https://www.bleepingcomputer.com/news/security/report-reveals-google-is-blacklisting-some-sites-that-handle-passwords-via-http/
보안 전문가에 따르면 HTTP 페이지를 통해 비밀번호와 신용 카드를 처리하는 여러 사이트가 Google의 세이프 브라우징 차단 목록에 있다고 한다. 조사관은 해당 사이트가 HTTPS로 이동하자마자 구글이 구글 세이프 브라우징 블랙리스트에서 사이트를 삭제했다고 말했다. 블랙리스트에 등록된 일부 웹 사이트는 맬웨어에 감염된 반면 전문가들은 감염되지 않은 사이트들이 많다고 한다. 대부분의 피싱 사이트는 새로 등록된 도메인에서 작동하기 때문에 도메인 나이가 중요하다. 사이트를 블랙리스트에 올릴 때 Google이 새로운 요소 조합을 사용하기 시작했다. 첫 번째는 도메인 기간이며 두 번째는 HTTP 페이지의 암호 또는 신용 카드 입력 필드의 존재이다.


2. [기사] 파일 시스템 버그로 인해 Windows 7 및 Windows 8.1이 중단되거나 충돌
https://www.bleepingcomputer.com/news/microsoft/filesystem-bug-hangs-or-crashes-windows-7-and-windows-8-1/
Microsoft의 NTFS 파일 시스템 기술의 버그로 인해 존재 하지 않는 파일에 대한 잘못된 경로에 액세스하도록 사용자를 속여서 Windows Vista, Windows 7 및 Windows 8.1을 실행하는 컴퓨터를 정지 시키거나 충돌시킬 수 있다. Windows 10에 영향을 주지 않는 이 문제는 사용자가 잘못된 경로로 존재하지 않는 파일을 열려고 할 때 악용 될 수 있으며, 해당 문제는 모든 NTFS 볼륨에있는 파일인 마스터 파일 테이블 $MFT 파일 때문에 발생한다. Chrome은 $ MFT 익스플로잇과 같은 잘못된 경로가 포함된 이미지로드를 거부하지만, Windows 7 설치가된 Internet Explorer 및 Firefox는  $ MFT 버그로 인해 중지됨을 확인했다. 이 NTFS $ MFT 버그는 Windows 95 및 Windows 98 시스템을 손상 시킨 " C : / con / con "버그인 90 년대의 파일 경로 버그와 매우 유사하다.

 

3. [기사] Google Play 스토어에서 41개의 'Judy'멀웨어에 감염된 앱 확인
https://www.bleepingcomputer.com/news/security/google-boots-41-apps-infected-with-judy-malware-off-the-play-store/
Google은 공식 Play 스토어에서 41 개의 Android 앱을 삭제했다. 이 애플리케이션은 Judy라는 새로운 유형의 악성 코드에 감염되었으며, 전문가들은이 악성 코드가 8.5 ~ 3650 만 명의 사용자에게 감염된 것으로 추정한다. 이 코드의 목적은 브라우저 앱을 실행하고, URL을로드하고, JavaScript를 사용하여 악성 코드 작성자에게 이익을 가져다 줄 특정 배너를 찾아 클릭하는 것이었다. Check Point에 따르면 거의 모든 악성 앱은 Kiniwini라는 한국 회사에서 제작했지만 ENISTUDIO 사로 Google Play 스토어에 등록되었다. 회사가 악성 코드 자체를 추가했는지 서버가 손상되어 제 3자가 코드를 추가했는지 여부는 확실하지 않다.

 

4.[기사][긴급] 페덱스 배송안내로 위장한 한국형 랜섬웨어‘오토크립터’확산! 
http://www.boannews.com/media/view.asp?idx=54954&page=1&kind=1
서비스형 랜섬웨어(Ransomware as a Service, RaaS)의 일종인‘오토크립터(AutoCryptor)' 변종이 국제 배송 안내를 사칭한 이메일을 통해 국내에 다량 유포되고 있다. 오토크립터 랜섬웨어가 이달 초 기존 랜섬웨어 공격자들이 비트코인을 요구하는‘박리다매’형태로 국내에 최초로 확산된 바 있다면서, 최근 정부기관, 민간기업, 커뮤니티 블로거까지 폭넓게 공격하고 있다고 밝혔다. 수신자가 육안상 실행 파일이 아닌 것에 안심하거나 이미지(.jpg) 파일로 위장된 바로가기 파일인‘배송장.jpg’파일이나‘영수증.jpg’파일을 실행할 경우, 바로가기 내부 명령어에 의해‘페덱스지점안내.doc’파일이 자동으로 실행되고 그 즉시 랜섬웨어에 감염된다. 또한 랜섬웨어에 의한 암호화 과정이 모두 완료되면 바탕화면 등에 랜섬노트 파일이 생성되고, 암호 해독(복호화)을 위해 0.1 비트코인을 요구하는 한국어 안내를 보여준다.

 

5. [기사] 두 번째 워너크라이 사태? 삼바 공격에 대비하라 
http://www.boannews.com/media/view.asp?idx=54953&page=1&kind=1
오픈 소스인 삼바(Samba)에서 원격 코드 실행 취약점인 CVE-2017-7494가 발견되었다. 이 취약점을 악용하면 공격자들은 시스템에 접근해 공유된 라이브러리를 쓰기가 가능한 공유 영역에 업로드시킴으로서, 서버가 해당 라이브러리를 업로드시키고 실행하도록 만들 수 있다고 한다. 전문가들은 워너크라이2가 되지는 않을 것이라는데 동의하고 있다. 공격하려면 삼바 서버의 위치도 알고 있어야 하고, 인증 단계도 거쳐야 하며, 특정 파일이 공유되는 경로도 공격자가 알고 있어야 하기 때문이다. 저렴한 NAS 기기들에서 삼바 관련 문제가 발생할 것으로 예상하고 있다. NAS 기기들 대부분 임베드된 리눅스용 삼바를 사용하고 있는데, 이러한 NAS 기기의 사용자들이 삼바문제와 관련이 있다고 생각하지 않아 패치될 확률이 적고, NAS 업체들이 패치를 따로 만들거나 배포할 확률도 적기 때문이다.

 

6. [기사] Jaff랜섬웨어, 전세계 600만대 컴퓨터장비 감염...Necurs 봇넷 소행
http://www.dailysecu.com/?mod=news&act=articleView&idxno=20446
해외 보안연구원들에 따르면 봇넷 Necurs가 시간당 500만통의 악성 이메일을 이용해 새로운 유형의 랜섬웨어 Jaff를 유포해, 전세계 600만대 이상의 컴퓨터 장비를 감염시킨 것으로 조사됐다. Jaff 랜섬웨어는 C언어로 작성되었으며, 목표 컴퓨터 파일을 암호화해 '몸 값'을 요구한다. Necurs 봇넷은 PDF파일이 첨부된 이메일을 발송하는 것으로 알려졌다. 사용자가 파일을 클릭하면 악의적인 매크로 스크립트가 포함된 Word파일을 실행하여 Jaff랜섬웨어를 다운로드 및 실행한다. 조사에 의하면 Jaff 랜섬웨어는 C&C서버에 의존하지 않는 상황에서 423개의 파일 확장자를 겨냥하여 오프라인 암호화 처리를 진행했다. 암호화된 문서는“.jaff”확장자가 추가된다. 영향 받은 컴퓨터의 바탕화면은 악의적으로 변경되었고, 공격자가 요구하는“몸값"의 구체적인 편지를 받게 된다.

 

7. [기사] 뉴욕 로펌 M&A 정보 해킹해 주식거래에 활용한 중국 해커 3명
http://www.dailysecu.com/?mod=news&act=articleView&idxno=20445
BBC보도에 따르면, 미국증권거래위원회(SEC)는 3명의 해커를 기소했다. 그들은 로펌 7곳을 공격시도 했으나, 이 중에서 두 사무소의 네트워크 상에 악성소프트웨어를 설치할 수 있었다. 그런 후 그들은 IT관리자의 계정을 공격하여 회사의 모든 이메일 계정정보를 획득했다. 이메일과 웹서버를 획득 한 후, 해커는 더 나아가 회사의 정보(이미 계획중인 합병계획과 인수정보)를 획득했다. 3명의 해커는 정보를 얻은 후 거래달성이전에 회사주식을 사들였고 합병/인수정보를 발표한 이후 주식을 팔았다.

 

8. [기사]Crysis랜섬웨어 마스터키 Pastebin에 공개
https://nakedsecurity.sophos.com/2017/05/26/crysis-ransomware-master-keys-posted-to-pastebin/amp/>
Key Link: https://pastebin.com/DXHySphQ
Crysis에 기반한 Dharma 키는 2016년 11월에 처음 등장했으며 3월에 키가 릴리스 되었다. 이것은 세 번째 크라이시스 키 릴리스다. 키는 .wallet 및 .onion 확장자로 암호화 된 파일의 암호를 해독하는 데 사용할 수 있다.

 

9. [기사] SMB 소프트웨어용 긴급 패치로 #WannaCry의 음영 제공
https://www.infosecurity-magazine.com/news/shades-of-wannacry-as-urgent-patch/
보안 전문가들은 오픈 소스 SMB 구현의 Samba에서 7년된 버그를 패치하거나 잠재적으로 WannaCry 스타일의 맬웨어 감염 위험을 사용자에게 촉구했다.  Samba 의 3.5.0 이후 버전에 모두 영향을 미치며 포트 445가 열린 특정 조건이 충족 될 경우 단 한 줄의 코드 로 악용 될 수 있다. Samba 3.5.0 이후 버전은 원격 코드 실행 취약점에 취약하여 악의적인 클라이언트가 공유 라이브러리를 쓰기 가능한 공유에 업로드한 다음 서버에로드하고 실행하게 한다. 결과적으로, 기술적이지 않은 해커조차도 그들이 좋아하는 종류의 악성 코드를 쉽게 업로드 할 수 있다. 큰 우려 사항은 WannaCry와 마찬가지로 SMB 버그를 타깃으로한 이 취약점은 인터넷을 통해 웜처럼 퍼져 나갈 수 있으며, 집에있는 NAS 장치는 기업 구현과 마찬가지로 위험에 처할 수 있다. 조직은 공식 자산 및 구성 관리 시스템을 검토하여 취약한 시스템을 즉시 확인한 다음 포괄적이고 정기적 인 전체 네트워크 취약성 검색을 수행하여 잘못 구성된 시스템 또는 불량 시스템을 식별해야하며, 패치를 즉시 수행 할 수없는 경우 조직에서 가능한 한 빨리 중요한 데이터의 오프라인 복사본을 만드는 것이 좋다.

 

10. [기사] Houdini 웜 코드, paste 사이트에 덤프됨
http://news.softpedia.com/news/code-for-houdini-worm-dumped-on-paste-sites-516078.shtml
4년정도 활동해온 Houdini(H-Worm), 2014년에는 아시아-태평양지역에서 활동했으나 지난해 동안은 중동지역과 관련해 활동해왔다. paste 사이트에서 VB로 작성된 악성스크립트가 증가하는것을 발견됬는데 조사결과 이것은 Houdini Worm 의 소스코드라고 한다. 제작자는 개인인 것으로 보인다. 이 개인이 Houdini VBscript 를 지속적으로 업데이트하고, C2서버 주소 또한 갱신중인것으로 보인다.

 

11. [기사] Intel, AMT 제품 로컬 및 원격 권한 상승 취약점 (CVE-2017-5689)
http://www.freebuf.com/vuls/135549.html
웹 로그인 패킷 인증 필드 전체 삭제의 값에 해당하는 응답을 차단하는 소프트웨어 패키지를 사용하여 관리자는 AMT 웹 사용자 인터페이스에 로그인 할 수 있다. 이 취약점으로, 당신은 관리 성 사령관 도구, VNC 원격 관리 BIOS 및 운영 시스템에 의해 생성 된 사용자를 사용하여 사용자, 원격 스위치를 관리 할 수 있다.

첨부파일 첨부파일이 없습니다.
태그 오토크립터  CVE-2017-7494  Houdini  CVE-2017-5689  Samba