Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 6월 7일] 주요 보안 이슈
작성일 2017-06-07 조회 2327

 

 

 

1. [기사]14살 소년 렌섬웨어 제작혐의 체포
http://thehackernews.com/2017/06/japanese-ransomware-malware.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29

일본 당국은 ransomware 악성코드를 만들고 배포 한 것으로 의심되는 14세 소년을 체포했다. 일본에서 Ransomware 관련 범죄로 체포된 첫 번째 사례다. 소년은 공개된 무료 랜섬웨어를 수정하여 자신만의 버전을 개발하였다. 해외 웹사이트에 업로드하고 어떻게 다운로드하고 전파하는지 가르치기까지도 했으며, 본인의 웹사이트를 트위터를 포함한 소셜미디어를 통해 광고하기도 했다. 그는 유명한 사람이 되기 위해 호기심으로 랜섬웨어를 만들었다고 당국에 말했다.

 

2. [기사]브리트니 스피어스의 인스타그램 포스트 댓글을 C & C서버에 활용한 러시아 해커
https://www.bleepingcomputer.com/news/security/russian-state-hackers-use-britney-spears-instagram-posts-to-control-malware/
Turla라고 알려진 사이버 - 간첩 단체는 브리트니 스피어스 인스타그램 사진 댓글을 사용하여 C & C서버의 위치를 저장하기 위해 파이어 폭스 확장으로 위장한 백도어 트로이 목마를 설치했다. ESET 연구원이 최근 배포한 캠페인에서 발견된 이 Firefox 확장은 Turla APT에서 사용되는 해킹 도구의 일부분이다. 그룹의 주요 운영 모드는 손상된 사이트를  통해서 사용자 컴퓨터에 악성 파일을 강제로 다운로드하고 실행하는 것이다. 이 유형의 공격은 드라이브 바이 다운로드로 알려져 있으며 해킹 도구로 악용되거나 악의적인 캠페인 및 사이버 스파이 장치에서 사용된다.

 

3. [기사]Chrome 59, 30개 취약점 패치
http://www.securityweek.com/chrome-59-patches-30-vulnerabilities?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29
https://threatpost.com/google-fixes-30-vulnerabilities-five-high-severity-in-chrome-59/126091/
구글은 지난 수요일에 여러 가지 디자인과 기능 개선과 수 십 가지 취약점을 수정한 크롬 59의 출시를 발표했다. 구글에 따르면 인기있는 웹 브라우저의 최신 버전에는 외부 연구원이보고 한 것을 포함하여 총 30개의 결함이 수정되었다. Chrome 59의 출시로 패치된 중간 및 낮은 심각도의 취약점 목록은 검색 주소창 스푸핑, Skia 버퍼 오버플로, 메일 처리의 명령 삽입, 사용자 인터페이스 위장(blink user interface spoofing), 확장 인증 우회 및 WebUI 페이지의 부적절한 JavaScript 실행으로 설명되었다.

 

4. [기사] HDFS (Hadoop) 인스턴스는 5.0 PB의 데이터 이상이 온라인에 공개되어 있음
https://blog.shodan.io/the-hdfs-juggernaut/
MongoDB, Elastic, Redis는 개발자 커뮤니티에서 일반적으로 널리 사용되는 인터넷상의 데이터 노출 측면에서 많은 관심을 받았다. 그러나 데이터 양에 관해서는 HDFS가 막대하다는 사실이 밝혀졌다. 거의 모든 HDFS 인스턴스가 Amazon 클라우드에서 호스팅되어 1,059건이었고, Alibaba에서는 507건이었다. 데이터베이스에 대한 ransomware 공격은 여전히 일어나고 있으며, HDFS의 경우 Shodan은 공개적으로 노출되었다는 경고 메시지가 있는 약 207개의 클러스터를 발견했다. Shodan의 검색 결과를 보면, 공개된 MongoDB 인스턴스의 대부분이 손상된 것으로 드러났다.

 

5. [기사] IBM 백업 버그, 9개월 간의 노출 후 문제 해결 방법 수정
https://threatpost.com/ibm-backup-bug-gets-workaround-fix-after-nine-months-of-exposure/126098/
IBM은 지난 주 2016년 9월 이후에 알려진 엔터프라이즈 백업 소프트웨어의 취약점에 대한 해결책을 지난 주에 조용히 발표했다. 이 결함은 현지 공격자가 IBM의 Spectrum Protect 백업 아카이브 및 데이터 보호 서비스에서 데이터를 추출 할 수 있게 한다. 결함은 일반적으로 IBM Tivoli Storage Manager (TSM) 클라이언트라고하는 여러 버전에 묶여 있다. 이 결함은 로컬 사용자가 자신의 권한을 확대하고 모든 문서, 폴더, 전자 메일 및 로컬 호스트 TSM 서비스와 관련된 서비스 계정의 잠재적 사용자 이름 및 암호에 액세스 할 수 있게 한다. 영향을받는 버전의 IBM Spectrum Protect Windows 클라이언트 또는 Tivoli Storage Manager는 모두 8.1, 7.1, 6.4 및 6.3 이하 버전이다.

 

6. [기사] NSA의 Eternalblue 익스플로잇, Windows 10에 포팅
https://threatpost.com/nsas-eternalblue-exploit-ported-to-windows-10/126087/
NSA의 EternalBlue 익스플로잇은 white hat에 의해 Windows 10에 이식되었으며, 패치되지 않은 모든 Microsoft 운영 체제 버전이 Windows XP로 돌아 갔을 가능성이 높다. 연구자들은 EternalBlue에 대한 최선의 방어책은 3월에 Microsoft에서 제공한 MS17-010 업데이트를 적용하는 것이라고 말한다. 연구원은 오늘  NSA 익스플로잇을 Windows 10에 도입하고 이러한 공격을 계속 점검할 수 있도록 Microsoft에서 구현 한 완화 조치를 검토하는 데 필요한 것이 무엇인지 설명 하는 보고서를 게시했다.

 

7. [기사] 악성코드가 라우터 LED를 사용하여 보안 네트워크에서 데이터를 훔침
https://www.bleepingcomputer.com/news/security/malware-uses-router-leds-to-steal-data-from-secure-networks/
라우터 또는 스위치에 설치된 특수 설계된 맬웨어는 장치의 LED를 제어하고 간단한 비디오 녹화 장비를 사용하여 이를 캡처할 수 있는 근처의 공격자에게 바이너리 형식으로 데이터를 전송하는데 사용할 수 있다. 이 맬웨어는 라우터를 통과하는 특정 데이터를 가로 채고 바이너리 형식으로 나누고 라우터 LED를 사용하여 근처의 공격자에게 신호를 보낸다. 연구자들은 광학 센서를 사용하여 LED 당 1000 비트 / 초 이상의 속도로 데이터를 추출할 수 있다고 말한다. 여러 개의 LED를 사용하여 데이터를 추출하는 경우 여과 속도를 여러 번 높일 수 있다. 기본적으로 라우터와 스위치의 포트 수가 많을수록 악성 코드가 더 많은 데이터를 훔칠 수 있다.

 

8. [기사]넷기어 공유기 새로운 펌웨어…원격 데이터 수집기능 포함됨
http://www.dailysecu.com/?mod=news&act=articleView&idxno=20659
해외 언론에 따르면, 지난 주 업데이트된 넷기어(Netgear)의 Netgear NightHawk R7000무선 공유기 펌웨어가 원격 데이터 수집기능을 갖추고 있어, 라우팅 분석데이터를 수집해 제조사 서버로 발송하는 것으로 알려졌다. 보안연구원은 지난해 8월, 다수의 NetGear공유기에 원격코드 취약점이 존재하는 것을 발견했다. Netgear NightHawk R7000공유기의 새로운 펌웨어는 공유기에 연결된 장비의 총 수량, IP주소, MAC주소, 와이파이 정보 및 와이파이에 연결된 장비정보 등 데이터를 수집할 수 있다. 

 

9. [기사] 엔터프라이즈 애플리케이션의 새로운 취약점으로 인한 데이터 위험성
https://securityintelligence.com/news/new-vulnerability-in-enterprise-apps-puts-data-at-risk/
리서치에 따르면 많은 기업용 앱 개발자들은 백엔드 서버와 앱 간의 연결을 적절히 보호하지 못하여 민감한 데이터를 노출시킬 수 있다고 한다. 보안 회사는 새로 발견된 데이터 노출 취약점인 "HospitalGown"의 영향을 분석했다. 수 백 개의 엔터프라이즈 응용 프로그램에 영향을 주는이 취약점은 응용 프로그램 개발자가 방화벽 및 인증을 사용하여 백엔드 서버를 보호하지 않을 때 발생한다. 모바일 앱, 응용 프로그램 프로그래밍 인터페이스 및 Elasticsearch 데이터 저장소 간의 연결이 일반적으로 안전하지만 Elasticsearch 서버는 종종 인터넷에 노출된다고 한다. 노출된 데이터에는 비밀번호, 위치, 여행 및 지불 세부 정보와 같은 개인 식별 정보가 포함된다. 이 정보에는 이메일 및 전화번호와 같은 기업 프로파일 데이터는 물론 소매 고객 데이터도 포함된다. 

 

10. [기사] Active Directory 잠금하는 Qak Banking 악성코드
http://securityaffairs.co/wordpress/59714/malware/qakbot-banking-malware-ad-attacks.html
IBM의 보안 전문가는 수많은 Active Directory사용자가 QakBot Banking malware에 의해 회사 도메인에 갇혀 있음을 확인했다. 원인은 Qbot 뱅킹 맬웨어였다. Qbot 뱅킹 맬웨어는 비즈니스를 목표로하고 은행 계좌에서 돈을 훔치도록 설계되었으며 공유 드라이브 및 이동식 미디어를 통해 자체 복제할 수있는 네트워크 성능을 구현한다. 또한, QakBot은 온라인 뱅킹 인증 도용, 백도어 기능, SOCKS 프록시, 광범위한 안티 리서치 기능 및 안티 바이러스 (AV) 도구를 파괴할 수있는 기능을 갖춘 모듈 식 멀티 스레드 멀웨어이며 현재 변종은 관리자 권한이있는 회피 기술 외에도 엔드 포인트에서 실행되는 보안 소프트웨어를 비활성화 할 수 있다. 

 

11. [기사] PPT를 통해 악성코드를 전달하는 기술
http://securityaffairs.co/wordpress/59761/hacking/powerpoint-attack-malware.html
공격자는 PowerPoint 문서를 통해 악성 코드를 전달하는 새로운 기술을 사용하고 있다. 보안 연구원들은 최근 mouseover 이벤트를 악용하여 PowerShell 코드를 실행하는 악성 PowerPoint 파일을 여러 개 발견했다. 위협 행위자는 "구매 주문 번호 130527"및 "확인"과 같은 제목 줄과 "order.ppsx"또는 "invoice.ppsx"라는 첨부 파일이있는 스팸 메시지를 발송한다. PowerPoint 프레젠테이션을 열면 "Loading ... Please wait"텍스트가 하이퍼 링크로 표시되어 있다. 사용자가 링크 위로 마우스를 가져 가면 PowerShell 코드가 실행된다. 사용자가 클릭하지 않아도 코드가 실행된다. 해당 악성코드는 사용자를 필요로하지 않고 매크로를 사용해서 실행도 가능하다. 

첨부파일 첨부파일이 없습니다.
태그 C & C  HDFS  Eternalblue  Netgear  PowerPoint