Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향 [2017년 6월 8일] 주요 보안 이슈
작성일 2017-06-08 조회 1945

 

 

 

1. [기사] 라즈베리 파이 장비를 이용한 Linux 용 채굴 악성코드
https://www.bleepingcomputer.com/news/security/linux-malware-mines-for-cryptocurrency-using-raspberry-pi-devices/
Linux.MulDrop.14라는 이름의 리눅스 트로이 목마는 라즈베리 파이 장치를 감염 시키고 있다. 악성코드는 압축되어 있으며 암호화된 응용 프로그램을 포함하는 스크립트 형식이다. 라즈베리 파이 사용자가 장치의 SSH포트를 외부 연결에 개방 상태로 두면 초기 감염이 발생한다. 라즈베리 파이 장치가 감염되면 멀웨어는 "pi"계정의 암호를 변경한다. 연구원은 Linux.ProxyM이라는 이름의 두 번째 리눅스 멀웨어를 발견했다. 리눅스 트로이 목마는 감염된 장치에서 SOCKS 프로시 서버를 시작하는데 사용된다. 트로이 목마는 악의적인 트래픽을 릴레이하여 실제 신원과 위치를 위장한다. 

 

2. [기사] 일부 오래된 WiMAX 라우터에 OEM backdoor 존재
https://www.bleepingcomputer.com/news/security/some-old-wimax-routers-contain-oem-backdoors/
WiMAX 기술을 기반으로 구축된 일부 구형 라우터에 백도어 계정이 존재한다. 웹기반 관리 패널에서 인증 우회를 한다. 이는 라우터와 함께 제공되는 내장 웹 서버파일에 액세스하여 기본 관리자 계정의 암호를 변경할 수 있다. 공격자는 장치에 대한 액세스 권한을 가지며 그 뒤에 있는 네트워크에 엑세스하고 추가 공격을 시작하거나 미라이와 유사한 봇넷에 장치를 추가하거나 단순히 사용자를 감시할 수 있다. 연구원은 일부 라우터의 펌웨어에서 하드 코드된 많은 유닉스 스타일 암호해시가 발견됬다고 한다. 

 

3. [기사] 미국,영국 그리고 프랑스 사용자를 대상으로 하는 안드로이드 Self-Downloading 악성코드
https://www.bleepingcomputer.com/news/security/self-downloading-android-malware-target-users-in-the-us-uk-and-france/
인기있는 포럼에서 발견된 악의적인 캠페인은 사용자의 기기에 안드로이드 앱을 강제로 다운로드한다. 안드로이드 앱을 설치하면 제거하기 거의 불가능한 두 번째 앱이 설치된다. 이 앱의 이름은 Ks Clean(kskas.apk)이다. 연구원은 지난 2주동안 앱 300회 이상을 추적했다고 밝혔다. 가장 영향을 많이 받은 국가는 미국, 영국, 프랑스였다. 캠페인의 영향을 받지 않기 위해서는 사용자가 모든 모바일 브라우저에서 자동 다운로드를 비활성화하고 안드로이드 보안 설정 섹션에서 "알 수 없는 출처"옵션을 해제해야 한다.

 

4. [기사] 매크로 실행을 요구하지 않고 악성코드를 설치하는 PPT
http://thehackernews.com/2017/06/microsoft-powerpoint-malware.html
PPT문서에 포함된 PowerShell 명령을 사용하여 대상 시스템에서 악성코드 실행한다. PowerShell코드는 사용자가 링크를 클릭하지 않고도 링크에 마우스를 올리면 손상된 컴퓨터에 추가 페이로드를 다운로드한다. 연구원은 해커그룹이 악의적인 파워포인트 파일을 사용하여 틴바(Tiny Banker)라고도 알려진 은행용 트로이 목마인 '쥬시'(Zusy)를 배포하고 있음을 발견했다. 쥬시는 네트워크 트래픽을 탐지하고 Man-in-The-Browser공격을 수행하여 합법적인 은행 사이트에 추가 양식을 삽입하고 희생자에게 보다 중요한 데이터를 공유하도록 요청하는 기능이 있다.

 

5. [기사] Ransomware에 의해 가려진 BotNet 악성코드
https://www.welivesecurity.com/2017/06/07/botnets-overshadowed-ransomware-media/
최근에 많이 보고된 워너크라이 랜섬웨어 공격보다 더 위험한 것은 영향을 받는 시스템을 한꺼번에 제어할 수 있는 봇넷이다. 이유는 봇넷은 운영자가 100%에 가까운 성공률로 거의 모든 작업을 실행할 수 있기 때문이다. 봇넷은 랜섬웨어마큼 눈에 띄지는 않고 언제든지 바뀔 수 있다. 봇넷은 스팸을 발송하거나 사기의 범위를 배포하거나 심지어 랜섬웨어를 배포할 수도 있다. DDoS공격도 수행가능하며 또한 광고 네트워크를 속이는데 사용될 수도 있다.

 

6. [기사] 유명 IP 카메라 취약점 다수 발견 
http://www.securityweek.com/multiple-vulnerabilities-found-popular-ip-cameras?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29
중국의 Foscam에서 만든 IP 카메라들에 여러 취약점이 발견됐다. 취약점은 아직 어떤 패치도 되지 않았다. Foscam 카메라는 여러 다른 브랜드명(OptiCam 등)으로 판매되고 있어 식별이 쉽지 않으므로, 사용자는 자신의 IP cam 의 제조사를 확인할 것을 권고한다. 미인증된 사용자가 특정 포트에 접근해 command injection을 통해 새로운 관리자 계정을 생성하고, 또 이 계정을 telnet으로 접근할 수 있는 취약점과 빈 비밀번호를 사용하는 FTP 계정으로 로그인하는 취약점 등이 있다.

 

7. [기사] 해커가 채팅 플랫폼을 이용하여 C2서버로 활용 가능
http://blog.trendmicro.com/trendlabs-security-intelligence/using-third-party-apis-cc-infrastructure/
TrendMicro는 Slack, Discord, Telegram 과 같은 유명 채팅 플랫폼이 악성 C2서버로 악용될수 있다고 밝혔다. 사실 텔레그램, 트위터 등이 C2 서버로 활용된건 꽤 오래되었다. 악성 매크로가 포함된 Word 파일은 회사의 채팅 플랫폼을 명령 및 제어 인프라로 사용하는 코드를 실행하는 것으로 밝혀졌다. 실제로는 ransomware 변종을 사용하는것으로 나타났다. 사용자 정의 가능한 API인 엔터프라이즈 애플리케이션에 협업 및 통합을 가져오는 기능은 공격자가 악용할 수 있다. 특히 Telegram같은 경우, 작성자에게 새로운 시스템에 성공적으로 침투하고 지불 및 암호 해독에 필요한 다른 정보를 중계하는 TeleCrypt를 사용한다. 현재 기능을 중지시키지 않고 채팅 플랫폼의 사용을 안전하게 할 수 있는 방법이 없다. 

 

8. [기사] 중국 기업이 유포중인‘FireBall’멀웨어, 2억5천만대 PC 감염시킴
http://www.dailysecu.com/?mod=news&act=articleView&idxno=20731
체크포인트(Check Point)는 멀웨어 ‘Fireball’에 대해 분석 내용을 공개하면서 이를 중국 기업이 유포했다고 밝혔다. FireBall은 현재 전세계 2억5천만대 컴퓨터를 이미 감염시켜 글로벌 재난을 유발시킬 능력이 충분히 갖추어져 있다. FireBall은 인터넷 브라우저 제어, 피해자의 웹 사용을 감시할 수 있고 개인파일을 절취 할 수 있다. 이 멀웨어는 전세계에 중대한 사이버보안 사고를 초래할 수 있다고 전문가는 경고했다. 이 멀웨어는 합법적인 서비스가 아니며, 코드실행, 파일 다운로드, plug-in설치, 컴퓨터 설정변경, 사용자 감시 기능이 있으며 심지어 멀웨어 다운로더의 효율적인 역할을 할 수도 있다.

 

9. [기사] Turla 악성코드, 인스타그램 댓글로부터 C&C 주소 획득 가능
http://www.securityweek.com/turla-malware-obtains-cc-address-instagram-comments?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner
해커가 다시 한 번 소셜 미디어를 악용하기 시작했다. 이 캠페인은 피해자 프로필 작성을 위해 설계된 JavaScript 도구를 제공하는 서버로 방문자를 리디렉션하기 위해 손상된 웹 사이트에 악의적인 코드를 심어놓는 워터링 홀 공격과 관련이 있다. ESET가 분석한 악성 Firefox 확장은 스위스 보안 회사 웹 사이트의 웹 사이트를 통해 배포되었다. 멀웨어는 감염된 시스템에 대한 정보를 수집하도록 설계되었으며 공격자가 파일 실행, 파일 업로드 및 다운로드, 디렉토리 내용 읽기와 같은 다양한 작업을 수행할 수 있다. 이 백도어를 흥미롭게 만드는 것은 C & C 서버의 주소를 얻는 방법이다. 언뜻 봤을때는 공격자가 작성한 것 같지 않아보이는 해시태그를 정규식에 실행하면 백도어의 C & C 서버 URL이 나타난다.

 

10. [기사] Two-factor 인증에 취약한 것은 바로 당신
http://news.softpedia.com/news/hackers-exploited-biggest-vulnerability-of-two-factor-authentication-you-516296.shtml
방문하는 모든 웹 페이지에 대해 신중해야한다. NSA 문서에서 Mashable은 해커가 사람들에게 장치에서 받은 인증 코드를 묻는 방법으로 Two-factor 인증을 얻을 수 있다고 한다. 피해자가 러시아 해커가 만든 가짜 Google 사이트에 이메일과 비밀번호를 입력하게되면 사용자 이름과 비밀번호, 즉 2FA 인증 코드 이상의 정보를 입력해야한다. 피해자가 행위자 통제 웹 사이트에 데이터를 제공하면 합법적인 Google 서비스로 전송된다. 계정에 대한 액세스가 허용되면 해커는 선거 관리 공무원에게 전자 메일을 보내 컴퓨터를 손상시키기 위해 악의적인 스크립트를 실행하는 Word 문서를 열도록 속이려고한다. 최선의 보호는 사용자 이름, 비밀번호 및 2FA 세부 정보를 입력하기 전에 주소를 직접 입력하여 합법적인지 확인해야 한다.

첨부파일 첨부파일이 없습니다.
태그 OEM backdoor  PPT  BotNet  C&C  Turla