Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향 [2017년 6월 12일] 주요 보안 이슈
작성일 2017-06-12 조회 1908

 

 

 

1.[기사] 해커들,"SambaCry 취약점"을 사용하여 리눅스 시스템 해킹 시작
http://thehackernews.com/2017/06/linux-samba-vulnerability.html
https://www.bleepingcomputer.com/news/security/linux-servers-hijacked-to-mine-cryptocurrency-via-sambacry-vulnerability/
알려지지 않은 위협 요소가 Samba 설치에서 취약점을 사용하여 Linux 컴퓨터를 장악하고 있다. 이 취약점은 SMB 프로토콜을 통해 악용될 수 있고 WannaCry ransomware 발생과 비슷하게 발생하기 때문에 일부 연구원은 버그를 SambaCry 또는 EternalRed로 언급하기 시작했다. SambaCry를 성공적으로 사용하면 공격자가 Samba서버에서 "파이프"를 열고 악성코드를 업로드하여 실행시킬 수 있다. 공격자의 기술 수준에 따라 전체 서버 인계를 매우 쉽게 달성할 수 있다.

 

2.[기사] 프랑스 경찰, WannaCry 조사에서 6대의 Tor 릴레이 서버 확인
http://thehackernews.com/2017/06/wannacry-ransomware-tor-relay.html
https://www.bleepingcomputer.com/news/security/french-police-seize-two-tor-relays-in-wannacry-investigation/
프랑스 경찰은 프랑스 활동가인 Aeris에 속한 두 개의 Tor 릴레이를 가동하는 서버를 탈취했다. 이 서버는 WannaCry공격과 관련하여 압수당했다고 전했다. 에어리스 (Aeris)는 그의 서버가 이 연결에서 첫번째 홉(hop)으로 사용된 것으로 의심된다. 프랑스 당국은 WannaCry사건을 조사하면서 프랑스의 호스팅 제공 업체에서 호스트된 6개 이상의 Tor 보안 게이트웨이 서버를 확보했다. WannaCry ransomware가 Tor의 Aeris는 5명이 운영하는 총 6개의 Tor 릴레이의 시이저를 알고 있다고 전했다. 숨겨진 서비스를 사용하여 명령 및 제어 서버와 통신한다. 이 중 얼마나 많은 것이 WannaCry 공격과 관련이 있는지는 분명하지 않다. 조사자가 참여한 당사자가 정보를 공유하지 않기 때문에 현재 이 사건에 대한 정보는 거의 없다.

 

3.[기사] 인터넷나야나 공격 해커, 26억 원 상당의 비트코인 요구
http://www.boannews.com/media/view.asp?idx=55228
랜섬웨어에 공격당한 웹 호스팅업체 인터넷나야나가 총 153대의 리눅스 서버가 감염됐다고 밝혔다. 해커들이 6월 14일까지 서버당 5.4비트코인(한화 1,755만원)을 요구했다고 밝혔다. 153대의 서버를 다 풀려면 약 26억 8,515만원이 필요한 셈이다. 인터넷나야나는 랜섬웨어에 감염된 후 백업된 자료로 복구하려고 했으나, 원본 파일을 포함한 내부 백업과 외부 백업 모두 랜섬웨어에 감염되어 암호화됐다고 밝혔다. 현재 인터넷나야나는‘보유하고 있는 원본 데이터 제공시 복원 지원’을 정상화 방법으로 제시하고 있다. 즉, 사용자가 스스로 원본 데이터를 제공해야만 복원이 가능하다.

 

4.[기사] 웹 호스팅 업체 랜섬웨어 감염! 중소 웹사이트로 피해 확산되나
http://www.boannews.com/media/view.asp?idx=55215&kind=1
1만여 개에 달하는 웹 사이트와 서버를 임대·관리하는 웹호스팅 업체 인터넷나야나의 서버 일부가 랜섬웨어에 감염된 것으로 드러나 인터넷쇼핑몰 등 중소 인터넷사업자들의 대규모 피해가 우려되고 있다. 최근 일부 고객들의 데이터베이스 및 이미지, 동영상 등이 랜섬웨어에 감염된 사실을 확인됬다. 서버가 감염된 랜섬웨어는 ‘에레보스(Erebus)’ 랜섬웨어로, 워너크라이(WannaCry)랜섬웨어는 아닌 것으로 알려졌다. ‘에레보스(Erebus)’ 랜섬웨어는 저가형 랜섬웨어로 알려져 있다. 무엇보다 에레보스는 ‘사용자 계정 제어(UAC) 보안 기능’을 우회하고, 스스로 ‘익명(Tor) 브라우저 클라이언트’를 다운받아 추적을 어렵게 하는 지능적인 랜섬웨어 가운데 하나다. 인터넷쇼핑몰 등 중소 인터넷사업자들은 물론 홈페이지 대행업체도 포함되어 있어 추가 피해가 우려되고 있다. 

 

5.[기사] 한국은행, 어나니머스 공격 첩보 입수...비상태세 만전
http://www.boannews.com/media/view.asp?idx=55221&page=1&kind=1
한국은행은 6월 11일부터 21일 사이 한국은행 홈페이지에 어나니머스의 디도스(DDoS)공격이 있을 것이란 정보를 입수했다고 공지했다. 어나니머스의 사이버공격에 대한 대비를 하고 있지만, 실제 공격이 있을 경우 홈페이지 이용이 원활하지 않을 수 있다면서 사전 공지한 것이다. 한국은행은 어나니머스가 세계 각국의 중앙은행 홈페이지를 공격하겠다는 예고를 접하고 24시간 사이버 모니터링 체계를 가동하고 있다고 밝혔다. 

 

6.[기사] SMS 인증 보호없이 배포된 CalAmp 차량 진단 장치
https://www.scmagazine.com/calamp-vehicle-diagnostics-devices-deployed-without-sms-authentication-protections/article/667495/
함대 관리자가 사용하는 특정 온보드 진단 장치는 최근 SMS문자 메시지 인터페이스에 대한 인증보호없이 배포되었다. 공격자가 이러한 "OBD-II"표준 장치를 제어하거나 악성 프로그램을 파괴할 수 있는 취약점이 있다. IMSI 포수를 통해 장치의 전화 번호를 알아야만 장치에 관리 명령을 보낼 수 있다. 이 명령들은 적에게 실시간으로 장치에 대한 지속적인 액세스를 제공하여 IP 주소, 방화벽 규칙 및 암호를 구성하거나 이전 버전의 펌웨어에 맬웨어를 업로드하도록 허용한다. 이러한 경우 맬웨어는 차량의 CAN 버스를 손상시킬 수 있다. 이 버스는 다양한 마이크로 컨트롤러와 장치가 통신할 수 있게 해주는 네트워크이다.

 

7.[기사] Windows내의 레지스트리 키를 조작하여 백신 인증서를 차단하는 CertLock
https://www.bleepingcomputer.com/news/security/certlock-trojan-blocks-security-programs-by-disallowing-their-certificates/
일반적으로 안티 바이러스 공급 업체에서 Ceram또는 Wdfload로 탐지되는 CertLock은 광부와 같은 원치 않는 프로그램 번들로 배포된다. 일단 설치되면 CertLock은 특수 Windows레지스트리 키에 추가하여 보안 공급 업체의 인증서를 차단한다. 이로 인해 Windows는 해당 인증서로 서명된 프로그램을 실행하지 않는다. 인증서가 허용되지 않은 목록에 추가된 경우 사용자가 이 인증서로 서명된 프로그램을 실행하려고하면 "게시자가 컴퓨터에서 소프트웨어를 실행할 수 없도록 차단되었습니다"라는 오류 메시지가 나타난다. 

 

8.[기사] 플래티넘 해커, 인텔 액티브 관리 도구를 활용하여 Windows 방화벽을 우회
http://securityaffairs.co/wordpress/59876/hacking/platinum-hackers-amt.html
Microsoft는 인텔의 Active Management Technology를 활용하여 방화벽 및 기타 엔드 포인트 기반 네트워크 모니터링을 피하는 새로운 공격에 대해 사용자에게 경고한다. 이 기술은 공격자가 관리자 자격을 취득한 경우에만 악용될 수 있다. PLATINUM공격은 Intel의 Active Management Technology(AMT)를 이용하여 Windows 방화벽을 우회한다. AMT펌웨어를 사용하면 공격자는 프로세서 및 네트워크 인터페이스를 포함하여 호스트 리소스에 액세스하고 검사를 거치지 않고 운영 체제 아래의 낮은 수준에서 코드를 실행할 수 있다. 또 다른 기능은 임베디드 프로세서가 IP 기반 KVM (키보드 / 비디오 / 마우스) 솔루션을 포함한 원격 대역 외 기능을 제공하도록 설계되었다는 것이다.  KVM 솔루션은 원격 사용자가 마우스 및 키보드 입력을 보낼 수있게 한다.

 

9.[기사] 네덜란드 호스팅 업체의 전 관리인이 서버의 모든 고객 데이터를 지움
https://www.bleepingcomputer.com/news/security/ex-admin-deletes-all-customer-data-and-wipes-servers-of-dutch-hosting-provider/
네덜란드 헤이그에 본사를 둔 전용 KVM및 VPS 서버의 공급 업체인 Verelox는 전직 관리자가 모든 고객 데이터를 삭제하고 회사 서버 대부분을 지워 치명적인 장애를 겪었다. 정확히 무슨 일이 일어 났는지에 대한 자세한 내용은 알 수 없지만 여러 웹 호스팅 포럼의 게시물에 따르면 사용자가 어제 자신의 서버나 회사 웹 사이트에 액세스 할 수 없었던 것으로 보인다. 이 사건 이후 호스팅 제공 업체는 나머지 네트워크를 오프라인으로 전환하고 고객 데이터 복구에 주력하기로 결정했다. 호스팅 제공 업체는 서비스가 복원된 후 사용자에게 모든 서버 암호를 다시 설정하도록 요청했다.

 

10.[기사] 이집트, 글로벌 온라인 출판 플랫폼 'Medium'에 접속 불가
https://adigitalboom.com/egypt-blocks-access-to-global-online-publishing-platform-medium/
전세계 온라인 출판 플랫폼의 독자이자 블로거인 Medium은 데스크톱 및 모바일 앱을 통해 지난 5시간 동안 이집트의 웹 사이트에 대한 액세스 권한을 잃어버린것으로 보고했다. 그 이유는 분명하지 않지만 이집트는 최근 MadaMasr, Daily News Egypt, Al Borsa, Al Jazeera, Huffington Post Arabic등 테러와 무슬림 형제단 지원에 관한 여러 뉴스 웹 사이트를 차단했다.

첨부파일 첨부파일이 없습니다.
태그 SambaCry   WannaCry  인터넷나야나  CalAmp  CertLock