Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 6월 19일] 주요 보안 이슈
작성일 2017-06-19 조회 2464

 

 

 

 

1.[기사] 신종 파일리스 악성코드 활동중 
http://thehackernews.com/2017/06/fileless-ransomware-code-injection.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29
코드 인젝션 기능이 있는 신종 악성코드 'dubbed Sorebrect'를 발견했다. 인젝션 대상 프로세스는 svchost.exe이다. 인젝션 이후 탐지회피를 위해 자가삭제를 한다. 기존의 전통적인 랜섬웨어와 달리 Sorevrect는 엔터프라이즈 서버나 엔드포인트를 대상으로 설계됐다. 인젝션 코드는 감염PC 외에도 네트워크에 연결된 공유폴더도 암호화한다.

 

2.[기사] University College London (UCL) 랜섬웨어 감염
http://news.softpedia.com/news/university-college-london-suffers-major-ransomware-attack-516503.shtml
UCL은 6월 15일에 심각한 랜섬웨어에 감염되었다. 감염은 네트워크를 통해 개인 및 공유 드라이브에 영향을 미쳤다. 랜섬웨어가 네트워크에 어떻게 도달했는지에 대해서는 아직까지 아무것도 확인되지 않았지만 UCL은 대학의 네트워크에 있는 컴퓨터 중 하나에서 액세스한 손상된 웹 사이트를 통해 제로 데이 공격이 발생했다고 전했다. UCL홈페이지에서 UCL이 공개한 감염 타임라인을 확인할 수 있다.

 

3.[기사] 페이스북 사용자를 타겟으로 하는 피싱사이트의 새로운 전략 
https://www.bleepingcomputer.com/news/security/new-phishing-tactic-targeting-facebook-users-relies-on-padding-urls-with-hyphens/
공격자는 긴 URL위에 '-' 를 삽입해, 주소표시줄에 전체 url이 노출되지 않도록 하는 방식을 사용하고 있다. 전문가들은 대부분의 경우 공격자가 이러한 자격 증명을 사용하여 사용자의 스팸을 스팸하고 피싱 페이지를 다른 사용자에게 보내어 다른 사람에게 감염을 전파한다고 말한다. 사이트를 방문 할 때까지는 합법적인지 여부를 알 수 없다고 한다.

 

4.[기사] Target URL이 제거된 ZeusSphinx 샘플 발견
https://securityintelligence.com/zeus-sphinx-pushes-empty-configuration-files-what-has-the-sphinx-got-cooking/
최근 Zeus Sphinx 샘플은 모든 대상 URL이 제거된 구성 파일을 가져왔다. 즉, 스핑크스 (Sphinx) 감염 캠페인은 계속 진행되며 맬웨어는 새로운 시스템을 감염시킬 수 있지만 유휴 상태로 유지되며 특정 은행 및 금융 서비스를 대상으로 하는 공격 지침이 없다. 모든 스핑크스 구성에서 반복되는 유일한 지침은 방문하는 모든 페이지에 피해자의 "봇 ID"를 주입하는 것이다. 본질적으로 이것은 웹 주사 공격입니다. http * : //로 삽입하여 피해자가 탐색하는 HTTP 및 HTTPS 웹 페이지를 포함한다.

 

5.[기사][긴급 점검] 제2의 인터넷나야나 사태 막으려면…호스팅 서버 운영시 필수 보안 가이드
http://www.dailysecu.com/?mod=news&act=articleView&idxno=21030
다음은 보안 가이드이다. 서비스로 제공중인 서버에 접속한다면 망 분리된 네트워크를 통해 접속하도록 한다. SSH나 RDP를 통한 서버 접속을 위해 별도의 게이트웨이를 만들고, 서버에서는 이 게이트웨이를 통해서만 접근할 수 있도록 ACL 설정을 하는 것이 좋다. 정말 접속자 본인이 맞는지 확인하기 위해 별도의 디바이스를 통해 추가 인증을 받도록 구성한다. 이때 가장 쉬우면서도 효율적인 이중 인증 솔루션은 OTP(One Time Password)로서 게이트웨이 접속을 위해 SSH나 RDP 접속시 OTP를 이용하여 추가 인증을 받도록 구성하면 될 것이다. OpenVas나 nmap 또는 Nessus 등과 같은 취약성 스캔 솔루션을 이용해 정기적으로 시스템에 대해 보안 스캔해 본다.

 

6.[기사] 윈도우 디펜더, 여전히 원격코드 실행 제로데이 취약점 존재
http://www.dailysecu.com/?mod=news&act=articleView&idxno=21010
마이크로소프트 멀웨어 방지 엔진 ‘MsMpEng’가 여전히 원격 코드 실행의 대상이 되고 있다고 말했다. 충분하지 않은 샌드박싱(Sandboxing) 때문에 발생했다. 두 가지 원격 코드 실행 PoC를 증명하는 동영상 2개를 유투브에 게시했다. 동영상은 시스템이 완전히 패치되었음에도 크래쉬가 발생하고 재시작이 불가능한 상황을 보여준다. 해당 샌드박스 이스케이프를 통해 게스트 권한의 공격자가 Defender를 사용해 DLL 등의 임의 파일을 삭제할 수 있다고 말한다.

 

7. [기사] 유명인의 소셜 네트워크 계정을 탈취한 후 팔로워를 가로채 가짜 뉴스를 배포하는 신종 공격 기법 'DoubleSwitch' 확산
https://www.accessnow.org/doubleswitch-attack/
베네수엘라의 활동가들을 후원하는 활동을 통해 이 새로운 형태의 공격을 확인되었다. 공격은 표준 복구 메커니즘을 쓸모 없게 만들고 공격자가 피해자의 계정을 더 오랫동안 통제할 수 있게 한다. 계정을 통해 앱 기반의 다중 요인 인증을 사용하도록 설정하지 않은 사용자는 특히 취약하다. 일단 통제되면, 하이재커는 메시지를 보내고 사용자 이름을 비롯한 계정 정보를 미묘하게 변경한다. 계정의 원래 사용자 이름을 사용할 수 있으므로 하이재커가 원래 사용자 이름을 사용하여 계정에 등록 할 수 있으며 다른 로그인 자격 증명을 제공할 수 있다. 

 

8.[기사] 25살 해커, 미국 군용 위성 전화 시스템 해킹해 유죄.
http://thehackernews.com/2017/06/british-hacker-military-system.html
Caffrey라는 이름을 가진 해커는 2014년 6월에 미군 통신 시스템을 침범하여 800명이 넘는 직원의 사용자 이름과 이메일 주소와 30,000 개의 위성 전화 데이터를 훔쳐 갔다. NCA 관계자는 또한 펜타곤 위성 시스템 공격과 관련된 온라인 메시징 계정이 Caffrey의 컴퓨터에서 열리고 조작되었다는 사실을 발견했다. 그의 압수된 컴퓨터의 하드 드라이브에서 미국 국방성 위성과 관련된 도난된 데이터를 발견됬다. 그러나 미국 정부는 Caffrey가 해킹을 어떻게 성공적으로 수행했는지 정확하게 말하지 않았다.

 

9.[기사] 텔레그램, 생각보다 안전하지 않다
https://medium.com/@keivan/telegram-not-as-secure-as-you-might-think-19345976edad
대부분의 사람들은 텔레그램를 사용한다. 주로 가장 안전한 메시징 플랫폼이라고 생각하기 때문이다. 텔레그램의 가장 큰 위험 한 점은 그들이 일하는 것을 보여주지 않거나 그들이 사용하는 암호화 알고리즘과 보안 여부 또는 백도어를 가지고 있는지 여부를 알지 못한다는 것이다. 또한, 자체 암호화 알고리즘을 자체 개발하기로 결정한 사실이다. 자신의 암호화를 발명하는 것은 나쁜 생각이 아니라 무책임하고 위험한 것이다.

 

10.[기사] BIND DNS에 신규 원격 서비스 거부 취약점 주의 
http://www.dailysecu.com/?mod=news&act=articleView&idxno=21029
ISC는 BIND DNS에서 발생하는 원격 서비스 거부(Denial of Service) 2개의 위험한 보안취약점을 해결한 업데이트를 발표했다. 첫 번째 취약점은 RPZ 기능이 사용된 BIND 네임서버에 특정한 형태의 질의가 들어올 경우 질의응답 처리가 완료되지 않고 무한 루프에 빠지는 취약점이다. 이용자들은 신속한 보안업데이트를 적용해야 한다. 두 번째는 윈도우 시스템에서 사용되는 BIND 설치 프로그램이 서비스 및 삭제 경로를 제대로 처리하지 않아, 이를 이용해 로컬 사용자가 높은 권한을 획득 가능한 취약점이다. 한편 이번 취약점은 윈도우용 BIND 설치 프로그램의 취약점으로, 타 OS용 BIND는 영향 받지 않는다.

첨부파일 첨부파일이 없습니다.
태그 텔레그램  DoubleSwitch  ZeusSphinx  dubbed Sorebrect