Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향 [2017년 6월 23일] 주요 보안 이슈
작성일 2017-06-30 조회 2303

 

 

1. [기사] 전자담배를 통해 컴퓨터 해킹
http://securityaffairs.co/wordpress/60296/hacking/electronic-cigarettes-hacking-took.html
해커는 전자 담배 및 기타 전자 장치를 악용하여 취약한 네트워크에 악성 코드를 전달할 수 있다. 소셜 뉴스 Reddit 웹 사이트에 게시 된 보고서에 따르면, 경영진이 자신의 시스템에서 멀웨어를 발견 한 경우 즉각적인 원인을 파악하지 못한 이상한 사례가 있었다. 이 사건을 조사한 결과 전자 담배가 충전기 안에 있는 하드코드된 악성 코드에 감염되었다는 것을 발견했다. 희생자가 이를 컴퓨터에 연결하면 악성 코드가 C & C 서버에 연결하여 다른 악성 코드를 제거하고 시스템을 감염시킨다. 또한 연구진은 전자 담배를 사용하여 네트워크 트래픽을 방해 하는 것이 가능하다고 설명했다 . 충전중인 것처럼 보일지라도 사소한 변경만으로도 전자담배는 공격자가 연결되어있는 컴퓨터를 손상시키는 데 사용할 수 있다.

 

2. [기사] Ztorg 멀웨어군 구글스토어에서 발견
https://arstechnica.com/security/2017/06/more-android-apps-from-dangerous-ztorg-family-sneak-into-google-play/
이번 달 두 번째로 Google은 Google Play 마켓 플레이스에서 Android 앱을 삭제했다. 구글은 보안 연구원이 공격자가 감염된 장치에 대한 관리적인 "루트"제어를 취할 수있는 기반을 마련한 코드를 포함하고 있다는 것을 알게 된 후 그렇게했다. Magic Browser는 Chrome 브라우저에 위장 되어 있었고,  다른 응용 프로그램 인 "Noise Detector"는 데시벨 수준의 소리를 측정 한 것으로 추정되며 10,000 회 이상 다운로드 되었다. 두 앱 모두 Ztorg로 알려진 Android맬웨어군 으로, 지난 9월 이후 거의 100배나 되는 구글의 자동화된 멀웨어 검사를 간신히 넘겼다. 그동안 연구원은 개발자들이 악의적인 텍스트 메시징 기능을 테스트하거나 적극적으로 사용하기 위해 Magic Browser를 사용하고 있다고 말했다. 이 앱은 공격자가 제어하는 번호로 프리미엄 텍스트 메시지를 보낼 수있는 기능이 있으며 어둠 속에서 사용자를 유지하기 위해 응용 프로그램은 들어오는 텍스트를 삭제하고 장치 사운드를 끌 수 있다. 카스퍼 스키 랩 선임 연구 분석가 Roman Unuchek은 감염된 장치를 손상시킬 수 있는 몇 가지 기술을 사용하기 때문에 저자들이 이 악성 코드를 테스트하고 있다고 생각한다고 말했다.

 

3. [기사] 윈도우 10 패치카드를 우회하는 고스트훅 어택
https://threatpost.com/ghosthook-attack-bypasses-windows-10-patchguard/126462/
Windows10에서 PatchGuard 커널 보호 기능을 우회하는 것은 공격자들이 접근할 수 있는 최신 버전의 OS용 루트킷을 제공한다. PatchGuard와 DeviceGuard가 출시 된 이래로 64 비트 Windows 루트킷은 거의 없었으며, Windows 10의 보안, 특히 메모리 기반 공격에 대한 완화 기능은 잘 알려져 있다. 그러나 CyberArk의 연구원은 PatchGuard (Intel PT)라고 불리는 Intel 프로세서의 비교적 새로운 기능을 통해 PatchGuard를 발견 할 수있었다. GhostHook 이라는 별명을 가진 바이 패스 는 공격 후 공격이며 공격자가 이미 손상된 시스템에 존재하고 커널에서 코드를 실행하고 있어야한다. Microsoft 관계자는 Threatpost에 제공된 성명서에서 고객이 웹 페이지 링크를 클릭하거나 알려지지 않은 파일을 열거 나 파일 전송을 허용 할 때주의를 기울이는 등 좋은 컴퓨팅 습관을 온라인으로 연습할 것을 권장한다. 사이버 아크 (CyberArk)는 이것이 마이크로 소프트에게는 어려운 문제라고 지적하며, 픽스 가드에 연결되는 보안 업체들이 가장 신속하게 해결 할 수 있다고 말했다.

 

4. [기사] MS, Fireball 악성코드의 영향력은 다소 과장되었다.
https://threatpost.com/microsoft-says-fireball-threat-overblown/126472/
오늘날 Microsoft는 2 억 5 천만 대의 컴퓨터와 20 %의 회사 네트워크가 Fireball에 감염되었다는 Check Point의 초기 분석에 반박했다. Windows Defender 연구 팀의 Hamish O'Dea는 위협이 실제로 존재하는 반면에, 보고된 범위의 크기는 부풀려 진 것일 수 있다고 말했다. Microsoft는 보고서에서 Check Point는 끝점 장치 데이터를 수집하는 대신 검색 페이지 방문 횟수를 기준으로 2 억 5 천만 건의 감염이 발생했다고 밝혔다며, Microsoft는 Windows Defender와 Microsoft 소프트웨어 제거 도구를 사용하여보다 정확한 데이터를 수집 할 수 있다고 밝혔다. Fireball 탐지가 추가 된 10 월 이후 월간 5 억 대의 컴퓨터를 매월 검색 한 결과, Microsoft 보안 도구는 SupTab 490 만 건의 감염 및 130 만 건의 Sasquor 감염을 탐지하고 치료했다.파이어 볼 감염에 걸린 다른 두 가지 악성 코드 샘플 인 Xadupi와 Ghokswa 감염은 490 만 건으로 탐지되어 정리되었다.

 

5. [기사] 호주의 고속카메라 WannaCry 랜섬웨어에 감염
https://www.bleepingcomputer.com/news/security/wannacry-ransomware-infects-55-speed-and-red-light-cameras-in-australia/
호주 빅토리아주의 고속 및 홍광 카메라가 WannaCry ransomware에 감염되었다. 최신 정보에 따르면 감염은 유지 관리 작업 중에 발생했으며, 사람 운영자가 감염된 USB를 장치에 연결 했으므로 Windows 운영 체제에서 실행되었다.  카메라가 인터넷이나 서로 연결되어 있지 않기 때문에 WannaCry 감염이 장치 내에 포함되어 있었다. 감염 되더라도 몇 분마다 재부팅되지만 카메라는 온라인 상태를 유지하고 계속 작동한다. 빅토리아 법무부 (Victoria Justice and Regulation Department) 대변인은이 사건을 월요일에 확인했다며, 이 관계자는 카메라 정비 직원들이 ransomware가 뿌리를 내리지 못하게 하기 위해 패치를 설치했다고 말했다.

 

6. [기사] Locky 랜섬웨어가 돌아 왔다! (Windows XP&Vista만 공격)
https://www.bleepingcomputer.com/news/security/locky-ransomware-returns-but-targets-only-windows-xp-and-vista/
https://virustotal.com/ko/file/49184047c840287909cf0e6a5e00273c6d60da1750655ad66e219426b3cf9cd8/analysis/
Necurs 봇넷에 의해 배포 된 엄청난 양의 스팸 전자 메일을 통해 전파 되는 Locky ransomware가 돌아왔다. 하지만 이 캠페인은 WindowsXP및 Vista시스템에서만 파일을 잠글 수 있으며, 최신 Windows OS 버전의 파일을 암호화 할 수 없으므로 절반 정도 굽은 것으로 보인다. 지난 주 카스퍼 스키 랩의 보안 연구원이 자프 의 암호화 루틴에 결함을 발견하고 감염된 희생자가 몸값 지불없이 파일을 복구하는 데 도움이되는 무료 유틸리티를 만든 후 Necurs 그룹의 장기 계획이 좌절 되었다. 무료 암호 해독기를 사용할 수 있게 되자마자 Jaff 스팸이 내려갔고 어제부터 Necurs 그룹은 Locky를 다시 배포하기 시작했다. 이 스위치는 Locky의 암호화가 손상되지 않았기 때문에 발생했을 가능성이 높으며 운영자는 감염된 호스트로부터 몸값을 강탈 할 가능성이 더 크다.

 

7. [기사] [긴급] 한국 금융기관 대상 DDoS 공격 협박한 해킹조직…중국 금융기관 먼저 협박
http://www.dailysecu.com/?mod=news&act=articleView&idxno=21204
지난 21일 오전 7시부터 국내 다수 금융회사를 대상으로 SYN Flooding, NTP 등 DDoS(디도스) 공격 유입이 탐지됐다. 또 공격을 받은 금융기관을 대상으로 자신들을 해킹단체 ‘Armada Collective’로 밝히고 공격을 멈추기 위해 비트코인을 요구하는 협박메일을 발송한 것으로 조사됐다. 한편 이들은 한국 보다 먼저 15일경 중국 금융사를 대상으로 DDoS 공격 협박을 한 것으로 밝혀졌다.이 조직은 전세계 140여개 이상의 금융기관을 대상으로 코드명 ‘Opicarus2017’ 공격을 실행해 온 것으로 조사되고 있고 금융분야를 겨냥한 대규모 DDoS 공격을 2015년과 2016년 2년간 연속으로 4차례 진행한 것으로 알려져 있다. 현재 9개가 넘는 중국 금융기관이 이미 해커에 의해 데이터베이스 인젝션 공격을 당했다. 아시아 개발은행과 카르타나카 주 그라민은행의 민감한 데이터정보가 해커에 의해 절취 되었다.한편 올해 이 조직은 공격 방식을 바꿔 DDoS 공격과 동시에 SQL인젝션 공격을 진행했다. 만일 금융기관의 중요한 데이터가 절취된다면 결과는 치명적이다. 국내 금융기관도 DDoS 공격 뿐만 아니라 데이터 유출 공격에도 민감하게 준비해야 할 것으로 보인다.

 

8. [기사] 비트코인 등 가상화폐 계정 해킹 의혹 잇따라...해커들 새 ‘먹잇감’ 되나
http://www.boannews.com/media/view.asp?idx=55410&mkind=1&kind=1
최근 열풍이 불고 있는 비트코인이나 이더리움 등의 가상화폐 거래소 이용자들이 잇따라 해킹 의혹을 제기하면서 가상화폐 거래소의 보안이 큰 이슈가 되고 있다. 최근 인터넷 커뮤니티, SNS 등에서는 자신의 가상화폐 거래소 계정이 해킹 당해 수 백만원에서 최대 수 억원까지 피해를 봤다는 게시글들이 잇따라 올라오고 있다. 더욱이 최근에는 국내 가상화폐 거래소 이용자들을 대상으로 한 보이스피싱 사건까지 발생한 것으로 드러났다.이와 관련 가상화폐 거래소 해킹 문제를 지속적으로 모니터링하고 있는 한 보안전문가는 “국내를 대상으로 보이스피싱, 파밍 공격을 수행해온 해커조직이 최근 국내 가상화폐 시장을 대상으로 해킹을 시도해 수억을 탈취하고 있는 상황”이라며, “특히, 북한 해커들도 국내 가상화폐 거래소들에 대한 지속적인 공격을 감행하고 있는 것으로 알려져 각별한 주의가 필요하다”고 말했다.

 

9.  [기사] 스택 충돌 버그로 인해 리눅스/유닉스 방어시스템이 손상될 수 있다.
https://securityintelligence.com/news/stack-clash-bug-could-compromise-linux-and-unix-defenses/
Stack Clash 버그로 알려진 취약점은 공격자가 완전한 루트 권한을 얻기 위해 악용 될 수 있다. 이 취약점은 공격자가 응용 프로그램의 스택을 다른 메모리 영역과 충돌하게 만들 때 발생하므로 스택 충돌이라고 한다. Qualys는 기본 Stack Clash 버그와 직접 관련된 몇 가지 다른 2 차 취약점을 발견했다. 공격자는 취약점을 더욱 효과적으로 연결하여 악의적 인 코드를 효과적으로 실행할 수 있다. 영향을받는 시스템에 액세스 할 수있는 액터는 완전한 루트 권한을 얻을 수 있다. Qualys는 Stack Clash 버그의 경우,  IT 관리자가 취약점 패치에 우선 순위를 두도록 강력히 권고했다.

 

10. [기사] Vault7: CIA, USB Thumb 드라이브를 통해 Air-Gapped 네트워크 해킹을 위한 악성코드 발견
https://www.bleepingcomputer.com/news/security/vault-7-cia-has-malware-for-hacking-air-gapped-networks-via-usb-thumb-drives/
http://thehackernews.com/2017/06/wikileaks-Brutal-Kangaroo-airgap-malware.html
WikiLeaks는 진행중인 Vault 7 누수 의 새로운 배치를 발표했다. 이번에는 주로 기업과 중요한 인프라 스트럭처에서 구현된 "플래시 드라이브를 사용하여 에어 갭 점핑으로 폐쇄된 네트워크"를 타겟으로 마이크로소프트 윈도우즈용으로 CIA에 의해 사용 되는 도구 모음에 대해 자세히 설명한다. Brutal Kangaroo (v1.2.1)로 불리는 이 도구 모음는 2012 년 중앙 정보부 (CIA)에 의해 직접적으로 액세스 할 필요없이 조직 또는 기업 내 폐쇄형 네트워크 또는 에어 갭 컴퓨터에 침투하도록 설계되었다. Brutal Kangaroo 구성 요소는 대상 폐쇄 네트워크 내에서 사용자 지정 숨김 네트워크를 만들고 설문 조사, 디렉터리 목록 및 임의의 실행 파일을 실행하기위한 기능을 제공한다.

첨부파일 첨부파일이 없습니다.
태그 Ztorg 멀웨어   GhostHook  Locky 랜섬웨어  Armada Collective  Air-Gapped 네트워크 해킹