Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 7월 7일] 주요보안뉴스
작성일 2017-07-07 조회 1748


1. [기사] 이메일 발신서버 진위여부 확인 국제표준 기술 적용으로 스팸 감소 기대..
[http://www.boannews.com/media/view.asp?idx=55666&page=1&kind=2]

한국인터넷진흥원(KISA, 원장 백기승)은 이메일 스팸 감축 및 정책 자료 수집을 위해 지난 6월 약 108만개 국가도메인(.kr 및 .한국) 중 도메인네임서버(DNS)에 메일서버를 운영하는 약 46만개 도메인을 대상으로 이메일 발신서버 진위여부 확인 국제표준 기술인 SPF(Sender Policy Framework)의 적용여부를 조사한 결과, 약 30만개에 해당하는 66%가 SPF를 적용중이라고 밝혔다. SPF는 발신 메일서버의 IP주소를 도메인네임서버(DNS)에 등록하여 정당한 메일서버임을 확인, 수신 메일에서 확인된 발신 메일서버의 IP주소와 일치하는 경우 정상 처리하고, 일치하지 않을 경우 차단하는 대표적인 이메일 스팸 차단 기술이다. 이런 이유로 KISA는 수신측 메일서버 뿐만 아니라 발신측 도메인네임서버(DNS)에 모두 SPF를 적용해야 이메일 주소를 사칭한 스팸메일을 자동 차단할 수 있다고 설명한다. KISA는 이런 이메일 주소 사칭 스팸을 차단하기 위해 이메일 서비스를 제공하는 국내 주요 포털사업자 및 스팸메일 차단솔루션 사업자, 이메일 호스팅 사업자 등에게 SPF 적용 여부를 확인하여 차단하거나 스팸메일함에 보내는 기능을 기본 적용할 수 있도록 안내할 예정이다.

 

2. [기사] 소비 상품 회사 Reckitt Benckiser 그룹 Goldeneye attack에 의해 손실 피해 심각
[https://hotforsecurity.bitdefender.com/blog/reckitt-benckiser-to-lose-117-million-in-goldeneye-attack-18349.html]
소비재 회사인 Reckitt Benckiser Group은 Goldenye공격을 당했고, 공격이 일부 공장에서 생산에 영향을 미쳐 2017년 수익에 큰 손실이 예상된다. 이 공격으로 인해 일부 시장에서는 운송 및 송장 발행이 지연 될 것으로 예상된다.  Goldeneye를 촉발시킨 초기 감염 벡터는 우크라이나의 여러 기관에서 사용하는 세금 소프트웨어 MeDOC의 손상된 업데이트이다. 회사측은, 모든 주요 고객 및 파트너와의 거래를 정상적으로 시작할 수 있도록 주요 응용 프로그램 및 시스템을 정상적으로 되돌리는 것에 최선을 다하고 있다고 밝혔다. 

 

3. [기사] CIA 해킹 툴 BothanSpy(윈도우용) 및 Gyrfalcon(리눅스용) 추가 공개- 윈도우 및 리눅스에서 SSH credentials 유출
[http://thehackernews.com/2017/07/ssh-credential-hacking.html]
[http://securityaffairs.co/wordpress/60754/intelligence/bothanspy-gyrfalcon-implants.html]
[https://wikileaks.org/vault7/#BothanSpy]
[https://www.bleepingcomputer.com/news/security/cia-malware-can-steal-ssh-credentials-session-traffic/]
여기에는 두가지 CIA요소가 포함되어 있다. 코드명 BothanSpy는 Microsoft Windows Xshell 클라이언트를 대상으로 개발되었으며, Gyrfalcon은 CentOS, Debian, RHEL (Red Hat), openSUSE 및 Ubuntu를 포함한 다양한 Linux 배포판에서 OpenSSH 클라이언트를 대상으로 디자인되었다. BothanSpy와 Gyrfalcon은 모든 활성 SSH 세션에 대한 사용자 자격 증명을 훔쳐서 CIA 사이버 스파이로 다시 보낸다. BothanSpy는 대상 컴퓨터에 Shellterm 3.x 확장으로 설치되며, 액티브 세션을 통해 Xshell을 실행할 때만 공격자가 악용 할 수 있다. 그리고 Gyrfalcon은 Linux 시스템 (32 또는 64 비트 커널)에서 작동하며 CIA 해커는 영구 액세스를 위해 JQC / KitV 루트킷이라고 불리는 사용자 지정 악성 코드를 사용한다.

 

4. [기사] CopyCat 안드로이드 악성코드 1400만기기 감염
[http://thehackernews.com/2017/07/copycat-rooting-malware.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29]
새로 발견된 이 악성코드는 1400백만여대 안드로이드 기기를 감염시켜 2개월만에 1500만 달러의 부정 광고수입을 기록했다. 이 코드의 이름은 CopyCat으로, 감염기기 루팅 기능이 있다. 또한 지속 동작하며 Zygote 데몬(안드로이드 기기에서 앱 실행을 담당하는 정상 데몬)에 악성코드를 인젝션하고, 공격자에게 기기에 대한 모든 제어를 가지게한다. 감염기기중 800만여대 기기는 이미 루팅된것으로 보이며 주 피해국가는 인도를 포함한 동남아지역이다. Check Point 연구원은 "수백만 명의 희생자가 앱 다운로드 및 피싱 공격을 통해 악성코드에 감염된 것으로 생각한다."라고 밝혔다. CopyCat은 CVE-2013-6272(VROOT), CVE-2015-3636(PingPongRoot), CVE-2014-3153(Towelroot)등 안드로이드 5.0 이하에서 동작하는 취약점을 이용해 지속적으로 공격을 하고 있다. 이런 공격을 예방하기 위해서는, 소프트웨어를 항상 최신 버전으로 업데이트해야 한다.

 

5. [기사] 정부, 사이버보안시스템 해외참가 등 7개 사업 선정 지원 나선다
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=21523]
행정자치부는 오는 12월까지 한국형 전자정부의 해외 진출 확산을 위해 지원사업 7개를 추진할 계획이라고 밝혔다. 전자정부 해외진출 지원사업은 2016년부터 시작해 올해가 2년째이며 각 기관의 전자정부 관련 해외협력 활동을 지원, 전자정부 수출과 연계하는 것을 목적으로 하고 있다. 올해 선정된 사업에 연말까지 약 10억원의 예산을 투입할 예정이다. 행자부는 사전 협력 활동 지원을 통해 전자정부 수출품목 다변화 및 전자정부 수출 확대가 이뤄질 것으로 기대하고 있으며 앞으로 전자정부 관련 범 부처 협력 사업도 추진할 계획이다. 심보균 행자부 차관은 “이번 지원사업에 선정된 수출 잠재력이 큰 사업들이 실제 수출로까지 이어질 수 있도록 체계적으로 지원해 나갈 계획”이라며 “이 같은 지원이 향후 우리 기업들이 현지에 진출하는 밑거름이 되길 바란다”고 밝혔다.


6. [기사] 미국의 Murfreesboro 경찰국의 컴퓨터도 WannaCry에 감염되었다.
[http://www.dnj.com/story/news/crime/2017/07/05/murfreesboro-police-fire-computers-infected-virus/453774001/]
Murfreesboro 경찰국에 따르면 Murfreesboro의 emergency services 두 곳이 WannaCry ransomware의 공격을 받았다. 대변인에 따르면,IT 부서는 공격을 인식하고 시스템을 오프라인 상태로 만들었으며 현재는 19 대의 컴퓨터와 2 대의 파일 서버가 침입당했다고 한다. 공격받은 대부분의 데이터는 검색이 불가능한 상태이지만, 서버를 복원하기 위해 최선을 다하고 있다고 밝혔다. WannaCry는 Microsoft Windows 운영 체제를 사용하는 조직을 대상으로 5 월에 시작된 전세계적인 맬웨어 공격의 일부이다.


7. [기사] 악명 떨쳤던 케르베르 랜섬웨어, 간판 바꿔 국내 ‘컴백’
[http://www.boannews.com/media/view.asp?idx=55663&mkind=1&kind=1]
 올해 초 악명을 떨친 케르베르 랜섬웨어가 ‘CRBR ENCRYPTOR’로 간판을 바꿔 국내에 다시 유포되고 있는 사실이 드러났다. 이와 관련 한 보안전문가는 “CRBR ENCRYPTOR로 이름이 변경된 케르베르 랜섬웨어가 국내 웹사이트 서핑 도중 웹 브라우저 취약점으로 감염되는 사례가 발생하고 있다”고 주의를 당부했다. 특히, 한글로 된 랜섬노트에는 파일들의 이름과 안에 있는 데이터가 ‘CRBR Encryptor’으로 암호화되어 있으며, 데이터를 복호화하기 위해서는 특별 암호 해독 소프트웨어를 구입하도록 돈을 요구하고 있다고 한다. 한편, 다크웹(Dark Web)에서는 랜섬웨어 소스코드를 판매하거나 일부는 무료로 공개해 다운로드 받도록 함으로써 랜섬웨어 확산에 결정적인 역할을 하고 있다. 또 다른 보안전문가는 “현재 다양한 종류의 랜섬웨어 소스코드가 다크웹과 깃허브 등에서 판매되거나 심지어 무료로 유포됨으로써 누구나 쉽게 랜섬웨어 범죄를 저지를 수 있는 환경이 되고 있다”고 우려했다.  

 

8. [기사] 구글, 심각한 'BROADPWN' 버그 패치
[https://threatpost.com/google-patches-critical-broadpwn-bug-in-july-security-update/126688/]
구글은 "Broadpwn"이라고 불리는 취약점을 해결한 보안 패치를 발표했다. 이 버그는 Broadcom의 BCM43xx WiFi 칩의 취약점과 관련이 있다. 이 취약점을 발견한 Exodus Intelligence의 연구원 인 Nitay Artenstein에 따르면 Apple iOS 장치도 칩셋-2017-3544)의 영향을 받는다고 한다. 연구원은 DEP 및 ASLR과 같은 완화 조치를 우회하여 Broadcom의 BCM43xx WiFi 칩셋에 액세스 할 수 있다고 밝혔다. 

첨부파일 첨부파일이 없습니다.
태그