Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 8월 30일] 주요 보안 이슈
작성일 2017-08-30 조회 2195

1. [기사] IoT 기기 1,700대의 로그인 크리덴셜이 유출됐다
[http://www.boannews.com/media/view.asp?idx=56679]

사물인터넷(IoT) 기기 약 1,700대의 로그인 크리덴셜이 파일 공유 사이트 페이스트빈(Pastebin)에 유출됐다. 현재 해당 페이지는 삭제됐으나 수개월 전부터 노출돼있었다는 사실이 드러나 추가적인 피해가 불가피할 것으로 보인다. 해외 기술 전문 매체 아스테크니카(Ars Technica)에 따르면, 페이스트빈에 사물인터넷 기기의 로그인 크리덴셜이 처음 올라온 것은 지난 6월이었다. 6월부터 해당 페이지는 지속적으로 업데이트 됐는데, 페이지가 삭제되기 전까지 8,233개의 고유한 IP 주소에 대한 사용자명과 비밀번호가 공개됐던 것으로 나타났다. 인터넷 보안을 위한 비영리단체 GDI 재단의 빅터 게버스(Victor Gevers) 이사장은 크리덴셜이 유출된 IP 주소 8,233개 중 2,174개는 아직까지 텔넷 서버를 열어두고 있는 것으로 확인됐다고 아스테크니카에 말했다. 활성화된 텔넷 서버 중 1,774개는 유출된 크리덴셜을 통해 여전히 접근할 수 있는 것으로 나타났다. 아스테크니카는 집에 라우터, 카메라, IoT 기기가 있다면 사용할 때만 원격 접근을 활성화해둘 것, 그런 기기들의 디폴트 크리덴셜을 반드시 변경한 뒤에 사용할 것, 12자 이상의 고유한 비밀번호를 사용할 것을 권고했다.


2. [기사] 25달러 라즈베리파이로 SAP POS 시스템 해킹
[http://securityaffairs.co/wordpress/62458/hacking/hacking-sap-pos.html]

ERPScan의 연구원은 25달러 라즈베리파이로 SAP POS 시스템 해킹할 수 있는 취약점을 발견했다. 해당 취약점을 악용하면, 고객의 카드 데이터를 훔쳐 서버를 완전히 제어 할 수 있다. ERPScan은 "일단 로그인하면 인증 절차없이 SAP POS Xpress Server에 악의적인 구성 파일을 업로드 할 수 있으므로 POS 시스템의 백엔드 및 프런트 엔드를 무제한으로 제어할 수 있습니다."라고 발표했다. 공격자는 Xpress Server에 새 설정을 구성하고 Xpress 서버에 특정 명령을 보내 POS 터미널을 다시 시작할 수 있다고 한다. "이 취약점으로 인해 POS 단말기가 원격으로 시작되고 중지 될 수 있습니다."라고 ERPScan은 설명하며 사용자의 주의를 권고하고 있다. 또한 이 취약점은 신용 카드 번호 데이터를 기록하고 해커의 서버로 직접 전송하는 데 악용 될 수 있다. 현재 SAP POS Retail Xpress Server의 모든 취약점은 SAP에 의해 해결되었으므로 시스템을 보호하기 위해 가능한 빨리 적절한 패치(SAP 보안 참고 사항 2476601 및 SAP 보안 참고서 2520064)를 설치해야 한다.


3. [기사] LabVIEW, 패치되지 않은 취약점으로 해커가 컴퓨터를 탈취 할 수 있어
[https://thehackernews.com/2017/08/hacking-labview-vi-file.html]

시스코 Talos Security Intelligence의 보안 연구원은 공격자가 대상 컴퓨터에서 악성 코드를 실행하여 시스템을 완벽하게 제어할 수있는 LabVIEW 소프트웨어의 심각한 취약점을 발견했다. CVE-2017-2779로 식별된 코드 실행 취약점은 LabVIEW에서 사용되는 독점적인 파일 형식인 VI 파일을 열면 트리거 될 수 있다. 이 취약점은 LabVIEW의 RSRC 세그먼트 구문 분석 기능에서 메모리 손상 문제로 인해 발생한다. VI 파일의 RSRC 세그먼트 내에서 값을 변조하면 제어된 루프 조건이 발생하여 임의의 null 쓰기가 발생한다. "악의적으로 제작된 LabVIEW 가상 악기 파일 (* .vi 확장자)은 공격자가 루핑 조건을 제어하여 임의의 null 쓰기를 유발할 수 있습니다."라고 Talos 연구원은 설명하고 있다. 또한, 현재 벤더사로부터 패치가 발표되지 않았기 때문에 이메일로 수신한 첨부파일을 다운로드할 때에는 신중을 가해야 한다고 강조하고 있다.


4. [기사] 북한, 재정난 해결을 위해 비트코인 공격 가능성
[http://www.securityweek.com/north-korea-accused-stealing-bitcoin-bolster-finances?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]

최근 한국의 비트 코인 거래에 대한 사이버 공격에 대해 북한이 비난을 받고있다. 비영리 동아시아 통신사인 Radio Free Asia (RFA)는 북한이 한국에서 비트 코인 교환에 3건, 유럽에서 1건의 사이버 공격을 이미 개시했다고 보도했다. 북한이 비트 코인을 목표로 삼고 있다는 전제는 유엔 언론 인터내셔널(UEFA) 통신사의 보도에서 또한 반복된다. "한국의 CWIC 사이버 전쟁 연구 센터 (CWIC Cyber ​​Warfare Research Centre)는 해킹 시도의 목표가 전세계의 암호 해독 및 디지털 지불 시스템인 비트 코인 (bitcoin)에 대한 국내 거래로 보인다."고 주장했다. 한국의 사이버 전쟁 연구소의 정확한 설명은 발표되지 않았다. 그럼에도 불구하고 피싱 이메일이 비트 코인 교환뿐만 아니라 블록 체인, 금융 기술 분야의 기업을 비롯한 다른 기업을 이용하는 벤처 기업을 목표로 삼고있다. 이 보고서는 "CWIC에 따르면 이메일에 첨부된 악성 코드는 북한 출신의 바이러스와 동일하다"고 덧붙였다.


5. [기사] Jimmy 뱅킹 트로잔, NukeBot 코드 재사용
[http://www.securityweek.com/jimmy-banking-trojan-reuses-nukebot-code?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
[https://threatpost.com/revamped-nukebot-malware-changes-targets-adds-functions/127707/]

Jimmy Nukebot으로 불리는 Nukebot banking 트로이의 개정 버전은 은행 카드 데이터를 훔치는 것에 초점을 맞추었고 이제는 웹 주입, cryptocurrency 마이닝 및 대상 시스템의 스크린 샷 촬영을 위해 악의적인 페이로드를 조용히 다운로드하는 통로 역할을합니다. Kasperky Lab의 Jimmy Nukebot 분석에 따르면 저자들은 본체가 재구성되고 기능이 악성 프로그램 모듈로 옮겨졌다. Nuclear Bot이라고도 알려진 Nukebot는 12월에 다시 사용되기 시작했다. 당시 트로이 목마는 명령, 브라우저 기능 및 명령 및 제어 서버에서 웹 주입 기능을 다운로드할 수 있는 기능이 있었다. 카스퍼스키 랩의 맬웨어 분석가 세르게이 유나 코브 스키 (Sergey Yunakovsky)는 화요일에 게시된 기술 보고서에서 이 최신 버전을 통해 "API 함수 / 라이브러리 및 문자열을 계산하는 데 있어 현저한 차이가 있다. 첫 번째 경우 체크섬은 필요한 API 호출을 찾는 데 사용된다. 두 번째 경우에는 문자열 (명령, 프로세스 이름)을 비교한다."고 밝혔다. 연구원은 웹 주입 모듈이 Chrome, Firefox 및 Internet Explorer를 대상으로 하며 스크린 샷을 찍는 등 NeutrinoPOS의 기능과 유사한 기능을 수행할 수 있다고 말했다. 카스퍼스키랩은 "이 모듈은 라이브러리 형태로 배포되며 인터넷 익스플로러 기능은 그들이 위치한 프로세스의 이름에 따라 달라진다"고 전했다.


6.[기사] 국내 SW개발사 대상 설치파일변조 침해사고 발생
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=23268]

최근 국내 SW 개발사를 대상으로 SW가 제작되는 단계에서 설치파일변조 침해사고가 확인됐다. 이번 공격은 Supply Chain Attack(공급사슬공격)으로 볼 수 있으며, 해커가 특정 기업, 기관 등의 HW 및 SW 개발, 공급과정 등에 침투해 제품의 악의적 변조 또는 제품 내부에 악성코드 등을 숨기는 행위를 말한다. 공격자는 SW 빌드단계와 관련된 서버를 해킹 한 후 악성코드를 삽입하고 개발사가 제품 패키징(컴파일) 작업 시 정상파일에 악성모듈을 삽입시켜 배포되도록 한다. 한국인터넷진흥원은 “국내 SW 개발사는 사고 예방을 위해 자사 개발환경에 대한 내부 보안을 강화해야 한다”고 강조하고 개발과정과 관련된 모든 시스템(개발자PC, 빌드서버, SVN(형상관리)서버 등)에 대해 원격관리프로그램(원격데스크탑, 팀뷰어, VNC 등)의 접속이력을 점검하고 패스워드에 대한 관리 강화 및 개발환경은 외부 인터넷을 차단해 운영할 것”을 당부했다.

첨부파일 첨부파일이 없습니다.
태그