Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 9월 27일] 주요 보안 이슈
작성일 2017-09-27 조회 2759

1. [기사] iPhone 7  와이파이 익스플로잇 POC 공개
[https://www.bleepingcomputer.com/news/security/proof-of-concept-exploit-code-published-for-remote-iphone-7-wifi-hack/]
[http://www.securityweek.com/google-discloses-critical-wi-fi-flaws-affecting-ios-android?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]

Google 보안 연구원은 iPhone 7에서 WiFi 연결을 통해 원격으로 악용될 수 있는 취약점에 대한 개념 증명(proof-of-concept) 코드를 게시했다. "이 취약점으로 iPhone 7의 Wi-Fi 펌웨어에서 임의의 코드가 실행된다." 고 Google Project Zero 보안 팀의 회원인 Gal Beniamini는 말한다. 이 악용은 원격으로 이루어지며 사용자 상호 작용은 필요하지 않다. 또한 악의적인 무선 네트워크에 연결하려는 모든 사용자를 대상으로 하고 있다. 연구원은 지난 주 iOS 용 보안 업데이트를 발표한 후 악성 코드를 발표했다. 이 문제는 모든 iOS 버전에 영향을 주지만 iOS 11 출시와 함께 수정되었다. 데모 코드는 iPhone 7 장치에서 작동하지만 문제의 핵심인 취약점은 Android 핸드셋, tvOS를 실행하는 스마트 TV 및 Broadcom WiFi 칩이있는 기타 장치와 같은 광범위한 제품에 영향을 미친다. 애플은 tvOS에 대한 수정을 발표했고, 구글은 이달 초에 안드로이드의 취약점을 패치했다. Beniamini는 CVE-2017-11120로 추적된 버그가 펌웨어 버전 BCM4355C0을 실행하는 Broadcom WiFi 칩 및 이러한 WiFi 칩과 펌웨어가 배치된 모든 장치가 영향을 받았다고 전했다.


2. [기사] Dirty COW 취약점을 이용한 최초의 안드로이드 악성코드 발견
[https://www.bleepingcomputer.com/news/security/first-android-malware-discovered-using-dirty-cow-exploit/]
[http://thehackernews.com/2017/09/dirty-cow-android-malware.html]
[http://blog.trendmicro.com/trendlabs-security-intelligence/zniu-first-android-malware-exploit-dirty-cow-vulnerability/]
[http://www.securityweek.com/android-malware-exploits-dirty-cow-vulnerability?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]

사이버 범죄자들이 리눅스 커널에 영향을 준 Dirty COW 취약점을 안드로이드 사용자를 대상으로 악용하고 있다.
작년 10월에 공개된 Dirty COW는 Red Hat, Debian 및 Ubuntu를 포함한 거의 모든 Linux 배포판의 일부인 Linux 커널 부분에 있었으며 수년간 활발히 사용되고 있었다. 이 취약점으로 인해 권한이 없는 로컬 공격자가 루트 액세스 권한을 얻고 원격 공격을 수행할 수 있다. 그러나 트렌드 마이크로 (Trend Micro)의 보안 연구원은 닷지 코스트 (Dirty COW)라고 불리는 취약점 (CVE-2016-5195)이 현재 AndroidOS_ZNIU로 탐지된 ZNIU의 악성 코드 샘플에서 활발히 이용되고 있다고 밝혔다. 모바일 플랫폼에서 장치를 손상 시키도록 설계된 취약점에 대한 악용 사례를 포함하는 맬웨어 샘플은 이번이 최초의 사례이다. 맬웨어는 Android 커널에서 COW(Copy-On-Write) 메커니즘을 통해 안드로이드 장치를 루트하고 공격자가 프리미엄 요금 전화 번호를 통해 데이터를 수집하고 수익을 창출하는 데 사용할 수 있는 백도어를 설치하기 위해 Dirty COW 익스플로잇을 사용한다. 트렌드 마이크로 연구원은 1,200개 이상의 악성 Android 앱에서 ZNIU 멀웨어를 발견했다. 그 중 일부는 Dirty Cow를 악용하는 악성 코드 루트킷을 포함하는 호스트 웹 사이트와 함께 포르노 및 게임 앱으로 위장하고 있었다. 이에 따라 구글은 안드로이드에 대한 업데이트를 발표했다. 


3. [기사] 국내 아파치 스트럿츠 보안취약점 관리 허술…해킹사고로 이어질 수 있어
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=24293]

심각한 아파치 스트럿츠(Apache Struts) 보안취약점에 대한 국내 기업들의 보안관리가 여전히 취약한 상황이다.
최근 미국의 3대 신용정보기관인 에퀴팩스(Equifax)에서 1억 4천3백만명 이상의 대규모 개인신용정보가 유출된 보안침해 사건의 원인으로 밝혀진 보안취약점(CVE-2017-5638)을 포함한 자바 기반의 오픈소스 프레임워크인 아파치 스트럿츠(Apache Struts)를 이용한 오픈소스 소프트웨어 개발이 국내에서도 지속적으로 이루어져 왔던 것으로 알려져 있다. 엔시큐어 손장군 이사는 “아파치 스트럿츠는 국내 개발자들 사이에서 오랫동안 사용된 프레임워크로 2014년에 국내외를 들썩인 오프소스 암호화 라이브러리 OpenSSL의 보안취약점 하트블리드와 같이 국내에서도 해당 보안 취약점과 관련된 데이터 유출사건이 일어날 수 있다”고 경고하면서 “기업보안에 타격을 줄 수 있는 새로운 보안취약점은 매년 계속 등장하고 있지만 이에 대한 국내 기업들의 대응은 주먹구구식이 대부분이며 심지어 어떤 오픈소스가 리스크를 포함하고 있는지 모르는 경우가 많다“고 국내 오픈소스 소프트웨어의 보안취약점 관리 행태에 대해 우려를 나타냈다. 또한 인사이너리의 강태진 대표는 “아파치 스트럿츠는 국내에서도 다수의 개발자들이 사용해왔다.”며 “국내 오픈 소프트웨어 개발 환경을 볼 때 개발자가 직접 관련 소프트웨어에 사용된 오픈소스 라이브러리와 버전을 하나하나 관리하기 힘들어 실제적으로 어떤 오픈소스가 쓰였는지 확인이 어렵기 때문에 문제가 더 심각하다”고 경고했다.


4. [기사] Apple macOS High Sierra 취약점을 사용시 키 체인 암호 도용 가능
[http://thehackernews.com/2017/09/macos-high-sierra-keychain.html]
[http://www.securityweek.com/unsigned-apps-can-steal-macos-keychain-passwords?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
[https://threatpost.com/macos-high-sierra-available-and-vulnerable-to-keychain-attack/128149/]
[http://securityaffairs.co/wordpress/63439/hacking/os-keychain-data-theft.html]

해커는 서명되지 않은 응용 프로그램을 사용하여 최신macOS, High Sierra 10.13 및 이전 릴리스에서 macOS 키 체인 암호를 훔칠 수 있다. 연구자들은 Sierra와 High Sierra에 대한 악용 사례를 테스트했지만 El Capitan 역시 취약한 것으로 나타났다. 이 공격에는 루트 권한이 필요하지 않는다. 이 공격은 마스터 비밀번호에 대한 지식이 필요하며 미확인된 앱이 실행될 때 표시되는 경고를 무시하면서 악의적인 애플리케이션을 다운로드하고 실행하는 사용자를 대상으로 한다. Wardle은 PoC(proof-of-concept)코드와 함께 이 문제점을 Apple에 보고했으며 악의적인 행위자가 이 기술을 악용하지 못하도록 기술적 세부 사항을 공개하지 않았다. 또한 보안 전문가는 신뢰할 수 있는 출처에서만 응용 프로그램을 다운로드하고 운영 체제에 표시된 보안 경고에 주의하도록 권장한다.


5. [기사] 유해 사이트로 낙인 찍힌 텀블러, 악성코드 줄줄이 발견
[http://www.boannews.com/media/view.asp?idx=57207&mkind=1&kind=1]

최근 성매매와 인터넷 음란물의 온상으로 낙인 찍힌 미국의 미디어 서비스 ‘텀블러’에서 음란물을 위장한 악성코드가 줄줄이 발견됐다. 그동안 텀블러는 성매매와 인터넷 음란물 동영상 이슈가 국내에서 여러 차례 제기된 바 있다. 방송심의위원회가 조사한 텀블러의 성매매와 음란물의 시정 및 삭제 요청 비중은 올해 상반기에만 74%에 달했으며, 한국 측의 시정 및 삭제 요구에 대해 텀블러 측은 한국의 사법관할권이나 법률이 적용에 해당되지 않는다는 이유로 삭제 요청을 거부한 바 있다. 이러한 가운데 최근 텀블러에서 음란물로 위장한 악성코드가 줄줄이 발견됐다. 이에 대해 하우리 최상명 CERT실장은 “악성코드는 유니코드 확장자 위장 기법으로 실행파일인 스크린세이버 파일이 동영상 MP4 확장자로 보이게 한다”며 “게다가 곰플레이어 아이콘으로 위장해서 사람들이 실행하도록 유도한다”고 밝혔다. 특히, 이러한 악성코드 유포에는 국내인이 배후로 있는 것으로 분석됐다. 이에 대해 최 실장은 “국내인이 배후로 추정되는 사이버범죄자가 원격제어툴의 일종인 RAT 악성코드를 올려놓고 실제 텀블러의 음란 동영상을 보여줌으로써 악성코드라는 의심을 피하고 있다”고 설명했다. 이에 텀블러 사이트 이용자들의 각별한 주의가 요구된다. 한 보안전문가는 “흥미로운 제목, 동영상확장자.실행파일(xxx.avi.exe)과 같은 파일은 악성코드를 포함하고 있을 가능성이 높다”며 “동영상 파일을 다운로드 받을 때는 실제 확장자를 확인해야 한다”고 주의를 당부했다.


6. [기사] CBC의 Showtime 사이트가 이용자들에게 Monero Miner를 배포했다
[https://www.scmagazine.com/showtime-sites-ran-monero-miners-on-users-browsers/article/695866/]

CBS의 Showtime은 의심하지 않는 사용자 시스템에서 Monero cryptocurrencies를 자동으로 마이닝하는 최신 사이트이다. 쇼 타임 닷컴(Showtime.com)과 쇼 타임 애니 타임 닷컴(ShowtimeAnytime.com)은 숨겨진 자바 스크립트를 사용하여 시청자들의 웹 브라우저를 몰래 사용했으며, 미디어 회사가 자동으로 코드를 추출하기 전에 CPU 용량의 60 %를 소모했다. 코드가 쇼 타임에서 의도적으로 사용되었거나 위협 행위자에 의해 사용되었는지 여부는 분명하지 않다. 이 스크립트는 웹 분석 회사인 New Relic의 HTML 주석 태그들 사이에서 발견됐는데, 이 기사는 미스터리 코드와 아무런 관련이 없는 출판물에 대해 말했다. New Relic의 앤드류 슈미트 (Andrew Schmitt)는 "우리는 브라우저 에이전트의 보안을 매우 중요하게 여기며 개발 및 배포 파이프 라인을 따라 스크립트의 악의적이거나 승인되지 않은 수정을 탐지하는 여러 컨트롤을 갖추고 있습니다"라고 말했다. "우리 제품과 코드를 검토한 결과, Newrelic을 참조하는 스크린 샷에 표시된 HTML 주석은 New Relic의 에이전트에 의해 주입되지 않았습니다."고 덧붙였다.

첨부파일 첨부파일이 없습니다.
태그 Dirty COW  Monero Miner