Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 10월 11일] 주요 보안 이슈
작성일 2017-10-11 조회 2202

1.[기사] 미국과 한국을 대상으로 하는 Formbook 악성코드
[https://threatpost.com/formbook-malware-targets-us-defense-contractors-aerospace-and-manufacturing-sectors/128334/]

FormBook이라는 새로운 멀웨어가 미국과 한국의 항공사, 방위 산업체를 표적으로 삼고있다. FireEye의 연구원에 따르면 FormBook은 악성 PDF, DOC 또는 XLS 첨부 파일이 포함된 전자 메일에서 발견되었다. 한국을 대상으로 하는 FormBook은 실행 가능한 페이로드가 있는 악의적인 아카이브 파일 (ZIP, RAR, ACE 및 ISO)이 들어있는 전자 메일을 사용자에게 보냄으로써 공격하고 있다. FormBook은 데이터 도용 멀웨어 유형으로 키 입력 로깅, 클립 보드 내용 도용 및 HTTP 세션에서의 데이터 추출이 가능하다. 일단 설치되면 맬웨어는 맬웨어에 더 많은 파일 다운로드, 프로세스 시작, 시스템 종료 및 재부팅, 쿠키 및 로컬 암호 훔치기와 같은 명령 및 제어 (C2) 서버의 명령을 실행할 수 있다. "맬웨어의 기능 중 하나는 Windows의 ntdll.dll 모듈을 디스크에서 메모리로 읽어 들이고 내보낸 기능을 직접 호출하여, 사용자 모드 연결 및 API 모니터링 메커니즘을 효과적으로 렌더링하지 못하게 하는 것이다."라고 FireEye는 발표했다. FormBook 페이로드는 자동 압축 해제 RAR 파일을 통해 전달된다. 자동 압축 해제 RAR 파일을 실행하면 AutoIt 로더가 시작되고 AutoIt 로더가 AutoIt 스크립트를 컴파일하고 실행하는 방식이다. 이 스크립트는 FormBook 페이로드 파일을 해독하고 메모리에 로드한 다음 실행되는 것으로 보인다.


2. [기사] 북한 사이버 공격의 단골 루트, PMS 취약점 도대체 뭐길래?
[http://www.boannews.com/media/view.asp?idx=57389&mkind=1&kind=1]

지난 2013년에 발생한 3.20 사이버테러에서부터 2015년 공기업 해킹사건, 2016년 정보보호 업체 및 방위산업체 해킹, 그리고 지난 3월 발생한 현금인출기 ATM 해킹 사건에 이르기까지 모두 한 가지 공통점이 있다. 해당 기관과 기업 모두 바로 PMS 취약점을 이용해 공격당했다는 점이다. 패치관리 시스템(Patch Management System)을 의미하는 PMS는 백신, OA, OS 등 업데이트 관리 시스템으로, 북한에서 우리나라를 공격할 때 단골로 사용하는 게 PMS 취약점을 악용한 공격이다. 이러한 PMS 취약점에 대해 라온시큐어 이종호 연구원은 “최근 망분리를 활용해 보안성을 높이는데, 망들의 효율적인 소프트웨어 업데이트를 위해 PMS을 구축한다”며 “그러나 PMS의 경우 내·외부망과 연결될 수 있고, 해커가 이를 장악하게 되면 업데이트 기능을 이용해 모든 PC를 쉽게 장악할 수 있어 해커의 타깃이 되기 쉽다”고 우려했다. 


3. [기사] MS 10월 업데이트 - 악성코드 제공하는 MS office 0-day 취약점 패치
[http://www.securityweek.com/microsoft-patches-office-zero-day-used-deliver-malware?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
[https://threatpost.com/microsoft-patches-office-bug-actively-being-exploited/128367/]
[https://www.bleepingcomputer.com/news/microsoft/microsoft-october-patch-tuesday-fixes-62-security-issues-including-a-zero-day/]

마이크로소프트는 10월 업데이트를 발표했다. 이번 달의 패치에는 Windows OS, 다양한 Office 제품, Skype for Business, Internet Explorer, Microsoft Edge 및 Chackra Core 브라우저 엔진의 62개의 보안 버그에 대한 수정이 포함되어 있다. 패치된 버그중 가장 이슈되었던 취약점 (CVE-2017-11826)은 Qihoo 360 보안 연구원 3명이 발견한 Office Word에 영향을 주는 원격 코드 실행(RCE) 버그이다. 영향 받는 제품에는 Microsoft Word 2007 이상의 릴리스가 포함되어 있지만 Word Automation Services 및 Microsoft Office Web Apps Server도 포함된다. 그 외의 패치된 취약점으로는, CVE-2017-8703 (Linux 용 Windows 서브 시스템의 서비스 거부 문제) 및 CVE-2017-11777 (Microsoft Office SharePoint의 교차 사이트 스크립팅 취약점)등이 있다. 자세한 패치 사항은 마이크로소프트 홈페이지에서 확인할 수 있다.


4. [기사] 아이폰 사용자를 대상으로 하는 피싱 공격 발견
[https://thehackernews.com/2017/10/apple-id-password-hacking.html]

iPhone 사용자에게 iCloud 암호를 묻는 화면을 원래 이미지와 동일하게 조작하여 비밀번호를 탈취하는 피싱 공격이 발견되었다. 이는 원래의 이미지와 동일하여 조심성 있는 사용자조차도 육안으로 구분하기 어렵도록 제작되었다. iOS 개발자이자 Fastlane.Tools의 창립자 인 Felix Krause는 악의적인 iOS 앱이 iCloud 계정 및 데이터에 액세스하기 위해 Apple ID 비밀번호를 도용하는 이 공격을 탐지하는 것은 거의 불가능에 가깝다고 말했다. 크라우스(Krause)가 화요일에 공개한 블로그 게시물에 따르면, iOS 앱은 "UIAlertController"를 사용하여 가짜 대화 상자를 사용자에게 표시하고 Apple 공식 시스템 대화의 모양과 느낌을 모방할 수 있다고 한다. 따라서 공격자가 사용자가 Apple ID 암호를 어느 정도의 의심없이 제공하도록 설득하는 것이 더 쉬워진 것이라고 말했다. 보안상의 이유로 개발자는 공격을 시연하면서 팝업의 실제 소스 코드를 포함시키지 않기로 결정했다. 만약 자신의 아이폰에서 의심스러운 팝업창이 뜬다면, 홈버튼을 눌러 앱을 종료하도록 권고되고 있다.


5. [기사] ATM 만 대상으로하는 ATMii 악성코드
[https://www.bleepingcomputer.com/news/security/atmii-malware-makes-windows-7-and-windows-vista-atms-spit-out-cash/]
[https://www.scmagazine.com/simple-malware-targets-atms-running-old-windows-software/article/699298/]

ATMii라고 불리는 새로운 ATM 악성 코드 제품군은 합법적인 독점 라이브러리와 약간의 코드를 사용하여 공격한다. 이는 이전 Windows 버전을 대상으로 한다. 이 악성 코드는 2017년 4월에 처음 발견되었으며 인젝터 모듈과 주입 모듈을 포함하여 2개의 모듈로만 구성된 것으로 설명되었다고 Kaspersky 연구원인 콘스탄틴 지코프 (Konstantin Zykov)는 10월 10일 블로그 게시물에서 밝혔다. "이 악성 코드를 사용하려면 네트워크를 통해 또는 물리적으로(예 : USB를 통해) 대상 ATM에 직접 액세스 해야한다. ATMii가 성공하면 범죄자가 ATM에서 현금을 모두 탈취할 수 있다."고 Zykov는 말했다. Zykov는 악성 코드 공격에 대한 최상의 대처 방법은 기본 거부 정책과 장치 제어를 사용하여 범죄자가 ATM의 내부 PC에서 자체 코드를 실행하지 못하도록 하고 USB 스틱과 같은 새 장치를 연결하는 것을 방지하는 것이라고 강조했다.


6.[기사] 추석연휴 기간 동안 네이버 피싱 공격 들끓어
[http://www.boannews.com/media/view.asp?idx=57379&mkind=1&kind=1]

추석연휴 기간 동안 네이버 피싱 페이지로 연결시키는 악성스크립트가 기승을 부렸다. 그중에는 보안 솔루션 업체 웹사이트도 포함돼 있는 것으로 드러났다. 지난 추석연휴 기간 동안 문제가 된 웹사이트는 총 15개이며, 해당 사이트에 방문하면 4개 사이트로 연결되는데 이 4개의 사이트가 네이버 피싱 페이지로 연결되는 악성스크립트가 삽입됐다. 특히, 보안 솔루션 업체 웹사이트의 경우 국내에서 리눅스 파일 서버 보안 솔루션, 자동화 시스템 보안 솔루션 등을 판매하는 외국산 백신 회사의 총판 업체로 알려져 있다. 더군다나 최근 피싱 사이트가 들끓고 있는 가운데 보안 솔루션 업체 웹사이트가 피싱사이트에 악용된다는 점에서 더욱 문제가 되고 있다. 해당 웹사이트 해킹은 해커가 웹사이트를 변조해 피싱 사이트로 연결되도록 악성URL을 삽입한 것이다. 네이버 로그인 페이지로 위장한 피싱 사이트는 네이버의 이메일과 비밀번호 입력을 요구하고 있다. 보안연구원은 “FCK Editor라고 하는 HTML WYSIWIG 모듈의 취약점을 이용해 해당 파일(.js)에 악성 URL을 삽입한 공격”이라며 “악성 URL은 네이버 피싱을 노린 형태”라고 분석했다. 따라서 해당 웹사이트의 보안담당자는 웹사이트에서 악성 URL을 제거하고, 취약점을 해결해야 한다. 특히, 취약점이 없는 최신 버전의 FcKeditor로 업데이트하고, 보안 설정할 때 테스트용 파일은 제거해야 한다는 게 보안전문가의 설명이다. 뿐만 아니라 기본 설정에서 공격에 악용되거나 노출될 수 있는 파일은 보완해야 할 필요가 있다.

첨부파일 첨부파일이 없습니다.
태그 Formbook  PMS  MS 10월 업데이트