Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 10월 19일] 주요 보안 이슈
작성일 2017-10-19 조회 2476

1. [기사] 구글의 새로운 보안 기능이 등장... 비밀번호를 알아 내도 계정 액세스 막을 수 있다
[https://thehackernews.com/2017/10/google-advanced-protection.html]
[https://motherboard.vice.com/en_us/article/kz74ym/google-gmail-advanced-protection-security-keys-yubikey]

구글은 계정 보호를 위해 다른 기기에서 구글 계정에 로그인 할 경우 사용자에게 알림을 보내는 기능을 현재 제공하고 있다. 하지만 개인 정보 보호에 민감한 고객들을 위해 좀 더 강화된 보안 기능을 선보였다. 이 기능을 이용하게 되면, 사이버 공격에 취약한 사용자의 비밀번호가 노출되더라도 계정 액세스를 막을 수 있다. 따라서 해커가 피싱 기법이나 제로데이 취약점을 이용해 사용자의 비밀번호를 알아냈다 하더라고, 그 이상의 정보를 탈취할 수 없을 것이다. 이 새로운 보안 기능을 사용하기 위해서, 비밀 코드가 필요없는 2중 인증을 SMS 또는 전자 메일을 통해 제공하는 FIDO U2F (Universal Second Factor)와 함께 작동하는 두 개의 물리적 보안 키가 필요하다.


2.[기사] 신종 랜섬웨어 ‘마이랜섬’ 출현...제2의 케르베르 공포 시작되나
[http://www.boannews.com/media/view.asp?idx=57526&skind=O]
[http://blog.trendmicro.com/trendlabs-security-intelligence/magnitude-exploit-kit-now-targeting-korea-with-magniber-ransomware/]
[https://www.bleepingcomputer.com/news/security/goodbye-cerber-hello-magniber-ransomware/]

우리나라에 더욱 악명이 높은 케르베르(Cerber) 랜섬웨어와 유사한 신종 랜섬웨어가 출현했다. 특히, 드라이브 바이 다운로드(Drive-by-Download) 기법을 통해 웹으로 유포되고 있어 국내 인터넷 사용자들의 각별한 주의가 필요할 것으로 보인다. 신종 랜섬웨어를 발견한 순천향대학교 SCH사이버보안연구센터(염흥열 센터장)에 따르면 이번 랜섬웨어는 매그니튜드 익스플로잇 킷(Magnitude Exploit Kit)을 통해 멀버타이징(Malvertising) 방식으로 유포되고 있는 것으로 확인했다. 센터 측은 지금까지와는 다른 형태의 신종 랜섬웨어로 판단해 ‘마이랜섬(MyRansom)’이라 명명했다. 익스플로잇은 서버에 접근하는 이용자 컴퓨터 취약성을 점검한 후, 해당 취약성을 악용해 악성코드를 이용자 컴퓨터에 다운로드해 실행케 만드는 서버상 소프트웨어 프로그램으로, 매그니튜드 익스플로잇도 그 가운데 하나로 볼 수 있다. 또한, 멀버타이징은 악성코드(Malware)와 온라인 광고(Online Advertising)의 합성어로, 합법 광고 사이트에 악성코드를 삽입해 악성코드를 유포하는 방법이다. 주로 케르베르 랜섬웨어가 악성코드를 배포하기 위해 멀버타이징 기법을 활용하는 것과 유사하다고 볼 수 있다. 케르베르 인크립터의 경우 자신의 이름과 특정의 확장자를 갖고 있으며, 감염되고 나면 피해자 컴퓨터에 감염 사실을 알리고 몸값을 비트코인으로 지불하라는 창을 띄운다. 몸값을 지불하면 공격자는 복호화가 가능한 케르베르 디크립터(CRBR Decryptor)를 제공하게 된다. 반면, 이번에 발견된 ‘마이랜섬’은 자신의 명백한 이름과 특정의 확장자를 갖지 않는 특성을 지닌 것으로 드러났다. 공격자는 몸값으로 ‘마이디크립터(My Decryptor)’의 구매를 피해자에게 요구한다. 이를 근거로 센터는 해당 랜섬웨어를 ‘마이랜섬(MyRansom)’으로 명명했다는 설명이다. 마이랜섬은 하드디스크, 네트워크 공유폴더, 이동식 디스크 등에 위치한 다양한 파일을 암호화한다. 특히, 마이랜섬은 다양한 공격 대상 파일을 암호화하는데, 공격 대상 파일 가운데는 아래한글(*.hwp) 파일도 포함되어 있는 것으로 분석됐다. 이로 미루어볼 때 국내 사용자들도 겨냥하고 있는 것으로 추정된다. 특히, 마이랜섬은 암호화 이후 변경되는 공격 대상 파일 확장자가 매번 다르다. 현재 센터에서 발견한 마이랜섬은 암호화 이후 파일 확장자로 “Kgpvwnr”, “ihsdj” 등을 이용하고 있다고 밝혔다. 해당 확장자는 악성코드 감염 이후 시스템의 임시폴더(%Temp)에 생성된 파일명과 동일한 것으로 분석됐다. 


3.[기사] 공항 자동출입국 시스템 제공업체 해킹 논란 짚어보니
[http://www.boannews.com/media/view.asp?idx=57543&mkind=1&kind=1]

국내 공항의 자동 출입국 시스템을 담당했던 SI 업체의 웹사이트가 해킹돼 방문자를 대상으로 악성코드가 유포되어 논란이 커지고 있다. 해당 악성코드는 해커가 SI 업체 웹사이트 방문자를 대상으로 워터링 홀(Watering Hole) 방식을 통해 유포한 것으로 방문자 PC에 엑티브X 취약점이 있을 경우 악성코드에 감염되는 것으로 드러났다. 이에 대해 SI 업체 대표는 이번에 악성코드가 유포됐다고 해서 국내 공항 출입국 시스템이 해킹될 가능성은 낮다는 입장이다. 이유는 웹 사이트 악성코드 조사 결과 지난 5월 13일에 적용되었으며, 현재 공항 자동 출입국 시스템은 다른 업체가 이어 맡아 올해 1월1일부터 새로운 업체가 유지보수를 진행하고 있기 때문인 것이다. SI 업체 측은 “현재 홈페이지 서버는 목동 KT IDC에 있으며 보안관제 서비스 규정에 따라 운영 중이다. 홈페이지는 업무용 내부망과 분리되어 있어 홈페이지 해킹을 통한 내부자료는 접근이 불가능하다. 내부망은 가상화 솔루션이 적용되어 있으며, 홈페이지는 회사소개용(사업소개, 뉴스, 자료실, 채용정보 등)으로 방문자가 일평균 13명 내외로 웹사이트에 개인정보가 저장되어 있지 않다”고 설명하고 있다. 현재 당사의 자동 출입국 시스템은 계약만료 후 정부방침에 따라 모든 자료를 반납하고 2016년 철수해 현재는 타 SI 업체가 시스템을 운영하고 있는 것으로 알려졌다. 하지만 5월 13일부터 약 5개월 가량 웹사이트가 방치된 상태인만큼 관리 부실에 대한 지적은 높아지고 있다. 이에 대해 업체 대표는  “웹사이트 관리는 하고 있었지만 제대로 관리하지 못해 악성코드가 유포된 것에 대해서는 잘못을 인정한다. 악성코드는 지난 13일 제거됐고, 취약점도 조치 완료된 상태”라며 “한국인터넷진흥원의 로그분석 서비스를 받겠다”고 밝혔다. 


4. [기사] 새로운 변종 Necurs 봇넷 다운로더 유포 시작
[http://securityaffairs.co/wordpress/64463/malware/necurs-botnet-downloader.html]

Necurs 봇넷은 새로운 기능을 갖춘 다운로더를 다시 배포하고 있다. 이 기능은 피해자의 데스크톱 스크린 샷과 런타임 오류를 다시 운영자에게 전달하는 것이다. Necurs 맬웨어는 스팸 캠페인이나 손상된 웹 서버를 통해 퍼졌으며, 지난 1월 Locky ransomware를 배포하기 위해 처음 사용되었다. 이제 세계에서 가장 큰 악성 아키텍처 중 하나가 된 Necurs Botnet의 변종은 두가지 새로운 기능을 포함하고 있다. 첫 번째 기능은 Powershell 스크립트를 추가하여 감염된 사용자의 화면을 몇 초 동안 기다린 후 원격 서버에 업로드하는 screengrab을 사용하는 것이다. 두 번째 추가 기능은 Necurs 다운로더에서 오류를 모니터링하고 수집된 정보를 Necurs botmaster에게 다시 보내는 내장된 오류보고 기능이다. 수집된 데이터를 통해 해커는 멀웨어의 효율성을 측정하고 악성 코드가 회사 네트워크 등 중요한 환경을 감지 시켰는지 여부를 감지할 수 있게 된다.


5. [기사] MS, 크롬에 존재하는 코드 실행 취약점 공개
[http://www.securityweek.com/microsoft-discloses-code-execution-flaw-chrome?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
[https://www.bleepingcomputer.com/news/security/microsoft-takes-jab-back-at-googles-security-team/]
[https://blogs.technet.microsoft.com/mmpc/2017/10/18/browser-security-beyond-sandboxing/]

Microsoft는 Chrome 웹 브라우저에서 발견한 원격 코드 실행 취약점에 대해 자세히 공개했다. 구글은 현재 Chrome 61 출시를 통해 결함을 패치한 상태이다. Microsoft의 Offensive Security Research(OSR) 팀은 자체 자바 스크립트 엔진인 Chakra를 테스트하기 위해 Microsoft에서 개발한 fuzzer 인 ExprGen을 사용하여 Chrome의 V8 오픈 소스 JavaScript 엔진을 분석했다. 그 결과 처음에는 정보 유출이 발견되었으며 궁극적으로 Chrome renderer 프로세스에서 임의의 코드가 실행되었다. 그러나 Chrome은 제한된 환경에서 웹 응용 프로그램이 실행되도록 샌드 박스를 사용하는 특징을 가진다. 즉, 시스템에 대한 완전하고 지속적인 제어를 수행하기 위해서 해커는 샌드 박스 이탈을 허용하는 취약점을 식별해야 한다. SOP가 우회되면 해커는 임의의 웹 사이트에 저장된 암호를 훔치고 UXSS (Universal Cross-Site Scripting)를 통해 임의의 JavaScript를 웹 페이지에 주입해 모든 웹 사이트를 자동 탐색 할 수 있다. 이러한 공격을 효과적으로 구현하는 방법은 렌더러와 브라우저 프로세스가 서로 통신하고 관련 메시지를 직접 시뮬레이션하는 방법을 알아내는 것이다. 이를 막기 위해 암호 이중 인증을 사용하더라도, 이미 로그인 한 웹 사이트에서 사용자 정보를 스푸핑 할 수 있기 때문에 주의해야 한다. 이 취약점은 CVE-2017-5121로 추적되며 Chrome 61의 출시로 지난 달 Google에 의해 패치되었다. Google은 아직 자체 버그 추적 프로그램에서 발견한 결함 세부 정보를 공개하지 않았다.


6. [기사] 어린이 스마트워치, 위치 추적 및 대화 도청 등 보안 취약성 존재 해
[http://www.zdnet.com/article/security-flaws-in-childrens-smartwatches-make-them-vulnerable-to-hackers/]

어린이 스마트워치에서 사용자 위치, 대화 도청을 가능하게 하는 보안 취약점이 발견되었다. 이 기기들의 데이터는 암호화 과정 없이 저장 및 전송되고 있었다고 노르웨이 소비자위원회(NCC)는 말했다. NCC는 여러 가지 스마트 워치와 관련된 앱 다운로드 및 사용 약관을 검토하고 기기에 대한 기술 테스트를 수행했다. 조사 결과 Xplora 스마트 워치, Viksfjord 스마트 워치 및 Gator 2 스마트 워치 및 관련 앱에 허용되지 않는 보안 취약점이 포함되어 있다는 결론에 도달했다. 또한 보안 취약점의 심각성과 정도는 기업이 소비자의 개인 정보를 보호하기 위한 예방 조치를 거의 취하지 않았음을 시사한다. 이는 사용자가 대부분 어린이들이기 때문에 특히 심각한 문제라고 NCC는 주장했다.

첨부파일 첨부파일이 없습니다.
태그 마이랜섬  Necurs 봇넷