Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 11월 8일] 주요 보안 이슈
작성일 2017-11-08 조회 2788

1. [기사] Linux, USB 드라이버 보안 문제 발견
[https://www.bleepingcomputer.com/news/security/linux-has-a-usb-driver-security-problem/]
Linux 커널에 포함된 USB 드라이버가 사용자의 컴퓨터를 장악하고 신뢰할 수 없는 임의의 코드를 실행하는데 악용될 수 있는 보안 취약점을 가지고 있는것으로 확인되었다. 구글 보안 전문가인 Andrey Konovalov는 그가 Linux 커널 USB 서브시스템에서 찾은 14개의 취약점을 발표한 것이다. 그는 취약점들은 공격자가 물리적으로 장치에 접근 가능할 경우 악용될 수 있다고 전했다. 사실 그가 발견한 취약점은 크게 79개이며, 이 모두를 그가 발표한 것은 아니다. 대부분은 간단한 DoS 버그이며, 일부는 공격자의 권한을 상승시켜 임의 코드를 실행할 수 있는 취약점이다. 모든 버그는 구글 보안팀에서 버그를 잡기 위해 개발한 툴인 syzkaller를 사용해서 발견되었다.

 

2. [기사] 알려지지 않은 사용자, 이더리움 지갑 납치
[https://www.bleepingcomputer.com/news/security/unknown-user-triggers-bug-that-freezes-285mil-inside-ethereum-wallets/]
[http://www.etoday.co.kr/news/section/newsview.php?idxno=1559760]
지난 화요일, 알려지지 않은 사용자가 사용자의 계정에 자금을 영구적으로 잠그는 패리티 이더리움 지갑의 소스 코드를 악용하는 버그를 발생시킨것으로 확인되었다. 패리티 개발자들은 해당 사실을 인정했으며 패치를 진행했다. 버그가 영향을 준 것은 단지 패리티 멀티시그니처 지갑과 새로운 지갑으로 자금을 이체시키기 전에 멀티 사용자로부터 시그너처를 필요한 계정(7월20일~현재 생성)이다. Comae 기술 보안 연구원인 Matt Suiche는 최근 패리티 버그의 분석을 출판했으며, 해당 버그는 패리티 지갑 기술로 사용되는 라이브러리에 원인이 있다고 말하고 있다. 아직까지 어떻게 패리티 개발팀이 이 잠긴 지갑을 해결할 지에 대해서는 확실하지 않으며 여러가지 해결 방법이 언급되고 있는 상황이다.

 

3. [기사] GIBON 랜섬웨어, Criminal Forums에서 판매중
[https://www.bleepingcomputer.com/news/security/gibon-ransomware-being-sold-on-underground-criminal-forums/]
[http://www.boannews.com/media/view.asp?idx=57908&mkind=1&kind=1]
지난 GIBON 랜섬웨어 발견에 이어, 해당 랜섬웨어가 5월 초창기부터 Criminal Forum에서 판매되는것이 확인되었다. 다양한 사이트 목록에 따르면, AUS_8 이라는 익명의 사용자가 GIBON 랜섬웨어를 500달러의 가격으로 판매시도중인것으로 확인했다. 해당 광고는 러시아어로 쓰여져 있었지만, 복제본은 영어로 번역되었다. 한편 해당 랜섬웨어는 개인적으로 파일을 복호화 할 수 없다고 말하고 있지만, GIBON 복호화기가 이미 출시되었다.

 

4. [기사] 외교 타겟에 초점을 둔 'Sowbug' 해커
[http://www.securityweek.com/sowbug-hackers-focus-diplomatic-targets?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]

2015년 초창기 이래로 활동을 해온 사이버스파이 그룹이 최근 외교적 타겟과 해외 정책 기관을 주로 하여, 남미와 동남아시아 기업을 공격하고 있다. Symantec에 의해 Sowbug라 불리는, 이 그룹은 Felismus라 불리는 일련의 멀웨어를 사용하며, 이를 통해 파일 업로드. 다운로드, 실행, 쉘 명령어 실행을 시행한다. Symantec에 따르면, 이 그룹은 가까스로 아르헨티나, 브라질, 에콰도르, 페루 등 여러 나라 기관에 잠입하여 기밀문서를 훔치려 시도했다. 이 그룹은 여러 타겟 몰래 잠입하는데 능통하며, 공격자는 알려지지 않은 페이로드를 서버에 배포해 네트워크를 유지한다고 알려졌다.

 

5. [기사] 온라인 뱅킹 사용자 노리던 칵봇과 이모텟, 이젠 기업도 노린다
[http://www.boannews.com/media/view.asp?idx=57913&mkind=1&kind=1]
정보 탈취 트로이목마인 칵봇(Qakbot)과 이모텟(Emotet)의 활동이 최근 새로워지고 있다는 소식이 마이크로소프트로부터 나왔다. 퀙봇과 이모텟은 두 개의 다른 멀웨어 패밀리이지만 행동 패턴이 유사하며, 온라인 뱅킹 사용자들을 주로 노려왔다. 하지만 최근에는 ‘기업들’을 공격 대상으로 바꿨다고 마이크로소프트에서 알려왔다. 과거 칵봇과 이모텟은 탐지 기법을 우회하거나 피해자 시스템에 되도록 오랜 시간 머물거나 하는 기술을 갈고 닦는 것에 주력해왔다. 둘 다 드로퍼를 활용해 시스템을 감염시키며(물론 최근 칵봇 변종은 익스플로잇 킷을 활용하기도 한다), 페이로드를 무작위 폴더들에 다운로드 받고, 최대한 오랜 시간 발각되지 않고 시스템 내에 머무른다. 또한 코드를 explorer.exe에 주입시키기도 한다. 둘 다 암호화된 정보를 C&C 서버로 송출한다. 칵봇과 에모텟 모두 키스트로크를 로깅하고, 브라우저 및 네트워크 관련 API들을 후킹하며, 쿠키와 인증서를 훔치는 방법으로 피해자들로부터 각종 정보를 수집한다. 또한 접근이 가능한 네트워크들로 퍼져나가며 USB마저도 감염시킨다. 디폴트 관리자 공유 파일 및 공유 폴더 등을 통해서도 주변 네트워크를 감염시키고, 액티브 디렉토리 계정 목록을 사용해 브루트포스 공격도 실시한다. SMB 기능을 활용하기도 한다.

첨부파일 첨부파일이 없습니다.
태그