Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 1월 16일] 주요 보안 이슈
작성일 2018-01-16 조회 1591

1. [기사] 리눅스 및 윈도우 서버를 대상으로 하는 RubyMiner 악성코드

[https://www.bleepingcomputer.com/news/security/linux-and-windows-servers-targeted-with-rubyminer-malware/]
만료된 소프트웨어를 사용하는 웹 서버를 대상으로 활동하는 가상화폐 채굴 악성코드 RubyMiner가 포착됐습니다. 이 공격은 지난주 1월 9~10일에 활동을 시작했으며, [p0f](https://en.wikipedia.org/wiki/P0f)란 웹 서버 식별 도구를 사용해 패치되지 않은 소프트웨어를 사용하는 리눅스와 윈도우즈 웹 서버를 식별합니다. 이후 널리 쓰이는 익스플로잇을 사용해 RubyMiner 감염을 시도한다고 합니다. 현재까지 사용하는 것으로 알려진 취약점 목록은 다음과 같습니다.
* Ruby on Rails XML Processor YAML Deserialization Code Execution (CVE-2013-0156)
* PHP php-cgi Query String Parameter Code Execution (CVE-2012-1823; CVE-2012-2311; CVE-2012-2335; CVE-2012-2336; CVE-2013-4878)
* Microsoft IIS ASP Scripts Source Code Disclosure (CVE-2005-2678)
모네로 코인 채굴기가 극성인 와중에 떠오르는 새 트렌드로, RubyMiner 악성코드는 현재까지 약 700개의 서버를 감염시키고 $540 상당의 가상화폐를 채굴한 것으로 보입니다.

 

2. [기사] 가짜 Meltdown / Spectre 취약점 패치, 악성코드 설치
[http://www.securityweek.com/fake-meltdownspectre-patch-installs-malware?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
1월 초 공개된 Meltdown 및 Spectre 취약점은 최신 프로세서에 대한 두 가지 새로운 측면 채널 공격 방법이며 수십억 개의 장치에 영향을 미친다고 알려졌습니다. 그러나 이 취약점에 대한 패치가 출시되자마자 공격이 일어났습니다. 그 중 하나인 SmokeLoader 악성코드는 독일 사용자를 대상으로 합니다.독일 당국이 악명 높은 버그가 나타나기 시작하면서 이메일 피싱에 대한 경고를 발표한 직후 공격이 발견되었습니다. 이메일은 독일연방정보보안국(BSI)에서 온 것처럼 보였으며, BSI 웹 사이트로도 알려진 도메인을 발견했습니다. 최근에 등록 된 SSL 지원 피싱 사이트는 합법적이거나 공식적인 정부 기관과는 관련이 없지만 사용자에게 악성코드 설치를 속이려고 합니다. 이 웹 사이트는 Meltdown 및 Spectre에 대한 자원에 링크를 제공하는 정보 페이지를 제공하고 있으며, 버그는 약속된 보안 패치 대신 악성코드가 포함된 ZIP 아카이브 (Intel-AMD-SecurityPatch-11-01bsi.zip)에 연결합니다. 사용자가 파일을 다운로드하여 실행하면 추가 페이로드를 다운로드하고 실행할 수있는 SmokeLoader 악성코드가 설치됩니다.

 

3. [기사] 라틴아메리카 금융 기관을 대상으로 하는 새로운 KillDisk 변종
[http://securityaffairs.co/wordpress/67780/breaking-news/windows-killdisk-wiper-latam.html]
악명 높은 디스크 와이퍼 맬웨어 KillDisk의 새로운 변종이 Trend Micro의 맬웨어 연구원에 의해 발견되었습니다. TROJ_KILLDISK.IUB로 추적된 이 KillDisk 변종은 라틴아메리카의 금융 기관에 대한 사이버 공격에 관여했으며, 다른 악성 코드에 의해 전달되거나 더 큰 공격의 일부일 수 있습니다. 악성 코드가 처리 대상으로하는 대상은 다음과 같습니다.
* 클라이언트 / 서버 런타임 하위 시스템 (csrss.exe)
* Windows 시작 응용 프로그램 (wininit.exe)
* Windows 로그온 응용 프로그램 (winlogon.exe)
* 로컬 보안 기관 하위 시스템 서비스 (lsass.exe)

 

4. [기사] Seagate, NAS(Network Attached Storage) 제품 버그 패치
[https://www.bleepingcomputer.com/news/security/seagate-quietly-patches-dangerous-bug-in-nas-devices/]
Seagate는 NAS(Network Attached Storage) 제품인 Seagate Personal Cloud Home Media Storage의 펌웨어에서 취약점을 패치했습니다. 이 취약점은 NAS에서 실행되는 웹 응용 프로그램인 미디어 서버에 영향을 미치며 사용자는 네트워크 연결을 통해 장치에 저장된 데이터와 상호 작용할 수 있습니다. 미디어 서버 인터페이스는 Django(Python) 앱에서 실행됩니다. Yorick Koster라는 보안 연구원은 침입자가 두 개의 파일(getLogs 및 uploadTelemetry)에 대한 잘못된 요청을 하면 응용 프로그램을 속여 기본 장치에서 명령을 실행하도록 속일 수 있음을 발견했습니다. 인증되지 않은 명령 주입이라 일컫는 이 취약점은 공격자가 웹 관리 인터페이스에서 장치의 기본 펌웨어에 대한 명령을 실행할 수 있도록 합니다.

 

5. [기사] 비너스락커와 모네로 채굴용 악성파일 공격 급증…북한 해커로 추정
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=28245]
2016년 12월부터 한국에 다수 유포된 '비너스 락커(Venus Locker)' 랜섬웨어 공격자는 2017년 11월 말부터 가상화폐 모네로(Monero/XMR) 채굴 기능의 악성 파일을 지속적으로 유포하고 있는 상황입니다. 특히 공격자는 유창한 한국어를 사용하며 스피어피싱 공격 기법을 쓰고 있어 북한 해커들의 소행으로 추정되고 있습니다. 최근 한국의 특정 의료시설 웹 사이트에 공개된 간호사 채용 문의 메일로 공격을 수행하는 특징이 있는 것으로 분석됐습니다. 메일 첨부 파일에는 패킷 분석, 프로세스 종료 등 다양한 분석 방해 및 초기화 기능을 하는 악성 파일이 포함되어 있으며, 특정 복호화 루틴 함수를 통해 모네로 채굴 기능의 코드를 작동시켜 감염된 컴퓨터에서 채굴 기능을 은밀하게 진행합니다.

 

6. [기사] 대만 경찰, 악성코드에 감염된 USB를 사이버 보안 퀴즈대회 상품으로 전달 
[https://www.bleepingcomputer.com/news/security/police-hand-out-malware-infected-usbs-as-prize-in-cyber-security-quiz/]
대만 경찰은 지난 12월에 주최한 사이버 보안 퀴즈 대회에서 악성코드에 감염된 USB 드라이브를 퀴즈 수상자에게 전했습니다. 범죄수사국은 지난주 승자에게 나눠준 250개의 8GB USB 드라이브 중 54개가 악성코드를 포함하고 있다고 밝혔습니다. 수사 결과, 납품 업체 직원이 USB 드라이브를 테스트하여 스토리지 용량이 의도한대로 8GB인지 확인하다가 USB에 연결된 컴퓨터가 악성코드에 감염되어 USB 스틱에도 퍼진 것으로 밝혀졌습니다.

 

7. [기사] Spectre / Meltdown 패치, Amazon Web Services 인프라 성능 저하에 영향
[http://securityaffairs.co/wordpress/67767/security/meltdown-patches-aws-impact.html]
IT 관리 소프트웨어 및 모니터링 도구 공급 업체인 SolarWinds는 자체 Amazon Web Services 인프라에서 Meltdown 및 Spectre 보안 패치의 성능에 미치는 영향을 분석했습니다. 분석 결과, 심각한 성능 저하가 나타났습니다. Kafka 클러스터에서는 패킷 속도가 40% 까지 떨어지고 CPU 사용률은 Cassandra에서 약 25% 가량 증가했습니다.

첨부파일 첨부파일이 없습니다.
태그 Spectre  Meltdown  KillDisk  RubyMiner