Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향 [2018년 4월 5일] 주요 보안 이슈
작성일 2018-04-05 조회 1474

1. [기사] CertUtil.exe을 이용한 백신 우회
[https://www.bleepingcomputer.com/news/security/certutilexe-could-allow-attackers-to-download-malware-while-bypassing-av/]

 CertUtil.exe은 Windows에서 인증서를 관리하는데 사용할 수 있는 기본 프로그램입니다. 이 프로그램을 사용하면 Windows에서 인증서 및 인증서 장소와 관련된 다양한 기능을 설치, 백업, 삭제, 관리 및 수행할 수 있습니다. 해당 프로그램의 기능 중 하나는 원격 URL에서 인증서 또는 다른 모든 파일을 다운로드하여 "certutil.exe -urlcache -split -f [URL] output.file"구문을 사용하여 로컬 파일로 저장할 수 있다는 것 입니다. 보안연구원은 공격자들이 이를 악용하여 악성코드를 다운로드하도록 설계한다고 전합니다. 이 과정 중에 네트워크 보안 장치에서 탐지되는 것을 우회하기 위해 악성 파일을 최초로 base4로 인코딩합니다. "certutil.exe -decode" 명령을 사용하여 base64로 인코딩 된 파일을 로컬 컴퓨터의 실행 파일로 디코딩할 수 있습니다. 이런 방법을 실제로 사용한 사례는 아직 발견되지 않았습니다.

 

2. [기사] 널리 사용되는 tBoot의 슬립모드 통해 인텔 TXT 무력화 가능
[http://www.boannews.com/media/view.asp?idx=68140&page=1&mkind=1&kind=1]
 최근 연구에서 3단계 슬립모드에 대한 위험성이 발표됐습니다. 슬립모드를 통해 인텔의 신뢰된 실행환경을 공격하는게 가능하며 인텔 TXT 내 오류를 익스플로잇한다면 슬립모드에서 깨어나는 순간부터 침해가 이뤄진다고 전했습니다. 인텔의 TXT란 하드웨어 기반 기능으로 역동적인 신뢰점 측정을 지원하고, 부트와 실행 시간 동안 플랫폼의 신뢰성을 확인합니다. 그런데 슬립모드를 이용하면 인텔 TXT의 참조구현인 tBoot을 겨냥하는 공격이 가능해진다는 것입니다. 시스템이 다시 활성화될 때, 로스트 포인터 오류로 특정 포인터는 확인 과정을 거치지 않는다는 약점을 악용하여 임의의 코드를 실행시키는게 가능해지는 것입니다. tBoot는 오픈소스 프로젝트로 가상 기기 모니터와 운영체제를 보호하며, 서버 환경에서 주로 사용됩니다. 경제적인 이유 때문에 슬립모드를 활용하는 것이 일반적이므로 이를 활용한 공격은 충분히 가능성 있다고 설명합니다. 공격을 막기 위해서는 tBoot를 최신화 시키거나 바이오스(BIOS)의 슬립모드 기능을 비활성화 시키는 방법이 있습니다. 

 

3. [기사] 크립토마이너 및 악성코드에 감염된 1,000여개의 Magento 사이트 
[https://www.hackread.com/magento-websites-hacked-with-cryptominers-malware/]
 최소 1,000여개의 Magento 기반 웹 사이트를 대상으로 악성코드가 감염되었습니다. 2016년부터 사이버 범죄자들은 오픈 소스 전자 상거래 플랫폼인 Magento를 목표로 삼고 있었습니다. 그 결과 Magento를 통해 실행되는 수백 개의 전자 상거래 웹 사이트들은 이미 해커에 의해 접근 권한을 도용당해 신용 카드 정보를 빼앗기거나 암호화폐 채굴 코드가 유포되었습니다. 공격자들은 자바스크립트 스니퍼를 심어 지불 카드 정보를 훔쳐 다크웹에 팔거나, 암호화폐 채굴하는 툴을 업로드해 수익을 얻습니다. 또는 침해 사이트를 사용해 코드를 호스팅하여 방문자가 사이트를 접속했을 때 가짜 플래시 플레이어 업데이트 설치를 유도합니다. 확인을 누른 방문자는 AZORult라는 데이터 탈취 멀웨어를 설치하고 이는 Rarog라는 암호화폐 채굴 코드를 추가로 다운받아 실행시킵니다. 더욱 심각한 점은 공격자들은 악성파일을 매일 업데이트해 시그니처 기반의 백신을 우회한다는 점입니다. 공격자들이 침투한 곳은 콘텐츠 관리 시스템(CMS)의 관리자 패널입니다. 피해를 입은 곳을 보면 대부분 관리자가 디폴트 비밀번호를 바꾸지 않은 것으로 밝혀졌습니다. 보안 연구원들은 디폴트 비밀번호를 무조건 변경해야되며 여유가 된다면 이중 인증시스템을 도입하는 것이 좋다고 설명합니다.

 

4. [기사] 남북 회담 관련 인터뷰 기사 문서 주의...악성코드 감염시 키로깅과 봇 기능 수행
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=32618]
 최근 '동맹과 비핵화를 주제로 한 남북 회담 관련 인터뷰 기사 문서'라는 이름으로 확산되고 있는 악성코드가 발견되어 각별한 주의가 요구됩니다. 처음 악성코드가 실행되면 인터뷰 기사가 작성된 정상 문서를 보여주지만 이후 악성 파일을 자가 복제 및 실행하는 드롭퍼 악성코드입니다. 또한 자동 실행 레지스트리에 등록함으로써 윈도우 부팅 시 마다 자동 실행되며 추후 악성코드는 자가삭제됩니다. 해당 악성코드는 키로깅과 봇 기능을 수행합니다. 사용자로부터 탈취한 입력, 클립보드 정보, 현재 실행중인 창 이름은 debug.tmp파일에 저장하고 repaired파일에는 C&C에서 받아온 데이터를 저장합니다. 지속적으로 발견될 수 있어 주의가 필요하며 감염되지 않기 위해서는 파일 실행 전 백신프로그램을 이용해 악성 여부 검사를 수행해야 한다고 당부합니다.

 

5. [기사] 인텔, 스펙터 취약점(v2)을 수정할 수 없는 CPU가 있음을 인정
[https://thehackernews.com/2018/04/intel-spectre-vulnerability.html]
 인텔 프로세서의 Meltdown and Spectre 결함을 공개한 연구원이 추측 한 것처럼 일부 인텔 프로세서는 스펙터 (v2) 사이드 채널 분석 공격에 대한 패치를 받지 못한다고 설명했습니다. 최근 마이크로코드 개정 지침(PDF)에서, 인텔은 문제를 완전히 해결하기 위해 프로세서 아키텍처를 변경해야하기 때문에 특정 구형 CPU의 Spectre 설계 결함을 해결할 수 없음을 인정했습니다. 이 뿐만 아니라 상업적으로 이용가능한 시스템 소프트웨어 지원이 제한되고, 대부분의 제품들은 '폐쇄형 시스템'으로서 취약점에 노출될 가능성이 낮다는 점을 제시하며 제품의 결함을 다루지 못한 이유를 설명했습니다. 이에 따라 chip-maker는 Bloomfield, Clarksfield, Gulftown, Harpertown Xeon, Jasper Forest, Penryn, SoFIA 3GR, Wolfdale 및 Yorkfield 등 총 9개 제품군의 생산 상태를 "중지됨"으로 표시했습니다. 이로써 취약한 제품군은 더이상  업데이트를 받지 못하게 되어 230개 이상의 인텔 프로세서 모델이 수백만 대의 컴퓨터와 모바일 장치를 작동시키는 해커로부터 취약해졌습니다.

첨부파일 첨부파일이 없습니다.
태그 CertUtil.exe  슬립모드  Magento  Intel