Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 4월 17일] 주요 보안 이슈
작성일 2018-04-17 조회 69

1. [기사] IIS 취약점을 통한 Cryptocurrency Miner 유포
[https://www.bleepingcomputer.com/news/security/windows-servers-targeted-for-cryptocurrency-mining-via-iis-flaw/]
해커들은 IIS 6.0 취약점을 이용하여 Windows 서버를 인수하고 Electroneum 암호화폐를 채굴하는 악성코드를 설치합니다. 공격은 꽤 오래된 IIS 버전을 목표로 하므로 광범위하지는 않지만 대규모로 발생합니다. 해커들은 CVE-2017-7269를 사용하여 서버를 인수합니다. 이 취약점은 제로데이 취약점으로 2017년 3월에 발견되었으며, IIS의 WebDAV 서비스에 영향을 미치는 것으로 밝혀졌습니다. Microsoft는 처음에 IIS 6.0의 수명이 다 되었기 때문에 이 취약점을 수정하지 않을 것이라고 말했고, 기본적으로 IIS 6.0과 함께 제공되는 운영 체제(Windows XP 및 Windows Server 2003)도 마찬가지였습니다. 그러나 이 취약점은 2017년 4월 Shadow Brokers에 의해 유출된 EXPLODINGCAN NSA 익스플로잇과 공통된 특징을 공유했으며, 결국 2017년 6월 중순에 픽스를 받았습니다. 그 이후로 적어도 한 명의 위협 행위자가 이전 IIS 6.0 버전을 실행중인 Windows 서버에 Monero 마이너를 배포하는 데 사용했습니다. 최근에 F5 Labs는 동일한 공격을 사용하는 다른 해커 그룹을 찾았지만 Monero 대신 Electroneum 마이너를 배포했습니다. 전문가에 따르면, 공격자는 CVE-2017-7269를 사용하여 취약한 호스트에 리버스 쉘을 설치하는 ROP(Return-Oriented Programming) 익스플로잇 체인을 포함하는 ASCII 쉘 코드를 제공합니다. 공격자는 리버스 셸을 사용하여 마이너를 다운로드하고 마이닝 프로세스를 시작합니다. 감염 프로세스는 Squiblydoo 기술을 사용하고 합법적인 lsass.exe(로컬 보안 권한  서브시스템 서비스) 프로세스로 마이너를 위장하여 감추게 됩니다.

 

2. [기사] 해커들, 1시간 이내에 기업 망 뚫고 데이터에 접근
[http://www.boannews.com/media/view.asp?idx=68476&page=1&mkind=1&kind=1]
모의 해커들과 진짜 해커들이라면 기업 및 조직의 네트워크를 뚫어내고 중심에 있는 핵심 데이터까지 도달하는 데 별다른 어려움을 겪지 않는다는 누익스(Nuix)의 연구 결과가 발표됐습니다. 누익스는 이번 조사를 위해 프리랜서로 활동하는 보안 전문가 112명을 만나 면담을 실시했으며, 그 결과 해킹이 가장 쉬운 산업은 요식업, 숙박업, 생산업계인 것으로 나타났습니다. 해커들이 까다로워하는 산업은 항공, 사법 기관, 변호사사무소, 행정 기관 등이었지만, 요식업이나 숙박업보다 조금 낫다는 정도지 보안을 잘 하고 있는 것은 아니었습니다. 또한 이번 조사를 통해 발견된 건, 네트워크의 가장 바깥쪽을 뚫고 최초 침투에 성공하는 것과 네트워크의 가장 안쪽에 보관된 데이터에 접근하는 것이 그리 다르지 않다는 것입니다. 즉 많은 기업들이 아직도 '외곽 경계'에 의존하고 있다는 사실이 드러난 것입니다. 기업들이 실제로 얼마나 취약한지 알아보기 위해 모의 해커들에게 "취약점을 발견한 이후 어떤 조치를 취하나"하고 물었습니다. 이에 53%의 응답자가 "복구 및 피해 완화 조치를 가장 핵심적인 데이터만을 위주로 한다"고 답했으며, 네트워크 전체에 대한 보안 강화 조치가 마련된 곳은 7%, 한 번 문제가 발생한 곳에만 보안과 관련된 노력을 하고 있다는 응답자는 5%였습니다. 놀랍게도 "문제를 파악했지만 이에 대한 보고만 할 뿐 아무 것도 하지 않는다"고 답한 이가 18%나 되었으며, 보고도 하지 않는 모의 해커가 6%였습니다. 많은 경우 법적인 후폭풍을 감당해야 할 경우가 많아서라고 누익스는 이유를 밝혔습니다.

 

3. [기사] 라우터 DNS를 하이재킹해 안드로이드 악성코드 배포
[https://thehackernews.com/2018/04/android-dns-hijack-malware.html]
악성코드 작성자는 취약한 라우터의 DNS 설정을 하이재킹하여 사용자를 안드로이드 악성코드 호스팅 사이트로 리디렉션합니다. 150개의 고유한 IP 주소에서 트래픽을 하이재킹하여 2018년 2월 9일에서 4월 9일 사이에 약 6,000번 사용자를 악성 사이트로 리디렉션했습니다. 연구원들은 공격자가 DNS 설정을 변경하기 위해 어떻게 홈 라우터에 액세스했는지 알아낼 수 없었지만, 공격에 사용된 Roaming Mantis라고 불리는 독특한 변형의 안드로이드 악성코드 샘플을 손에 넣을 수 있었습니다. 공격자는 Chrome 및 Facebook 클론에서 악성코드를 숨겼습니다. 사용자를 안드로이드 용(chrome.apk) Chrome, Facebook(facebook.apk)과 같은 Android 앱의 클론을 발행하는 페이지로 리디렉션 시켰습니다. 가짜 앱을 호스팅하는 웹사이트와 앱 자체는 한국어, 중국어, 일본어, 영어 등 5개 언어로 제공됩니다. 이 앱은 과도한 사용 권한을 사용하여 사용자의 스마트 폰에 대한 전체 액세스 권한을 허용했습니다. 연구 결과에 따르면, 악성코드가 한국에서 인기 있는 게임 및 모바일 뱅킹 앱을 타깃으로 하기 위해 하드코딩 되었다고 합니다. 피해자의 대부분이 한국, 일본, 인도, 방글라데시에 거주하고 있다고  합니다. Roaming Mantis는 악성코드의 출처가 사용자 계좌에서 자금을 빼내려고 하는 코드를 포함하지 않았기 때문에 정보 유출자인 것처럼 보입니다. 이번 악성코드의 소스 코드가 훌륭하거나 평범하지는 않지만, 홈 라우터에서 DNS 설정을 하이재킹해 배포하는 방법은 이전 안드로이드 악성코드에서는 보지 못한 것입니다.

 

4. [기사] 암호화폐 광풍에 섞여든 가짜 앱과 가짜 웹사이트
[http://www.boannews.com/media/view.asp?idx=68477&page=1&mkind=1&kind=]
암호화폐를 노리는 사이버 공격자들의 수단이 갈수록 다양해지고 있습니다. 최근에는 가짜 앱을 사용해 사용자들을 속여 암호화폐를 빼가기 시작했습니다. 리스크IQ는 모바일 앱 생태계에서 암호화폐 사기와 관련된 앱을 열 개 넘게 발견했고 전부 블랙리스트 처리했다고 밝혔습니다. 이 앱들은 유명한 암호화폐 거래소의 이름을 도용하고 있었으며, 사용자들이 쉽게 돈을 벌 수 있다는 거짓 약속도 하고 있었다고 합니다. 암호화폐 거래가 온라인 상에서 이뤄지기 때문에 많은 이들이 코인 혹은 화폐 소식이나 거래소와 관련된 앱들을 자주 설치하는데, 이 과정부터 조심하는 습관을 들여야 한다고 주장합니다. 앱만 문제가 되는 것은 아닙니다. cryptocoins.biz와 같이 평범한 거래소처럼 보이는 사기성 웹사이트들도 많습니다. 거래 수수료만을 내면 정상 거래가 가능하다고 말하고 있지만, 이들이 파는 건 가짜 코인입니다. 코인 종류가 많으니 아무 이름이나 가져다 붙이고 신규 코인이라고 하면 누군가 거래를 시작합니다. 게다가 범인들의 수익 구조는 이것만이 아니며, 방문자들이 클릭하는 광고, 웹 페이지 뷰, 방문자 수 등을 통해서도 부수적인 수익을 만듭니다. 암호화폐에 대한 사람들의 관심이 엄청나기 때문에 가짜로 사이트 개설해놓고 트래픽만 잡아도 장사가 됩니다. 리스크IQ는 "암호화폐에 관심이 있는 일반 사용자라면 1) 타이포스쿼팅 공격(실제 이름과 비슷한 오타를 통해 사용자를 유도하는 공격)과 2) 신규 코인 소식, 3) 지나치게 희망적인 메시지를 조심해야 한다"고 경고했습니다.

 

5. [기사] TaskRabbit, 해킹 당한 후 앱과 웹 사이트 사용 중지
[https://www.bleepingcomputer.com/news/security/taskrabbit-takes-down-app-and-website-after-getting-hacked/]
프리랜서 핸디맨과 다양한 현지 미국 시장의 클라이언트를 연결하는 웹 기반 서비스인 TaskRabbit은 고객에게 보안 침해를 겪었다고 이메일을 보냈습니다. 회사는 법 집행 기관과 개인 사이버 보안 회사가 사건을 조사하는 동안 자사의 앱과 웹 사이트를 폐쇄했습니다. 해킹은 사용자가 일부 TaskRabit 페이지의 결함을 보여주는 Twitter 이미지를 게시하기 시작한 16일 아침에 일어난 것처럼 보입니다. 회사가 해킹 당한 것을 처음에는 인정하지 않았지만 나중에는 사용자에게 이메일을 보내며 인정했습니다. 이메일에는 "TaskRabbit은 현재 사이버 보안 사건을 조사 중입니다. 우리는 귀하의 개인 정보가 얼마나 중요한지 이해하고 특정 사이버 보안 회사와 법 집행 기관과 협력하여 특정 정보를 확인하고 있습니다. 우리 팀 이 작업을 수행하는 한 동안은 앱과 웹 사이트가 오프라인 상태일 것입니다." 라고 쓰여있습니다. 또한, "즉각적인 예방책으로 TaskRabbit에서 사용한 것과 같은 패스워드를 다른 사이트나 응용 프로그램에서 사용한 경우 지금 패스워드를 변경하는 것이 좋습니다."라고 덧붙였습니다. 침입자가 사용자 세부 정보, 고객의 재무 데이터에 액세스했는지, 아니면 사이트만 훼손시키고 다른 것은 만지지 않았는지에 대한 보안 침해 정도가 불분명합니다. 추후 더 자세한 내용으로 이야기 할 예정이라고 합니다.

첨부파일 첨부파일이 없습니다.
태그 Hijacking  Cryptocurrency Miner  CVE-2017-7269  Roaming Mantis  TaskRabbit