Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향 [2018년 4월 26일] 주요 보안 이슈
작성일 2018-04-26 조회 987

1. [기사] 비트코인 지갑, 망분리 해놓아도 비밀 키 탈취 가능
[http://www.boannews.com/media/view.asp?idx=68793&mkind=1&kind=1]
 암호화폐 보유자들 중 대다수는 안전을 위해 지갑을 오프라인 PC에 저장해 놓고 필요할 때만 인터넷에 연결시켜 사용합니다. 보안을 위해 와이파이와 블루투스를 비활성화하거나 PC를 꺼놓기 때문에 안전하다고 생각하지만 해커들은 이러한 망분리 조치를 뛰어넘어 지갑의 비밀 키를 탈취할 수 있다고 설명합니다. 이스라엘 벤구리온대학의 모르데카이 구리 박사는 이러한 공격방법에 대해 알아내고 최근 직접 제작한 브리지웨어(bridgeware)라는 멀웨어를 사용해 증명했습니다. 해당 멀웨어는 망분리 시스템에 침투하여 비밀 키를 초음파 시그널로 공격자에게 전송하는 기능을 가지고 있으며 공격에 걸리는 시간은 단 3초입니다. 이전에도 에어갭 혹은 망분리 네트워크를 해킹하는 방법이 있었지만 이번 멀웨어는 암호화폐 지갑의 비밀키도 탈취할 수 있다는 점에서 새롭게 보고있습니다. 브리지웨어를 사용하기 위해서는 멀웨어를 대상 시스템에 심은 다음 설치가 완료되면 물리적인 접근, 전자기파, 전기파, 자기파, 어쿠스틱 사운드, 광학, 열 등 다양한 방법을 활용하여 비밀 키 데이터를 외부로 송출하도록 합니다. 구리 박사는 망분리를 통해 pc와 지갑을 보호하는건 좋은 방법이지만 이번 실험을 통해서 100% 안전하지 않다는 것을 증명하고 싶었다고 전했습니다.

 

2. [기사] 중견기업도 당했다...기업 기밀 정보 탈취 '이모텟' 악성코드 주의보
[http://www.etnews.com/20180425000421]
 개인 인터넷 뱅킹 사용자 금융 정보와 기업내부 정보를 탈취하는 악성코드가 발견되어 각별한 주의가 요구됩니다. '이모텟(Emotet)'이라 불리는 악성코드는 2014년 유럽에서 처음 발견됐으며 금융 정보 탈취를 목적으로 만들어졌습니다. 무작위 스팸메일을 통해 감염되며 사용자 계정을 알아내거나 암호화된 인터넷 통신 데이터를 탈취합니다. 보안 전문가 그룹 이큐스트에 따르면 최근 고도화된 기법을 사용하여 특정 기업을 목표로 사회공학적 기법을 이용해 이메일 APT 공격을 시도하고 있다고 설명합니다. 실제로 국내 중견기업 몇 곳은 이모텟 악성코드에 감염되 피해를 입었다고 밝혔습니다. Gmail을 사용하는 경우가 많았고, "계좌/청구서/필수" 등 메일 열람을 유도하는 단어가 많이 사용됩니다. 예방을 위해서는 출처가 불분명한 이메일과 URL링크 확인을 금지하고, MS오피스 매크로 자동실행 기능 비활성화, 파워쉘 기능 비활성화, OS 신규 취약점 패치 등의 보안조치가 필요합니다.

 

3. [기사] 비트보트 코인 채굴하려는 공격자들, 악성 계산기 앱 뿌려
[http://www.boannews.com/media/view.asp?idx=68804&mkind=1&kind=1]
 1월에 시작된 비트코인의 포크 중 하나인 비트보트를 활성화시키기 위해 공격자들이 악성 계산기 앱을 통해 사용자를 노리고 있습니다. 비트보트 환경에서 사용된 악성 계산기 앱은 악성 드라이버를 사용하는데 페이로드를 보호할 뿐만 아니라 C&C설정 관리, 여러 기능을 추가 다운로드 하는 등 다양한 기능을 수행합니다. TCP 포트 5700을 통해 채굴 사이트와 연결시키는 기능도 있습니다. 다른 드로퍼 멀웨어와 다른 점은 드라이버가 스스로 비트보트 풀 채굴 에이전트를 다운받아 실행시킨다는 점입니다. 이는 드라이버를 만든 사람이 이런 류의 공격에 능숙하거나 비트보트 채굴 공격 전체를 운영하는 사람이 이 악성 드라이버의 제작자 일 수 도 있다고 추정합니다. 또 다른 특이한 점은 오래된 윈도우만 노려 시스템에서는 이 공격이 탐지가 잘 되지 않도록 합니다. 2500여개정도의 봇이 감염되었고 공격자들의 수익은 1300달러 정도이며 현재는 공격이 멈춘 것으로 보입니다.

 

4. [기사] Do Not Disturb 앱을 통해 악의적인 공격 방어 가능
[https://securityaffairs.co/wordpress/71769/hacking/do-not-disturb-app.html]
 이전 NSA 해커 및 현재 macOS 보안 전문가인 Patrick Wardle은 이번 주에 Do Not Disturb라는 앱을 출시하여 'evil mail'공격을 탐지하는 데 사용할 수 있습니다. Wardle이 자신의 웹 사이트를 통해 공개하는 이 앱의 버전 1.0.0은 랩톱 용으로 명시적으로 제작되었으며 "lid open"이벤트를 감지함으로써 작동합니다. Wardle에 따르면 해당 앱이 'lid open' 이벤트를 감지하면 공격자를 겁주기 위해 경고를 표시하는 등 일련의 조치를 취할 수 있습니다. 원격 Apple 장치 (iPhone 또는 iPad)에 경고 보내기, 공격자의 행동(새로운 프로세스 생성, USB 삽입 등) 기록, 장치를 지워버리는 사용자 정의 스크립트 실행, USB 인터페이스 비활성화, 몇 초마다 장치를 자동으로 잠금 등의 기능을 수행합니다. 사용자 지정 스크립트는 해당 앱에 포함되어 있지 않으므로 사용자가 스스로 제공하거나 작성해야합니다.


5. [기사] "北, 17개국에서 '고스트 시크릿 작전'…은행 등 기반시설 해킹
[http://www.yonhapnews.co.kr/bulletin/2018/04/25/0200000000AKR20180425127600009.HTML]
 사이버 보안업체 맥아피의 보고서에 따르면 지난달 북한의 해킹 활동이 17개국과 여러 산업 분야에서 이뤄진 사실이 확인됐다며 이를 '고스트 시크릿 작전'이라고 명명했습니다. 맥아피는 지난달 14~26일 평양과 관련이 있는 해커들이 중요 사회기반시설과 전기통신시설, 보건, 고등교육 등의 영역에서 민감한 정보를 탈취하려 한 정황을 포착했다고 밝혔습니다. 피해를 본 국가나 기관 이름은 공개하지 않았지만 대부분 사이버 공격이 아시아 태평양 지역에서 일어났습니다. 공격에 사용된 악성코드나 범죄 대상이 된 사회기반시설이 유사한 것으로 보아 북한관련 해킹 집단으로 알려진 '라자루스'의 소행이라고 추정하고 있습니다. 북한 해커들이 기존의 군사기밀이나 사이버 공간에서의 도발이 날이 갈수록 진화하고 있으며 이는 대북제재로 인한 경제난과 관련이 있다고 봅니다.

첨부파일 첨부파일이 없습니다.
태그 bridgeware  Emotet  bitvote  고스트 시크릿 작전