Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 4월 21일] 주요 보안 이슈
작성일 2017-04-21 조회 325


1.[기사]RawPOS 악성 코드가 운전 면허증 정보를 훔침.
http://www.securityweek.com/rawpos-malware-steals-drivers-license-information

 

2.[기사]구글 플레이스토어에서 시스템 업데이트로 위장한  안드로이드 스파이웨어 수백만건 다운로드.
http://www.securityweek.com/millions-download-system-update-android-spyware-google-play
https://www.bleepingcomputer.com/news/security/spyware-disguised-as-system-update-survived-on-play-store-for-almost-three-years/

 

3.[기사]White Hat Hacker, 신비한 IoT 웜 생성
-시만텍의 연구원은 유명한 Mirai 봇넷과 동일한 장치를 대상으로하는 Internet of Things(IoT) 웜이 White Hat Hacker의 작품으로 보인다고 밝혔다.
Hajime라는 이름의 이 웜은 Mirai와 동일한 사용자 이름과 암호 조합을 사용하고 있었고 매우 안전하지 않은 IoT 장치를 손상시키는데 중점을 둠. 기본적으로 Mirai는 분산 된 서비스 거부 (DDoS) 공격에서 악용하는 장치를 포착하는데 주력하고 있지만 Hajime은 악의적인 구성 요소를 갖고 있지 않음. 6개월 후, 이 점에 관해서는 아무것도 변하지 않았으며, 웜은 실제적인 목적은 여전히 미스테리인 채로 확산 모듈만 계속해서 꾸려나가고 있다. 멀웨어는 Mirai에 비해 훨씬 진보된 것으로 나타 났으며 연구원들은 시스템에 존재를 숨기기 위해 여러 단계를 거친다는 것을 발견했다. Hajime의 모듈형 디자인 덕분에 운영자는 새로운 기능을 즉시 추가 할 수 있다.
http://www.securityweek.com/white-hat-hacker-created-mysterious-iot-worm-symantec-says?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner

 

4.[기사]Linksys 라우터에서 여러개의 RCE 버그 발견
- Linksys는 25개의 모델에서 원격 코드 실행 및 기타 취약점을 발견한 후 스마트 Wi-Fi 라우터 사용자가 장치를 재구성 할 것을 촉구했다. 펌웨어 리버스 엔지니어링 후 10 개의 버그를 발견했으며, 그 중 6개는 인증되지 않은 공격자가 원격으로 악용할 수있다. 또한, 해커는 라우터 중 하나를 DoS로 악용 할 수 있으며, 다른 취약점으로 인해 펌웨어 및 Linux 커널 버전, 실행중인 프로세스, 연결된 USB 장치 및 Wi-Fi WPS핀과 같은 중요한 데이터를 수집할 수 있다. 인증되지 않은 공격자는 방화벽 구성에 액세스 하고 FTP구성 설정을 읽고 SMB 서버 설정을 추출할 수 있다. 그러나 가장 심각한 것은 공격자가 루트 권한으로 원격으로 라우터 OS에서 명령을 실행하여 지속적인 백도어 액세스를 허용할 수 있다는 것이다. Linksys는 IOActive와 긴밀하게 협력하여 1월에 버그를 알게된 이래로 문제를 해결한 것으로 보임.
https://www.infosecurity-magazine.com/news/researchers-find-multiple-rce-bugs/
http://www.networkworld.com/article/3191250/security/flaws-let-attackers-hijack-multiple-linksys-router-models.html
http://thehackernews.com/2017/04/linksys-router-hacking.html

 

5.[기사]Bose Connect 앱을 통한 불법 도청
http://www.networkworld.com/article/3191291/security/bose-accused-of-spying-on-users-illegal-wiretapping-via-bose-connect-app.html
https://www.bleepingcomputer.com/news/technology/lawsuit-claims-headphones-maker-bose-is-secretly-collecting-user-data/

 

6.[기사]멀웨어 제작자, 트위터를 사용하여 그의 변변찮은 DDos 봇넷 제어
https://www.bleepingcomputer.com/news/security/malware-author-uses-tweets-to-control-his-lame-ddos-botnet/

 

7.[기사]올해 1분기 금융정보 탈취 파밍 C&C 동향 살펴보니...
-파밍은 인터넷 뱅킹을 이용하는 사용자 PC에 설치된 개인 및 기업 공인인증서와 은행 패스워드 등 금융 정보를 탈취해 현금을 인출하는 목적으로 제작된 악성코드로 사이버 금융 범죄에 이용되고 있다. 악성코드에 감염된 PC는 공인인증서와 금융정보를 탈취해 C&C 서버에 보관한다. 공인인증서와 사용자 PC 정보, 금융정보가 탈취되어 저장되는 곳을 C&C 서버라고 하는데, 2017년 1분기 C&C 서버는 총 486개가 확인됐으며, C&C 서버와 연결되는 악성코드와의 관계 구조를 추적한 결과 14개 그룹으로 분할해 활동한 것으로 파악됐다. 여러 그룹으로 분할하여 활동하는 이유 중의 하나는 서버를 분산해 추적 회피 및 좀 더 많은 금융정보를 탈취하기 위한 목적으로 추정되고 있다.
http://www.boannews.com/media/view.asp?idx=54366&kind=1

 

8.[기사] 공격에 약한 25개의 Linksys Smart 와이파이 모델
http://news.softpedia.com/news/25-linksys-smart-wi-fi-models-vulnerable-to-attack-515033.shtml
Linksys 라우터 모델은 심각한 공격에 취약하여 소유자에게 엄청난 보안 영향을 줄 수 있다. IOActive에 따르면 이러한 모델은 타사가 재부팅하고 영향을받는 장치의 중요한 라우터 데이터를 잠그고 추출 할 수 있는 공격에 취약하다.

 

9.[기사] 안드로이드 Spyware App은 수 년간 발견되지 않고 수백만 건의 설치가 있었음
http://news.softpedia.com/news/android-spyware-app-went-undetected-for-years-had-millions-of-installs-515032.shtml
이 앱은 사용자의 정확한 위치 정보를 알아내는 데 사용되었다. 앱이 실행되면 앱은 "불행히도 업데이트 서비스가 중지되었습니다."라는 메시지와 함께 종료되는 데 이것은 앱이 작동을 멈춘다는 의미가 아니며, 메인 스크린에서 숨기는 것이다. 대신, 스파이웨어는 안드로이드 서비스와 브로드 캐스트 리시버를 설정하여 사용자의 마지막으로 알려진 위치를 가져오고 들어오는 SMS 메시지를 검색한다.

 

10.[기사] 말웨어 제작자, 트위터를 사용하여 자신의 DDos 봇넷을 제어함
https://www.bleepingcomputer.com/news/security/malware-author-uses-tweets-to-control-his-lame-ddos-botnet/
DDoS 공격은 감염된 사용자의 컴퓨터에서 공격자가 "driversUpdate.exe"라는 부비 트랩 파일을 통해 전파되는 특이한 악성 코드를 사용하여 시작된다. 새로운 DDoS 봇은 미리 결정된 시간 간격으로 맬웨어의 소스 코드에 하드 코딩 된 Twitter 계정을 쿼리함으로써 작동한다. 맬웨어가 새로운 트윗을 발견하면 발견한 곳에서 명령에 따라 작동한다. C & C 서버로 사용되는 현재 트위터 계정에있는 트윗을 기반으로, 지금까지 봇넷은 러시아어 IP 주소에 대한 짧은 기간의 DDoS 공격을 시작하는 데 사용되었다.

 

11.[기사] 구글이 Chrome 58와 Firefox Standing Pat의 유니 코드 피싱 취약점을 개선함
https://threatpost.com/google-fixes-unicode-phishing-vulnerability-in-chrome-58-firefox-standing-pat/125099/
구글은 수요일에 공격자가 유니 코드 도메인을 사용해 발생하는 피싱 공격에 대한 취약점을 포함하여 브라우저의 최신 버전인 크롬 58을 발표했을 때 몇 가지 문제를 수정했다.  발견된 이 버그는 Chrome을 속여 사용자를 합법적으로 보이는 사이트로 유도하는 데 의존한다. 사이트는 피해자가 개인 로그인이나 금융 자격 증명을 입력하도록 유도할 수 있다.

 

12.[기사] RawPOS 악성 코드를 사용헤 면허증 정보 유출 가능
http://www.securityweek.com/rawpos-malware-steals-drivers-license-information
최근 RawPOS PoS (Point-of-Sale) RAM 스크레이퍼 맬웨어가 운전 면허증 정보를 도용하는 것으로 확인됐다고 전했다. 멀웨어에 의해 도난당한 운전 면허증 정보는 사이버 범죄자가 악의적인 활동을 할 때 사용할 수 있다. RawPOS는 신용 카드 mag 스트라이프 데이터와 다른 유형의 중요한 정보를 한 번의 스윕으로 수집하고 필요한 데이터를 캡처하기 위해 정규식 문자열을 수정하려고 시도한다. 맬웨어는 프로세스를 검색하여 메모리의 문자열을 추적하고 파일 스크레이퍼에 대한 프로세스 메모리를 덤프하여 데이터를 구성한다. 이 바코드의 사용은 전례가 없지만 신용 카드 스와핑보다 덜 일반적이라고 보안 연구원은 설명한다.

 

13.[기사] 올해 1분기 금융정보 탈취 파밍 C&C 동향 살펴보니...
http://www.boannews.com/media/view.asp?idx=54366&kind=1
얼마 전 벌어진 씨티카드의 불법 현금 인출 사건이나 쇼핑몰을 통해 금융정보를 노린 파밍 악성코드 유포 등 사용자의 금융정보를 노린 사건이 많이 발생하고 있다. 제로써트(ZeroCERT)에서는 침해당한 이슈 홈페이지, 악성코드 분석 동향 안내에 앞서 파밍이 이용하는 C&C(명령제어) 서버를 역으로 추적하는 방식으로 1분기 파밍 C&C 동향을 발표했다. 2017년 1분기 C&C 서버는 총 486개가 확인됐으며, C&C 서버와 연결되는 악성코드와의 관계 구조를 추적한 결과 14개 그룹으로 분할해 활동한 것으로 파악됐다. 여러 그룹으로 분할하여 활동하는 이유 중의 하나는 서버를 분산해 추적 회피 및 좀 더 많은 금융정보를 탈취하기 위한 목적으로 추정되고 있다. C&C 서버가 위치한 국가로는 미국(50%), 홍콩(38%), 대만(8%), 중국(4%) 순으로, 미국에 있는 서버를 가장 많이 이용했다.

 

14.[기사] 국민의당 싱크탱크 홈피 디페이스 해킹 당해...현재도 접속불가
http://www.boannews.com/media/view.asp?idx=54368&kind=1
-인도네시아 해커그룹 소행으로 추정/ 각 당과 후보 캠프, 홈페이지 및 SNS 계정 관리 비상
국민의당 싱크탱크인 국민정책연구원 홈페이지(www.ipeople21.kr)가 20일 새벽 인도네시아 해커그룹으로 추정되는 해커들에게 화면이 변조되는 디페이스 공격을 당한 것으로 드러났다. 20일 새벽 국민정책연구원 홈페이지는 날개가 달린 사람 모습에 인도네시아 국기를 삽입한 그림으로 바뀌었고, 밑에는 디페이스 공격에 참여한 해커들의 닉네임이 리스트화 되어있다.

첨부파일 첨부파일이 없습니다.
태그