Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향 [2017년 6월 13일] 주요 보안 이슈
작성일 2017-06-13 조회 2779

 

 

 

1.[기사] 뉴스나 스포츠 웹사이트가 공격에 취약
http://www.bbc.com/news/technology-40219686
뉴스 및 스포츠 웹 사이트의 10% 미만이 HTTPS 및 TLS와 같은 기본 보안 프로토콜을 사용함을 발견했다. 그러나 뉴스 및 스포츠 웹 사이트 중 8% 미만이 프로토콜을 사용하고있는 것으로 나타났다. 그 중 많은 사람들이 HSTS와 같은 가장 강력한 도구를 사용하지 않았다. HSTS는 보안되지 않은 버전의 웹 사이트에 액세스하는 사용자를 자동으로 암호화된 버전으로 푸시한다. TLS를 사용하고 있기 때문에 사람들은 안전한 대화를 하고 있다고 가정하지만 안전한 대화를 누구에게 보내고 있는지에 대해서는 아무런 보장이 없다고 한다. 

 

2.[기사] 다크웹의 공격환경에 대한 6개월간에 대한 연구 
http://securityaffairs.co/wordpress/59962/deep-web/dark-web-attack-landscape.html
첫 번째 발견은 웹에 숨겨진 서비스에 도달할 수 있는 Tor2web과 같은 Tor 프록시로부터 많은 공격이 시작되었다는 것이다. Tor2web과 같은 Tor프록시는 공용 인터넷의 추가 구성없이 Tor 숨겨진 서비스를 연결할 수 있게 했다. 대부분의 사용자가 웹 쉘을 서버에 설치하여 제어할 수 있었으며, 공격자가 DDoS공격에 동력을 공급하고 스팸 캠페인을 실행하는 경우가 많았다. 두 번째 발견은 Tor프록시의 공격이 자동화된 도구로 수행되지만 Dark Web 내에서의 공격은 수동으로 수행된다는 것이다. Dark Web 공격자는 일반적으로 수동 공격을 수행하는 경향이 있다. 이러한 수동 공격자는 허니팟에 배치한 파일을 삭제하는 경우가 많았다. 

 

3.[기사] 라틴아메리카를 공략하는 신종 파밍 악성코드 Matrix Banker
http://www.securityweek.com/new-matrix-banker-trojan-targets-latin-america?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29
매트릭스 뱅커 (Matrix Banker)라고 불리는 새로운 뱅킹 트로이 목마가 현재 라틴 아메리카 특히 멕시코와 페루를 타겟팅하고 있다. 매트릭스 뱅커의 초기 로더는 레지스트리 실행을 통해 지속성을 설정하고 DLL을 추출하여 Chrome, Firefox, Internet Explorer 또는 Edge에 삽입한다. DLL은 관련 브라우저 기능을 연결하여 MitB (Man-in-the-Browser)를 설정한다. 그런 다음 악성 프로그램은 웹 서버를 통해 C2 서버로 전화를 걸어 웹 구성 설정을 가져온다. 현재 봇넷이 배포되고 있다. 관련 베타 봇 샘플도 합법적인 형태로 배포되지만 Estado_Cuenta 29-05-2017.exe 및 CFE_Factura 30-05-2017.exe와 같은 파일이있는 해킹된 사이트가 배포된다.

 

4.[기사] 주요 사회기반시설을 공격하는 신종 악성코드 발견
http://thehackernews.com/2017/06/electric-power-grid-malware.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29
작년 12월 우크라이나 발전소 공격사례와 유사하게 ESET에서 사회기반시설을 대상으로 한 악성코드가 발견됬다. Indeustroyer 혹은 CrashOverRide 라고 명명된 이 악성코드는 Stuxnet과는 다르게 어떤 0-day 취약점도 공략하지 않는다. 대신 전력공급 인프라나 기타 주요 산업기반 인프라 전반에 널리 이용되는 4개의 통신 프로토콜을 공략한다.

 

5.[기사] USB를 이용해 마쯔다 자동차 해킹
https://www.bleepingcomputer.com/news/security/you-can-hack-some-mazda-cars-with-a-usb-flash-drive/
Mazda 자동차 소유자 커뮤니티는 자동차의 인포테인먼트 시스템을 사용자 정의하여 설정을 조정하고 새로운 응용 프로그램을 설치하기 위해 이러한 해킹을 하고 있다. 가장 잘 설계된 도구 중 하나는 MZD-AIO-TI (MZD All In One Tweaks 설치 프로그램)이다. 공격은 사용자가 USB를 자동차의 대시 보드에 삽입한 직후에 자동으로 실행된다. 사용자 상호 작용이 필요 없다는 말이다. 공격에는 단점도 있다. 예를 들면, 자동차가 액세서리 모드이거나 엔진이 실행 중이어야 스크립트가 실행된다. 이것은 자동으로 인포테인먼트 결함을 사용하여 자동차의 모터를 시작하고 자동차를 납치할 수 없음을 의미한다.

 

6.[기사] 전력망을 대상으로한 악성코드 "Industroyer"
https://www.bleepingcomputer.com/news/security/new-industroyer-malware-targets-power-grids/
http://thehackernews.com/2017/06/electric-power-grid-malware.html
CrashOverRide는 스턱 스넷(Stuxnet ) 이후 산업 제어 시스템을 파괴하기 위해 설계된 가장 큰 위협이다. Stuxnet 웜과 달리 CrashOverRide 맬웨어는 제로 데이 (zero-day) 소프트웨어 취약점을 악용하지 않는다. 대신 전원 공급 장치 인프라, 운송 제어 시스템 및 기타 중요한 인프라 시스템에서 전 세계적으로 사용되는 네 가지 산업 통신 프로토콜을 사용한다. 수십 년 전에 설계된 전기 변전소의 스위치와 회로 차단기를 제어할 수 있으므로 공격자가 전력 분배를 중단하고 계단식 오류를 일으키고 장비에 심각한 손상을 입히게 할 수 있다. Industroyer malware는 스위치 및 회로 차단기를 제어하기 위해 네 개의 페이로드 구성 요소를 먼저 설치하는 백도어로 공격자로부터 명령을 받기 위해 원격 명령 및 제어 서버에 연결한다.

 

7.[기사] 4G VoLTE 모바일 기술을 통해 사용자를 추적할수 있으며 전화 번호를 스푸핑 가능
https://www.bleepingcomputer.com/news/security/hackers-can-spoof-phone-numbers-track-users-via-4g-volte-mobile-technology/
VoLTE는 VoIP (Voice over Internet) 통신에 사용되는 LTE, GSM 및 VoIP 간의 매쉬업이다. VoLTE는 전 세계의 모든 사업자에게 보급될 것으로 보이기 때문에 P1 보안 전문가는이 새로운 기술에 대한 감사를 실시했다. 연구 결과는 모바일 네트워크에 연결된 안드로이드 폰에서만 공격자가 악용할 수 있는 심각한 결함을 드러내고있다. 연구자들은 특수 SIP 패킷을 수정해야하는 "활성"취약점과 수동 네트워크 모니터링을 통해 데이터를 노출하거나 SIP 패킷 수정을 필요로하지 않는 "수동"취약점을 모두 확인했다고 밝혔다.

 

8. [기사] 웹호스팅업체 암호화시킨 ‘에레버스 랜섬웨어’ 특징…지난 2월에 이미 경고
http://www.dailysecu.com/?mod=news&act=articleView&idxno=20890
웹 호스팅 업체 ‘인터넷나야나’가 지난 10일 오전 랜섬웨어에 감염돼 이 업체가 관리하는 국내 기업, 대학, 단체 등의 웹사이트와 리눅스 서버 300여 대 가운데 153개가 감염돼 5천여 개 사이트의 파일들이 암호화돼 큰 피해가 예상된다. 미래창조과학부는 12일 “이번 에레버스(Erebus) 랜섬웨어는 특정 업체를 타깃으로 한 공격으로 추정된다. 인터넷나야나는 현재 서버를 복구 중이며 KISA에서도 필요한 조치를 지원하고 있다”고 설명했다.

 

9.[기사] 랜섬웨어가 이제 Macs도 노리고 있다.
http://www.zdnet.com/article/ransomware-as-a-service-schemes-are-now-targeting-macs-too/
Mac OS를 목표로 한 서비스 중 첫 번째 인스턴스가 다크 웹에서 판매되어 낮은 기술 수준의 사이버 범죄자도 Apple 컴퓨터를 대상으로 삼을 수 있다. MacRansom은 TOR 웹 포털에 광고되어 '가장 정교한 Mac ransomware'라고 주장하며 Mac OS를 대상으로하는 RaaS의 첫 번째 사례로 보인다. 이전에 공개된 다른 OSX 암호화 ransomware만큼 정교하지 않지만, 파일 암호화는 물론, com.apple.finder.plist와 원본 실행 파일을 암호화하고 시간 날짜 스탬프를 변경할 수도 있다.

 

10.[기사] Spectre라는 이름의 랜섬웨어 테스트버전 발견
https://www.bleepingcomputer.com/news/security/spectre-ransomware-may-be-coming-for-you-soon/
이 ransomware는 현재 개발자가 테스트 모드에 있지만 곧 배포될 수도 있다. Spectre가 설치되면 a0142503.xsph.ru/testing.php?mode=a1 URL의 명령 및 제어 서버에 연결된다. 그러면 C2서버는 피해자 파일을 암호화하는 데 사용되는 고유한 피해 ID, 비트 코인 주소 및 공개 키로 응답한다. 그런 다음 ransomware는 섀도우 볼륨 복사본을 삭제하고 암호화 할 특정 파일 형식의 컴퓨터 검색을 시작한다. 우리가 최근에 본 대부분의 ransomware 감염과는 달리, Spectre의 개발자는 전용의 ransomware 지불 사이트를 만들었다. 

 

11.[기사] 리눅스 서버 공격 : Samba나 암호화가상화폐 채굴 멀웨어 위험에 대한 패치 필요
http://www.zdnet.com/article/linux-server-attack-patch-samba-or-risk-cryptocurrency-mining-malware/
공격자는 패치되지 않은 Samba버그로 Linux서버를 자유롭게 사용하여 모네로 암호화 화폐를 채굴한다. 보안 회사 Rapid7은 원격 코드 실행에 취약한 Samba 버전을 실행중인 포트 445와 139를 통해 인터넷에 10만 대의 Linux 머신이 열려 있음을 발견 했다. Samba 공격자는이 결함을 악용하여 수퍼 유저 권한으로 실행되는 악의적 인 Samba 플러그인을 설치한다. 그러나 공격자는 Samba 서버 프로세스로 실행하기 위해 파일을 드라이브에 저장할 수있는 경로를 추측해야한다. Rapid7의 오픈 소스 Metasploit 프레임 워크에 버그 패치가 발표 된 직 후에 악용되었다. 이 위치는 범죄자가 새로운 cryptocurrency 마이닝 봇넷에 대한 Samba 익스플로잇의 소스가 된 것으로 보인다.

 

12.[기사] 해커들이 SambaCry 취약점을 이용해 공격 개시 중
http://thehackernews.com/2017/06/linux-samba-vulnerability.html
연구원이 설립한 허니팟이 SambaCry 취약점을 이용해 악성 코드 캠페인을 캡처하여 리눅스 컴퓨터에 암호 해독 마이닝 소프트웨어를 감염시켰다. 이 캠페인은 "EternalMiner"라고 명명되었다. 알려지지 않은 해커 그룹이 Samba결함이 공개적으로 공개된 후 일주일 만에 Linux PC를 납치하기 시작했으며 SambaCry 취약점을 사용하여 취약한 시스템을 손상시킨 후, 시스템에 남아있는 셸을 통해 이미 실행중인 마이너 구성을 변경하거나 다른 유형의 맬웨어로 피해자의 컴퓨터를 감염시킬 수 있다고 한다.

첨부파일 첨부파일이 없습니다.
태그 Matrix Banker  Industroyer  Macs  Spectre  SambaCry