Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 2월 2일] 주요 보안 이슈
작성일 2018-02-02 조회 3805

1. [기사] 한국 가상화폐 거래소 공격 조직, 해외로 진출
[http://www.boannews.com/media/view.asp?idx=66527&mkind=1&kind=1]

 2017년 동안 한국의 특정 가상화폐 거래소를 대상으로 활동했던 이른바 정부 차원의 후원을 받는 것으로 추정되는 공격자(State-Sponsored Actor)가 2018년에는 전 세계를 상대로 공격을 시도하는 정황이 다수 포착되고 있습니다. 한국에서는 주로 hwp문서파일 취약점을 악용한 스피어 피싱이 주로 활용된 반면, 해외는 doc문서의 매크로 기능을 활용한 특징을 보였습니다. doc문서에 포함된 매크로 코드를 살펴보면 스트링 데이터로 exe악성파일이 포함되어 있으며 특정 코드로 XOR 연산을 통해 복호화 후 실행됩니다. 이번 공격 또한 지난 2017년 한국 가상 화폐 거래소를 대상으로 했던 공격에서와 같이 정교한 한국어를 포함하고, 유사한 코드들이 사용되었으며 명령제어 서버 모두 한국의 웹사이트라는 점으로 보아 같은 공격 조직이라고 보고있습니다. 다양한 국가에서 변종들이 다수 발견되고 있는데 내부코드에 사용된 export함수 명은 공통적으로 'Core.dll'이름을 사용하고 있습니다. 이와 같은 정부 차원의 후원을 받는 것으로 추정되는 공격자들의 활동은 지금까지도 활발하며 개인 및 기업 보안 강화에 더욱 주의를 기울여야 합니다.

 

2. [기사] 북한의 Adobe Flash 제로 데이 익스플로잇 (Flash Zero-Day) 착취 경고
[http://www.securityweek.com/south-korea-warns-flash-zero-day-exploited-north-korea]

 한국 인터넷 진흥원 (KISA)이 북한 해커들의 공격에서 악용되고있는 것으로 보이는 Flash Player 제로 데이 취약점에 대한 경고를 발표했습니다. 전문가에 따르면 2017년 11월 중순부터 북한 조사에 주력하는 한국인을 겨냥한 공격으로써 플래시 플레이어 제로 데이가 북한에 착취 당했다고 밝혔습니다. 해당 취약점은 Flash Player 28.0.0.137 및 이전 버전에 영향을 미치며 버전 28.0.0.137은 Adobe에서 1월에 발표한 최신 버전 입니다. 공격자는 사용자가 특수하게 조작 된 플래시 파일을 포함하는 문서, 웹 페이지 또는 전자 메일을 열도록 유도함으로써 공격할 수 있었으며 이를 통해 악성코드를 배포하는데 활용하였습니다. 어도비는 현재 제로 데이에 대해 인식하여 패치를 준비 중이며 준비 기간 동안 회사는 완화 조치를 제공하였습니다. 

 

3. [기사] 500,000대 이상의 Windows컴퓨터 감염시킨 Smominru 봇넷
[https://www.bleepingcomputer.com/news/security/smominru-botnet-infected-over-500-000-windows-machines/]

 526,000대 이상의 Windows 컴퓨터가 가장 큰 botnet을 운영하는 그룹의 Monero 마이닝 소프트웨어에 의해 감염된 것으로 밝혀졌습니다. 이 그룹의 작전은 작년부터 보안 연구원들에게 알려져 왔으며 여러 회사들이 그 활동에 대한 보고서를 발표해왔습니다. Smominru 운영자는 다른 기술을 사용하여 컴퓨터를 감염시켰습니다. 주로 EternalBlue(CVE-2017-0144) 익스플로잇을 사용해왔지만, 패치되지 않은 Windows OS를 실행하는 컴퓨터를 착취하기 위해 EsteemAudit (CVE-2017-0176)도 사용했습니다. GuardiCore가 지적했듯이, 봇넷은 Linux 컴퓨터에서 MySQL서버를 대상으로하지만 Windows Server에서 MSSQL 데이터베이스도 대상으로 삼았습니다. GuardiCore와 NetLab은 Mirai DDoS 봇에서부터 백도어에 이르기까지 감염된 호스트에 다양한 맬웨어 변종을 배포하는 그룹을 관찰했으며 기본 작업은 항상 Monero 마이닝 이었습니다. 봇넷 인프라의 일부를 제거 한 후에 수집 된 데이터에 따르면 대부분 피해 국가는 러시아, 인도, 대만, 브라질 등이었으며 피해자 수는 약 백만 명으로 추정되고 있습니다. Smominru의 운영자가 중국 본토에 있었다는 강력한 증거를 발견했다고 밝혀졌으며 랜섬웨어들은 제거되고 있습니다.

 

4. [기사] Hermes 랜섬웨어 변종 출현! 안랩 V3 우회 노렸다
[http://www.boannews.com/media/view.asp?idx=66525&page=1&mkind=1&kind=1]

 최근 또 다시 Hermes 랜섬웨어가 국내에 유포되고 있어 이용자들의 각별한 주의가 필요합니다. Hermes 랜섬웨어는 사용자도 모르게 감염되어 무차별적으로 파일들을 암호화 시키는 랜섬웨어입니다. 이전에 발견되었던 초기 버전과 가장 다른 점은 감염 제외 폴더에 AhnLab을 추가 시켰다는 점입니다. 안랩의 V3제품설치 시, Program Files경로에 AhnLab이라는 폴더가 생성되는데 이 안의 파일들이 암호화될 경우 자체 보호 기능에 의해 사용자가 인지할 수 있도록 하는 기능이 있습니다. 공격자는 이를 우회하기 위해 감염 폴더에서 제외시킨 것으로 추정됩니다. 랜섬웨어 피해를 최소화하기 위해 윈도우 보안 패치 및 백신프로그램을 항상 최신 버전으로 업데이트하는 것이 중요합니다. 또한 신뢰할 수 없는 수신자로부터 온 메일의 링크나 첨부파일을 열어보면 안되며, 확인되지 않은 웹 페이지 방문에도 주의를 해야합니다.

 

5. [기사] Shodan으로 검색하여 취약한 디바이스를 목록화하고 메타스플로잇으로 공격하는 자동화 코드 출현
[https://www.theregister.co.uk/2018/01/31/auto_hacking_tool/]

 Shodan.io를 사용하여 취약한 장치를 자동으로 검색하는 Python 코드가 등장했으며 Metasploit의 악용 데이터베이스를 사용하여 잠재적으로 컴퓨터와 장치를 탈취하는 것을 가능하게 했습니다. 이 스크립트를 실행하도록 설정하면 공격에 취약한 컴퓨터를 찾는 인터넷 크롤링이 자동으로 수행됩니다. 공개 된 이 소프트웨어는 AutoSploit이라고 불리며 대량 해킹을 매우 쉽게 만듭니다. Shodan 검색 엔진을 통해 타겟을 수집한 후 Python 2.7 스크립트는 Metasploit모듈을 실행하려고 시도합니다. 사용 가능한 Metasploit 모듈은 원격 코드 실행을 용이하게하고 역방향 TCP 셸 또는 Meterpreter 세션을 얻으려고 시도하기 위해 선택되었습니다. Metasploit은 소프트웨어 및 기타 제품의 보안 결함을 악용하여 시스템에서 정보를 추출하거나 멀리 떨어진 곳에서 명령을받을 수 있도록 원격 제어 패널을 장치에 개방하는 스니펫(snippet) 코드의 데이터베이스입니다. Shodan을 사용하면 공용 인터넷 연결 컴퓨터, 서버, 산업용 장비, 웹캠 및 기타 장치를 검색하여 공개 포트 및 잠재적으로 악용 될 수있는 서비스를 확인할 수 있습니다. 한 편에서는 이러한 자동화 된 공격은 법적인 문제를 야기할 수 있으므로 최선의 아이디어는 아닌 것으로 보고있습니다.

 

6. [기사] 삼성전자, 암호화폐채굴 칩 사업 진출
[http://www.bbc.com/news/technology-42892380]

 삼성 전자는 암호 화폐를 수확하기 위해 특별히 설계된 칩을 생산하고 있다고 밝혔습니다. 한글 신문 벨(Bell)은 관련 프로세서가 Asic(주문형 집적 회로) 칩 이라고 보도했습니다. 이 칩은 하나의 작업(이 경우 비트코인) 또는 다른 특정 암호화폐 작업을 수행하도록 맞춤 설계된 칩이며 일반 컴퓨팅 작업은 아닙니다. 2013 년까지 Asic칩은 TV산업과 더 관련이 있었으나 그 해 뉴욕 기반의 기업가는 비트 코인(Bitcoin) 채굴용으로 맞춤 설계된 프로세서를 판매 하기 시작했습니다. 기업인에 따르면 이 프로세서는 GPU(그래픽 처리 장치) 칩보다 성능이 좋고 에너지 사용량이 적을 것으로 주장했습니다. The Bell에 따르면 삼성은 작년에 Bitcoin 관련 Asic 칩 개발을 마쳤으며 이달 초 양산하기시작했습니다. 

 

첨부파일 첨부파일이 없습니다.
태그 Flash Zero-Day  Smominru  Hermes변종  자동화 공격