Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향 [2018년 2월 8일] 주요 보안 이슈
작성일 2018-02-08 조회 1327

1. [기사] X.509 인증서 확장자 통해 악성 데이터 주입 및 교환 가능
[http://www.boannews.com/media/view.asp?idx=66661&mkind=1&kind=1]

 최근 연구에 따르면, TLS 및 SSL 암호화 인터넷 프로토콜 구현에서 널리 사용되고 알려진 공개 키 인증서 표준 X.509는 은밀한 채널 데이터 전송에 활용될 수 있음을 확인했습니다. 인증서는 TLS 핸드셰이크 중에 교환되면 TLS세션이 설정되지 않더라도 인증서 자체가 명령 및 제어 통신용으로 도용 될 수 있도록 남용 될 수 있습니다. 이 방법을 통해 인증서 확장자를 확인하지 않는 모든 보안 솔루션을 우회할 수 있습니다. 그렇기 때문에 인증서의 확장자나 내부 콘텐츠까지 일부러 들여다보고 점검하는 보안 솔루션이 아니라면 이 공격을 막기 힘듭니다. 이 공격을 구현하기는 쉽진 않지만 현재 X.509는 광범위하게 사용되고 있기 때문에 공격 당할 가능성이 크므로 공격으로부터 안전하게 보호하기 위해서는 인증서 확장자에 대한 보안 점검 장치가 필요합니다.

 

2. [기사] 핫스팟 Shield VPN 서비스 취약점 (CVE-2018-6460)
[https://thehackernews.com/2018/02/hotspot-shield-vpn-service.html]

 Hotspot Shield는 무료로 사용할 수 있는 VPN서비스이며 인터넷에서 개인 정보와 데이터를 보호할 수 있는 최상의 솔루션 중 하나입니다. 그러나 최근 온라인 익명 및 개인 정보 보호를 위해 널리 사용되고 있는 이 서비스를 통해 실제 IP주소 및 기타 중요한 정보가 유출될 수 있다고 밝혀졌습니다. 연구원에 따르면 이 결함은 사용자 컴퓨터에 설치하는 로컬 웹 서버에 존재한다고 합니다. 이 서버는 인증되지 않은 요청에 놀라울 정도로 액세스 할 수 있는 여러 JSONP의 끝 점을 호스트하며 응답으로 구성 정보를 포함한 활성 VPN 서비스에 대한 중요한 정보를 나타내 줍니다. 보안 연구원은 이 결함을 발견 후 해당 회사에 보고 했지만 응답을 받지 못하면서 연구원은 취약점에 대한 세부 정보와 PoC 공격 코드를 공개하였습니다. 이를 본 기자는 검증을 시도하면서 PoC코드가 실제 IP주소가 아닌 Wi-Fi 네트워크 이름과 국가만 공개한다는 사실을 발견했습니다. 실제 IP주소와 개인 정보를 유출한다고 주장한 연구원과는 다른 주장을 말했지만 사용자 국가와 같은 일부 일반 정보를 노출할 수 있음에는 동의했습니다. 또한 연구원은 이 취약점을 악용하면 원격 코드 실행도 가능하다고 주장했습니다.

 

3. [기사] 오토스플로잇의 등장! 취약 기기 검색과 익스플로잇의 자동화 시대
[http://www.boannews.com/media/view.asp?idx=66652&page=1&mkind=1&kind=1]

 지난 주, 자원과 시간이라는 제한을 크게 줄여주는 자동 공격 도구인 오토스플로잇(AutoSploit)이 깃 허브를 통해 공개됐습니다. 이 자동 공격 툴은 'Shodan.io'이라는 취약한 사물 인터넷 기기를 찾아내는 검색엔진과 침투 테스터들이 자주 활용하는 도구인 '메타스플로잇(Metasploit)' 이 두 가지 툴을 합친 것 입니다. 즉, Shodan API를 사용해 공격이 가능한 표적들을 재빠르게 찾아냄으로써 표적을 찾아내는 단계에서 소모되는 시간을 확 줄였고, 메타스플로잇을 통해 가능한 모든 익스플로잇 방법들을 동원해 시스템을 건드려보기 때문에 어떤 점이 취약하고 그에 대한 익스프로잇 방법이 무엇인지 빠르게 알아낼 수 있게 되었습니다. 무료 해킹 툴 공개를 통해 해킹 실력이 낮은 사람들도 얼마든지 해커가 될 수 있고 공격의 수가 증가할 수 있다는 점을 미루어보아 보안 커뮤니티의 반응은 부정적입니다. 이러한 이유로 몇몇 전문가들은 이 툴을 우회할 수 있는 대처법을 연구하고 있으며 벌써 Shodan으로 검색되지 않게 해주는 툴이 공개됐습니다.

 

4. [기사] ShurL0ckr Ransomware는 Google 드라이브, O365에서 악성 코드 탐지 회피
[https://www.infosecurity-magazine.com/news/shurl0ckr-ransomware-evades/]

 ShurL0ckr라고 불리는 새로운 변형의 Gojdue ransomware가 다크웹에서 발견되었습니다. Bitglass 와 Cylance가 발견 한 이 맬웨어는 맬웨어 방지 기능이 내장 된 Google 드라이브 및 Microsoft Office 365 두 개의 유명한 클라우드 플랫폼을 우회할 수 있다는 것을 확인했습니다. Bitglass Threat Research Team은 클라우드에서 악성 코드의 확산을 더 자세히 분석하고 Gojdue의 회피 기능이 얼마나 일반적인지 판단하기 위해 수천만 개의 파일을 검색한 결과, 클라우드 애플리케이션에서 높은 감염률을 발견했으며 맬웨어 방지 기능이 내장 된 애플리케이션은 효능이 낮음을 발견했습니다. OneDrive, Google 드라이브, Box 및 Dropbox의 4 가지 인기 SaaS 응용 프로그램 중 Microsoft OneDrive는 55%의 감염률로 가장 높은 감염률을 보였고 Google 드라이브는 감염률이 두 번째로 높았으며 영향을받는 인스턴스는 43%, Dropbox와 Box가 각각 33%를 차지했습니다. 

 

5. [기사] Cyber Espionage 그룹, 아시아 국가 대상으로 비트코인 마이닝 멀웨어 공격
[https://thehackernews.com/2018/02/cyber-espionage-asia.html]

 보안 연구원은 지난 수개월 동안 아시아에서 큰 혼란을 겪고있는 맞춤형 악성 코드를 발견했으며 이는 암호 도용, 비트코인 채굴 및 손상된 시스템에 대한 원격 액세스를 완벽하게 해커에게 제공하는 등 까다로운 작업을 수행 할 수 있음을 확인했습니다. PZChao는 Bitdefender의 보안 연구원이 발견 한 공격 캠페인으로 아시아와 미국의 정부, 기술, 교육 및 통신 분야의 조직을 대상으로 공격 했습니다. 이 캠페인은 트로이 목마를 없애고 사이버 간첩 활동을 수행하며 Bitcoin 암호 해독을 구현하기 위해 페이로드를 발전 시켰습니다. VBS스크립트를 실행 하면 조사 당시 한국의 IP 주소 (125.7.152.55)로 확인 된 "down.pzchao.com"을 호스팅하는 배포 서버에서 영향을받는 Windows 컴퓨터에 추가 페이로드를 다운로드합니다. 공격 캠페인의 위협 요소는 "pzchao.com"도메인의 적어도 다섯 가지 악성 하위 도메인을 제어하며 다운로드, 업로드, RAT 관련 작업, 맬웨어 DLL 전달과 같은 특정 작업을 수행하는 데 사용됩니다. 위협 행위자가 배포 한 페이로드는 다양화되어 추가 바이너리 파일을 다운로드 및 실행하고 개인 정보를 수집하며 시스템에서 명령을 원격으로 실행할 수 있습니다. PZChao 캠페인에 사용 된 도구는 몇 년 전부터 "전투 테스트를 거쳤으며 향후 공격에 적합합니다"라고 연구원은 말합니다.

첨부파일 첨부파일이 없습니다.
태그 x.509  Hotspot Shield  AutoSploit  ShurL0ckr  PZChao