Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 5월 16일] 주요 보안 이슈
작성일 2018-05-16 조회 245

1. [기사] 새로운 Bip Dharma Ransomware 변종
[https://www.bleepingcomputer.com/news/security/new-bip-dharma-ransomware-variant-released/]
ID-Ransomware 사이트에 업로드된 Crysis / Dharma 랜섬웨어의 새로운 변종이 나타났습니다. Jakub Kroustek는 그것이 새로운 Dharma 변종인지 확인하기 위해 몇 가지 샘플을 확인했습니다. 이 새 버전은 .Bip 확장자를 암호화된 파일에 추가합니다. 이 변종이 어떻게 배포되고 있는지 정확히 알 수는 없지만, 과거의 Dharma는 일반적으로 원격 데스크톱 서비스를 해킹하고 랜섬웨어를 수동으로 설치함으로써 확산되었습니다. Bip 랜섬웨어 변종이 설치되면 컴퓨터에서 데이터 파일을 검색하고 암호화합니다. 파일을 암호화할 때 .id- [id]. [email] .bip 형식으로 확장자를 추가합니다. 예를 들어, test.jpg 파일은 암호화되어 test.jpg.id-BCBEF350. [Beamsell@qq.com] .bip으로 이름이 바뀝니다. 이 랜섬웨어는 매핑된 네트워크 드라이브, 공유 가상 컴퓨터 호스트 드라이브 및 매핑되지 않은 네트워크 공유를 암호화합니다. 따라서 실제로 액세스 권한이 필요한 사용자만 권한을 갖도록 네트워크 공유가 잠겨 있는지 확인하는 것이 중요합니다. 이 변종은 컴퓨터를 암호화할 때 암호화되지 않은 파일을 복구하는 데 사용할 수 없도록 시스템의 모든 섀도우 볼륨 처리를 삭제합니다.

 

2. [기사] 인터넷 익스플로러에서 제로데이 익스플로잇 발견
[http://www.boannews.com/media/view.asp?idx=69432&page=1&mkind=1&kind=]
카스퍼스키랩이 인터넷 익스플로러에서 제로데이 익스플로잇을 발견했다고 15일 밝혔습니다. 이 익스플로잇은 제로데이 취약점 ‘CVE-2018-8174’를 이용한 것으로 드러났습니다. 카스퍼스키랩 연구진은 이번 공격이 타깃형 공격이라고 추정하고 있습니다. 익스플로잇은 MS 워드(Microsoft Word) 문서로 다운로드됐는데, 이 같은 기법이 포착된 것은 이번이 최초라고 합니다. 연구진에 따르면, 이번에 발견된 익스플로잇은 제로데이 취약점을 악용하는 전형적인 악성코드였습니다. UAF(Use-After-Free) 버그로, 정상적인 실행 코드가 잘못된 메모리 처리 로직을 따를 때 발생합니다. 이는 해제된 메모리와의 코드 통신으로 이어질 수 있습니다. 대부분의 경우 단순한 브라우저 오류로 끝나지만 익스플로잇에서 악용되면 공격자가 이 버그를 통해 시스템 제어 기능을 장악할 수도 있습니다. 분석 결과, 다음과 같은 감염 단계가 드러났습니다. 1) 피해자가 악성 RTF MS 오피스 문서를 수신 2) 문서를 열면, 악성코드를 포함한 HTML 페이지가 다운로드되며 두 번째 단계 실행 3) 코드가 메모리 손상 UAF 버그를 실행 4) 악성 페이로드를 다운로드하는 셸코드가 실행

 

3. [기사] 신종 랜섬웨어 CryptON 등장...15일 집중 유포
[http://www.boannews.com/media/view.asp?idx=69420&page=1&mkind=1&kind=1]
국내를 타깃으로 랜섬웨어가 활개를 치고 있는 가운데 이번엔 신종 랜섬웨어 CryptON이 등장했습니다. 구글 지메일 계정(account-gmail.net)으로 위장한 도메인을 통해 유포되고 있습니다. 한 보안전문가는 현재까지는 구글 지메일 계정을 위장해 유포된 것으로 확인됐지만, 다른 포털 메일 계정으로도 악용될 수 있다고 밝혔습니다. 이에 대해 한국인터넷진흥원 관계자는 “갠드크랩 랜섬웨어가 워낙 많이 뿌려지고 있어 갠드크랩 랜섬웨어 피해 예방에 주력을 하고 있다”며 “하지만 크립트온 랜섬웨어도 최근 뿌려지고 있어 예의주시하고 있다”고 밝혔습니다. 이처럼 각종 랜섬웨어가 국내를 타깃으로 기승을 부리고 있습니다. 한국인터넷진흥원은 랜섬웨어 피해 예방을 위해 △윈도우 등 OS 및 사용 중인 프로그램의 최신 보안업데이트 적용 △신뢰할 수 있는 백신 최신 버전 설치 및 정기적으로 검사 진행 △불필요한 공유 폴더 연결 해제 △출처가 불분명한 메일 또는 링크의 실행 주의 △파일 공유 사이트 등에서의 파일 다운로드 및 실행 주의 △중요 자료는 네트워크에서 분리된 저장 장치에 별도 저장하여 관리 △이상 징후 포착 및 침해사고 발생시 한국인터넷진흥원 인터넷침해대응센터(KISC)로 즉시 신고해줄 것을 요청했습니다.

 

4. [기사] 새롭게 발견된 백도어, 다재다능하고 머디워터와 유사
[http://www.boannews.com/media/view.asp?idx=69421&page=1&mkind=1&kind=1]
파워셸 백도어가 새롭게 발견됐습니다. 이름은 PRB-백도어(PRB-Backdoor)이며, 악성 매크로가 포함된 워드 문서를 통해 퍼지고 있습니다. 문서의 이름은 Egyptairplus.doc으로, 중동 지역을 겨냥한 머디워터(MuddyWater) 캠페인과 관련이 있는 것으로 보인다고 보안 업체 시큐리티 오니지(Security 0wnage)가 발표했습니다. 이 악성 문건을 분석했을 때, Worker()라는 함수가 악성 매크로와 관련이 있음이 드러나기도 했습니다. 문서 내 엠베드된 다른 함수들을 다량 호출하는 것으로, 궁극적으로는 파워셸 명령을 실행시키는 기능을 가지고 있다고 합니다. 추가 분석 결과 PRB-백도어의 코드에서 브라우징 히스토리를 추출하는 기능도 발견됐는데, 이 백도어가 노리는 브라우저는 크롬, 인터넷 익스플로러, 파이어폭스였습니다. 또한 비밀번호를 훔치고, 디스크에 파일을 생성하며, 스스로 업데이트하는 기능도 계속해서 나왔습니다. 여기에 더해 셸 실행 기능, 키스트로크 로깅 기능, 스크린샷 저장 기능 등도 발굴됐습니다. 다양한 기능을 수행하기 위해 만들어진 백도어라고 보이지만, 아직까지 이 멀웨어가 연루된 실제 피해 사례를 발견하기는 힘들었다고 합니다.

 

5. [기사] Red Hat Linux DHCP 클라이언트에서 원격 명령 주입 취약점 발견
[https://thehackernews.com/2018/05/linux-dhcp-hacking.html]
Fedora 운영 체제와 같은 Red Hat Linux 및 그 파생 제품의 DHCP 클라이언트 구현에서 중요한 원격 명령 주입 취약점을 발견했습니다. CVE-2018-1111로 추적된 이 취약점은 공격자가 대상 시스템에서 루트 권한으로 임의의 명령을 실행할 수 있게 합니다. DHCP 클라이언트 애플리케이션은 시스템이 네트워크에 참여할 때마다 DHCP(동적 호스트 제어 프로토콜) 서버로부터 IP 주소 및 DNS 서버와 같은 네트워크 구성 파라미터를 자동으로 수신할 수 있게 해주는 애플리케이션입니다. 취약점은 DHCP 프로토콜을 사용하여 네트워크 구성을 얻도록 구성되며 DHCP 클라이언트 패키지에 포함된 NetworkManager 통합 스크립트에 있습니다. Red Hat은 보안 권고에서 Red Hat Enterprise Linux 6 및 Red Hat Enterprise Linux 7에 영향을 미치고 dhclient 패키지를 실행하는 모든 고객은 패키지를 가능한 한 빨리 최신 버전으로 업데이트 해야함을 전했습니다.

첨부파일 첨부파일이 없습니다.
태그 Bip Dharma Ransomware  CVE-2018-8174  CryptON  PRB-Backdoor  CVE-2018-1111