Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향 [2018년 5월 31일] 주요 보안 이슈
작성일 2018-05-31 조회 859

1. [기사] US-CERT, HIDDEN COBRA 북한 관련 APT 그룹과 관련된 두 가지 맬웨어 경고
[https://securityaffairs.co/wordpress/73062/apt/hidden-cobra-malware.html]
 국토안보부(DHS)와 FBI는 HIDDEN COBRA 북한 관련 APT 그룹과 연관있는 두 가지 맬웨어인 Joanap 백도어 트로이 목마와 Brambul Server Message Block 웜에 대해 발표했습니다. DHS와 FBI는 북한 정부가 사용하는 두 가지 악성 코드 패밀리와 관련된 인터넷 프로토콜(IP) 주소 및 기타 타협 지표 (IOC)를 확인했습니다. "Joanap"으로 추적 된 첫 번째 멀웨어는 봇넷을 관리하고 데이터 유출, 추가 페이로드 설치 및 손상된 Windows 시스템에서의 프록시 통신 설정과 같은 악성 활동을 수행하는 P2P통신을 사용하는 2단계 RAT입니다. 두 번째 맬웨어는 "Brambul"라고 불리는 Windows 32 비트 SMB (Server Message Block) 웜입니다. Brambul는 서비스 동적 링크 라이브러리 파일로 사용되거나 휴대용 실행 파일은 수시로 드롭퍼 멀웨어에 의해 대상 네트워크에 설치 및 설치됩니다. 실행되면 맬웨어는 피해자의 로컬 서브넷에있는 피해 시스템 및 IP 주소와의 연결을 시도합니다. 성공할 경우 응용 프로그램은 포함 된 암호 목록을 사용하여 무차별 암호 공격을 시작하여 SMB 프로토콜 (포트 139 및 445)을 통해 무단 액세스를 시도합니다. 또한 맬웨어는 추가 공격을위한 임의의 IP 주소를 생성합니다. 네트워크 관리자는 경고에 포함 된 IOC를 사용하여 Joanap 및 Brambul 맬웨어를 모두 탐지하고 감염을 예방할 수 있습니다.

 

2. [기사] Git community RCE 취약점 (CVE-2018-11235)
[https://www.bleepingcomputer.com/news/security/malicious-git-repository-can-lead-to-code-execution-on-remote-systems/]
 Git 2.17.1에는 CVE-2018-11233과 CVE-2018-11235의 두 가지 보안 버그 패치가 포함되어 있습니다. 이 중 CVE-2018-11235는 악의적인 공격자가 특수 조작 된 git 하위 모듈을 포함하는 기형의 git저장소를 만들 수 있기 때문에 가장 위험한 것으로 간주됩니다. 사용자가 이 저장소를 복제 할 때마다 클라이언트가 이 악성 Git 하위 모듈을 처리하는 방식 때문에 공격자가 사용자 시스템에서 코드를 실행할 수 있습니다. 예를들어 .git/config파일에는 git 워크 플로우 내의 특정 지점에서 실행되는 스크립트 인 후크(hooks)등이 있는데 이것들은 git이 작업 디렉터리로 파일을 체크아웃 할 때마다 실행됩니다. 그런데 이것이 원격 서버에서 복제되지 않을 경우 원격 서버가 사용자 컴퓨터에서 실행할 코드를 제공할 수 있기 때문에 위험한 취약점이 발생할 수 있는 것입니다. 현재 github에 취약점을 보고한 상태이며, 사용자들은 git 데스크탑 및 서버 클라이언트 업데이트가 필요합니다.

 

3. [기사] EOS 노드 원격코드 실행 취약점 발견...국내 EOS 관련 프로젝트시 주의
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=34810]
 가상화폐 등급표에서 이더리움과 함께 최고등급인 B등급을 받은 EOS에서 원격 코드 실행 취약점이 발견되었습니다. 이더리움보다 더 빠른 처리속도로 해외뿐만 아니라 한국에서도 EOS 블록체인 기반 앱들이 만들어지고 있어 EOS 플랫폼 기반으로 프로젝트를 진행하는 사업이 있다면 각별한 주의가 필요합니다. 치후 360의 보안 전문가에 따르면, EOS에서 WASM파일을 파싱할 때 발생하는 out-of-bound write 취약점이 발견되었으며 해당 취약점을 이용해 EOS 슈퍼노드에 대한 완전한 통제권을 획득하는 익스플로잇 개발과 테스트가 완료되었다고 밝혔습니다. 32bit시스템에서는 완벽하게 패치가 되지 않아 offset + segment.data.size()가 integer overflow를 야기할 수 있지만, 64-bit 시스템에서는 문제가 되지 않는다고 설명합니다. EOS 기반으로 개발되고 있는 프로젝트가 있다면 반드시 패치된 버전을 사용해야 합니다.

 

4. [기사] 적극적으로 사용자를 감염시키는 새로운 Cryptomix Ransomware 변형
[https://www.bleepingcomputer.com/news/security/new-backup-cryptomix-ransomware-variant-actively-infecting-users/]
 MalwareHunterTeam에 의해 Cryptomix Ransomware의 변형이 발견되었습니다. 변형된 형태에서는 암호화 된 파일에 확장명을 추가하고 연락처 전자 메일을 변경하였으며 랜섬노트의 이름이 약간 변경되었습니다. 랜섬노트 내용도 변경되었고 피해자가 지불 정보를 문의하기 위한 주소로 backuppc@tuta.io, backuppc@protonmail.com, backuppc1@protonmail.com, b4ckuppc1@yandex.com, b4ckuppc2@yandex.com 및 backuppc1@dr.com 이메일을 사용합니다. 암호화 될 때 파일 이름을 수정 한 다음 암호화 된 파일 이름에 .BACKUP 확장자를 추가합니다. 예를 들어, 테스트 파일이 암호화 될 경우 파일 이름은 0D8802E027ABFF51DFE0BA602B23E305.BACKUP 형태로 변경이 됩니다. 현재 무료로 해독할 수 있는 방법은 없으며 랜섬웨어로부터 안전하기 위해서는 사전에 백업을 주기적으로 해야하며, 신뢰할 수 없는 첨부파일은 열지않는 것이 좋습니다. 또한 보안 소프트웨어의 사용과 업데이트로 보호해야합니다.

 

5. [기사] 유로폴, 다크웹 수사 전담 팀 만들었다
[http://www.boannews.com/media/view.asp?idx=69940&mkind=1&kind=1]
 유로폴이 다크웹에서 일어나는 활동을 모니터링하고 수사하는 전담 팀을 개설했으며 '다크웹 수사팀'이란 이름으로 유로폴 산하 유럽 사이버 범죄센터(EC3)에 소속될 예정입니다. 유럽연합의 사법 기관들은 물론 여러 가지 수사와 조사를 진행하는 서드파티 기관 및 업체들이 다크웹 수사팀의 활동에 적극 협조할 계획입니다. 이들은 사이버 범죄자들의 마켓플레이스를 수사하고 대규모 시장 및 포럼들을 셧다운 시키며 이에 그치지 않고 이후에도 발생할 수 있는 불법 범죄 행위들을 수사합니다. 유로폴 다크웹 수사팀은 정보 공유, 수사 및 조사 활동 협조, 다양한 범죄 유형에 대한 전문성 확보를 통해 다크웹 수사를 보다 완전하고 실패 없이 진행할 계획이며 각종 툴 개발 능력과 전략 발굴, 기술 협조 등이 원활히 이뤄짐에 따라 다크웹을 보다 면밀히 조사하고, 가장 큰 위협들을 찾아서 해체해나갈 것이라고 밝혔습니다.

첨부파일 첨부파일이 없습니다.
태그 Joanap  Git community  EOS  Cryptomix Ransomware