Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 6월 5일] 주요 보안 이슈
작성일 2018-06-05 조회 1268

1. [기사] Redis 서버의 75%가 각종 사이버 공격에 노출되어 있어
[http://www.boannews.com/media/view.asp?idx=70106&mkind=1&kind=1]
7만 2천 개의 공개된 레디스(Redis, Remote Dictionary Server) 서버들을 스캐닝한 결과 약 75%가 공격에 노출되어 있다고 보안 업체 임퍼바가 발표했습니다. 임퍼바는 키(key)와 값(value)을 메모리 내에서 페어링시켜 파일로 전환함으로써 레디스 서버 허니팟을 구축했는데, 그 결과 약 75%의 서버에서 악성 행위가 탐지된 것입니다. 레디스는 많은 특성과 기능을 가진 툴로, 인메모리 분산형 데이터베이스나 캐시, 혹은 메시지 브로커로서 활용이 가능합니다. 설계에서부터 '신뢰 가능한' 혹은 '확인된' 클라이언트가, 마찬가지로 신뢰 가능하고 확인된 환경에서만 접근하도록 되어 있어 공공 인터넷에 접근 가능하면 안 됩니다. 임퍼바의 전문가들이 실험해본 결과, 허니팟 레디스 서버를 인터넷에 공개시키고 하루도 채 지나지 않아 공격이 시작됐습니다. "취약점 스캐닝이 시작되는 것은 물론 암호화폐 채굴 코드를 앞세운 사이버 공격이 들어오기 시작했습니다. 총 295개 IP에서 약 7만 번의 공격이 있었어요. 하루도 되지 않는 시간에 말이죠." 취약점 익스플로잇 종류도 다양했습니다. "SQL Injection, XSS, 악성 파일 업로드, 원격 코드 실행 공격 등 온갖 종류의 공격이 대입되고 있었습니다. 허니팟 서버에도 이만큼 다채롭고 어마어마한 공격이 탐지되었다면, 진짜 레디스 서버에도 비슷한 일이 일어나고 있다고 봐야죠."라고 전했습니다.

 

2. [기사] 윈도우 JScript 컴포넌트서 원격 코드 실행 제로데이 취약점 발견
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=35037]
윈도우 OS의 JScript 컴포넌트에서 공격자가 사용자의 컴퓨터에서 악성코드를 실행하도록 허용할 수 있는 취약점을 발견했습니다. 이 취약점이 Jscript 컴포넌트에 영향을 미치기 때문에, 공격자는 사용자가 악성 웹 페이지에 접근하거나 악성 JS 파일을 다운로드 및 실행하도록 속여야 합니다. 연구원들은 "이 취약점은 JScript의 에러 오브젝트를 처리할 때 발생한다. JScript에서 작업을 수행하면 공격자는 free된 포인터를 재사용할 수 있게 된다. 공격자는 이 취약점을 악용해 현재 프로세스의 컨텍스트에서 코드를 실행할 수 있다"며, "이 버그의 민감성으로 인해, 우리는 Microsoft에서 완전한 픽스를 출시하기 전까지는 너무 많은 기술적 정보를 공개하지 않을 것이다"라고 밝혔습니다. 한편 연구원들은 이 취약점이 시스템을 전체적으로 손상 시킬 수는 없기 때문에, 취약점이 생각만큼 위험하지 않을 수 있다고 밝혔습니다. 또 "이 결함은 샌드박싱된 환경에서만 코드 실행을 허용한다. 공격자는 샌드박스를 탈출하고 타겟 시스템에서 코드를 실행시키기 위해 또 다른 익스플로잇이 필요할 것이다"라고 덧붙였습니다.

 

3. [기사] 랜섬웨어 ‘마이랜섬’ 재출현! 익명성 강한 대시코인 요구
[http://www.boannews.com/media/view.asp?idx=70087&page=1&mkind=1&kind=1]
최근 기승을 부렸던 갠드크랩 랜섬웨어가 주춤한 가운데 마이랜섬(매그니베르, Magniber) 랜섬웨어가 또 다시 등장해 이제는 익명성이 강한 대시(DASH) 코인을 요구한다고 합니다. 마이랜섬 랜섬웨어는 공격자가 컴퓨터에 설치된 익스플로러(IE), 자바(JAVA), 플래시(Flash) 등 매그니튜드 익스플로잇 킷(Magnitude Exploit Kit) 내에 있는 취약점을 악용해 웹사이트의 광고 사이트에 악성코드를 심어 랜섬웨어를 유포하는 멀버타이징(Malvertising) 방식을 사용합니다. 멀버타이징은 악성코드(Malware)와 광고(Advertising)의 합성어로 광고 서버를 해킹해 악성코드를 유포하는 공격 기법입니다. 이번에 유포된 마이랜섬 랜섬웨어는 지난 5월 8일 패치된 CVE-2018-8174 취약점인 VBScript 엔진 취약점을 악용해 유포되고 있습니다. 2018년 5월 MS 정기 보안 업데이트를 통해 패치가 이뤄졌으며, Windows 10 운영 체제의 경우 대부분 자동 패치가 진행돼 문제 없지만, Windows 7 사용자의 경우에는 자동 패치가 이루어지지 않은 경우가 있어 감염에 더욱 주의해야 합니다.

 

4. [기사] 피고 소환장 통지서 메일 주의...갠드크랩 랜섬웨어 유포 중
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=35044]
국내에 피고 소환장 통지서로 사칭한 악성 이메일을 통해 갠드크랩(GandCrab) 랜섬웨어가 유포되고 있습니다. 이번에 발견된 이메일은 소환장 통지 내용으로 '여기서 소환 공지 다운로드' URL 링크 클릭을 유도합니다. URL 링크를 클릭할 경우 악성 URL로 연결되며, 'summons_notice_2235674.doc' 파일을 다운로드합니다. 다운로드된 'summons_notice_2235674.doc'는 문서 내용이 'Microsoft Word'에 의해 보호된다는 내용을 담고 있으며, 내용을 보기 위해 매크로 활성화를 유도합니다. 이용자가 소환장에 대한 자세한 정보를 열람하기 위해 매크로를 허용할 경우, 추가적으로 DOC 본문 이미지를 소환장 통지서 관련 내용이 담긴 특정 웹 사이트의 이미지로 수정하고, 갠드크랩 랜섬웨어를 다운로드합니다. 다운로드된 갠드크랩 랜섬웨어는 'C:UsersPublic' 경로에 'JSQC0UgW.exe' 이름으로 드롭되어 실행됩니다. 갠드크랩 감염 시 암호화 대상 파일 뒤에 'CRAB'이 추가되며, 랜섬노트로 대시코인 등의 금전 결제를 요구합니다.

 

5. [기사] SNS 피싱, ‘가짜 페이스북 페이지’가 압도적
[http://www.boannews.com/media/view.asp?idx=70095&page=1&mkind=1&kind=1]
카스퍼스키랩(Kaspersky Lab)의 ‘2018년 1분기 스팸·피싱 보고서’에 따르면, 총 370만 건의 소셜 네트워크 서비스(SNS) 피싱 시도 가운데 60%가 가짜 페이스북 페이지였던 것으로 나타났습니다. 여기서 피싱 시도 건수는 카스퍼스키랩이 차단한 수만 셈한 것입니다. SNS 피싱은 피해자의 SNS 계정에서 개인정보를 도용하려는 사이버 범죄의 한 형태입니다. SNS 사이트를 복제·제작한 뒤 피해자를 유인하고, 이름·비밀번호·신용카드 번호·PIN 번호 같은 개인정보를 탈취합니다. 페이스북이 사이버 공격의 매개로 자주 악용되는 건 매월 전 세계 21억 3,000만 명이라는 방대한 이용자 수 자체에 있다고 카스퍼스키랩은 설명했습니다. 또한, 페이스북의 자격 증명을 이용해 알려지지 않은 앱에 로그인하는 과정에서 이용자 계정에 대한 접근이 허용된다는 점도 페이스북이 피싱 공격의 주요 타깃이 되는 원인이라고 덧붙였습니다.

첨부파일 첨부파일이 없습니다.
태그 Redis 서버  JScript 컴포넌트  마이랜섬  갠드크랩 랜섬웨어  SNS 피싱