Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향 [2018년 6월 8일] 주요 보안 이슈
작성일 2018-06-08 조회 902

1. [기사] VPN필터, 알고 보니 더 무서운 공격이었다
[http://www.boannews.com/media/view.asp?idx=70188&kind=&sub_kind=]
 대형 사물인터넷 봇넷인 VPN필터(VPNFilter)가 알려진 것보다 더 광범위하게 감염시키고 있다는 사실이 밝혀졌습니다. 이전에 알려진 링크시스(Linksys), 넷기어(Netgear), 마이크로틱(MikroTik), TP-링크(TP-Link), 큐냅(QNAP) 뿐만 아니라 에이수스(ASUS), 화웨이(Huawei), D-링크(D-Link), ZTE의 제품들도 공격을 당하고 있는 것으로 확인됐습니다. 심지어 라우터 장비들만 감염시키는 것이 아닌 뒷 단에 있는 엔드포인트 장비들까지도 감염시킴으로써 공격자들이 원하는 정보를 모두 빼내갈 수 있게 됩니다. 또한 해당 멀웨어는 모듈 구조를 가지고 있어 첩보 수집, 디도스 공격, 표적형 공격 감추기, 파괴 공격 등 다양한 형태의 응용 공격이 가능하다고 설명합니다. 전문가에 따르면 VPN필터는 고도로 발전된 형태이고 이는 국가간 사이버 전에서 흔히 볼 수 있는 것이며 인프라 자체가 스파잉, 파괴, 탈취 등 다양한 목적을 위해 만들어진 것이라고 덧붙였습니다.

 

2. [기사] 중동을 타겟으로 하는 플래시 제로데이 취약점
[https://www.icebrg.io/blog/adobe-flash-zero-day-targeted-attack]
 ICEBRG의 보안 연구팀(SRT)은 공격자들이 중동 지역의 개인과 조직을 대상으로 Adobe Flash의 제로 데이 취약점을 적극적으로 활용한 것을 확인했습니다. 이 취약점 (CVE-2018-5002)을 사용하면 악의적으로 조작 된 Flash 객체가 희생 된 컴퓨터에서 임의의 코드를 실행할 수 있으므로 공격자가 다양한 페이로드 및 액션을 실행할 수 있습니다. 공격을 위해 공격자는 Microsoft Office 문서를 사용하여 대상 컴퓨터에 Adobe Flash 익스플로잇을 다운로드하고 실행하도록 합니다. 익스플로잇 프로세스는 SWF파일을 다운로드하고 실행함으로써 시작되며 공격자의 서버에서 가져온 모든 SWF콘텐츠를 원격으로 포함시킵니다. SWF에는 보안 장치와 패킷 캡쳐 분석을 우회하고 쉘코드를 다운로드하여 실행하며 최종 페이로드는 시스템에 백도어 기능을 제공하거나 추가 도구를 단계적으로 제공하는 쉘 코드로 구성됩니다.

 

3. [기사] 공격자와 장비 간 양방향 통신 가능한 새 백도어 등장
[http://www.boannews.com/media/view.asp?idx=70182&page=1&mkind=1&kind=1]
 보안 업체 지데이터(G Data)는 트로이목마 운영자들이 비콘메시지 없이도 감염된 기기와 직접 통신할 수 있는 특수한 프로그램 라이브러리를 발견했습니다. 트로이 목마 이름은 소켓플레이어(SocketPlayer)이며 소켓아이오(socket.io)라는 라이브러리를 사용함으로써 공격자들이 실시간으로 장비와 양방향 통신을 할 수 있게 됩니다. 현재 소켓플레이어의 두가지 변종이 웹사이트에서 임의의 코드를 실행하게 해주는 다운로더 형태로 확산되거나, 소프트웨어 및 샌드박스 회피 기능을 갖춘 복잡한 형태로 돌아다니고 있다고 전했습니다. 공격자의 명령에 따라 다양한 스니핑, 스크린샷 캡쳐, 코드 다운로드 및 실행 등 다양한 공격이 가능하며 현재 해당 멀웨어가 어디서 확산됐는지는 정확히 알 수 없는 상황입니다.

 

4. [기사] 수 천개의 프로젝트에 영향을 미치는 ‘Zip Slip’ 취약점 발견
[http://blog.alyac.co.kr/1731?category=750247]
 보안 연구원에 의해 수 천개의 프로젝트에 영향을 미치는 치명적인 취약점인 “Zip Slip”이 공개되었습니다. “Zip Slip”이라 불리는 취약점은 압축 파일의 압축을 해제할 때 디렉터리 탐색공격을 통해 촉발되는 임의 파일 덮어쓰기 취약점이며 tar, jar, war, cpio, apk, rar, 7z를 포함한 많은 압축 포맷에 영향을 미칩니다. 디렉토리 탐색이 가능한 파일명을 사용하는 조작된 압축 파일을 사용하여 악용될 수 있으며 프로그램의 정식 실행 파일이나 구성파일을 덮어씀으로써 공격자들은 대상 시스템에서 임의의 코드를 실행할 수 있게됩니다. 또한 클라이언트 머신 및 서버 모두에서 악용될 수 있습니다. 영향을 받는 모든 라이브러리 및 프로젝트의 목록은 Snyk의 GitHub 저장소에서 확인할 수 있습니다. 

 

5. [기사] 헤르메스까지 재등장! 컴백 랜섬웨어, 최신 취약점 ‘무장’ 
[http://www.boannews.com/media/view.asp?idx=70177&page=1&mkind=1&kind=1]
 잠잠했던 랜섬웨어들이 최신 취약점에 탑재하여 재등장하고 있습니다. 헤르메스 랜섬웨어가 최신 취약점인 CVE-2018-8174(IE VBScript)을 악용하면서 재등장하였고 헤르메스 뿐만 아니라 매그니튜드 익스플로잇 킷에도 CVE-2018-8174 취약점이 탑재되어 마이랜섬 랜섬웨어(매그니베르)도 유포되고 있습니다. 이처럼 최근 유포되는 랜섬웨어와 공격도구에 CVE-2018-8174를 비롯한 최신 취약점이 계속 악용되고 있고 특히, 주요 3대 공격 도구인 선다운 EK, 매그니튜드 EK, 리그 EK에 모두 CVE-2018-8174 취약점이 탑재돼 잠시 주춤하던 랜섬웨어들이 재등장하고 있습니다. 이에 보안 전문가는 악성코드 유포에 활용 가능한 최신 취약점이 공개되자마자 공격자들이 랜섬웨어 감염 확률을 높이기 위해 EK 공격도구에 즉각 탑재시키고 있기 때문이라고 설명합니다.

첨부파일 첨부파일이 없습니다.
태그 SocketPlayer  VPNFilter  Zip Slip