Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 7월 30일] 주요 보안 이슈
작성일 2018-07-30 조회 734

1. [기사] Swann IoT 카메라의 보안 취약점으로 인해 비디오 피드 접근 가능

[https://securityaffairs.co/wordpress/74868/hacking/swann-camera-hacking.html]

IoT 카메라인 Safe by Swann이 사용하는 클라우드 서비스의 보안 취약점을 이용하여 모바일 장치를 통해 카메라에 액세스 할 수 있는 POC공격을 발견하였다. 영향을 받은 카메라는 로컬 네트워크를 통해 혹은 클라우드 서비스를 통해 비디오 스트리밍 기능을 구현하는 카메라를 모델링한다. 
사용자가 Safe by Swann으로 서버에 로그인을 하면, 이 계정과 관련된 장치 정보들을 제공한다. 이것을 통해 시리얼 넘버를 조작하는 것을 시도하였고, 그 결과 API 엔드 포인트와 APK를 통해 일련번호가 쉽게 나타났다. 이러한 일련번호를 통해 카메라 스트림에 접근할 수 있는 것이다. 서버회사인 OZVISION은 이 문제를 이미 알고 있었다며 취약한 클라우드 환경을 빠르게 수정했다고 밝혔다. 
*일련번호를 알 수 있는 법 - 'swn'문자열과 9 개의 16 진수 문자로 구성되어있다. API에서 / osn / AccountAddDevice요청을 하면 취약한 시스템일시 모든 시리얼 넘버를 알 수 있다.

 

2. [기사] FELIXROOT 백도어 스팸 환경 캠페인에서 재등장
[https://threatpost.com/felixroot-backdoor-resurfaces-in-environmental-spam-campaign/134515/]

몇달의 부재를 마치고, FELIXROOT 백도어가 새로운 악성코드 캠페인에 등장했다. 이 백도어는 WMI(Windows Management Instrumentation) 및 Windows 레지스트리를 통해 대상 시스템에 지문 인식 기능을 포함하여 다양한 기능을 제공한다. 
파이어아이에 따르면, 이 러시아어 문서는 오래된 마이크로소프트 오피스 취약점(CVE-2017-0199, CVE-2017-11882)을 사용한다고 밝혔다. 공격 성공 시, 드로퍼 악성코드가 설치되어 RUNDLL32.EXE를 통해 실행된다. 실행 후 초기 10분은 아무일도 일어나지 않다가, 초기 시스템 분류를 진행하여 컴퓨터 이름, 사용자, 볼륨 일련 번호, 윈도우 버전 등을 탈취한다. 하지만 아직까지 많이 사용되지는 않는 것으로 밝혀졌다. 2017년 9월이 우크라이나 은행 문서에 포함된 매크로가 마지막이었다.

 

3. [기사] NetSpectre - 새로운 원격 유령 공격으로 네트워크에서 데이터 훔치기
[https://thehackernews.com/2018/07/netspectre-remote-spectre-attack.html]

네트워크를 통해 설치될 수 있는 새로운 Spectre 공격을 발견했다. 다른 Spectre들과 다른 점은 대상 시스템에서 로컬 코드를 실행해야한다는 점이다.
이 공격은 금년 초 보고된 CPU Store 캐시에 버퍼 오버플로우를 일으키는 Spectre Variant 1 취약점 (CVE-2017-5753)처럼 투기적인 실행을 한다. 이러한 실행은 현대 프로세서 설계의 핵심 구성 요소로, 사실일 것으로 추정되는 가정을 기반으로 추측적으로 실행한다. 공격자가 암호, 암호화 키 및 기타 중요한 정보를 포함해 이전에 보안된 CPU 메모리에서 데이터를 추출하는데 악용될 수 있는 악의적인 코드를 작성하고 실행할 수 있게 한다. 이 공격을 성공시키기 위해서는, 원격의 공격자는 조작된 요청을 보내 응답 시간을 측정하여 기계 메모리에서 중요 정보를 탈취할 수 있다. 하지만 이 Spectre 취약점에 대한 코드와 애플리케이션을 이미 업데이트했다면 공격에 대한 걱정은 할 필요 없다. 변종이나 하위 변종을 악용한 악성코드도 발견되지 않았다. 

 

4. [기사] Android 사용자, 은행 애플리케이션 노리는 Exobot Malware 주의
[https://latesthackingnews.com/2018/07/28/android-users-beware-of-exobot-malware-targeting-banking-apps/]

은행을 노리는 Exobot 악성코드가 온라인을 통해 유출되었다. 5월에 처음 발견되어 이번 유출을 통해 악성 안드로이드 응용 프로그램의 증가가 예상된다고 밝혔다. 이 악성코드 소스 코드는 dark web의 해킹 포럼에서 쉽게 구할 수 있다. 따라서 overlay 공격이 증가할 것이라고 예상한다. 그 이유는 악성코드가 윈도우 팝업을 발생시키는 것이 진짜 애플리케이션에서와 비슷하기 때문이다.
이번에 발견된 트럼프 버전이라고 불리는 악성코드는 두가지 문제를 갖고 있다. 하나는 감염된 안드로이드 장치가 은행 웹사이트나 다른 금융 기관에 접속하면, 사용자 정보가 탈취된다. 이 탈취된 개인 정보는 dark web에서 사용될 것이다. 두번째는 어떠한 모바일 뱅킹 악성코드던지 다른 장치로 전염된다. 이 악성 코드가 목표로하는 데이터는 은행 및 고객뿐만 아니라 전자 상거래 회사 및 기타 산업에도 영향을 미칠 것이다.

 

5. [기사] 새로운 Underminer 익스플로잇 키트 발견_Bootkit 및 CoinMiners

[https://www.bleepingcomputer.com/news/security/new-underminer-exploit-kit-discovered-pushing-bootkits-and-coinminers/]

트랜드 마이크로는 보고서에서 Underminer(이하 EK)라는 현재 아시아 국가에서 주로 활동하는 새로운 익스플로잇을 발견했다. 이 키트는  Bootkit과 Coinminer 악성코드를 포함한다.  
이 EK는 소수의 익스플로잇을 사용하며, 최근 캠페인에서 사용된 맬웨어 전달 메커니즘과 관련하여 암호화 된 TCP 터널을 사용하여 먼저 운영 체제 지속성을 위해 부트 킷을 배포 한 다음 코인을 배포하는 것으로 확인되었다. 이 코인 배포를 "Hidden Mellifera"라고 부르며, "Hidden Bee"라고도 한다. 
하지만 익스플로잇 키트는 최신 브라우저와 OS를 유지하면 감염을 막을 수 있다. 또한 Flash 사용량이 줄면서, 해킹이 어려워지고 있다.  

첨부파일 첨부파일이 없습니다.
태그 Swann  FELIXROOT  EK  NetSpectre  Exobot