Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 8월 30일] 주요 보안 이슈
작성일 2018-08-30 조회 719

1. [기사] DarkComet RAT를 밀어내는 가짜 배송 문서 Malspam에 주의
[https://www.bleepingcomputer.com/news/security/beware-of-fake-shipping-docs-malspam-pushing-the-darkcomet-rat/]

트로이목마를 통해서 원격으로 DarkComet을 설치하는 첨부문서가 포함된 가짜 배송 문서가 퍼지고 있다. DarkComet이 설치되면 멀웨어는 키 입력, 응용 프로그램 사용, 스크린샷 등을 기록할 수 있다. 이 원격 액세스 트로이 목마(RAT)는 감염된 컴퓨터에서 상당한 양의 정보를 훔칠 수 있으므로 이러한 위협을 인지하는 것이 중요하므로 실수로 감염되지 않도록 해야 합니다.
메일에는 "docs#330"과 유사한 제목이 있으며 수신인의 승인을 기다리는 문서처럼 보인다. 또한, DOC000YUT600.pdf.z와 같은 이름의 .z 첨부 파일이 포함되어 있고 이 첨부 파일에는 DOC000YUT600.scr라는 파일이 들어 있다. 이 파일을 실행하면 DarkComet RAT가 %UserProfile%Music egdrv.exe 및 %UserProfile%VideosRegdriver.exe로 설치된다. 또한 Regdriver를 시작하는 "Registry Driver"(윈도우에 로그인할 시 자동 실행되는)라는 자동 실행이 생성된다. 실행되면 DarkComet은 응용 프로그램 사용 및 키보드 작업 기록을 시작하고 %UserProfile%AppDataRoamingdclogs 폴더에 있는 로그 파일에 저장하여 다양한 간격으로 공격자에게 업로드된다. DarkComet과 같은 위협으로부터 자신을 보호하려면 항상 실시간 보호를 제공하는 업데이트된 보안 소프트웨어가 컴퓨터에 설치되어 있어야한다.

 

 

2. [기사] 2011년 이후의 OpenSSH 버전들이 Oracle 공격에 취약
[https://www.bleepingcomputer.com/news/security/openssh-versions-since-2011-vulnerable-to-oracle-attack/]

일주일도 되지 않은 전에 비슷한 버그를 고쳤음에도 불구하고, OpenSSH는 계속해서 Oracle 공격에 취약하며, 2011년 9월부터 모든 버전의 Suite에 영향을 미친다. 공격자는 이 취약점(CVE-2018-15919)을 통해 서버에서 다양한 사용자 이름을 테스트하고 유효한 사용자 이름을 확인할 수 있다.
이 취약점은 Fedora, CentOS, and Red Hat Enterprise Linux 등의 auth2-gss.c component에서 발생한다. 사용자가 인증을 시도할 때 공격자는 유효한지 여부에 관계없이 동일한 패킷을 수신한다. 그러나 사용자가 유효하면 'server_cause_failure'가 설정되어 서버에 존재하지 않는 사용자를 제공할 때는 이러한 일이 발생하지 않는다. 유효하지 않은 사용자가 아무값이나 대입하여 공격하는 횟수는 6회로 제한되어 있고, 초과하면 서버와 연결이 끊긴다. 유효한 사용자로 허용되면 공격자는 GSSAPI 인증을 무제한적으로 시도하여 암호에 대한 강력한 공격이 발생할 수 있다. 오픈SSH에서 작업하는 개발자에 따르면, 사용자 ID의 비비밀 부분으로 간주되기 때문에 이러한 유형의 정보 노출을 위협으로 취급하지 않는다고 말한다. Oracle 공격은 큰 위협이 아님을 인정하지만 사용자 정보를 노출하기 때문에 보안 문제로 취급해야 한다.

 

 

 
3. [기사]  Cryptocurrency 플랫폼 아틀라스 퀀텀 해킹, 260 만 명의 사용자가 영향을 받음
[https://securityaffairs.co/wordpress/75726/cyber-crime/cryptocurrency-platform-atlas-quantum-hack.html]

Cryptocurance Platform Atlas Quantum이 보안 침해를 당해 26만 명 이상의 사용자 소유의 정보가 해커에 의해 도난당했다. 해커들은 26만 명이 넘는 Cryptocurance Platform Atlas Quantum 사용자들과 관련된 정보를 훔쳤다. 노출된 데이터에는 고객 이름, 전화 번호 및 이메일 주소와 고객 계정 잔액이 포함되었다.
Atlas는 24만 명 이상의 사용자와 3,000만 달러 이상의 자산을 관리한다. 보안 침해를 받은 일요일 저녁에 발견하였고, 데이터베이스와 비밀번호를 보호하고 개인 키를 암호화 상태로 유지하기 위한 즉각적인 조치를 취했다고 말했다. 또한, 해커들이 사용자의 자금을 훔치지 않고 단지 플랫폼 DB만 손상시켰다고 전했다. 이 플랫폼을 통해 사용자는 자동화된 재정 거래 시스템으로 이익을 극대화하기 위해 여러 플랫폼에서 계정의 암호통화를 거래할 수 있다. Atlas는 플랫폼의 일부 기능이 예방 차원에서 일시적으로 비활성화하여 조사를 시작했다. 이 사건은 암호시장이 해커들의 특혜적 표적이 되고 있음을 보여준다.

 

 

4. [기사] 슈나이더 전자제품의 고위험성 취약점 패치
[https://threatpost.com/high-severity-flaws-patched-in-schneider-electric-products/137034/] 

Schneider Electric PowerLogic PM5560과 Modicon M221은 모두 고위험성 취약점에 의해 공격에 취약하다. Schneider Electric은 두 가지 산업 제어 시스템 제품에서 원격으로 이용할 수 있는 수많은 취약성에 대한 해결책을 발표했다. 
PowerLogic PM5560(펌웨어 버전 2.5.4 이전 버전)에는 사이트 간 스크립팅 결함 CVE-2018-7795가 존재한다. 이 취약성에 대한 공격이 성공하면 사용자 입력을 조작하여 원격 코드를 실행할 수 있다. 원격으로 공격가능한 점과 낮은 공격 난이도로 인해 높은 심각도의 CVSS 점수가 할당되었다. 
Schneider Electric의 Modicon M221 시리즈 제품(펌웨어 V1.6.2.0 이전 버전)에서 추가로 많은 심각한 취약성이 발견되었다. 첫 번째 결함인 CVE-2018-7790은 권한이 없는 사용자가 인증 시퀀스를 재생하여 Modicon M221에 연결하는 경우, 공격자는 Schneider Electric에 따라 PLC에서 원래 프로그램을 업로드할 수 있다. 두 번째 결함인 CVE-2018-7791은 권한이 없는 사용자가 원래 암호를 덮어 PLC에서 원래 프로그램을 업로드할 수 있다. 회사는 Modicon M221 사용자가 포트 502에 대한 모든 원격 또는 외부 액세스를 차단하는 방화벽을 설치하고 Modicon M221 애플리케이션(특히 프로그래밍 프로토콜) 내에서 사용되지 않는 모든 프로토콜을 비활성화하여 이를 통해 임시 완화할 것을 제안했다.

 

 

5. [기사] Microsoft Windows 제로 데이 취약성 공개
[https://latesthackingnews.com/2018/08/29/microsoft-windows-zero-day-vulnerability-is-disclosed-on-twitter/]

Microsoft는 트위터 사용자가 Windows OS에서 취약성에 대한 개념 증명 코드를 제공하여 버그에 대해 제로 데이 취약성을 공개했을 때 빠르게 대응했다. CERT/CC의 취약성 분석가는 버그가 Windows 운영 체제의 제로 데이 결함임을 확인했다. 
취약성은 플랫폼의 작업 스케줄러에 있는 결함으로 인해 ALPC(Advanced Local Procedure Call) 시스템을 처리하여 발생한 결함으로 인해 윈도우즈 OS의 보안 결함을 확대시킨다. 이 제로 데이 취약성은 로컬 시스템의 ALPC와 관련되기 때문에 사용자가 시스템 권한을 얻을 수 있게 한다. 공격 범위는 적지만 Microsoft와 같은 회사에서는 그렇지 않다. 현재 이 취약성에 대한 해결 방법은 없으며 CVSS 점수인 6.4–6.8을 받았다. 이 결함의 패치는 다음 달 11일에 출시될 예정이다.

첨부파일 첨부파일이 없습니다.
태그 MS Window  Schneider   암호화폐  OpenSSH  DarkComet