Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 10월 15일] 주요 보안 이슈
작성일 2018-10-15 조회 752

1. [기사] Experts warn of fake Adobe Flash update hiding a miner that works as a legitimate update
[https://securityaffairs.co/wordpress/77089/malware/fake-adobe-flash-update.html]

 암호 채굴이 포함되어 있는 조작된 Adobe Flash update가 발견되었다. 이 업데이트는 실제로 Adobe Flash를 업데이트하며, Adobe와 관련 없는 클라우드 기반의 웹 서버에서 호스팅되는 AdobeFlashPlayer로 시작되는 파일 이름을 사용하여 업데이트한다. URL에는 “flashplayer_down.php?clickid=” 문구가 포함되어 있다. 이 url이 어떤 경로를 통해 배포되는지는 명확하게 밝혀지지 않았다. 하지만 감염된 윈도우 호스트가 HTTP POST 요청을 통해 [osdsoft[.]com]에 연결하는 것을 발견할 수 있었다. 이 도메인은 암호화폐 채굴 설치를 실행하는 업데이트 및 원하지 않는 소프트웨어 설치관리자와 관련되어 있다. 이 가짜 업데이트는 본래 악의적인 암호화폐채굴 벡터로 쓰였으며, 사용자 몰래 악성코드가 심어지는 새로운 기능이 추가되었다. 이 업데이트는 이번 여름부터 활동하였고, 합법적인 업데이트의 코드 뿐만 아니라 윈도우에서 XMRig 암호화폐채굴 코드 또한 포함한다. 2018년 8월 쯤에서는 업데이트를 가장한 일부 샘플은 공식 Adobe 설치관리자에서 팝업을 사용하기도 했다.


2. [기사] Microsoft fixed the Zero-Day for JET flaw, but the fix is incomplete
[https://securityaffairs.co/wordpress/77119/hacking/zero-day-patch-incomplete.html]

마이크로소프트 제로데이 JET Database Engine 취약점인 CVE-2018-8423가 불완전한 것으로 나타났다. 해당 취약점은 JET Database Engine에 out-of-bounds(OOB) 쓰기를 하여 발생하며, 공격 성공 시 취약한 시스템에 임의 코드를 실행할 수 있다. CVSS 점수는 6.8이며 공격자는 악의적으로 조작된 데이터를 할당된 버퍼 마지막에 쓰도록 하여 공격할 수 있다. 이 조작된 데이터는 JET 데이터베이스 형식에 저장된 데이터를 포함해야한다. 또한, 사용자와의 상호작용이 없다면 공격성공이 불가하다.
이 취약점의 근본적인 원인은 윈도우의 코어 다이나믹 링크 라이브러리에 "msrd3x40.dll"에 존재한다. 따라서 마이크로 소프트는 msrd3x40.dll의 버전을 4.0.9801.0 에서 4.0.9801.5 로 업데이트하였고 이는 더이상 취약점을 사용할 수 없다. 하지만 2018년 5월에 취약점이 보고되었고 2018년 9월 패치에서 수정될 것이라고 보았지만 마이크로소프트는 수정하지 않고 단지 제한했다. 


3. [기사] How to Check What Facebook Hackers Accessed in Your Account
[https://www.securityweek.com/how-check-what-facebook-hackers-accessed-your-account]

페이스북은 저번주 금요일 적은 수의 사용자가 영향을 받았다고 말했지만 거의 5천만의 사용자 계정이 유출되었다. 페이스북은 20 억 명의 글로벌 사용자가 자신의 계정에 액세스했는지 확인하는 데 사용할 수 있는 웹 사이트를 개설했으며, 그렇다면 도난당한 정보를 정확히 파악할 수 있다. 또한 의심스러운 이메일이나 텍스트를 발견하고 처리하는 방법에 대한 지침을 제공한다. 해킹의 영향을받는 사람들에게도 직접 메시지를 보냈다. 
페이스북은 해커들이 사용자 계정들로부터 이름, 이메일 주소, 전화번호에 접속했다고 말했다. 이 목록은 매우 광범위하여 사용자 이름, 성별, 로케일 또는 언어, 관계 상태, 종교, 고향, 자체 보고된 현재 도시, 생년월일, 기기 유형, 페이스북, 교육, 업무, 최근 10개의 웹 사이트 방문기록에 접속했다. 페이스북은 취약점을 수정했으며 디지털 키를 재설정하기 위해 영향받는 사용자들은 로그아웃했다고 말했다. 다른 전문가는 이 위반이 2013년 Yahoo와 Target을 포함한 회사에서 발생한 신원 도용 위반과 유사한 것으로 보인다고 말했다. 이러한 개인적인 세부 사항들은 신분 도용에 매우 쉽게 사용되어 신용 카드를 신청하고, 대출을 받고, 은행 암호를 얻는 것 등을 할 수 있다. 이 공격은 광범위하지만, 노리는 특정 대상이 있다는 것은 분명하다고 말했다.


4. [기사] A mysterious grey-hat is patching people's outdated MikroTik routers
[https://www.zdnet.com/article/a-mysterious-grey-hat-is-patching-peoples-outdated-mikrotik-routers/]

러시아 언어를 사용하는 gray-hat 해커들이 사람들의 MikroTik 라우터를 공격하고 패치하여 암호해독기, 봇넷, 혹은 다른 사이버 범죄에 당하지 않도록 하고 있다. Alexey라고 불리는 이 해커는 서버 관리자로서 일하며, 10만개가 넘는 MikroTik 라우터를 공격했다고 주장했다. 이 해커는 자신의 행동을 숨기려 하지 않고 러시아 블로그 플랫폼에 자랑했다. 그는 라우터에 접속하여 추가적인 오용을 막기 위해 라우터의 설정을 변경한다고 말한다. 그러나 10만 명 이상의 사용자에 대해 방화벽 설정을 조정하기는 했지만, 50명의 사용자만이 Telegram을 통해 접속했다. 당시 CVE-2018-14847로 알려진 이 취약성은 제로 데이였지만 MikroTik은 기록적인 시간 내에 수정 작업을 수행했다. 그럼에도 불구하고, 사이버 범죄자들은 이 결함을 이용하기 위해 재빨리 악용했다. 
Alexey는 2014년부터 활동했으며, 이러한 라우터들을 수정하는 것보다도 서비스 제공 업체에서 반드시 수행해야한다고 말했다. 그 이유는 이러한 장치들 중 많은 수가 사용자의 가정에 배치된 라우터가 아니라 아파트 단지나 거리에 있는 ISP 박스에 배치된 라우터와 같이 ISP 내부 인프라의 일부인 소위 "에지" 장치이기 때문이다. 하지만 MikroTik 역시 빠른 대응을 하였지만 ISP와 사용자들이 이 업데이트를 통해 이득을 보지 못한다는 것이 문제이다.


5. [기사] New Drupalgeddon Attacks Enlist Shellbot to Open Backdoors
[https://threatpost.com/new-drupalgeddon-attacks-enlist-shellbot-to-open-backdoors/138230/]

Drupalgeddon 2.0 취약점이 Shellbot 또는 PerlBot의 오래된 기술을 사용하여 공격자에 의해 다시 악용되고 있다. 연구원들은 패치되지 않아 Drupalgeddon 2.0에 취약한 Drupal 웹사이트를 대상으로 하는 새로운 사이버 공격을 경고하고 있다. 취약점이 있는 경우 공격자는 설치 단계에서 /user/register 및 /user/password 페이지를 검색한 후 비밀번호에 대해 무차별 대입 공격을 실행한다. 독특한 점은 관리자 권한을 크랫했을 시 PerlBot 또는 Shellbot이라고도 하는 IRC 제어 봇인 PowerBot 맬웨어를 사용하고 있다는 것이다. Shellbot은 2005년부터 존재해온 악성 백도어 스크립트이다. 그것은 Drupal과 같은 컨텐츠 관리 시스템(CMS)이 있는 웹 사이트를 포함한 MySQL 데이터베이스 기반 웹 사이트를 이용하도록 설계되었다. 공격이 성공하면 취약한 Drupal 웹 사이트의 백도어가 열려 공격자들이 사이트를 완전히 통제할 수 있다고 말했다. 공격자의 명령 및 제어 서버에 대상 Drupal 웹리스트에 대한 셸 액세스 권한이 있으면 SQL 주입 취약성을 검색하고, DDoS 공격을 실행하고, 피싱 전자 메일 스팸을 배포하고, 자신들의 크립토마이닝을 설치하기 위해 존재하는 크립토마이닝을 종료할 수 있다. 따라서 데이터를 훔치거나 악성 콘텐츠를 호스팅하거나 추가 공격을 시작할 수 있는 리소스로 사이트에 액세스할 수 있다. 또 다른 문제는 적절한 패치를 적용하지 않음으로써 심각한 위험에 처해 있다는 것이다.

첨부파일 첨부파일이 없습니다.
태그 Adobe  JET flaw  Facebook  Drupalgeddon  MikroTik