Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 11월 12일] 주요 보안 이슈
작성일 2018-11-12 조회 603

1. [기사] Recently-Patched Adobe ColdFusion Flaw Exploited By APT
[https://threatpost.com/recently-patched-adobe-coldfusion-flaw-exploited-by-apt/138981/]
최근 9월에 패치된 Adobe ColdFusion의 취약점이 중국과 연계된 APT공격에 취약한 것으로 밝혀졌다. 해당 취약점(CVE-2018-15961)은 파일 업로드 취약점과 임의 코드 실행 취약점이 존재한다. Volexity에서 탐지한 공격에 따르면, 공격자로 예상되고 있는 중국의 APT 그룹이 웹 셸인 China Chopper의 JSP 버전을 업로드함으로써 ColdFusion의 서버를 공격할 수 있던 것으로 말했다. 간단한 HTTP POST 요청을 통해 제한되지 않고 인증을 필요로 하지 않는 pload.cfm 파일에 쉽게 악용될 수 있다고 그들은 말했다.타겟이 된 이 서버는 2주전에 릴리즈된 업데이트 한개를 하지 않고 있었다. 최신 버전의 ColdFusion CKEditor에서 WYSIWYG 리치 텍스트 편집기에서 발생한다. 영향을 받는 제품은 Adobe의 상업 웹 애플리케이션 개발 플랫폼인 ColdFusion 11(업데이트 14 포함 이전),  ColdFusion 2016(업데이트 6 포함 이전), 그리고 ColdFusion 2018(7월 12일 출시)이다. Adobe ColdFusion은 사용자들에게 업데이트와 로그 파일 및 디렉토리를 검사하여 의심사항이 있는지 살펴볼 것을 촉구했다.

 
2. [기사] Symantec shared details of North Korean Lazarus’s FastCash Trojan used to hack banks 
[https://securityaffairs.co/wordpress/77877/apt/lazarus-apt-fastcash-trojan.html]

북한과 연계된 라자루스 그룹이 FastCash 트로이목마를 사용하여 AIX 서버를 손상시켜 ATM에서 수천만 달러를 빼돌려 왔음이 밝혀졌다. Symantec의 보안 전문가들은 ATM 공격에서 Lazarus APT 그룹이 사용했던 FastCash 트로이 목마로 추적되는 악성 프로그램을 발견했다. 이 APT 그룹은 2016년부터 이 악성코드를 활용해 아시아와 아프리카의 중소은행 ATM에서 수백만 달러를 빼돌려 왔다. 
10월 초, DHS와 FBI에서 Hidden Cobra APT가 사용하는 FASTCash에 대한 경고가 있었다. 경고 이후에, Symantec의 연구는 최근의 금융 공격에 사용된 핵심 요소를 밝혀냈다. FASTCash는 처음에 은행의 네트워크를 공격했고 ATM거래를 처리하는 스위치 애플리케이션 서버를 손상시킨다. 이러한 서버 손상으로 인해 알 수 없는 트로이목마가 발생 및 배포된다. 이 악성코드는 결국 현금 인출 요청을 가로채 위조된 승인 응답을 보내 공격에 성공시킨다. 악의적인 AIX(Advanced Interactive eXecutive) 실행 파일을 Fastcash 트로이목마에 주입시켜, 금융 거래 메시징의 표준인  ISO 8583 메시지를 위조할 수 있게 만드는 것이다. 
FastCash 트로이목마의 주요 기능은 두가지이다. 첫번째, 들어오는 메시지를 모니터하고 위조된 거래 요청을 가로채 거래를 처리하는 스위치 응용 프로그램에 도달할 수 없도록 한다. 두번째, 위조된 거래 요청에 대한 셋 중 하나의 가짜 응답을 생성할 수 있는 로직이 포함되어 있다. 

 

3. [기사] Nginx server security flaws expose more than a million of servers to DoS attacks 
[https://securityaffairs.co/wordpress/77866/hacking/nginx-server-dos-flaws.html]

Nginx 개발자는 nginx 웹 서버에 영향을 미치는 몇 가지 DoS(서비스 거부) 취약성을 해결하기 위한 보안 업데이트를 릴리스했다. nginx는 HTTP 및 역방향 프록시 서버, 메일 프록시 서버, 일반 TCP/UDP 프록시 서버이며 2018년 10월에 25.28%의 혼잡한 사이트에서 사용된다. Nginx 개발 팀은 Nginx 버전 1.9.5 ~ 1.15.5에서 DoS 조건을 발생시킬 수 있는 두 가지 HTTP/2 구현 취약성을 해결하기 위해 1.15.6 및 1.14.1 버전을 출시했다. CVE-2018-16843 및 CVE-2018-16844로 추적되는 nginx HTTP/2 구현에 영향을 미치는 두 가지 보안 결함은 각각 과도한 메모리 소비와 CPU 사용량을 유발할 수 있다.
해당 취약점은 "listen"에서 "http2" 옵션이 구성파일에 사용될 때 ngx_http_v2_module로 컴파일된 nginx에 영향을 준다. 또한 공격자가 MP4 프로세스를 손상시키거나 메모리를 유출시키는 데 악용할 수 있는 ngx___mp4_module 모듈(CVE-2018-16845)에 영향을 미치는 취약점을 수정했다. 버전 1.15.6, 1.14.1에 따르면 ngx_http_mp4.1에는 취약성이 있으며 이를 통해 공격자가 작업자 프로세스에서 무한 루프를 발생시키거나 작업자 프로세스가 중단될 수 있다. CVE-2018-16845은 nginx 1.1.3 이상 및 1.0.7 이상에 영향을 미치며, nginx 팀은 1.15.6 및 1.14.1 버전의 릴리스를 출시했다. 


4. [기사] Google Play Nine Times Safer Than Third-Party App Stores
[https://threatpost.com/threatlist-google-play-nine-times-safer-than-third-party-app-stores/138964/]

구글에 따르면, 20억 명의 안드로이드 사용자들 중에서, 잠재적인 악성코드의 감염율은 전반적으로 1% 미만이라고 한다. 타사 앱 스토어를 피하는 것이 보안 모범 사례라는 기존의 인식을 뒷받침하는 Google의 새로운 데이터는 Google Play에서 앱만 다운로드하는 Android 장치가 악성코드에 걸릴 확률이 9배 낮다는 것을 보여준다. 지금부터 분기별로 출시될 구글의 첫 안드로이드 보고서에 따르면 구글플레이를 독점적으로 사용하는 0.09%만이 하나 이상의 "잠재적으로 유해한 애플리케이션"을 설치했다고 한다. 또한, 2018년 첫 3분기 평균 PHA 비율이 0.08%로 훨씬 낮았다. 이에 비해 2018년 3분기(13월)에는 타사 앱스토어를 사용하는 기기 중 0.68%가 영향을 받았다.
지리적으로, 가장 큰 10개 안드로이드 시장의 PHA 비율은 평균 꾸준히 유지되어 왔다. 그러나, 몇 가지 분명한 점은 인도가 기기에 존재하는 PHA가 가장 크게 감소했고 평균 감염률이 34% 감소했다는 것이다. 
이러한 현상을 지속적인 플랫폼 및 API 강화, 지속적인 보안 업데이트, 앱 보안 및 개발자 교육과 같은 여러 가지 요인으로 보고 있으며, 민감한 데이터에 대한 앱의 액세스를 줄일 수 있다.


5. [기사] 2018년 3분기, 가장 악명 떨친 사이버공격 3가지
[https://www.boannews.com/media/view.asp?idx=74517&page=1&kind=1]

2018년 3분기에 가장 악명을 떨친 보안위협으로 △7월, ‘뉴트리오 제어봇 국내 유포’ △8월, 소환장 알림 메일을 통해 유포되는 악성코드 △9월, 일일 동향보고로 위장한 악성 한글문서 3가지가 꼽혔다. 
지난 7월 웹 브라우저 취약점(CVE-2018-8174)을 사용하는 그랜드소프트(GrandSoft) 익스플로잇 킷이 등장했고 이 를 이용해 뉴트리노(Neutrino) 원격 제어봇이 유포됐다고 밝혔다. 웹사이트에 방문만 해도 감염되는 드라이브 바이 다운로드 공격을 통해 유포된 뉴트리노 원격 제어봇은 한동안 사라졌다가 다시 등장한 백도어 악성코드의 일종이다. 감염자 PC를 원격제어 하는 기능을 갖고 있으며, 가상화 환경과 악성코드 분석 도구가 실행 중일때는 작동하지 않는 등 악성코드 분석과 탐지를 회피하는 능력을 갖췄다. 또한, 윈도우 임시폴더에 자기 자신을 숨김 파일 형태로 복제해 저장한다. 
지난 8월에는 ‘고소를 당했다’는 메시지와 함께 소환장을 다운로드할 수 있는 링크가 첨부된 악성메일이 기승을 부렸다. 공격자는 ‘링크에 제공된 정보를 통해 청문회 날짜 및 시간을 보낸다’는 내용으로 메일 받는 사람이 반드시 링크를 실행하도록 유도했다. 링크 실행시 악성코드가 포함된 압축파일이 다운로드되고 압축파일을 해제하면 자바스크립트 악성코드가 특정 서버와 통신해 악성코드를 다운받게된다. 
지난 9월 발견된 악성 한글문서는 ‘한국 부동산 개발 협회’를 위장해 ‘일일 동향보고’라는 문서 제목으로 유포됐다. 기존에 라자루스에서 사용한 악성코드와의 유사성으로 인해 라자루스로 추정되고 있다.

첨부파일 첨부파일이 없습니다.
태그 Adobe ColdFusion  Lazarus  Nginx  Google Play