Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 11월 22일] 주요 보안 이슈
작성일 2018-11-22 조회 1336

1. [기사] German eID Authentication Flaw Lets You Change Identity
[https://www.bleepingcomputer.com/news/security/german-eid-authentication-flaw-lets-you-change-identity/]

RFID 칩이 포함된 독일 ID 카드 인증 과정에서 신분 도용 및 생년월일 변경 취약점이 발견되었다. 2010년 이후 발급된 독일 신분증에는 보유자에 대한 정보를 저장하는 무선 주파수 식별 칩이 포함되어 있다. 여기에는 이름, 생년월일 및 생체 측정 사진이 포함된다. 기계 판독이 가능하며 온라인 정부 서비스(세금, 우편) 또는 연령 확인을 위해 유럽의 대부분의 국가에서 여행 문서로 사용될 수 있다. RFID 칩을 통한 인증은 스마트 카드 판독기와 RFID 칩 및 인증 서버와 통신하는 eID 클라이언트 애플리케이션을 사용하여 로그인 데이터의 유효성을 검사할 수 있다. 해당 취약점은 웹 서비스에 ID 카드 인증 기능을 추가할 수 있는 소프트웨어 구성 요소인 Poverikus Autent SDK에 있다. 공격을 성공하려면 공격자는 인증 서버에서 서명한 쿼리 문자열이 필요하다. Autent SDK 3.8.1 이하를 실행하는 웹 애플리케이션은 중복 HTTP 매개 변수를 처리하는 데 취약하다.  


2. [기사] L0rdix becomes the new Swiss Army knife of Windows hacking
[https://www.zdnet.com/article/l0rdix-becomes-the-new-swiss-army-knife-of-hacking/]

마이크로소프트 윈도우 PC를 타겟으로 하는 새로운 해킹 도구가 퍼지고 있다. 이 도구는 비교적 새것이며 구매가능하다. 하지만, 많은 기능을 구현했음에도 여전히 개발 중에 있다. .NET으로 쓰여진 L0rdix는 도난을 염두에 두고 개발되었다. 표준 ConfuserEx 난독화 프로그램을 사용하여 난독화되어 있으며, 일부 샘플은 .NETGuard 난독기를 사용하여 보다 정교화되어 있다. L0rdix의 개발자들은 리버싱과 악성코드 분석에 사용되는 가상 환경과 샌드박스에 있어 많은 노력을 기울였다. L0rdix는 이러한 환경을 탐지하기 위해 많은 표준 검색을 수행할 뿐만 아니라 WMI 쿼리 및 레지스트리 키를 사용하여 샌드박스 제품을 나타낼 수 있는 문자열을 검색한다. L0rdix가 수행하는 일반적인 점검은 sandboxie 제품에 속하는 sbinedl.dll을 로드하는 검색 프로세스를 포함하며 시스템이 감염되면 멀웨어는 OS 버전, 장치 ID, CPU 모델, 설치된 바이러스 백신 제품 및 현재 사용자 권한을 포함한 정보를 가져와 스크린샷과 함께 C2(명령 및 제어) 서버로 전송된다. L0dix가 더 많은 개발을 거치면서 향후에 다목적 도구의 보다 정교한 버전을 보게 될 것으로 기대했다.


3. [기사] Gmail UX 결함을 이용한 피싱공격 주의보
[https://threatpost.com/gmail-glitch-enables-anonymous-messages-in-phishing-attacks/139247/?fbclid=IwAR0yY7_0rp1RfNPxp_hPfER_LmUmD43FBe810yf5BuxkGQ1SnAqC5Lxw7s4]

지메일의 UX의 취약점으로 인해 "From" 필드를 위조할 수 있으며 이로 인해 공격 메일을 발송할 수 있다고 말했다. 해당 취약점은 이메일의 "from"헤더를 조작하여 발신인 표시를 공백으로 둘 수 있다. 받는 사람의 이메일을 "from" 헤더("name, receive_email_here")에 입력하고, 혹은 태그 연결했다고 말했다. 잘못된 형식의 이미지 데이터를 맨 앞에 놓으면 이메일 발송인이 공백으로 표시되기 때문이다. 이것은 인용된 가명, 이전 단어, 공간, 그리고 긴 base64, 악의적으로 인코딩된 이미지 태그의 결합에 의한 것이다. 구글에 이러한 취약점을 모두 보고하였으며 구글은 아직 대응하지 않고 취약점도 수정하지 않았다.


4. [기사] New Pterodo Backdoor Malware Detected By Ukraine
[https://hackercombat.com/new-pterodo-backdoor-malware-detected-by-ukraine/]

우크라이나 외교정보국은 우크라이나 정부기관에서 컴퓨터를 대상으로 하는 악성코드 Pterodo Windows 백도어를 적발했다. Pterodo는 Gamaredon 공격 그룹과 연결되어 있으며 Pteradon이라고도 부른다. 이 단체의 공격은 주로 우크라이나 군부 및 정부 목표물들과 함께 제공되는 기성 소프트웨어에 기반을 두고 있다. Pterodo는 악성코드를 삽입하고 정보를 수집하는 데 사용되는 사용자 지정 백도어이다. 최신 버전은 우크라이나, 벨로루시어, 러시아어, 아르메니아어, 아제르바이잔어, 우즈베키스탄어, 타타르어 등 옛 소련 국가들과 관련된 특정 언어를 현지화하는 Windows 시스템에서만 활성화된다. 새로운 버전의 Pterodo는 감염된 시스템의 하드 드라이브의 일련 번호를 기반으로 명령과 제어를 위한 고유한 URL을 생성한다. 감염된 시스템과 관련된 데이터는 해당 URL로 전송되며, 어떤 도구를 통해 원격으로 설치 및 운영할지 분석할 수 있게 해준다. 지금까지 공격과 연관된 도메인으로는 update-spreadwork.pw, datafost.zapto.org, bitsadmin.ddns.net. 등이 있다. 


5. [기사] 비너스락커 조직, 한국 상대로 2년간 랜섬웨어 집중 유포...현재도 유포
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=41721]

지난 주부터 비너스락커(VenusLocker) 랜섬웨어 조직이 다시 활동을 본격화하고 있다. 이들은 최근에 RaaS(Ransomware-as-a-Service) 기반의 러시아 서비스형 갠드크랩(GandCrab) 랜섬웨어를 한국에 집중 유포시키고 있는 것이 확인됐다. 각별한 주의가 필요하다. MS워드 매크로 기법과 악성 EXE 파일의 직접적인 유포를 사용하던 범죄자들은 '베리즈 웹쉐어(Berryz WebShare)' 서버를 구축해 한동안 변종 갠드크랩 랜섬웨어를 꾸준히 유포하는데 사용했다. 특히 국내 대표 보안제품들이 탐지 기능을 추가하면 곧바로 변종을 제작해 등록하는 적극적인 공격전략을 구사하고 있다. DOC Exploit 취약점 파일을 이용한 공격도 수행한 바 있어 전문화된 위협조직으로 분류되어 있고, 유창한 한국어를 자유자재로 구사하고 있는 상태다. 11월 20일에는 이력서 사칭에서 이미지 무단사용 관련, 임금체불관련 출석 요구서 내용으로 바로가기(LNK) 파일과 숨김속성의 갠드크랩 실행파일(EXE) 연결 방식으로 다시 유포를 하기 시작했다. ('1.출석요구서.doc.lnk', '2.임금체불 진정서.doc.lnk' ) 또한 파일명도 'peesss.exe', 'delltoro.exe', 'document.exe' 등으로 다양하게 변경해서 유포하고 있다. 의심스러운 이메일을 수신할 경우 절대 파일이나 인터넷 주소로 접근하지 않는 것이 중요하다.

 

첨부파일 첨부파일이 없습니다.
태그 비너스라커  Pterodo Backdoor  Gmail  L0rdix