Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 1월 14일] 주요 보안 이슈
작성일 2019-01-15 조회 500

1. [기사] 연말정산 시즌, 맞춤형 악성코드 유포중...메일 속 URL 클릭 주의

[https://www.dailysecu.com/?mod=news&act=articleView&idxno=44207&sc_code=1435901200&page=&total=]

1월 15일부터 시작하는 연말정산 간소화 서비스 기간에 맞춰, 연말정산 내용의 악성 메일이 또다시 유포되고 있어 사용자들의 각별한 주의가 필요하다. 

최근 수집 된 악성 이메일은 12월 중순에 발견되었던 악성 메일과 동일한 내용으로 유포되고 있다. 기존과 다른 점은, 기존에는 이메일에 워드파일 형식으로 악성 파일이 첨부되어 있었지만 이번에는 링크 형태로 유포되고 있다는 점에서 차이를 보이고 있다. 이메일 본문에는 링크가 포함되어 있어 사용자의 클릭을 유도하며, 만약 사용자가 링크를 클릭하면 악성 매크로가 포함된 doc 파일이 실행된다. 만약 사용자가 실행된 워드파일의 매크로 기능을 활성화 할 경우 악성코드가 실행된다고 설명하며, 사용자들의 각별한 주의를 요구한다.

 

2. [기사] KISA, 기업 보안담당자를 위한 ‘한눈에 보는 로그설정 노트’ 제작•배포

[https://www.dailysecu.com/?mod=news&act=articleView&idxno=44169&sc_code=1435901200&page=&total=]

한국인터넷진흥원(KISA, 원장 김석환)은 기업의 사이버 침해사고 예방 및 해킹 원인 분석을 위해 보안담당자가 알아야하는 시스템•응용프로그램 로그(log) 설정 방법을 담은 '한눈에 보는 로그설정 노트'(이하 로그설정 노트)를 제작해 배포한다고 밝혔다. 사이버 침해사고 발생 후 해킹 탐지 및 원인 분석을 위해서는 시스템에 보안과 관련된 로그 기록들이 보존되어 있어야 한다. 이에 KISA는 기업이 사용 중인 시스템•응용프로그램의 보안을 위한 로그설정 방법을 간단하게 설명하는 참고자료를 제작해 배포하기로 했다. KISA는 이번 로그설정 노트를 운영체제 종류에 따라 ▲‘윈도우(Windows)’, ▲‘리눅스(Linux)’, ▲‘웹서버 등 별도 설치 응용프로그램’의 총 3장(총 27개 항목)으로 구성했으며, 각 운영체제의 버전별 로그설정 방법 및 권장 설정값 등을 기술했다. 로그설정 노트 원본파일은 KISA 보호나라 홈페이지 자료실에서 누구나 다운로드 받을 수 있다.

 

3. [기사] 오피스 365의 취약점 통해 ZWSP 삽입하는 피싱 공격

[https://www.boannews.com/media/view.asp?idx=76126]

오피스 365에서 발견된 취약점을 활용하면 자체 피싱 공격 보호 장치를 우회해 악성 메시지를 피해자에게 전달할 수 있다고 한다. 다행히 이 취약점은 최근에 패치됐다. 클라우드 보안 전문 업체인 아바난(Avanan)에 의하면, 이 취약점을 악용할 경우 이메일의 로 HTML(RAW HTML) 내 악성 URL의 한 중간에 ‘폭이 0인 공백(ZWSP)’을 삽입할 수 있게 된다고 한다. 이렇게 할 경우 URL이 망가지기 때문에 MS가 탑재한 악성 이메일 탐지 장치들이 작동하지 않게 된다. 세이프 링크(Safe Link)가 발동되는 것도 막을 수 있다고 한다. 게다가 ZWSP는 렌더링을 하지 않는다. 즉, 이메일을 받는 사람이 URL 중간에 있는 무작위 특수 문자들을 전혀 알아채지 못한다. 오피스 365의 취약점과 그것을 남용한 이메일 공격이 처음 발견된 건 작년 11월 10일의 일이다. MS는 이 문제를 보고 받고 1월 9일에 패치를 배포했다.패치 이전, 이 문제 때문에 오피스 365 사용자 전부가 피싱 공격에 노출됐다. MS 오피스 365 고급 위협 보호(Advanced Threat Protection)을 사용하는 사람들도 예외는 아니었다. URL 명성 확인과 세이프 링크 모두 무용지물이었다.

 

4. [기사] 모의 해커와 범죄형 해커가 다 사랑하는 메타스플로잇의 새 버전

[https://www.boannews.com/media/view.asp?idx=76127&page=1&mkind=1&kind=]

보안 업체 라피드7(Rapid7)이 새로운 버전의 메타스플로잇(Metasploit)을 발표했다. 이번에 나온 건 5.0 버전이다. 메타스플로잇은 전 세계적으로 가장 많이 사랑 받는 모의 침투 실험 프레임워크 중 하나로, 심지어 해커들 사이에서도 활발히 사용되고 있는 툴이다. 라피드7에 의하면 메타스플로잇 5.0은 1) 데이터베이스 API와 2) 자동화 API의 측면에서 이전 버전과 가장 다르다고 한다. 새로운 API인 제이슨RPC(JSON-RPC)도 등장했다. 이 API를 사용하면 프레임워크를 새로운 툴과 언어에 통합하는 게 더 쉬워진다. 여기에 더해 메타스플로잇의 자동화 프로토콜은 데이터베이스와 자동와 API를 위한 일반 웹 서비스 프레임워크로 보강되기도 했다. 그 외에도 우회(evasion) 모듈과 라이브러리들과 관련된 변화도 있었다. 때문에 모의 해커 혹은 침투 테스터들은 이번 버전부터 자신들만의 고유한 우회 모듈을 C언어를 사용해 보다 쉽게 생성할 수 있게 된다고 한다. 익스플로잇 모듈을 한 번에 여러 표적에 적용하는 것도 이번 버전부터 가능하다. 메타스플로잇 5.0은 현재 공색 깃허브 프로젝트 계정(https://github.com/rapid7/metasploit-framework/releases/tag/5.0.0)을 통해 공개되어 있다.

 

5. [기사] Ryuk Ransomware Partners with TrickBot to Gain Access to Infected Networks

[https://www.bleepingcomputer.com/news/security/ryuk-ransomware-partners-with-trickbot-to-gain-access-to-infected-networks/]

새로운 연구 결과에 따르면 Ryuk의 배후가 네트워크에 진입하기 위해 다른 악성 코드를 Access-as-a-Service로 대여하고 있을 수 있다고 전했다. FireEye와 CrowdStrike의 새로운 보고서에 따르면 TrickBot이 감염된 네트워크의 나머지 네트워크에 수동으로 침입하여 페이로드를 설치할 수 있습니다. "동유럽에 기반을 둔 것으로 의심되는 TrickBot 관리자 그룹은 작업에 사용할 수있는 제한된 수의 사이버 범죄자에게 멀웨어를 제공 할 가능성이 높습니다."라고 FireEye의 연구는 말했다. FireEye는 Dridex 봇이 BitPaymer의 배우들에 의해 사용되는 것을 보았지만 SamSam은 다른 멀웨어를 사용하지 않고 희생자를 직접 대상으로 계속해서 접근했습니다. "이 두 그룹은 조직의 가장 중요한 시스템에 협업 방식으로 ransomware를 배포하고 운영자와 지불 협상을 수행 할 수있는 대화 형 액세스를 사용하고 있다고 전했다.

첨부파일 첨부파일이 없습니다.
태그 TrickBot  Metasploit  ZWSP  Malware