Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 1월 17일] 주요 보안 이슈
작성일 2019-01-17 조회 779

1. [기사] 산업 현장에서 사용되는 중장비의 RF 프로토콜, 취약하다

[https://www.boannews.com/media/view.asp?idx=76189&page=1&mkind=1&kind=]

일본에 본부를 두고 있는 보안 업체인 트렌드 마이크로(Trend Micro)가 크레인을 비롯해 여러 산업 장비에서 사용되고 있는 통신 프로토콜을 분석해 심각한 취약점들을 다수 발견했다. 공격자들이 각종 원격 공격을 할 수 있게 해주는 취약점들이라고 한다. 연구원들이 실험 대상으로 삼은 브랜드는 사가(Saga), 주코(Juuko), 텔레크레인(Telecrane), 헤트로닉(Hetronic), 서킷디자인(Circuit Design), 오텍(Autec), 엘카(Elca)였다. 하나도 빠짐없이 취약한 것으로 나타났다. 실험은 트렌드 마이크로의 연구실 외에 실제 현장 14군데에서 진행됐으며, 전부 이 취약점 때문에 영향을 받을 수 있는 것으로 밝혀졌다. 트렌드 마이크로는 “재생 공격이나 긴급 중단 명령 공격과 같은 경우 100달러 정도 하는 장비만 있으면 실행시킬 수 있다”고 설명했다. “하지만 명령을 주입하거나 페어링을 조작하거나 펌웨어를 리프로그래밍 하는 공격의 경우는 비용이 더 들 수 있습니다. 이 공격들에 필요한 장비는 천 달러가 넘기도 합니다. 그러나 공격자의 동기가 충분하다면 실천할 수 있는 범위 내에 있다고 보입니다.” 라고 설명했다.

 

2. [기사] 최근 칠레 은행 공격한 사이버 단체, 북한 라자루스였다

[https://www.boannews.com/media/view.asp?idx=76185&direct=mobile&fbclid=IwAR3Cu6D9qiqmNVIb3fhgipRRQoHjAwyIL0ukCNuRtoTu4FlpBm_HUQXEE7U]

칠레 은행 간 네트워크인 레드방크(Redbanc)에 있었던 공격자로 북한의 라자루스(Lazarus)이 지목됐다. 보안 업체 플래시포인트(Flashpoint)가 이 사건을 조사한 후 보고서를 발표했다. 칠레 은행 네트워크에 대한 사이버 공격은 2018년 12월에 발생했으며, 분석 결과 파워라탕크바(PowerRatankba)라는 툴킷이 활용된 것으로 나타났다. 파워라탕크바는 이미 라자루스가 사용하는 것으로 유명한 멀웨어다. 레드방크의 네트워크에서 이 툴킷이 발견되었는데, 아무런 경보가 울리지 않았다고 한다. 파워라탕크바는 윈도우 관리 도구(WMI)를 사용해 시스템 정보를 수집하고, 그걸 서버로 전송한다. 시스템 세부 사항, 프로세스 목록, 사용자 이름, 프록시 세팅에 관한 정보가 주로 전송 대상이 된다. 또한 공유되고 있는 파일이나 폴더의 현황과 원격 데스크톱 프로토콜 포트에 관한 정보도 수집해 라자루스에게 전송한다.

 

3. [기사] 보안 연구진, 스마트 빌딩 공략 위한 멀웨어 개발

[https://www.boannews.com/media/view.asp?idx=76216&page=1&mkind=1&kind=]

IoT 보안 전문 기업인 포스카웃(ForeScout)의 전문가들이 멀웨어를 만들었다. 악성 행위자들이 원격에서 스마트 빌딩을 해킹할 수 있다는 사실을 증명하기 위해서다. 포스카웃은 관련된 제조사들의 이름을 밝히지 않고 있지만, 사용자의 크리덴셜을 저장하는 부분에서의 취약점 하나와 버퍼 오버플로우 버그 하나를 찾았다. 이 취약점들을 악용할 경우 원격에서 PLC에 코드를 실행할 수 있게 된다고 한다. 포스카웃이 개발한 멀웨어 역시 이 부분을 건드리는 것이다. 이 멀웨어는 제일 먼저 IP 카메라의 취약점들 중 이미 과거에 공개된 것들을 익스플로잇 한다. 네트워크의 최초 출입 지점으로 IP 카메라를 노린 것이다. 그 다음에는 여러 소프트웨어의 환경 설정 오류나 취약점을 공략해 횡적으로 움직이면서 목표로 삼은 PLC에 접근한다. 그렇게 해서 심겨지는 최종 페이로드는 1) 공격자가 접근 통제 데이터베이스를 조작할 수 있게 하거나, 2) 새로운 사용자를 추가하거나, 3) 새로운 출입증을 발급하는 기능을 가지고 있다. 이 모든 공격은 결국 물리적 접근을 가능하게 해준다. 그 외에도 자동화 시스템의 데이터를 지우거나, 기능을 마비시키는 것도 가능하다. 라고 설명한다.

 

4. [기사] 이미지도용·입사지원·명함제작? 갠드크랩 랜섬웨어 공격 문구 ‘각양각색’

[https://www.boannews.com/media/view.asp?idx=76196&page=1&mkind=1&kind=1]

최근 이미지 도용과 입사지원, 명함제작 문의 등 다양한 내용의 이메일을 사칭한 갠드크랩(GandCrab) 랜섬웨어가 유포되고 있는 것으로 드러났다. 다양한 형태로 전송되는 악성 메일에 포함된 첨부파일은 .alz 확장자를 가지고 있으며 이는 국내 유명 압축소프트웨어로 압축된 압축파일이다. alz 파일은 대부분의 압축해제 툴로 압축을 해제하지 못하기 때문에 스팸 필터나 방화벽 등 보안장비에서 첨부파일에 포함되어 있는 파일을 확인하지 못하는 점을 이용하여 탐지를 우회하는 것으로 분석됐다. 메일에 첨부된 파일을 압축해제하면 이미지파일이나 문서파일, 그리고 바로가기 파일이 포함되어 있다. 바로가기파일은 문서파일로 위장한 갠드크랩 랜섬웨어(참고내용_190115.doc)와 정상 이미지(참고이미지.jpg) 파일을 실행시킨다.

 

5. [기사] 2019년 발생할 확률 높은 고급 피싱 공격 시나리오

[https://www.boannews.com/media/view.asp?idx=76181&page=1&mkind=1&kind=1]

요즘 공격자들의 가장 주요한 침투 통로는 이메일이다. 이메일을 통한 피싱 공격 기술은 갈수록 벼려지며, 그에 따라 이메일 보안 솔루션들은 빠르게 구시대의 것으로 변한다. 공격자들은 기업과 정부 기관에 대한 공격을 계속해서 증가시켜왔다. 공격의 가장 큰 목적이 돈이라는 사실에는 변함이 없다. 2018년 한 해 동안 랜섬웨어와 스푸핑 공격은 각각 350%와 250% 증가했다. 피싱 공격에 대한 방어를 할 때, 가장 어려운 점은 물량이다. 이러한 변화에 맞춰 보안 솔루션들에 자동화 기술이 탑재되기 시작했다. 그러나 아직 이 자동화 기술이라는 게 완벽하지가 않다. 극히 한정된 상황에서만 자동화가 적용되기 때문에 세세한 부분에 자동화를 도입시키려면 규칙을 도출하고, 그걸 또 입력하는 작업이 별도로 필요하다.  

첨부파일 첨부파일이 없습니다.
태그 RF  Lazarus  Smart Building  GandCrab  Phishing