Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 1월 23일] 주요 보안 이슈
작성일 2019-01-23 조회 742

1. [기사] 구글 플레이가 또! 가짜 환율 계산기와 배터리 앱 놓쳤다

[https://www.boannews.com/media/view.asp?idx=76335]

가짜 환율 계산기와 가짜 배터리 유틸리티 프로그램이 공식 구글 플레이 스토어에 등록됐다. 이를 발견한 보안 전문가에 의하면 이 앱들은 사실 아누비스(Anubis)라는 뱅킹 멀웨어 패밀리에 속한 것들이라고 한다. 이러한 사기 앱을 발견한 보안 업체 트렌드 마이크로(Trend Micro)는 “앱들이 악성 코드를 실행하기 전에 꽤나 교묘한 방법으로 안전한지 확인한다”고 설명한다. 트렌드 마이크로의 1월 18일자 블로그 게시글을 통해 밝혀진 이 교묘한 방법은 바로 장비의 모션 센서 데이터를 수집하는 것이다. 이를 통해 장비가 움직이고 있는 상태인지 아닌지 파악하기 위함이라고 한다. 반면 장비가 막 움직이고 다녀 모션 센서 데이터가 마구 쌓이는 상황이라면, 앱은 사기 행위를 발동시킨다. 시스템 업데이트인 것처럼 사용자를 속여 설치하도록 하는 것이다. 물론 이 때 설치되는 건 아누비스의 페이로드다. 아누비스는 사용자 계정 크리덴셜을 훔치는 것을 가장 기본으로 삼고 있는 멀웨어다. “주로 사용자의 키스트로크를 몰래 저장하거나 스크린샷을 캡처하는 방식으로 크리덴셜을 탈취합니다.” 트렌드 마이크로는 현재 아누비스 최신 버전이 93개국에 침투했으며, 377개의 금융 관련 앱들을 공격했다고 밝혔다. 또한 장비 내에서 연락처 정보를 훔치거나 오디오 녹음 파일을 C&C로 빼내고 SMS 메시지를 전송하는 등의 공격도 할 수 있다고 경고했다.

 

2. [기사] 라자루스? 김수키? 천의 이름을 가진 북한 추정 해커그룹

[https://www.boannews.com/media/view.asp?idx=76327]

최근 북한으로 추정되는 공격그룹의 연이은 공격으로 사이버 세상의 위협은 지속되고 있다. 다만 소니픽쳐스 해킹이나 방글라데시 은행 해킹 등 해외에서 발생한 공격은 미국 등 일부 국가나 보안기업들이 배후로 ‘북한’ 혹은 ‘북한의 공격조직’ 등 명확하게 지적했지만, 우리나라는 관련 국가라는 특수성과 사이버 공격의 특성상 공격 주체를 100% 확정할 수 없다는 이유로 그 배후를 ‘추정’만 하고 있다. 미국 정부는 공식적으로 북한의 사이버 작전명을 ‘히든 코브라(Hidden Cobra)’라고 불렀다. 미국 인터넷침해사고대응지원센터(US-CERT)는 대규모 디도스 봇넷의 배후에 북한 정부가 있다고 2017년 6월 공식 발표했다. 미국을 포함한 전 세계의 언론사, 금융기관, 항공우주 산업, 사회 기반 시설 등을 겨냥한 디도스 봇넷 인프라가 북한에 의해 구축된 것이라고 공식적으로 경고하고 나선 것이다. US-CERT가 스스로 지적했듯, 보안 연구자들은 이번 보고에서 언급된 악성 행위들을 ‘라자루스(Lazarus)’와 ‘평화의 수호자(Guardians of Peace)’에 연관시켜 왔다. 올해 초, 시만텍이 31개국 은행을 대상으로 한 일련의 공격들의 배후에 라자루스가 있을 가능성이 높다고 지목해온 것도 이런 사례 중 하나다. 사이버 공격을 분석하면서 얻은 정보를 바탕으로 각 국가나 보안기업, 보안전문가들이 명명한 탓에 여러 이름을 가지면서도 일부 공격에 대해서는 의견이 갈리는 탓에 정확하게 구분하는 것이 쉽지 않다. 하지만 ‘북한’ 혹은 ‘북한으로 추정되는 국가’로 지목하는 것에는 별다른 이견이 없다. 아울러 남북정상회담과 북미회담 등 평화모드가 이어지고 있지만, 사이버상에서의 위협은 지속되고 있는 만큼 이에 대한 경각심을 높이고 보안을 강화하는 자세가 필요하다는 조언도 잊지 않았다. 

 

3. [기사] 교묘해지는 디도스, ISP 표적 삼아 트래픽 잘게 쪼개 전송해

[https://www.boannews.com/media/view.asp?idx=76367&page=1&mkind=1&kind=]

대형 인터넷 서비스 제공자들을 노린 디도스 공격이 작년 3사분기부터 크게 늘어났다. 그러면서 공격자들의 새로운 전략이 드러나기도 했다. 디도스 트래픽 차단 시스템을 우회하기 위한 것이라고 보안 업체 넥서스가드(Nexusguard)가 공개했다. 넥서스가드가 분석한 바에 의하면 2018년 3사분기부터 공격자들은 자신들이 노린 사이트들을 디도스로 마비시키거나, 아예 해당 사이트가 사용하는 ISP 전체를 마비시키고 있다고 한다. 그러면서 공격 트래픽을 다수의 IP 프리픽스에 걸쳐 보낸다. 넥서스가드는 “디도스 공격의 진화가 끝없이 이어지고 있는 추세”라고 경고했다. “특히 디도스 방지 툴을 몰래 지나쳐가기 위한 기술과 전략 개발이 놀라울 정도로 일어나고 있습니다. 그러면서 공격이 고급화되고 있고, 용량은 더 커지고 있으며, 다양한 전략을 통해 추가 피해를 발생시키고 있습니다. 다크웹에는 각종 디도스 공격 툴이 돌아다니고 있어 누구나 이런 고급 디도스 공격을 할 수 있다는 것도 심각한 문제입니다.” 라고 설명했다.

 

4. [기사] MS가 패치하지 않은 취약점 세 가지, 0패치로 해결

[https://www.boannews.com/media/view.asp?idx=76365&page=1&mkind=1&kind=]

원래의 제조사 대신 임시 패치를 제공하는 아크로스 시큐리티(ACROS Security)의 0패치(0patch) 서비스가 세 가지 윈도우 취약점들에 대한 비공식 패치를 발표했다. 마이크로소프트가 아직 패치하지 않은 취약점들로, 디도스 공격, 비승인 파일 접근, 코드 실행을 가능케 한다고 한다. 이 비공식 패치들은 지난 주부터 배포되기 시작했다. 하나는 윈도우 10에서 발견된 것으로, 권한이 낮은 로컬 프로세스를 통해 아무 파일이나 윈도우 오류 보고(Windows Error Reporting) XML 파일로 덮어쓰기를 할 수 있게 해준다고 한다. 두 번째 취약점 역시 지난 달 샌드박스이스케이퍼가 패치할 시간도 주지 않고 공개한 것으로, 익스플로잇 될 경우 임의의 파일을 읽을 수 있게 해준다고 한다. 윈도우 인스톨러(Windows Installer)에서 발견됐으며, 민감한 정보를 탈취하는 데 활용할 수 있는 취약점이다. 마지막 취약점은 최근 제로데이 이니셔티브(ZDI)를 통해 보안 전문가 존 페이지(John Page)가 발견한 것으로, 마이크로소프트는 사전에 보고를 받았으나 픽스를 90일 안에 개발하지 않을 거라고 하는 바람에 공개된 것이다. 이 오류의 경우 윈도우 컨택트(Windows Contacts) 애플리케이션에서 발견됐으며, 공격자들이 피해자들에게 조작된 VCF 파일을 전해주어 열도록 함으로써 임의의 코드를 실행할 수 있게 해준다. 0패치는 위 세 가지 취약점들에 대한 세부 내용과 패치들의 소스 코드도 함께 공유했다. “이번에 발표한 세 가지 임시 패치는 마이크로패치라고도 하는데, 프로세스나 장비를 재시작하지 않고도 적용할 수 있습니다.” 라고 설명한다.

 

5. [기사] 멀웨어와 싸우는 커뮤니티, 10개월 동안 10만개 사이트 폐쇄

[https://www.boannews.com/media/view.asp?idx=76364&page=1&mkind=1&kind=1]

멀웨어와 싸운다는 취지로 만들어진 커뮤니티인 어뷰즈ch(abuse.ch)에서 진행한 URL하우스(URLhaus) 프로젝트가 성공리에 진행되고 있다. 이 프로젝트를 통해 10개월 동안 10만개에 가까운 멀웨어 배포 웹사이트들이 적발되고 폐쇄됐다고 한다. 2018년 3월말부터 시작된 이 프로젝트는, 멀웨어를 퍼트리는 URL들을 힘을 합해 모으고 공유해서 당하지 말자는 취지를 가지고 있다. 어뷰즈 측은 “프로젝트가 상각보다 큰 성과를 거두고 있으며, 커뮤니티 멤버들의 참여가 큰 도움이 되었다”고 밝혔다. 어뷰즈 측의 말대로 지난 10개월 동안 전 세계 265명의 보안 전문가들이 자발적으로 이 프로젝트에 참여했다. 이들은 하루 평균 300개의 멀웨어 배포 사이트들이 어뷰즈 측으로 접수됐다. 폐쇄되고 차단된 악성 사이트들은 중국에 가장 많았다고 어뷰즈 측은 밝힌다. 또한 어뷰즈 측은 “이러한 악성 사이트에 대한 추적을 하면서 가장 많이 발견된 멀웨어는 이모텟(Emotet) 트로이목마”라고 밝히기도 했다. 

첨부파일 첨부파일이 없습니다.
태그 Anubis  DDOS  0-day  URLhaus