Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 3월 8일] 주요 보안 이슈
작성일 2019-03-08 조회 747

1. [기사] 싱가포르 최악의 정보 유출 사건, 화이트플라이가 유력한 용의자
[https://www.boannews.com/media/view.asp?idx=77604]
2018년 7월, 싱가포르 당국은 “고급 기술을 갖춘 위협 단체가 싱가포르에서 가장 큰 의료 조직인 싱헬스의 데이터베이스에 불법 접근했다”며, “150만 건의 의료 관련 기록들이 도난당했다”고 발표했다. 이에, 시만텍이 화이트플라이(Whitefly)라는 해킹 그룹을 지목하였다. 화이트플라이는 고유 악성코드와 오픈소스 해킹 툴, 정상 애플리케이션을 고루 사용해 원하는 바를 이뤄내는 사이버 정찰 전문 그룹이다. 주로 .exe나 .dll파일로부터 시작하여 감염시킨 시스템 내에서 드로퍼로 작동하는 악성코드를 배포하며, 이 악성코드는 Trojan.Vcrodat이라는 로더를 실행시킨다. 만약, DLL 감염을 시작할 경우 DLL 하이재킹이라는 기법을 통해 실행된다.  화이트플라이가 자주 사용하는 또 다른 악성코드로는 니바타드(Nibatad)가 있으며 이를 통해 해커들은 피해자들의 컴퓨터들로부터 정보를 훔쳐낼 수 있다. 시만텍은 화이트플라이가 과거 공격에 사용했던 도구 중 일부가 싱가포르 외부에 있는 조직들을 공격하는 데에 발견되기도 했다는 점을 짚었고, 한편 Trojan.Vcrodat은 영국의 숙박 산업 조직들 일부를 겨냥한 공격에서도 발견되기도 했다. 시만텍은 이 점이 다른 해킹 그룹이 화이트플라이와 연계돼있다는 점을 추측할 수 있다고 언급했다.

 

2. [기사] 다크웹 암시장에서 요즘 가장 화젯거리인 아이템은 TLS 인증서
[https://www.boannews.com/media/view.asp?idx=77607]
다크웹에 TLS 인증서를 거래하는 시장이 퍼지고 있다. 시장이 성장하면서 TLS 인증서만 하나하나 따로 팔던 방식이, 다른 악성코드 및 지원 서비스가 패키지로 제공되는 형태로 변하고 있다. 즉, 더 위험한 물건들이 물밑에서 거래되고 있다는 것이다. 보안 업체 및 대학 연구진은 공동으로 토르 네트워크에서 성장 중인 상점을 집중적으로 파헤쳐서 그 결과 웹사이트 스푸핑이나 암호화된 트래픽 도청을 원하는 사람들에게 중간자 공격을 할 수 있게 해주는 툴이 키트 형식으로 거래되고 있다는 걸 확인했다. 전문가들은 "TLS 인증서라는 상품이 암시장에서 여러 가지 변화를 거치며 다양한 상품으로 재생산되는 현상이 흥미로웠다”고 한다. 또한 TLS만 파는 것이 아니라, 그걸 활용할 수 있게 해주는 웹 디자인 또는 도메인을 같이 판다고 밝혔다. 전문가 이번 연구의 결과는 TLS 인증서가 범죄자들 사이에서 인기가 높아지고 있다는 것을 뚜렷하게 증명하는 것이라고 정리했다. 또한, 인증서를 활용한 공격에 대해 연구되어야 할 것은 많지만, 현재로서는 우리가 신뢰하는 인증서가 점점 더 많이 악용되고 있다는 것을 기억해야 할 것이라고 언급했다.

 

3. [기사] Google Project Zero Publicly Disclose Copy-On-Write (COW) Zero-Day Vulnerability In MacOS
[https://latesthackingnews.com/2019/03/06/google-project-zero-publicly-disclose-copy-on-write-cow-zero-day-vulnerability-in-macos/]
Google Project Zero는 MacOS에 영향을 미치는 심각한 보안 결함을 발견했다. 이번에 발견된 취약점은 Apple XNU 커널을 대상으로 하는 COW (COW) 취약점이다. XNU는 프로세스 간에 데이터의 COW 복사본을 만들 수 있는 수많은 인터페이스를 제공한다. 이 복사 된 데이터는 나중에 소스 프로세스에 의해 수정되지 않도록 보호가 필요한데, 보호를 위한 조치 중 문제가 발생하는 것으로 확인됐다. 이 취약점을 이용하면 나중에 종료된 페이지가 필요하면 백업 파일 시스템에서 다시 로드 할 수 있다. Google Project Zero 팀은 2018년 11월에 이 취약점을 발견했고, 90일 이후 패치 적용이 불가능해 해당 결함을 공개했다. 현재, 이 문제와 관련하여 Apple과 연락을 취하고 있으며, 아직은 해당 취약점에 대한 문제를 해결하지 못했다고 한다.

 

4. [기사] WordPress accounted for 90 percent of all hacked CMS sites in 2018
[https://www.zdnet.com/article/wordpress-accounted-for-90-percent-of-all-hacked-cms-sites-in-2018/?fbclid=IwAR2bkT6htS69mFP6AEHeii8AqnZaTxwMdmwi1igNiyECA3iyT3xMmOzzj7c]
수쿠리(Sucuri)가 컨설팅한 콘텐츠 관리 시스템(CMS)의 약 90%가 WordPress 사이트이다. 이 회사가 어제 발표한 보고서에 따르면 머젠토(4.6%)와 줌라(4.3%) 드루팔(3.7%)이 각각 2, 3, 4위를 차지했습니다. 전문가들은 대부분의 해킹을 플러그인과 테마의 취약성, 잘못된 구성 문제, 웹 마스터의 유지 보수 부족 등의 원인으로 선정했다. 또한 컨설팅 중 해킹된 사이트의 36%만이 최신 버전을 사용하지 않았다고 한다. 이에, 수쿠리는 웹 사이트 소유자는 자신의 사이트에 최신 보안 향상 및 취약점 패치가 있는지 확인하기 위해 소프트웨어를 업데이트해야 한다고 언급했다. 추가로 해커들이 주로 백도어를 설치했으며, 약 51%의 사이트에 SEO 스팸 페이지를 구축했다고 밝혔다. 이는 2017년 대비 44% 증가한 수치이며, SEO 공격으로 인해 정보가 유출될 수 있으니 주의를 당부했다.

 

5. [기사] New SLUB Backdoor Uses Slack, GitHub as Communication Channels
[https://www.bleepingcomputer.com/news/security/new-slub-backdoor-uses-slack-github-as-communication-channels/]
Github Gist 서비스와 Slack 메시징 시스템을 마스터와의 통신 채널로 사용하는 새로운 백도어(Back Door)가 관찰되었다. 트렌드마이크로 사이버 안전 솔루션 팀에 의해 SLUB으로 이름 지어진 백도어는 다단계 감염 프로세스의 일부이며, 정적 링크된 curl, boost, 및 JsonCpp 라이브러리를 사용하여 HTTP 요청을 한다. SLUB 백도어는 실행 후 안티 바이러스 솔루션을 탐지하고 SLUB 악성코드를 다운로드 한다. 또한, 윈도우즈 레지스트리에 실행 키를 추가하여 지속성을 확보한 다음 공격자가 손상된 시스템에서 악성코드를 실행할 명령을 저장하는 Gist 스니펫을 다운로드한다. 그 다음, Gist 스니펫에서 발견된 명령을 실행한 후 결과를 특정 작업영역 내에서 Slack 채널로 배출한다. 트렌드 마이크로는 이번 공격을 표적형 공격이며 일반적인 사이버 범죄 계획이 아니라고 판단했다. 또한 관련 공격을 찾을 수 없었고 다른 곳에서도 맞춤형 백도어를 발견하지 못했다고 언급했다. 또한, 이는 공격자들이 악성코드를 개발했거나 공개적으로 유출하지 않은 개인 개발자로부터 얻었음을 보여주는 강력한 증거라고 한다.

첨부파일 첨부파일이 없습니다.
태그 화이트플라이  TLS 인증서  Copy-On-Write  CMS  SLUB