Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 3월 15일] 주요 보안 이슈
작성일 2019-03-15 조회 77

1. [기사] 악성코드 고급화? 이젠 악성코드 ‘마케팅’의 고급화 시대
[https://www.boannews.com/media/view.asp?idx=77830]
시스코 탈로스 팀에 의하면 '악성코드 마케팅’이 성행한다고 한다. 최근 악성코드 판매자들은 영상으로 제작된 사용법을 기본적으로 상품 패키지에 포함하며, 악성코드 자체도 모듈형으로 구성돼 사용자들이 다루기 쉽게 만들고 있다. 전문가 분석 결과 주로 판매되는 악성코드에는 카요신(Cayosin), 글리치POS(GlitchPOS) 악성코드가 있으며, 이와 관련한 악성코드 관련 게시글이 127개이고, 팔로워가 1,382명이나 됐으며, 판매자는 306개의 계정을 팔로우하고 있다. 이에 전문가는 글리치 POS에 의한 피해가 주로 미국에서 발생할 것이라고 미국 소비자 및 보안 종사자들에게 경고했다. 현재 미국은 여전히 자기 띠 방식의 신용카드가 발행되고 있고, 칩 기반 카드와 POS 환경이 너무나 느리게 정착하고 있기 때문이다. 또한, 글리치 POS는 현재 악성 이메일을 통해 가장 많이 유포되고 있다. 따라서 수상한 이메일 조심하고 자기 띠 카드를 칩 기반 카드로 교체 및 사용을 줄이는 것을 권고한다.

 

2. [기사] 암호화폐 채굴 가고 다시 랜섬웨어 전성시대! 대표 유형 5

[https://www.boannews.com/media/view.asp?idx=77838]
지난해 암호화폐 채굴 악성코드 제작·유포에 더 많은 관심을 기울였던 사이버범죄자들이 올해 들어 다시 랜섬웨어에 눈을 돌리고 있는 것으로 보인다. 국내 보안전문 업체에 따르면 작년 접수된 랜섬웨어 샘플 수는 120만 건으로 지난해보다 18.3% 감소한 수치이다. 이는 악성코드 제작자들이 마이너(Miner) 악성코드 제작 및 유포에 더 많은 관심을 뒀기 때문으로 분석된다. 그러나 올해는 암호화폐의 가치가 지속해서 떨어지고, 정부의 각종 규제로 암호화폐 거래소의 설 자리도 좁아지면서 암호화폐 채굴 공격도 시들해지고 있다. 다음은 이메일로 가장 많이 유포되는 랜섬웨어 사례이다. Case 1. 한국은행 사칭 ‘계정·계좌 정지’ Case 2. 헌법재판소·대법원 사칭 ‘법원 출두?’ Case 3. 지마켓 할인 쿠폰 사칭 ‘당신을 위한 쿠폰’ Case 4. 경찰청·지방경찰서 사칭 ‘출석요구서 발부’ Case 5. 이미지도용·입사지원·명함제작 사칭 ‘가지각색’ 이 외에도 지난해 말부터 올해 1~2월 가장 크게 유행했던 랜섬웨어 공격 유형으로, 이미지 블로거, 홈페이지관리자, 디자인회사 등에 이미지 사용 금지를 요청하는 메일 내용으로 랜섬웨어가 포함된 첨부 파일을 실행하도록 유도하는 방식이 있다.

 

3. [기사] CSRF flaw in WordPress potentially allowed the hack of websites

[https://securityaffairs.co/wordpress/82382/hacking/wordpress-csrf-hack.html]
이 결함은 워드프레스의 주석 섹션에서의 CSRF 취약점이며 5.1.1 이전의 모든 워드프레스 버전에 영향을 미친다. RIPS 테크놀로지스에 의하면 관리자가 악의적인 웹사이트를 방문하는 즉시 CSRF 공격이 백그라운드에서 대상 워드프레스 블로그에 대해 실행된다고 한다. 워드프레스는 온라인상의 모든 웹사이트의 33% 이상이 사용하고, 댓글이 기본적으로 활성화된 블로그의 특징이라는 점을 고려하면, 이 취약성은 수백만의 사이트에 영향을 미칠 수 있다. 또한 이 결함을 악용하여 인증되지 않은 원격의 공격자가 웹사이트를 손상하고 코드를 원격에서 실행할 수 있다. 스캐넬은 이 결함을 10월에 워드프레스 개발팀에 처음 보고했다. 워드프레스 팀은 문제의 해결을 시도했지만 CSRF 보호를 활성화하지 않아 스캐넬은 한 번 더 해결책을 우회했다. 이에 워드프레스 개발팀은 18일 안정적인 패치를 적용한 워드프레스 5.1.1을 출시했다. 워드프레스 개발팀은 어떤 이유로 워드프레스의 자동 업데이트를 비활성화한 경우 버전 5.1.1을 설치하거나 보안 패치가 설치될 때까지 임시로 주석을 비활성화하고 관리자 세션에서 로그아웃해야 한다고 권고했다.

 

4. [기사] New BitLocker attack puts laptops storing sensitive data at risk

[https://www.zdnet.com/article/new-bitlocker-attack-puts-laptops-storing-sensitive-data-at-risk/]
한 보안 연구원이 컴퓨터의 TPM (Trusted Platform Module)에서 BitLocker 암호화 키를 추출하는 새로운 방법을 제안했다. 이 방법은 $27 FPGA 보드와 일부 오픈 소스 코드만 필요하다. 하지만, 새로운 BitLocker 공격은 장치에 물리적으로 접근해야 해서 장치가 파손될 우려가 있다. Pulse Security의 연구원은 컴퓨터의 TPM 칩에서 LPC (Low Pin Count) 버스를 통해 통신을 스니핑하는 방법을 사용했다고 밝혔다. 해당 연구원은 보고서에 연구에서 사용된 칩과(TPM 1.2 및 TPM 2.0) LPC 버스에서 BitLocker 암호화 키를 추출하는 새로운 공격 루틴을 자세히 작성했다. 이번 취약점의 해결 방안으로는 표준 BitLocker 배포를 사용하는 것은 매우 좋지 않으며, OS 부팅 전에 BitLocker PIN을 사용하는 것이 좋다라고 언급했다. 또한, 이번 발견은 Direct Memory Access(DMA) 메소드 [1, 2, 3], Brute-force 공격뿐만 아니라 자체 암호화 SSD 및 Windows Update 프로세스의 취약성을 포함하는 다른 BitLocker 공격과도 연계된다.

 

5. [기사] A new rash of highly covert card-skimming malware infects ecommerce sites

[https://arstechnica.com/information-technology/2019/03/a-new-rash-of-highly-covert-card-skimming-malware-infects-ecommerce-sites/]

카드 스키밍 악성코드에 의한 전자상거래 사이트의 감염이 줄어들지 않고 있다. 지난 목요일에 연구원은 방문자가 구매할 때마다 지불 카드 데이터를 도용하도록 설계된 악성 코드로 7개 사이트가 침해당했다고 밝혔다. 7개 중 영국 스포츠용품점 Fila.co.uk는 악성코드를 일부 제거했고, 나머지 6개 사이트 (jungleeny.com, forshaw.com, absolutenewyork.com, cajungrocer.com, getrxd.com 및 sharbor.com)는 이 게시물이 보고된 시점에 감염된 상태였다. 이 악성코드는 데이터를 전송하는 데 사용되는 gmo 도메인을 사용하여 동작하며 JavaScript sniffer GMO로 이름 붙여졌다. 또한, 스스로를 은폐하기 위해 GMO는 스키머를 난독화하고 Google 개발자 도구를 감지하면 휴면 상태로 돌아간다. 최근의 카드 스키밍 성공의 열쇠 중 하나는 아직도 많은 전자 상거래 사이트의 로고가 사이트가 안전하다는 것을 증명하는 표시는 의미가 없고, 최종 사용자와 사이트가 악의적인 JavaScript를 탐지하는 데 어려움을 겪고 있다. 대응 방안으로는 온라인 구매를 하는 사람들은 신용 한도를 가진 임시 카드를 사용하는 것을 고려하거나 메일로 발송된 청구서를 신중히 확인해야 한다는 것이다.

 

첨부파일 첨부파일이 없습니다.
태그 GlitchPOS  랜섬웨어  CSRF  Belonard  Bitlocker