Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 7월 9일] 주요 보안 이슈
작성일 2019-07-09 조회 485

1. [기사] 워드프레스 사이트 통계 내주는 플러그인에서 XSS 취약점 발견
[https://www.boannews.com/media/view.asp?idx=81219]
워드프레스의 플러그인 중 하나인 WP 스태티스틱스(WP Statistics)가 웹사이트 전체 장악을 가능하게 해주는 XSS 취약점을 발견해 패치했다. 해당 취약점을 패치하지 않은 상태에서 특정한 조건에 맞게 웹사이트를 운영하면 공격자가 피해자의 웹사이트를 운영할 수 있게 된다. 보안 업체 수쿠리(Sucuri)에 의하면 디폴트 상태로 웹사이트와 플러그인을 설정할 경우, XSS 공격으로부터 안전할 수 있다고 한다. 이에 보안 전문가는 개발하는 과정에서 WP 스태티스틱스 플러그인의 경우도 방문자가 관리자 페이지에 뭔가를 주입하려고 하지 않을 거라는 추측이 있었기 때문에 문제가 생긴 것이라고 말했다. WP 스태티스틱스 플러그인 12.6.7 이전 버전에 문제점이 있으며 7월 1일에 패치가 배포되기 시작했다. 따라서 사용자들은 12.6.7로 패치를 하는 게 안전할 것으로 보인다.


2. [기사] 미국의 사이버 사령부, “이란 해커가 MS 아웃룩 노린다”
[https://www.boannews.com/media/view.asp?idx=81221&page=1&mkind=&kind=1&skind=D&search=title&find=]
미국의 사이버 사령부가 사기업들과 정부 기관들에 경보를 발령했다. 이란 정부와 관련되어 있는 해킹 단체들이 미국 조직들을 대상으로 사이버 공격을 펼치고 있다는 내용이다. 특별히 마이크로소프트의 아웃룩(Outlook) 클라이언트를 통해 사용자의 크리덴셜에 접근하고 있다는 경고가 눈에 띄었다. 공격에 사용되는 취약점은 CVE-2017-11774로, 공격자들은 이메일 클라이언트에 있는 홈페이지 기능을 통해 HTML과 비주얼베이직 코드를 주입할 수 있게 된다. 이번 캠페인에서부터 나온 파일 중 일부는 2016년 공격에도 활용된 적이 있을 정도로 오래된 것이다. 전문가들은 사용자들이 패치를 제대로 진행하지 않고 있으며 패치 자체도 취약점이 많다고 언급했다. 따라서 언제든 공격에 사용될 수 있다고 한다. 그러므로 해커들이 어떤 전략을 사용하고 방어 전략을 구축해야 하는지에 대한 준비가 필요하다고 강조했다. 


3. [기사] Spotting RATs: Delphi wrapper makes the analysis harder
[https://securityaffairs.co/wordpress/88109/malware/delphi-wrapper-rats.html]
보안 전문가들이 ISO 이미지를 사용하여 확산되는 악성코드를 발견했다. 이 악성코드는 Delphi wrapper로 만들어졌고 분석이 더욱더 어렵다고 한다. 처음 시작은 피싱 이메일을 이용해 ISO 배포이다. ISO 이미지의 내용을 추출하면 "po-ima0948436.exe"라는 EXE 파일이 나타난다. 그 후 리소스 섹션에 저장된 암호화 된 페이로드가 실행되어 추가 과정을 실행한다. 또한, IsBebuggerPresent API 호출 등을 통한 안티 디버깅과 프로세스 목록을 검색하여 분석 중인지도 확인한다. 마지막으로 CPUID 명령을 사용하여 프로세서 및 해당 기능에 대한 정보를 추출한다. 현재 보안 전문가들은 상세한 분석이 진행 중이며, 불명확한 메일의 첨부 파일이나 링크를 받지 말라고 언급했다. 만약, 해당 링크 및 첨부파일을 받은 경우 신고를 해달라고 말했다. 


4. [기사] Multiple Critical Vulnerabilities Affected Huawei’s Web Application that Allows Hackers To Execute Code
[https://gbhackers.com/vulnerabilities-huaweis-web-application/]
Swascan의 보안 연구원이 사이버 범죄자가 민감한 정보에 액세스할 수 있는 Huawei 웹 응용 프로그램에서 여러 취약점을 발견했다. 발견된 취약점은 CWE-119, CWE-125, CWE-78이다. CWE-119는 메모리 손상 취약점으로 해커가 임의의 코드를 실행하거나 함수 포인터를 악성 코드로 리 다이렉션 할 수 있다. CWE-125는 Out-of-bounds 취약점이며, 소프트웨어가 지정한 경계 밖의 메모리를 읽으면 공격자가 중요한 정보에 접근할 수 있다. 마지막으로 CWE-78은 OS 명령 주입 취약점이다. 이 취약점은 다운스트림 구성 요소로 OS 명령을 보낼 때 공격자가 원하는 명령으로 수정하여 보내는 방법이며 제한된 파일과 폴더에 접근할 수 있다. 화웨이는 이번 취약점과 관련한 정보를 공개하지 않은 상태이며, 화웨이 보안 팀에 의해 수정 중이라고 말했다. 


5. [기사] Backdoor mechanism found in Ruby strong_password library
[https://securityaffairs.co/wordpress/88093/hacking/ruby-strong_password-library-backdoor.html]
피해자 컴퓨터에서 정보를 훔치는 Astaroth 악성코드가 발견됐다. Microsoft Defender ATP Research Team 연구원은 Astaroth가 키로거 모듈, 운영체제 호출 차단, 클립 보드 모니터링 등의 기능을 사용한다고 한다. 또한 WMIC를 사용하여 백그라운드에서 악성코드를 다운로드하고 설치하는 등 악의적은 바이너리(LOLbins)를 사용한다. Astaroth는 잠재적인 피해자를 LNK 파일로 유도하는 악의적인 링크를 접속하게 유도하며 그 후, 감염 프로세스를 시작한다. 만약, 악성코드를 실행하면 스크립트 코드를 통해 다운로드되며 DLL 파일은 C2 서버와의 연결 등 다양한 유형의 정보를 수집하고 보낸다고 한다. Microsoft Defender ATP Research Team 연구원은 백신 및 OS의 최신 업데이트를 유지하고, 꾸준한 모니터링이 필요하다고 언급했다. 

첨부파일 첨부파일이 없습니다.
태그 XSS  Outlook  RAT  Huawei  Astaroth