Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 10월 17일] 주요 보안 이슈
작성일 2019-10-17 조회 178

1. [기사] 다크웹 시장들 조사했더니, 2년 동안 가격 변동 없다시피 해
[https://www.boannews.com/media/view.asp?idx=83824&page=1&kind=1]
지난 2년 동안 다크웹에서 유통되고 있던 금융 정보와 해킹 툴들의 가격에는 크게 변동이 없었다. 데이터 침해 사고가 계속해서 발생하면서, 도난당한 데이터 하나하나의 가치가 범죄자들 사이에서 줄어들었기 때문이다. 또한, 해킹 툴들도 비슷한 것들이 계속해서 개발되고 있어 개별 도구의 가치가 평준화되고 있다고 한다. 플래시포인트의 연구 분석 책임자인 이안 그레이(Ian Gray)는 일단 시장으로의 크리덴셜 공급이 끊임없이 일어난다는 걸 알 수 있다고 말했다. 그리고 보안 업계와 사용자들이 방어를 효과적으로 해서 시장에 물건이 없는 상황이라면 가격은 치솟았을 것이지만, 현재 공격이 계속 성공하기 때문에 가격이 안정되는 것이라고 덧붙였다. 다음은 플래시포인트가 이번 조사를 통해 찾아낸 일부 물품들의 가격이다.
1) 풀즈 : 4~10달러. 변동 거의 없음.
2) 디도스 대행 서비스 : 최대 100달러. 2017년에는 27달러 수준이었는데 크게 오른 것임.
3) 은행 계정에 대한 접근 정보 : 25~75달러. 변동 거의 없음.
4) 신용카드 정보 : 2015년에 비해 83% 오름. 데이터 출처(국적, 카드사) 등에 따라 천차만별.


2. [기사] 마이크로소프트, 디펜더 변조방지 기능 일반에게 제공
[https://www.dailysecu.com/news/articleView.html?idxno=74211]
마이크로소프트는 변조방지(Tamper Protection)라고 명명된 새로운 마이크로소프트 디펜더 안티바이러스 기능을 일반에게 제공한다고 발표했으며, 마이크로소프트에 따르면 변조방지를 이용하면 악성코드는 아래의 기능을 할 수 없다. 이 기능은 현재 윈도우에 기본으로 탑재되어 있는 마이크로소프트 디펜더의 무료 버전과 주로 회사 네트워크에 사용되는 상업 버전의 어드밴스드 위협 보호(ATP) 버전 모두에서 사용 가능하다. 오늘부터 모든 마이크로소프트 디펜더 사용자는 이 기능을 사용할 수 있고, 향후 몇 주 동안 다단계 롤아웃으로 모든 사용자에게 기본적으로 활성화될 것이라고 설명했다. 기다리기를 원하지 않을 경우 현재 변조방지를 바로 활성화시킬 수 있으며, 윈도우 보안 옵션 페이지에 변조방지 상태를 컨트롤할 수 있는 새로운 옵션이 추가되었다.
1) 바이러스 및 위협탐지 비활성화
2) 실시간 보호 비활성화
3) 행위 감시 해제
4) 디펜더 안티바이러스 컴포넌트 비활성화(IOfficeAntivirus 등)
5) 클라우드 전달 보호 비활성화
6) 보안 인텔리젼스 업데이트 제거


3. [기사] New SDBot Remote Access Trojan Used in TA505 Malspam Campaigns
[https://www.bleepingcomputer.com/news/security/new-sdbot-remote-access-trojan-used-in-ta505-malspam-campaigns/]
연구원들은 지난 2개월 동안 TA505 해킹 그룹이 수행한 피싱 캠페인을 통해 배포된 2개의 새로운 악성 코드 변종인 Get2라는 새로운 다운로더와 SDBbot이라는 문서화되지 않은 RAT(Remote Access Trojan)를 발견했다. TA505는 Get2 다운로더를 활용하여 새로운 Malspam 캠페인을 시작했다. 공격자는 해당 다운로더를 이용하여 손상된 시스템에 다른 악성코드(FlawedGrace, FlawedAmmyy, Snatch, SDBot RAT)에 대한 2단계 페이로드를 제공했다. 그리고 Proofpoint의 리서치팀은 TA505가 공격의 초기 다운로더로 새로운 Get2 악성코드를 적극적으로 사용하는 것을 관찰했다. 9월 20일, 영어 및 프랑스어를 미끼로 수십만 개의 이메일이 악성 Microsoft Excel 및 .ISO를 첨부 파일로 미국과 캐나다의 여러 산업 분야를 대상에 배포하는 것을 확인했다.


4. [기사] 북 해킹조직, 가짜 앱으로 애플 맥 운영체계 공격
[https://www.rfa.org/korean/in_focus/nk_nuclear_talks/nkhacking-10142019140841.html]
보안 업체 잼프(Jamf)는 북한 라자루스(Lazarus) 그룹으로 추정되는 해킹 조직이 암호화폐 회사로 위장해 악성코드를 퍼뜨리는 애플리케이션을 유포하고 있는 정황이 포착됐다고 지난 12일 밝혔다. 해당 업체에 따르면 암호화폐 거래를 담당하는 JMT 트레이딩이라는 가상 회사의 이름으로 앱을 만들어 깃허브(Github)에 업로드 했다. 또한, 가상 회사의 웹사이트를 운영하고, 다른 암호화폐 거래 사이트나 사용자들에게 악성코드가 포함된 애플리케이션을 시험용으로 보내주며 사용을 부추겼다. 해당 애플리케이션이 실행되면 맥 운영체제에 침투해 사용자의 컴퓨터를 원격조정할 수 있다. 그리고 이번 암호화폐 앱의 악성코드와 해킹 행태를 분석한 결과 이전 라자루스가 다른 가상 회사 APT 그룹을 앞세워서 했던 공격과 매우 흡사하다고 말했다. 


5. [기사] Attackers Hide Backdoors and Cryptominers in WAV Audio Files
[https://www.bleepingcomputer.com/news/security/attackers-hide-backdoors-and-cryptominers-in-wav-audio-files/]
BlackBerry Cylance 연구원은 새로운 악성 캠페인의 배후에있는 공격자들은 WAV 오디오 파일을 사용하여 백도어 및 Monero cryptominers를 대상 시스템에 숨기고 드롭한다. 백신을 우회하기 위해 사용되는 유명한 기술인 스테가노그래피를 이용하여 JPEG나 PNG 이미지 파일에 페이로드를 주입하는 다른 악성 프로그램들이 관찰된 적은 있지만, 악성 목적으로 오디오 파일을 남용하는 것이 발견된 것은 이번이 두 번째에 불과하다. WAV 파일 로더가 악성 코드를 해독하고 실행하기 위해 아래 세 가지 방법을 사용한다는 것을 발견했다. 세 가지 기법 모두 공격자가 이론적으로 어떤 파일 형식 내에서 페이로드(payload)를 숨길 수 있게 할 수 있다. 
1) LSB (Least Significant Bit) 스테 가노 그래피를 사용하여 PE 파일을 디코딩하고 실행하는 로더
2) rand() 기반 디코딩 알고리즘을 사용하여 PE 파일을 디코딩하고 실행하는 로더
3) 랜드 코드를 디코딩하고 실행하기 위해 rand() 기반 디코딩 알고리즘을 사용하는 로더

첨부파일 첨부파일이 없습니다.
태그 TA505  Get2  SDBbot   Lazarus