Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 10월 23일] 주요 보안 이슈
작성일 2019-10-23 조회 638

1. [기사] 크롬 강화에 나선 구글, ‘사이트 격리’ 기능 업그레이드해
[https://www.boannews.com/media/view.asp?idx=83952&page=1&kind=1]
구글이 크롬(Chrome) 브라우저에 있는 사이트 격리(Site Isolation) 기능을 강화했다. 원래 크롬의 ‘사이트 격리’ 기능은 스펙터(Spectre)와 같은 부채널 공격을 막는 데에 특화되어 있었다. 구글은 사이트 격리 기능에 대해 사이트에 묶여 있는 프로세스들만 쿠키와 저장된 비밀번호에 접근할 수 있도록 해주며, 교차 출처 읽기 차단(Cross-Origin Read Blocking)을 사용해 민감한 자원(HTML, XML, JSON, PDF 등)을 프로세스로부터 걸러내고, 교차 출처 자원 정책(Cross-Origin Resource Policy) 헤더를 가진 자원들을 보호한다고 설명했다. 최근 업그레이드를 거치면서 크롬의 사이트 격리 기능은 렌더러 프로세스들이 저장된 데이터(예 : logalStorage)나 허용된 기능(예 : 마이크로폰)에만 접근할 수 있도록 바뀌었다. 또한, 사이트 격리 기능은 자원을 꽤나 소모하는 기능이고, 모바일은 자원이 한정적인 환경이기 때문에 사용자가 비밀번호로 로그인을 하는 사이트들에서만 사이트 격리 기능이 발휘되도록 할 예정이라고 한다. 


2. [기사] 2년 전 어베스트 시클리너 사건의 악몽, 재현되는 듯했으나
[https://www.boannews.com/media/view.asp?idx=83955&page=1&kind=1]
2년 전, 보안 업체 어베스트(Avast)이 유틸리티 제품인 시클리너(CCleaner)의 공급망을 사이버 정찰 단체가 침해해 시클리너 사용자 기업들에 침투한 사건이 발생했으며, 최근 어베스트는 비슷한 사건이 한 번 더 발생했다고 발표했다. 지난 9월 23일 공격자들은 침해된 VPN 크리덴셜들을 통해 접근에 성공한 것으로 보인다. 여기에 연루된 계정들은 이중 인증이 적용되지 않았을 정도로 오래된 것들이며,  두 개의 오래된 계정을 침해하는 데 성공한 공격자들은 이를 통해 내부망으로 들어왔다고 어베스트는 발표했다. 다행히 공격은 초기에 막혔으며, 어베스트의 CEO 자야 발루는 2년 전과 같이 코드 서명 키를 획득하고, 그것을 활용해 공식 업데이트로 위장한 악성코드를 고객사에 배포하는 것을 조사 중 가장 먼저 확인했고, 다행히 해당 단계까지 공격이 진행되지는 않았다고 말했다. 어베스트는 당시 공격자는 굉장히 높은 공격 기술력을 가지고 있는 자로, 공격 행위와 흔적을 들키지 않도록 고도의 실력을 발휘했다고 설명하며, 내부적으로 이번 공격 시도 자체를 아비스(Abiss)라고 부르고 있다.


3. [기사] Trend Micro Anti-Threat Toolkit could be used to run malware on Win PCs
[https://securityaffairs.co/wordpress/92818/hacking/trend-micro-anti-threat-toolkit-flaw.html]
보안 전문가 John은 Trend Micro Anti-Threat Toolkit(ATTK)에서 CVE-2019-9491로 추적된 임의 코드 실행 취약점을 발견했으며, 해당 취약점을 악용하여 대상의 Windows 시스템에서 악성코드를 실행할 수 있다. Trend Micro ATTK를 사용하면 악성코드를 분석하고 감염을 치료할 수 있으며, 시스템 포렌식 스캔을 수행하고 다양한 유형의 감염을 치료하는 데 사용할 수 있다. ATTK는 검증된 게시자에 의해 서명이 존재하는 악성코드 다운로드된 경우 MOTW 보안 경고가 무시되는 것으로 가정하므로 Anti-Threat Toolkit이 실행될 때마다 지속 메커니즘이 될 수 있음으로 공격자 악성코드가 될 수 있습니다. 또한, 전문가는 Trend Micro ATTK는 취약한 명명 규칙을 사용하고 있으며, 'cmd.exe' 또는 'regedit.exe'라는 이름의 악성 코드를 실행하도록 속일 수 있음을 발견했다. 


4. [기사] MedusaLocker Ransomware Wants Its Share of Your Money
[https://www.bleepingcomputer.com/news/security/medusalocker-ransomware-wants-its-share-of-your-money/]
MedusaLocker라는 새로운 랜섬웨어가 활발하게 배포되고 있으며 전 세계에서 피해자를 목격했다. 해당 랜섬웨어는 MalwareHunterTeam에서 2019년 10월 17일경에 발견되었으며, 현재 랜섬웨어 배포 방법을 알 수 없지만, ID Ransomware 사이트에 지속해서 제출되고 있다. MedusaLocker 랜섬웨어는 파일을 암호화할 때 AES 암호화를 사용하여 파일을 암호화한 다음 랜섬웨어 실행 파일에 포함된 RSA-2048 공개키로 AES 키를 암호화한다. 파일이 암호화된 각 폴더에서 MedusaLocker는 HOW_TO_RECOVER_DATA.html이라는 랜섬 노트를 생성하여 지불 지침을 위해 연락할 두 개의 전자 메일 주소를 포함한다. 현재로서는 공격자가 암호 해독기를 얼마나 요구하고 있는지 또는 실제로 지불한 후 암호 해독기를 제공하는지 여부는 알 수 없다.


5. [기사] Phishing alert: This fake email about a bank payment delivers trojan malware
[https://www.zdnet.com/article/phishing-alert-this-fake-email-about-a-bank-payment-delivers-trojan-malware/]
맞춤화된 트로이 목마 악성코드가 은행 계좌로 결제가 이루어졌다고 주장하는 피싱 이메일을 통해 배포된다. Remcos RAT(Remote Access Trojan)는 2016년 지하 포럼에 처음 등장했고, 지난 몇 년 동안 많은 업데이트가 있었다. $58(약 5만 원)에 달하는 이 악성코드는 키로깅, 스크린숏 촬영, 클립보드 콘텐츠 도용 등의 기능을 이용해 감염된 피해자로부터 사용자 이름과 비밀번호를 몰래 탈취하는 도구이다. Fortinet의 연구원들은 9월에 컴파일된 악성코드의 하드 코딩된 문자열에 따라 '2.5.0 Pro'라는 변종으로 새로운 Remcos 캠페인을 발견했다. 이러한 공격은 피해자를 속여 은행 계좌로 입금되는 것처럼 위장하여 악성 ZIP 파일을 열려는 시도에서 시작된다. 악성코드가 실행 중일 때 웹 브라우저에 입력된 모든 정보를 기록하여 사용자가 방문 중인 웹 사이트와 사이트에 입력하는 내용에 대한 정보를 제공함으로써 공격자가 사용자 이름과 암호를 보고 도용 할 수 있다. 또한, 공격자는 계정에 액세스 할 수 있기 때문에 피해자에게 즉시 피해를 입히거나 다크웹 포럼에 해당 정보를 판매 할 수도 있다. 

첨부파일 첨부파일이 없습니다.
태그 Chrome  CCleaner  ATTK  MedusaLocker  Remcos