Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 11월 19일] 주요 보안 이슈
작성일 2019-11-19 조회 274

1. [기사] 대중화되는 다크웹... 랜섬웨어부터 마약까지 거래된다
[https://www.boannews.com/media/view.asp?idx=84575&page=1&kind=1]
난 10월, 32개국 경찰이 공조해 검거된 다크웹 아동음란물 유통 사이트의 운영자와 상당수의 이용자가 한국인으로 밝혀지면서 다크웹에 대한 사람들의 관심이 높아졌다. 특히, 다크웹에서 아동음란물은 물론 만약에 랜섬웨어까지 유통하는 것으로 알려지면서 이에 대한 위험성이 높아지고 있다. 익명의 보안전문가에 따르면 11월 둘째 주, 신종 랜섬웨어인 ‘Recoil’ 랜섬웨어를 판매하는 사이트가 다크웹에서 발견됐으며, 실제로 유포됐는지는 아직 확인되지 않았다. 이렇게 판매된 랜섬웨어는 시간이 지나면 필드에서 발견됐기 때문에 Recoil 랜섬웨어 역시 가까운 시일 내에 유통될 것으로 보인다. 한편, 이번 아동음란물 사건으로 인해 일반인에까지 다크웹이 알려지면서 다크웹에 유입되는 사람들도 늘고 있다. 실제로 최근 텔레그램 링크공유방에서는 다크웹 한국 마약 거래 사이트 주소도 공유되고 있으며, 다크웹 한국 채널 중 한 곳은 누적 방문자 수가 60만 명을 돌파한 것으로 알려졌다. 


2. [기사]  Experts report a rampant growth in the number of malicious, lookalike domains
[https://securityaffairs.co/wordpress/94021/hacking/lookalike-domains-tls-certificate.html
사이버 보안 회사인 Venafi는 주요 소매 업체를 대상으로 하는 유효한 TLS 인증서가 있는 유사한 도메인을 발견했다고 발표했다. 홀리데이 쇼핑 시즌이 끝나기 전에 Venafi의 보안 전문가는 미국, 영국, 호주, 독일 및 프랑스의 20개 주요 소매 업체를 대상으로 하는 오타 도메인을 연구했으며, 유효한 TLS 인증서를 사용하는 109,045개의 유사 도메인을 발견했다. 이 수치는 작년보다 두 배로 증가했으며, 합법적인 소매 도메인에 대해 19,890개 미만의 인증서가 발급된 것으로 나타났다. 유사 도메인에 사용된 총인증서 수는 정품 소매 도메인 수보다 400% 이상 많으며, 도메인의 절반 이상이 Let's Encrypt의 무료 인증서를 사용한다. Venafi의 선임 위협 인텔리전스 연구원인 Jing Xie는 피싱 공격에 사용되는 악의적이고 유사한 도메인의 수가 급격히 증가하고 있으며, 이것은 더 많은 그리고 잠재적으로 모든 웹 트래픽을 암호화하려는 노력의 결과로서 의도하지 않게 기존의 피싱 탐지 방법에 새로운 도전을 야기한다. 대부분의 기업과 많은 소매업체는 이러한 악성 사이트를 찾아내고 고객을 보호하기 위해 이를 제거할 수 있는 기술을 보유하고 있지 않다.


3. [기사] 기억에서도 가물가물한 ARJ, 공격자들은 아직 사용 중
[https://www.boannews.com/media/view.asp?idx=84572&page=1&kind=1]
한 공격 캠페인을 지난 1월부터 추적해온 시스코 탈로스(Cisco Talos) 팀에 의하면 공격자들은 웹 브라우저의 취약점들을 익스플로잇 하면서 캠페인을 펼치고 있고, 예전 기술을 활용함으로써 사용자의 눈이 닿지 않는 배경에 숨어 사용자들의 비밀번호나 온라인 행동 패턴, 개인정보 등을 훔쳐 가고 있다고 한다. 이 캠페인은 아직도 진행 중이며, 공격자들은 커스터마이징이 된 드로퍼를 사용해 에이전트 테슬라(Agent Tesla)나 로키봇(Loki-bot)과 같은 정보 탈취형 악성코드를 일반적인 애플리케이션 프로세스 내에 주입시킨다. 이들이 사용하는 주입 기술이 이미 수년 전부터 사용되어 온 것이지만, 여기에 새롭거나, 맞춤형으로 만들어진 기능이 추가된 점 때문에 백신 프로그램이 제대로 이 드로퍼를 탐지하지 못한다. 또한, 이 캠페인에 사용되는 드로퍼는 ‘연쇄적인 난독화 기술’이라고 할 수 있으며, 1단계에서는 악성 첨부파일이 있는 이메일이 사용된다. 이 첨부파일은 ARJ라는 90년대에 유행했던 압축 아카이브이다. 운터브링크는 오래된 압축 프로그램을 사용한 이유로 현대의 이메일 게이트웨이에서 오래된 확장자나 아카이브를 잘 탐지하지 못하기를 바란 것이라고 추측했으며, 실제 ARJ와 같이 예전 확장자를 탐지하지 않는 이메일 보안 프로그램도 있다고 말했다. 이를 통해 공격자들이 오래된 기술을 공격에 재활용함으로써 현대 보안 장치들을 회피하려는 습성이 다시 한번 확인됐으며, 의외로 너무 오래된 파일 포맷이나 아카이브 기술들은 최신 보안 제품들이 잘 이해하지 못한다. 


4. [기사] Linux, Windows Users Targeted With New ACBackdoor Malware
[https://www.bleepingcomputer.com/news/security/linux-windows-users-targeted-with-new-acbackdoor-malware/]
연구자들은 윈도우와 리눅스 시스템을 감염시키는 새로운 멀티플랫폼 백도어를 발견했으며, 이 백도어는 공격자들이 손상된 기계에서 악성코드와 바이너리를 실행할 수 있게 해준다. ACBackdoor라고 불리는 해당 악성코드는 임의로 쉘 명령과 바이너리 실행, 지속성 및 업데이트 기능을 제공한다. 두 변종 모두 동일한 명령과 제어(C2) 서버를 공유하지만, 피해자를 감염시키기 위해 사용하는 감염 벡터는 다르다. Linux 페이로드가 아직 알려지지 않은 전달 시스템을 통해 삭제되는 동안 Fallout Exploit Kit의 도움으로 Windows 버전이 악성 광고를 통해 추진되고 있다. 9월 nao_sec 연구원에 의해 분석된 이 익스플로잇 키트의 최신 버전은 CVE-2018-15982(Flash Player) 및 CVE-2018-8174(Microsoft Internet Explorer VBScript Engine) 취약점을 악용하여 사이트의 방문자를 악성코드에 감염시킨다. 또한, 연구원은 Linux 파일 시스템 또는 커널 스레드 프로세스 이름에 속하는 경로와 같은 여러 Linux 관련 문자열을 공유한다는 사실을 통해 Windows 버전이 Linux에 이식된 것으로 보인다고 말했다. 알 수 없는 벡터를 통해 피해자를 감염시키는 것 외에도 Linux 악성 바이너리는 이 기사가 게시될 당시 VirusTotal의 맬웨어 방지 검색 엔진 중 하나만 감지하고 Windows는 70개 엔진 중 37개에서 감지한다. Linux 바이너리는 Windows 버전과 유사한 제어 흐름과 논리를 공유하지만, 더 복잡하고 추가적인 악성 기능이 존재한다. Sanmillan은 이 백도어에 기록된 귀속 정보가 없기 때문에 일부 알려진 Linux 기반 위협 그룹이 툴셋을 업데이트하고 있을 가능성이 있다고 결론을 내렸다. 


5. [기사] 다단계 공격용 드로퍼, 두 가지 RAT 중 하나 심어서 정보 탈취
[https://www.boannews.com/media/view.asp?idx=84573&page=1&kind=1]
다단계 사이버 공격에서 최초 침투를 책임지는 드로퍼가 발견됐다. 해당 드로퍼는 윈도우 장비를 주요 표적으로 하며, 궁극적인 목적은 리벤지랫(RevengeRAT)과 WSH랫(WSH RAT)를 운반하는 것이다. 드로퍼를 제일 처음 발견한 건 포티가드 랩스(FortiGuard Labs)이며, 확보한 샘플의 경우 제일 처음 자바스크립트 코드를 사용해 감염을 시작한다. 이 안에는 인코딩된 데이터가 숨어 있으며, 해당 데이터를 디코딩하여 원격 서버로부터 추가 스크립트인 Microsoft.vbs를 가져오는 기능이 있는 A6p.vbs라는 비주얼 베이직 스크립트(VBS)로 만들어진 코드를 추출한다. Microsoft.vbs가 실행되면 WScript.Shell이라는 객체가 새롭게 생성되고, 동시에 OS 환경과 하드코드 된 데이터가 수집된다. 그리고 마지막으로 GXxdZDvzyH.vbs가 생성 및 실행되며, 명령행을 통해 최종 페이로드 중 하나인 리벤지랫을 로딩을 포함하여 여러 가지 파워셸 명령을 실행한다. 무려 4단계의 VBS 감염 사슬을 건너 시스템에 심어지는 리벤지랫은 꽤 유명한 악성코드로 APT33과 같은 공격 단체들이 과거에 사용하기도 했었으며, 두 개의 C&C 서버와 연결한 상태에서 피해자의 정보를 빼내 전송한다. 공격에 따라 리벤지랫이 아니라 WSH랫 1.6 버전이 심어지는 경우도 있으며, WSH랫은 올해 여름에 처음 발견된 악성코드로, 은행들을 겨냥한 키로깅 공격을 주로 했다. 

첨부파일 첨부파일이 없습니다.
태그 ARJ  ACBackdoor  RevengeRAT  WSH RAT