Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 1월 17일] 주요 보안 이슈
작성일 2017-01-17 조회 1734

1. PowerShell 스크립트의 95%가 악성 스크립트이다.
지난해 파일 없는 악성코드 공격 역대 최대…계속 증가
[http://blog.alyac.co.kr/931]
[http://www.dailysecu.com/news/articleView.html?idxno=18082]
최근 한 보안기업이 발표한 보고서에 따르면, PowerShell스크립트 중의 95% 이상이 악성스크립트이며, 주로 다운로더의 역할을 한다고 밝혔습니다. 악성 PowerShell스크립트는 2016년 급격히 증가하였으며, 올해만 49127개의 악성 PowerShell 스크립트가 수집되었습니다. PowerShell을 이용하여 가장 많이 유포되는 악성코드들은 W97M.Downloader, Trojan.Kotvert, JS.Downloader로 확인되었습니다. 또한 PowerShell이 가장 자주 사용하는 명령 파라미터는“NOPROFILE”,“WindowsStyle” , “ExecutionPolicy” 였습니다. 또한 네트워크 내에서의 생존력을 높이기 위하여 시작프로그램에 추가, 그룹정책 혹은 WMI 사용, 로컬 설정파일 변경 등의 행위를 합니다.

 

2. ElTest 멀웨어 캠페인 전략 변경, 게이트 사용 및 난독화 중단 해
ElTest malware campaign changes tactics, scraps use of gates and obfuscation
[http://blog.alyac.co.kr/930]
[https://threatpost.com/wordpress-4-7-1-fixes-csrf-xss-phpmailer-vulnerabilities/123043/]
[https://wordpress.org/news/2017/01/wordpress-4-7-1-security-and-maintenance-release/]
해외 보안 연구팀의 따르면, 해킹 된 웹사이트들을 통해 사용자를 감염시키는 ElTest 멀웨어 캠페인이 익스플로잇 키트 게이트 사용 및 난독화를 중단했다고 밝혔습니다. 최근 ElTest 분석을 통해, 해당 멀웨어 캠페인이 합법적인 사이트를 해킹하는데 사용한 악성 스크립트가 사용자들을 게이트를 통해 라우팅 시키지 않고 익스플로잇 키트 랜딩페이지로 곧장 리다이렉션 시키는 것을 확인했습니다. 뿐만 아니라 ElTest는 10월 15일부터 악성 스크립트 안에 내장 된 익스플로잇 키트 랜딩페이지 URL 난독화도 중단했습니다. ElTest의 가장 흥미로운 점은 매우 오랜활동기간으로, 익스플로잇 키트계가 변화중에 있는 지금 ElTest의 오랜 활동기간은 범죄자들의 수익성 있는 벤쳐로 남을 것이라는 추측도 가능하게 합니다.

 

3. 새로운 스파잉 멀웨어와 오래된 ATM 멀웨어 변종 출현
[http://www.boannews.com/media/view.asp?idx=53061&page=1&kind=4]
또 새로운 멀웨어가 두 개 발견됐다. 하나는 이탈리아의 정치인 및 기업가 등 주요 인물들을 겨냥한 스파이웨어인 이피라미드(EyePyramid)고 다른 하나는 ATM 해킹에 활용되는 플라우투스(Ploutus)의 변종이다.
3-1. 아이피라미드 멀웨어는 Zip 및 7Zip 압축파일 형태로 이메일에 첨부되었으며 .NET으로 작성되었고, 소스코드는 난독화 기술로 보호되고 있다. 하지만 공격자들이 스스로의 IP 주소를 감추는 것도 잊어 추적 및 체포가 가능했다.
관련기사: The “EyePyramid” attacks
[https://securelist.com/blog/incidents/77098/the-eyepyramid-attacks/]
3-2. 플라우투스의 네 번째 변종이 등장했다. 이 변종은 ATM 기기 제조사 중 디볼드(Diebold)의 것을 주로 공격한다. 누군가 ATM 기기에 물리적인 접근을 해야만 활용이 가능하다. 접근 후 ATM 기기의 맨 윗부분을 열고, 키보드를 연결해서, 작전 운영자가 원격에서 알려주는 활성화 코드를 입력하면 ATM에서 현금이 쏟아져 나온다. 이번에 발견된 변종은 호환성도 좋다. 윈도우 10은 물론 8, 7, XP 운영체제 모두 공격이 가능하며, GUI도 더 세련되게 변했다. 뿐만 아니라 난독화가 매우 고난이도이다. 현재는 디볼드의 ATM 모델만을 노리고 있지만 다른 회사의 ATM을 공격하기 위한 멀웨어로 변경하는 건 일도 아니라고 한다.

 

4. 터키 사용자 인스타그램의 암호를 훔치기 위한 안드로이드 위장 앱 발견
Android Apps Caught Stealing Instagram Passwords for Turkish Users
[https://www.bleepingcomputer.com/news/security/android-apps-caught-stealing-instagram-passwords-for-turkish-users/]
[https://www.hackread.com/android-apps-stealing-instagram-passwords/]
인텔 보안 (McAfee)의 모바일 보안 전문가는 Google Play 스토어에서 Instagram 자격 증명을 훔치고 데이터를 원격 서버에 업로드하는 안드로이드 애플리케이션을 발견했습니다. 인텔의 발견에 따라 Google은이 앱을 Play 스토어에서 삭제하고 개발자를 금지 시켰습니다. 이 앱의 이름은 Insta Takipci Kazan, Takipci Keyfi, Free Takipci, FollowInsta 및 Instalker입니다. 사기꾼은 도용 된 자격 증명을 사용하여 계정을 인계하고 이미지 광고를 게시합니다.

 

5. '블로거'를 노린 대규모 피싱 공격 주의!
[http://blog.alyac.co.kr/932]
[http://www.boannews.com/media/view.asp?idx=53088&page=1&kind=1]
2017년 1월 16일 새벽 경 부터, 국내 유명 블로그 서비스 이용자를 대상으로 한 대대적인 피싱공격이 발생하고 있습니다. 이번 공격은 국내 1위 포털 기업의 블로그 서비스 이용자를 대상으로 하고 있으며, 공격자는 블로거가 작성한 특정 게시글(이하 포스팅)에 본인의 가족사진이 동의 없이 게재되어 조치를 요구하는 내용의 메일을 대량으로 발송하였습니다. 만약 블로거가 첨부된 압축파일 내 사진으로 위장된 '사진1.exe'라는 이름의 파일을 실행하게 되면, 사용자가 PC에 입력하는 모든 내용을 몰래 가로채는 '키로깅(Keylogging)' 기능이 포함된 악성코드가 설치됩니다. 현재 알약에서는 이번 피싱 공격에 사용된 악성 파일을 ‘Trojan.Agent.532480B’ 이름으로 탐지 및 치료하고 있습니다.

 

6. 가짜 첨부 파일을 활용하여 Gmail 피싱
[http://securityaffairs.co/wordpress/55369/cyber-crime/phishing-gmail.html]
피싱된 Gmail 계정에 해커가 즉시 접속 가능
[http://www.securityweek.com/phished-gmail-accounts-immediately-accessed-hackers?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
보안 전문가들은 기술에 정통한 사람들을 속일 수있는 새로운 효과적인 Gmail 피싱 공격을 발견했습니다. 악의적인 메시지는 피해자의 연락처 중 하나에서 전송되며 Gmail에서 직접 미리 볼 수있는 PDF 문서를 가지고있는 것처럼 가장합니다. 희생자가 메시지 본문에 포함된 "첨부"이미지를 클릭하면 Gmail 피싱 페이지로 리디렉션됩니다. 피싱 페이지는 첨부 파일의 미리보기 대신 Gmail에서 다시 로그인 하라는 페이지입니다. 이 공격의 주요 특징 중 하나는 도용자가 손상된 계정에 즉시 접속하여 피싱 전자 메일을 모든 피해자의 연락처로 보내는 데 사용한다는 것입니다.

 

7. 삼성 스마트캠 원격 코드 실행 취약점 존재
[http://www.securityweek.com/samsung-smartcam-flaw-allows-remote-command-execution?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
[http://www.pcworld.com/article/3158189/security/critical-flaw-lets-hackers-take-control-of-samsung-smartcam-cameras.html]
삼성 스마트캠에서 원격 명령어를 실행할 수 있는 root 권한획득 취약점 발견.
삼성스마트캠은 원격에서 비디오및 이벤트기록 기능을 제공하는 IP cam.
과거에도 여러 취약점 발견된 이력 있어.
[http://news.softpedia.com/news/samsung-s-smartcams-can-be-hacked-to-gain-root-access-511872.shtml]
삼성 스마트캠 IP 카메라는 취약한 장치를 도용하기 위해 악용 될 수있는 심각한 원격 명령 실행 결함의 영향을 받는다고 연구원들이 경고했다. Exploitee.rs의 연구원은 카메라를 분석하여 텔넷 서비스 및 로컬 웹 인터페이스를 활성화하는 방법을 발견했습니다. Exploitee.rs는이 취약점에 대한 PoC (proof-of-concept) 코드를 게시했으며 결함 자체를 악용 한 후 명령을 실행하는 해결 방법을 공유했습니다. 이 익스플로잇은 SNH-1011 모델에서 작동하는 것으로 확인되었지만 전문가들은 모든 스마트 폰 장치가 영향을 받았다고 생각합니다.

 

8. 일본 뱃길 전문 여행사 모바일 사이트, 악성코드 유포
[http://www.boannews.com/media/view.asp?idx=53085&page=1&kind=1]
일본으로 가는 뱃길을 운영하는 한 여행전문 회사의 모바일 예약페이지에서 악성코드가 유포되는 이슈가 발생해 큰 충격을 주고 있다. 이는 모바일 사용자를 겨냥한 공격으로 파악된다. 최근 모바일을 사용해 손쉽게 예약하는 사용자를 노린 악성코드의 유형으로 확인됐으며 해당 사이트 하위의 예약 페이지에 악성링크가 삽입되어 해당 페이지를 방문하는 사용자를 대상으로 악성코드를 내려 받게 된다고 밝혔다. MDsoft에 따르면 해당 웹사이트는 이번에만 문제가 된 것은 아니다. MDsoft의 망고스캔 시스템에서 해당 사이트를 조회한 결과 지난 2015년 8월에도 악성코드 유포 기록을 확인할 수 있었다. 즉, 이후 웹 취약점을 개선하지 않아 지속적으로 악용이 되고 있는 상황이다.

첨부파일 첨부파일이 없습니다.
태그