Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 2월 10일] 주요 보안 이슈
작성일 2017-02-10 조회 1959

AthenaGo RAT, C & C 서버 숨기기위해 Tor2Web 프록시 시스템을 사용

[분석보고서]  http://blog.talosintel.com/2017/02/athena-go.html
[https://www.bleepingcomputer.com/news/security/athenago-rat-uses-tor2web-proxy-system-to-hide-candc-server/]
[http://www.securityweek.com/athenago-rat-uses-tor2web-cc-communication]
한 보안 연구원이 Tor 프록시를 사용하여 감염된 호스트에서 Tor 네트워크에 숨겨진 서버로 트래픽을 리디렉션하는 RAT(Remote-Access Trojan)을 발견하였고 현재 AthenaGo RAT로 명명되었다. AthenaGo는 Tor 프록시를 사용하여 Tor 기반 C&C 서버에 연결한다. 이는 사용자가 Tor에서 C&C서버를 숨기기에 적합하기에 주의깊은 관찰이 필요하다.

 

Serpent Ransoware Wants to Sink Its Fangs Into Your Data
[https://www.bleepingcomputer.com/news/security/serpent-ransoware-wants-to-sink-its-fangs-into-your-data/]
Serpent 랜섬웨어는 SPAM 이메일을 통해 배포되는 새로운 랜섬웨어로, HadesLocker 및 Wildfire 랜섬웨어 제품군의 새로운 변종을 판명되었다. 해당 랜섬웨어는 "Sidste påmindelse for udestående faktura 1603750" 같은 제목의 스팸메일로 사용자에게 Word문서를 다운하도록 유도함으로써 배포된다. 현재 해당 랜섬웨어에 의해 암호화된 파일을 해독할 수 있는 방법은 아직 없다.

 

새로운 Mac 멜웨어는 오래된 Windows 멜웨어 기술을 사용
New Mac Malware Uses Old Windows Malware Techniques
[http://news.softpedia.com/news/new-mac-malware-uses-old-windows-malware-techniques-512794.shtml]

 

TLS/SSL에 존재하는 Ticketbleed 취약점(CVE-2016-9244)
[https://filippo.io/Ticketbleed/]
[https://blog.filippo.io/finding-ticketbleed/]
[http://securityaffairs.co/wordpress/56133/breaking-news/ticketbleed-flaw.html]
[기사] Ticketbleed 취약점으로인해 F5 어플라이언스가 원격 공격에 노축
"Ticketbleed" Flaw Exposes F5 Appliances to Remote Attacks
[http://www.securityweek.com/ticketbleed-flaw-exposes-f5-appliances-remote-attacks]
F5 Networks BIG-IP 어플라이언스는 원격 공격자가 메모리를 추추할 수 있는 심각한 취약점에 영향을 받는다. 해당 취약점은 인터넷 스캔을 통해 수백 명의 호스트가 노출되는 결함이다. 해당 취약점은 "Ticketbleed"라고 불리며 CVE-2016-9244로 추적된다. 영향을받는 F5 BIG-IP 제품 목록에는 LTM, AAM, AFM, Analytics, APM, ASM, GTM, 링크 컨트롤러, PEM 및 PSM이 포함된다.

 

패치되지 않은 jQuery 모바일 XSS 취약점
[https://gist.github.com/sirdarckcat/ca04e67ea28500fe40bd498e7e3df0df]
[http://sirdarckcat.blogspot.kr/2017/02/unpatched-0day-jquery-mobile-xss.html]
[기사] jQuesry 모바일이 웹 사이트를 XSS 공격에 노출시킬 수 있음
jQuery Mobile Can Expose Websites to XSS Attacks
[http://www.securityweek.com/jquery-mobile-can-expose-websites-xss-attacks]
jQuery Mobile 프로젝트는 모든 유형의 장치에서 액세스 할 수 있는 반응형 웹 사이트 및 웹 응용 프로그램을 개발하도록 설계된 HTML5 기반 사용자 인터페이스 시스템으로, 현재 15만 개 이상의 활성 웹 사이트에서 사용되고 있다. 구글의 Eduardo Bela 는 해당 취약점을 수개월 전 jQuery Mobile이 URL의 anchor part를 리턴하는 location.hash 에서 발견했다고 한다. location.hash 에 URL 이 있다면 여기에 history.pushState 메쏘드를 사용해 XMLHttpRequest 오브젝트에 추가한다. 이 요청에 대한 응답은 innerHTML 과 함께 사용된다.
history.pushSate 는 반드시 리디렉션 되는 이 URL에 대해 XSS 취약성을 검증해야하지만 그렇지 않다.
취약점 시연 동영상 - [http://jquery-mobile-xss.appspot.com/#/redirect?url=http://sirdarckcat.github.io/xss/img-src.html
]

CRYSIS 랜섬웨어 설치를 위해 RDP 공격 사용
Hackers Using RDP Attacks to Install CRYSIS Ransomware
[http://www.securityweek.com/hackers-using-rdp-attacks-install-crysis-ransomware]
CRYSIS는 작년에 등장한 랜섬웨어로 현재 RDP(Remote Desktop Protocol) 무차별 공격을 통해 배포되고 있다. 공격을 받고 있는 조직은 공유 드라이브 및 클립 보드에 대한 액세스를 비활성화하고 다른 보안 설정을 제한하기 위해 원격 데스크탑 서비스에 적절한 보안설정을 적용할 필요가 있다.

Email Injection attacking
[https://blog.gdssecurity.com/labs/2016/6/13/email-injection.html]

첨부파일 첨부파일이 없습니다.
태그