Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 2월 23일] 주요 보안 이슈
작성일 2017-02-23 조회 2737

1. [기사] 새로운 Trump Locker 랜섬웨어, VenusLocker 랜섬웨어와 유사
[https://www.bleepingcomputer.com/news/security/new-trump-locker-ransomware-is-a-fraud-just-venuslocker-in-disguise/]
Trump Locker는 랜섬 노트에 이메일 주소 사기꾼을 리스트하고, 잠금 화면 제목, 도널드 트럼프 이미지를 전시했다. Trump Locker 랜섬웨어는 VenusLocker와 관련이 있다.(동일한 그룹에 의해 배포되었던지 또는 거의 동일한 복제본일 것이다.) Trump Locker의 감염 루틴은 TrumpLocker.exe파일을 사용자에게 실행시키는 방법이다. 특이한 점은, Trump Locker는 정규 암호화 규칙을 따르지 않고 파일 암호화 프로세스를 사용한다는 점, 각 파일의 처음 1024바이트만 암호화한다는 점이다.

관련샘플 - 08bd44c06513a5b490595560dc5eefff70f2ececfe72c6b9817310238038ef6c
VT 보고서 - [https://www.virustotal.com/ko/file/08bd44c06513a5b490595560dc5eefff70f2ececfe72c6b9817310238038ef6c/analysis/]


2. [기사] 십년 이상된 리눅스 커널에 UAF 권한상승 취약점 발견(CVE-2017-6074)
[http://thehackernews.com/2017/02/linux-kernel-local-root.html]
[http://securityaffairs.co/wordpress/56566/hacking/cve-2017-6074-linux-flaw.html]
Andrey Konovalov 가 SyzKaller 이용해 발견 CVE-2017-6074. Redhat Debian, OpenSUSE, Ubuntu 에 영향. UAF 를 이용. "공격자는 커널 힙 스프레이 기법을 이용, 특정 객체를 제어하고 그 내용을 임의의 데이터로 덮어쓸 수 있다. 덮어 쓴 객체가 트리거 가능한 함수 포인터를 갖고 있으면 공격자가 커널 내에서 임의의 코드를 실행할 수 있다"고 전해. 취약점은 메세지기반 전송계층 프로토콜로, 패킷헤더 크기를 최소화하는등의 역할을 하는 DCCP 프로토콜에서 발생

[POC] - Syzkaller, 구글이 만든 리눅스 syscall 퍼저
[https://github.com/google/syzkaller]


3. [기사]비트코인 거래소(bitfnex) DDoS 공격 당해
[https://www.bleepingcomputer.com/news/security/bitcoin-trader-hit-by-severe-ddos-attack-as-bitcoin-price-nears-all-time-high/]
Bitcoin 거래 플랫폼 Bitfinex는 어제밤 DDoS 공격을 받았다. 이 공격으로 처음에는 Bitfinex API에 영향을 미치지 않았지만 나중에 Bitfinex가 DDoS 공격을 완화하기 위해 보안 보호를 최대로 전환했을 때 영향을 받았다. 현재는 모든 서비스, 거래 플래솜 및 API가 다시 작동 가능하다.


4. [기사] 토렌트를 통해 유포되는 맥 랜섬웨어
[http://news.softpedia.com/news/new-mac-ransomware-spreads-via-torrents-paying-doesn-t-get-your-files-back-513200.shtml]
[https://www.bleepingcomputer.com/news/security/new-macos-patcher-ransomware-locks-data-for-good-no-way-to-recover-your-files/]
Patcher 로 불리는 MacOS 대상 랜섬웨어, BitToreent 배포 사이트 통해 유포중.
사람들이 torrent 사이트에서 patcher를 다운로드하려고 하면 어플리케이션 번들을 포함하는 ZIP 파일 하나만 존재할 뿐이다. 전송 "시작"을 누르는 순간 암호화 프로세스가 시작되며 "README!.txt"라는 파일이 사용자 디렉토리에 복사된다. 그런 다음 임의의 25자 문자열을 생성하여 파일 암호화 키로 사용된다. 이 키는 모든 파일에 동일한 키로 암호화된다. 원래 파일은 rm으로 삭제되고 암호화된 파일의 수정시간도 조작된다. 현재 돈을 지불한다고 해도 파일을 복구할 방법이 없기에 주의가 요구된다.


5. [기사] MS 취약점 패치
[http://www.securityweek.com/microsoft-releases-security-update-flash-player-libraries?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
[http://www.zdnet.com/article/microsoft-issues-some-security-patches-but-leaves-zero-day-flaws-at-risk/]
[https://www.helpnetsecurity.com/2017/02/22/microsoft-security-flash-player/]
[https://www.bleepingcomputer.com/news/security/microsoft-patches-remote-code-execution-vulnerability-in-adobe-flash-player/]
[http://thehackernews.com/2017/02/windows-adobe-flash-player.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29]
- Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10, Windows Server 2016에 설치되어 있는 Adobe Flash Player 취약점 해결을 위해 보안 업데이트 진행. 두 가지는 아직 패치되지 않아. 3월 14일 패치 예정
- CVE코드: CVE-2017-2982, CVE-2017-2984, CVE-2017-2985, CVE-2017-2986, CVE-2017-2987, CVE-2017-2988,CVE-2017-2990, CVE-2017-2992, CVE-2017-2991, CVE-2017-2993, CVE-2017-2994, CVE-2017-2995,CVE-2017-2996.

[MS 업데이트 사이트] https://technet.microsoft.com/en-us/library/security/MS17-005


6. [기사] 유명 생활용품 사이트에서 모바일(APK) 악성코드 발견
[http://www.boannews.com/media/view.asp?idx=53568&kind=1]
국내 대표적인 생활용품 판매점의 온라인 사이트와 한 보안 제품 판매 사이트가 모바일 악성코드 경유 및 유포지로 활용된 정황이 발견되었다. 빛 스캔에 의해, 유명 생활 용품 XX소 사이트를 포함한 약 10여 곳에서 모바일 (APK) 악성코드로 연결되는 URI가 JS 스크립트 내에 삽입된 것으로 확인되었다.

첨부파일 첨부파일이 없습니다.
태그