Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 3월 7일] 주요 보안 이슈
작성일 2017-03-07 조회 1308

1. [기사] 세계 최대 스팸 네트워크, DB 유출
[http://thehackernews.com/2017/03/email-marketing-database.html]
[http://www.securityweek.com/spammers-leak-14-billion-user-records?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
Chris Vickery와 Steve Ragan에 따르면 악명높은 스팸기관 RCM(River City Media) 과 관련된 DB가 적당한 보안조치가 취해지지 않고, 네트워크에 연결된 채 노출된것을 발견했다고 한다. 이 DB는 14억개에 달하는 사용자 정보를 포함하여 기업 운영에 관한 민감정보가 평문으로 저장돼있었고, 접근에 어떠한 사용자 인증도 필요치 않았다. 사용자정보에는 수십억개의 이메일계정, 실명, IP주소, 경우에 따라 실제 주소지까지도 포함돼...

 


2. [기사] 복호화된 Gmail, Yahoo 계정 비밀번호 다크웹 판매중
[http://thehackernews.com/2017/03/gmail-yahoo-password-hack.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29]
[https://www.hackread.com/1-million-gmail-yahoo-accounts-on-dark-web/]
LinkedIn, Tumblr, MySpace, Last.FM, Yahoo, VK.com 을 포함한 유명 웹사이트의 계정 비밀번호 1백만개 이상이 
다크웹에서 판매중이다. 판매자에 따르면 이 판매목록에는 사용자명, 이메일, 평문 비밀번호가 포함된다고 한다. 
이는 단일 유출사고가 아닌 여러 굵직한 유출사고가 모여 조합된 정보로 보인다.

 

3. [기사] 구글神 때문에...공무원 개인정보 및 관리자 페이지 대거 노출
http://www.boannews.com/media/view.asp?idx=53701&page=1&kind=1
구글의 색인 기능으로 관리자 페이지가 무방비하게 노출되고 있다. 
개인정보와 관리자권한페이지까지 검색이 가능해 XSS, 악성코드 유포 등 추가적인
공격으로 피해가 커질 가능성이 높다. 이러한 문제를 해결하기 위해 검색엔진 배제 표준이나
메타 태그를 적용해야 한다.

 

4. [기사] DNS 쿼리로 C&C 통신을 하는 파일리스 악성코드
[http://thehackernews.com/2017/03/powershell-dns-malware.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29]
[http://securityaffairs.co/wordpress/56856/malware/dns-txt-malware.html]
[http://blog.alyac.co.kr/998]
DNSMessenger *(어느샌가 이 파일리스 악성코드 이름이 DNSMessenger 로 고착된듯)* 공격이 이뤄지는 방식, VBA 매크로가 포함된 악성 워드문서를 열면 백도어 기능을 하는 내장된 파워쉘 스크립트가 실행된다. 이 과정은 모두 어떠한 파일도 기록하지 않고 메모리 내에서만 이뤄진다. 이후 VBA 스크립트는 감염PC의 여러 환경정보를 유출하는 두 번째 파워쉘 스크립트를 현재 로그인한 유저 권한으로 압축해제하고 실행한다. 이 정보는 윈도우 레지스트리를 수정하는 방식으로 감염PC에 대한 감염 지속성(?)을 확보하고, 이후 백도어 기능을 하는 세 번째 파워쉘 스크립트를 설치하는데 이용된다. 이 백도어는 WMI DB에 등록하고, 감염당시 PC에 로그인한 유저가 관리자 권한이 있었다면, 재부팅 이후에도 악성코드가 자동실행 되게 한다. 이후 백도어는 DNS 를 이용, C&C 서버와 양방향 통신채널을 확보한다. 여기에는 DNS TXT 레코드가 이용된다. 이 레코드는 DNS 서버의 응답에 비규격 텍스트(unformatted text) 를 삽입(attach)할 수 있도록 해준다. 현재까지 백도어는 하드코딩된 도메인목록중 하나에 주기적으로 DNS 쿼리를 전송한다. 이 DNS 요청으로 PC에서 실행되는(하지만 파일로 전혀 기록되진 않는)파워쉘 명령어를 포함한 DNS TXT 레코드를 가져온다. 이렇게 가져온 네 번째 파워쉘 스크립트는 공격자가 사용하는 원격제어 툴이다. 이 네 번째 스크립트 또한 명령 수신에 DNS TXT 메시지를 이용한다.

 

5. [기사] 애플 맥기기 대상 랜섬웨어 발견
[http://herrymorison.tistory.com/3570]
[http://www.welivesecurity.com/2017/02/22/new-crypto-ransomware-hits-macos/]
[http://www.pcworld.com/article/3173151/security/new-macos-ransomware-spotted-in-the-wild.html]

 

6. [기사] 문재인 "공인인증서·액티브 엑스 폐지하겠다"
[http://v.media.daum.net/v/20170302103822595]

 

7. [기사] Facebook Lite 어플 Spy FakePlay에 감염
[https://blog.malwarebytes.com/cybercrime/2017/03/mobile-menace-monday-facebook-lite-infected-with-spy-fakeplay/]
모바일 Facebook 앱의 일부버전이 Spy.FakePlay에 감염된 것으로 확인됐다. 
Facebook Lite는 광고된대로 작동하고 악성행위 또한 함께 동작한다. Spy.FakePlay의 행위로는 
개인정보 탈취, 추가적인 악성앱을 설치하는 것으로 확인된다. 

 

8. [분석정보] Hidden Backdoor Discovered In Chinese IoT Devices
https://www.trustwave.com/Resources/SpiderLabs-Blog/Undocumented-Backdoor-Account-in-DBLTek-GoIP/

첨부파일 첨부파일이 없습니다.
태그   7일