Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 4월 3일] 주요 보안 이슈
작성일 2017-04-03 조회 1337

1. [기사] 변경된 네이버 메인에 금감원 사칭 파밍! 점점 지능·신속화
[http://www.boannews.com/media/view.asp?idx=54076]
‘파밍’ 사기 수법이 더욱 교묘해지고 빈도도 잦아지고 있다. 파밍 해커조직들이 지난 3월말부터 변경된 네이버 메인 페이지에 대한 적응을 끝내고 새로운 네이버 메인 페이지에 금융감독원 사칭 팝업을 띄워 사용자들을 속이는 파밍 기법이 새롭게 등장했다. 파밍 사이트는 운영체제가 제공하는 호스트 파일(컴퓨터와 IP주소를 연결해주는 텍스트 파일) 연결 기능을 악용해 이용자를 가짜 사이트로 연결해 공인인증서 등 금융정보를 빼돌린다. 최근 파밍 기법들을 보면 사회공학적 기법을 함께 활용해 포털 사이트 광고를 파밍하는 등 보안전문가들도 속을 만큼 공격 기법이 점점 더 기발해지고 있다. 

 

2. [기사] Gigabyte 펌웨어 결함으로 UEFI Ransomware 설치 허용((CVE-2017-3197,3198))
[https://www.bleepingcomputer.com/news/security/gigabyte-firmware-flaws-allow-the-installation-of-uefi-ransomware/]
[https://github.com/CylanceVulnResearch/disclosures/blob/master/CLVA-2017-01-001.md]
Gigabyte BRIX 소형 컴퓨팅 장치의 펌웨어에 두 가지 취약점을 공개했다.이 취약점으로 인해 공격자는 악성 컨텐츠를 UEFI 펌웨어에 쓸 수 있다. 결함을 사용하여 공격자가 멀웨어를 수년간 지속시킬 수있는 루트킷을 구축 할 수 있다. 첫 번째 취약점은 UEFI 펌웨어에 대한 쓰기 보호를 구현하는 Gigabyte 측의 실패이며, 두 번째 취약점은 Gigabyte 측에서 UEFI 펌웨어 파일에 암호화 방식으로 서명하는 시스템을 구현하는 것을 잊어 버린 또 다른 결점이다.두 번째 결함은 또한 체크섬을 사용하여 다운로드 한 파일의 유효성을 검사하지 않고 HTTPS 대신 HTTP를 사용하는 Gigabyte의 안전하지 않은 펌웨어 업데이트 프로세스를 다룬다.공격자는 두 가지 결함을 모두 활용하여 시스템 관리 모드 (SMM)에서 코드를 실행하고 펌웨어 자체에 악성 코드를 심을 수 있다.

 

3. [기사] USB Canary를 이용하여 USB 포트에 대한 조작을 감지하여 SMS 전송 가능
[https://www.bleepingcomputer.com/news/software/usb-canary-sends-an-sms-when-someone-tinkers-with-your-usb-ports/]
GitHub에 출시 된 새로운 도구는 시스템 관리자가 고가 워크 스테이션에서 USB 기반 장치를 연결하거나 연결을 끊을 때마다 추적 할 수 있도록 도와준다.USB 장치가 연결되어 있거나 플러그가 뽑혀 있으면 USB Canary는 두 가지 동작 중 하나 또는 두 가지 중 하나를 수행 할 수 있다. Twilio API를 통해 SMS 메시지를 보내 소유자에게 알리거나 다른 동료가 모니터 할 수있는 Slack 채널에 메시지를 게시 할 수 있다.

 

4. [기사] WikiLeaks, CIA가 러시아와 중국에 사용했던 'Marble'소스 코드 공개
[http://thehackernews.com/2017/03/cia-marble-framework.html]
[https://www.bleepingcomputer.com/news/government/wikileaks-dumps-source-code-of-cia-tool-called-marble/]
" Marble "이라고 불리는 CIA 파일의 파트 3에는 비밀 anti-forensic Marble Framework의 676 개 소스 코드 파일 이 들어 있다. 이 소스 코드 파일은 근본적으로 CIA 맬웨어의 진정한 출처를 숨기기 위한 것이다. CIA의 Marble 프레임 워크 도구에는 외국어 텍스트가 의도적으로 맬웨어 소스 코드에 삽입되어 보안 분석가를 속이고 잘못된 국가에 대한 공격을 잘못 범하는 다양한 알고리즘이 포함되어 있다.

 

5. [기사] 모바일 안티바이러스 솔루션을 회피하는 안드로이드 랜섬웨어
[https://www.bleepingcomputer.com/news/security/new-android-ransomware-evades-all-mobile-antivirus-solutions/]
모든 모바일 안티 바이러스 엔진에서 탐지를 피할 수있는 새로운 안드로이드 랜섬웨어를 발견했다. 러시아어를 사용하는 사용자를 대상으로하는 이 ransomware는 기본적인 암호 해독 기능이 없다. 즉,이 ransomware 버전에 감염된 사용자는 자신의 휴대폰을 잠금 해제 할 수 없으며 몸값을 지불하더라도 데이터에 다시 액세스 할 수 없다. 이 위협의 공격자들은 제 3 자 스토어를 사용하여 자신의 페이로드를 전파하고 있다.

 

6. [기사] 날씨·광고 배너 통한 대량 악성코드 감염, ‘재발’ 우려 커지나 
[http://www.boannews.com/media/view.asp?idx=54073&page=1&kind=1]
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=19364]
다양한 산업 분야 웹사이트가 유포 통로로 악용됐는데, 특히 날씨나 광고배너를 통한 악성코드 유포 시도가 포착되어 사용자들의 각별한 주의가 요구되고 있다. 이 가운데 24일과 25일 사이 국내 대규모 출판업체 사이트의 일부 페이지에 악성URL이 삽입된 것이 확인됐으며, 만화와 플래시 게임 서비스를 제공하는 한 커뮤니티와 의류 판매 쇼핑몰 등 다양한 사이트가 영향을 받은 것으로 드러났다. 해당 의류 쇼핑몰은 지난 25일부터 악성 URL이 삽입되어 사이트 방문자 중 보안 취약점이 있을 경우 사용자 동의 없이 악성코드를 다운로드 후 실행하는 ‘Drive-by-download’ 형태의 공격을 감행했다.특정 시간대만 유포를 활성화하고 이후에는 악성 URL을 삭제해 관리자가 알 수 없게 악성코드 유포 사실을 숨겼던 것으로 분석됐다.

 

7. [기사] DoubleAgent 제로데이 공격, 안티바이러스를 멀웨어로 변형 시켜…심각 
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=19363]
윈도우즈 버그수정 툴을 이용해 안티바이러스 제품을 멀웨어로 탈바꿈 시킬 수 있는 DoubleAgent라고 명명된 새로운 기술이 발견되었다.이 공격은 버그를 발견하고 써드-파티 윈도우즈 어플리케이션의 보안을 향상시키기 위해 사용되는 런타임 확인 도구인, Microsoft Application Verifier를 이용한다. Application Verifier에서 공격자가 정상 검증자(verifier)를 자신의 커스텀 검증자(verifier)로 변경할 수 있는 문서화되지 않은 기능이 발견됐고, 공격자는 이 기능을 사용하여 모든 응용프로그램에 커스텀된 검사기(verifier)를 삽입할 수 있다. 사용자 조작 검사기(verifier)가 삽입되면 공격자는 응용프로그램을 완전히 제어할 수 있게 된다.

 

8. [기사] 사진으로 얼굴 인식이 가능한 갤럭시 S8 결함.
[https://www.bleepingcomputer.com/news/mobile/you-can-bypass-facial-recognition-on-new-samsung-galaxy-s8-phones-using-a-photo/]
[http://thehackernews.com/2017/03/samsung-galaxy-s8-facial-unlocking.html]
스마트 폰 전문가들은 동료 중 한 명이 전화 앞에서 자신의 사진을 깜박임으로써 안면 인식 기능을 우회 할 수 있다고 삼성 갤럭시 S8 휴대 전화를 비판하고 있다. 바이 패스 기술의 측면에서, 사진으로 속아 넘어지는 안면 인식 시스템은 일반 텍스트로 비밀번호를 저장하는 것만큼이나 나쁜 것이다. 삼성은 홍채 스캐너와 지문 센서와 같은 새로운 보안 기능을 탑재 한 S8을 출시했다. 눈의 사진으로 홍채 스캐너를 속일려고 하지 않았지만, 동일한 결함이 S8 + 모델에 영향을 미친다고 생각한다. 

 

9. [기사] 신종 모듈형 악성코드 Felismus RAT 발견
[http://securityaffairs.co/wordpress/57621/malware/modular-felismus-rat.html]
Forcepoint 는 Felismus RAT 이라는 숙련된 전문가에 의해 만들어진 것으로 보이는 신종 모듈형 악성코드를 발견했다. 이 악성코드는 네크워크 통신 암호화, 네트워크 메세지 타입별 적어도 세 개 이상의 다른 암호화 방법 사용, 등 아주 정교한 Anti Debugging 기법이 적용돼있다. 또한 수사를 어렵게 하기 위해 추적 가능한 이메일 주소의 재사용또한 피하고있다. 자가 업데이트 기능을 내장하고 있고, 현재 다수의 AV 제품에서 탐지가 안되고 있다. 기능 자체는 파일 업로드/다운로드, 리모트쉘 등 여타 RAT 과 비슷하며, adobeCMS.exe 로 위장한 샘플로 분석이 진행중이다. 몇 주 전 처음 수집됐으나 활동은 6개월 이상 지속한것으로 보인다.

첨부파일 첨부파일이 없습니다.
태그   3일