Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 4월 4일] 주요 보안 이슈
작성일 2017-04-04 조회 1350

1. [기사] 윈도우즈 NTP time 서버 잘못된 정보 전송
[https://www.bleepingcomputer.com/news/microsoft/windows-ntp-time-service-sends-wrong-time-to-users-worldwide/]
Reddit 와 트위터 사용자들로 부터 오는 여러가지 불만에 따르면, 모든 컴퓨터의 시간을 망쳐 놓는 문제가 기본 Windows NTP 서버(time,windows.com)에 양향을 주고 있다.보고서를 기반으로 time.windows.com NTP 서버는 Windows 사용자에게 잘못된 시간을 보내는 시간차는 수 초에서 수 시간에 이르기도한다.이 영향은 Windows NTP 서비스를 사용하여 작업을 예약하고 실행하는 서버에서 즉시 느낄 수 있었으며, 서버가 일찍 또는 너무 늦게 루틴을 시작하고 스크립트에 장애가 발생하여 응용 프로그램이 다운되는 것을 발견했다.잠시 다른 서버 이용하길 추천하다.

 

2. [기사] Skype의 가짜 Flash Player 광고가 악성 코드로 연결됨
[http://www.securityweek.com/fake-flash-player-ads-skype-lead-malware]
파일 이름 FlashPlayer.hta 를 사용한 가짜 업데이트는 메시징 응용 프로그램이 대개 사용자에게 제공하는 인앱 광고 중 하나에서 제공하는 것으로 확인되었다. HTML 응용 프로그램 파일인 HTA 파일은"sketchy-looking site"라고 불리는 사이트로부터 제공되었으며, 랜섬웨어 또는 기타 유형의 맬웨어를 다운로드하도록 설계되었다. 두 가지 도메인 ( oyomakaomojiya org 및 cievubeataporn net )을 수십 개의 다른 도메인에 연결할 수 있었으며,그 중 대부분은 이전에 다양한 유형의 악의적 인 활동과 연관되어있었다.또한 사이트를 호스팅하는 일부 IP 주소는 이전에 다른 악성 도메인을 호스팅 한 서버와 관련이있었다,

 

3. [기사] splunk, 정보 절도와 xss결함 패치함(CVE-2017-5607)
[http://www.securityweek.com/splunk-patches-information-theft-and-xss-flaws]
[http://seclists.org/bugtraq/2017/Apr/0]
[http://securityaffairs.co/wordpress/57645/hacking/splunk-information-theft.html]
이 취약점은 사용자가 악의적 인 웹 페이지를 방문 할 때 원격 공격자가 Splunk Enterprise의 정보를 빼갈 수 있다.이 취약점을 악용 한 공격자가 현재 로그인 한 사용자 이름과 같은 데이터에 액세스 할 수 있다. 사용자 이름을 사용하면 공격자는 Splunk Enterprise 로그인을 피싱 또는 무차별 대입 공격을 할 수 있다.Splunk Enterprise에서 지난 두 번째 취약점은 Splunk Web의 지속적인 크로스 사이트 스크립팅이었다.이 스크립트는 공격자가 버그를 악용하기 전에 Splunk 웹에서 인증 된 경우에만 임의의 스크립트를 삽입하고 저장할 수 있도록한다.

 

4. [기사] 파일리스 악성코드 러시아은행 공격
[http://news.softpedia.com/news/fileless-malware-attack-on-russian-banks-helps-hackers-steal-800k-514528.shtml]
러시아의 두 은행이 하룻밤 사이 해커가 80만 달러를 유출할 수 있도록 도와준 파일리스 악성코드에 감염된것으로 드러났다. 감시카메라는 물론 은행은 뭔가 잘못됐단 사실을 눈치채지도 못했으며, 해커는 각 기계당 10만 달러치의 현금을 훔쳐가는데 채 20분도 걸리지 않았다.

 

5. [기사] 금융 악성코드 드리덱스의 영리한 ‘위장’ 주의! 
[http://www.boannews.com/media/view.asp?idx=54093&page=1&kind=1]
금융 악성코드가 새로운 기법으로 강화하는 것은 물론 위장까지 하는 것으로 밝혀져 충격을 주고 있다. 금융 악성코드인 드리덱스(Dridex)가 원자폭탄투하(AtomBombing, 이하 원자폭탄) 기법을 탑재해 점점 강해지는 한편, 자신을 숨기기 위해 한글 키보드 드라이버 프로그램으로 위장한 것이 밝혀진 것이다.드리덱스는 악성 워드파일(.DOC)이 첨부된 스팸 메일을 통해 유포된다. 스팸메일을 수신한 이용자가 스팸메일의 첨부 파일을 열게 되면, 악성코드가 이용자 컴퓨터에 설치되게 된다. 이 악성코드는 다시 원자폭탄 기법을 활용해 정상적인 응용 프로세스에게 자신의 악성코드를 추가로 주입함으로써 보안 프로그램이 악성코드를 탐지하는 것을 매우 어렵게 만든다. 

 

6. [기사] Linux 커널 취약점 CVE-2017-7184 Pwn2Own에서 수정
[http://securityaffairs.co/wordpress/57639/hacking/cve-2017-7184-patched-linux.html]
Chaitin Security Research Lab ( @ChaitinTech )은 Pwn2Own 대회에서 CVE-2017-7184로 추적되는 Linux 커널 결함을 발견 했다. xfrm 상태를 처리 할 때 특정 결함이 존재 하며, 이 문제는 사용자가 제공 한 데이터의 유효성 검사가 제대로 이루어지지 않아 할당 된 버퍼가 끝날 때까지 메모리 액세스가 발생할 수 있기 때문에 발생한다. 이 취약점으로 인해 로컬 공격자는 권한을 강화하고, 취약한 Linux 커널 설치에서 임의의 코드를 실행할 수 있다. 해당 취약점은 서비스 거부 (DoS) 조건을 유발하거나 임의 코드를 실행하기 위해 악용 될 수 있으며, 로컬 공격자가 시스템의 권한을 상승시킬 수 있다.

 

7. [기사] 모바일청첩장 사칭 스미싱 문자 주의!
[https://www.zerocert.org/?act=community]
중국에 위치한 특정 IP에서 호스팅되고 있는 홈페이지들이 모바일청첩장 사칭 스미싱 문자 악성앱 유포에 이용 중인 것으로 확인되고 있다. 해당 IP에서 호스팅되는 악성 도메인(링크)들은 2월 17일 이전부터 활동한 것으로 추정되며 현재까지도 10개가 넘는 악성 도메인들이 이용되고 있다. ApkIDE_NewCrackALYac.apk, 모바일청첩장 파일명을 가지고 있으며 WEDDING DAY, Ahnlab V3 Mobile PLUS을 가장하고 있다. 
스미싱 악성앱에 대한 최소한의 예방법으로는 1. 모바일 백신 설치 및 업데이트 2.스마트폰 환경설정 > 보안 > "출처를 알 수 없는 앱" 설정 해제 3.출처가 불분명한 SMS 문자 메세지 링크 클릭 주의가 되겠다. 
해당 악성 링크들은 PC 사용자의 경우 Ramnit 형태의 악성코드도 유포중이며 악성앱, 악성코드로 인한 정신적, 금전적 피해가 없도록 주의 해야한다.
※ 해당 IP : 103.13.222.135

 

8.[기사]테스트이벤트 서버 랜섬웨어 공격 보안 비상 
[http://www.kado.net/?mod=news&act=articleView&idxno=846931]
2018 평창동계올림픽을 1년여 앞두고 ‘미리보는 올림픽’으로 치러지는 테스트이벤트의 서버에서 ‘랜섬웨어’ 공격을 당해 서버가 마비되고 4000여명의 선수단 등록이 무용지물이 되는 일이 발생,보안대책에 비상이 걸렸다. 지난 1일 오전 1시쯤 조직위 테스트이벤트 등록카드발급 서버가 랜섬웨어 공격을 당해 데이터가 복구불가능 상태에 빠진 것을 확인,서버를 새로 교체했다고 밝혔다.이번 공격으로 2017 국제아이스하키연맹(IIHF) 아이스하키 U-18세계선수권과 여자선수권대회에 참가를 위해 등록된 4000여명의 데이터베이스가 무용지물이 됐다. 이번 랜섬웨어 공격이 평창올림픽 협력업체에서 발생하지는 않았지만 최근 국내에 랜섬웨어 공격이 광범위하게 벌어지고 있어 내년 평창올림픽에도 공격이 이어질 가능성이 남아있는 상태다.해당 랜섬웨어는 어떤 방식으로 침투했는지 등을 분석하기 위해서는 일주일 정도 시간이 걸릴 것으로 보인다.
 


9. [기사 ]시스코사 제어시스템 전용라우터 중대 취약점 발견(CVE-2017-3853)
[http://www.ryansecurity.co.kr/3646]
시스코사는 자사의 제어시스템 전용라우터 Cisco IR809, IR829장비에 대한 중대 취약점을 발견하고 해당 취약점에 대한  패치를 긴급 발표했다. 해당 취약점은 시스코가 자사의 제어시스템 전용라우터용으로 개발한 차세대 운영체제 IOx* 환경에서 동작하며, 공격자가 원격코드실행을 임의로 제어할 수 있다. 해당 취약점은 비인가된 공격자가 악성코드를 IOx의 프로세스가 처리하도록 하여 오버플로우를 발생시킬 수 있으며, 이러한 오버플로우에 성공한 공격자는 루트 권한으로 임의 코드를 원격에서 실행시킬 수 있다. 이에 시스코사는 본 취약점이 패치된 IOx 버전 1.2.4.2를 긴급 릴리즈하였다.

첨부파일 첨부파일이 없습니다.
태그 4일  동향  이슈