Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 4월 27일] 주요 보안 이슈
작성일 2017-04-27 조회 2742

Hajime 봇넷, 30만대 이상의 IoT 기기 감염
Kaspersky 는 지난 2016년 10월 알려진 IoT 악성코드 Hajime 감염기기가 적어도 30만대 이상일 것이라 밝혔다. 비슷한 시기 활동안 Mirai 가 DDoS 공격 기능을 가진데 반해 Hajime 는 단순히 몇몇의 포트를 닫아 Mirai 와 유사한 위협(알려진 계정정보 브루트포스)을 차단하는 기능만을 한다. 기본적으로 P2P 봇넷으로 설계됐지만, 아직까지 이런 활동을 하는 의도는 파악되지 않았다. 시만텍은 최근 화이트해커가 만든 악성코드라고 예상하기도 했지만 언제든 범죄활동에 쓰이도록 악성코드가 수정될 수 있다. 확실한것은 Hajime 의 제작자가 꾸준히 코드를 업데이트하고 있단 사실. 이 시점에 악성코드 전파엔 세 가지 기법을 활용한다. TR-069 익스플로잇, Telnet 기본계정설정, Arris cable modem 비밀번호 가 그것. 특히나 [TR-069 익스플로잇](https://isc.sans.edu/forums/diary/TR069+NewNTPServer+Exploits+What+we+know+so+far/21763/)은 아주 최근 추가된 기능이다. [기사원문](http://www.securityweek.com/mysterious-hajime-botnet-grows-300000-iot-devices-kaspersky?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29)

 

안드로이드용 파밍악성코드 BankBotAlpha 분석 정보
2016년 12월 19일 첫 출현한 악성코드, 러시아 포럼에서 DIY 튜토리얼의 형태로 출현했다. 현재 안드로이드 소스코드 전체와 서버사이드 소스(PHP) 모두 누구나 다운로드 받을 수 있게 공개된 상태. 다양한 변종이 출현하기까지 그리 오랜 시간이 걸리지 않았다. [분석자로 Fortinet 블로그](http://blog.fortinet.com/2017/04/26/bankbot-the-prequel)

 

포렌식 관점에서의 실행추적 방법의 발전
5년전 Mandiant 는 [ShimCacheParser](https://github.com/mandiant/ShimCacheParser) 툴의 POC를 공개, 이후로 ShimCache 메타데이터는 포렌식 관점에서 주요 단서로 급부상했다. 5년의 시간이 흐르는동안 기업차원에서 ShimCache 데타데이터를 활용하는 커뮤니티 활동은 거의 없었지만 최근 [AppCompatProcessor](https://github.com/mbevilacqua/appcompatprocessor) 의 릴리즈가 있었다. AppCompatProcessor 는 기업차원의 활용(?)에 ShimCahceParser 를 손쉽게 쓸 수 있도록 도와주는 툴. [FireEye 블로그](https://www.fireeye.com/blog/threat-research/2017/04/appcompatprocessor.html)

 

Ransomware 피해자의 거의 40 %는 장치 잠금 해제 비용을 지불함
http://news.softpedia.com/news/nearly-40-of-ransomware-victims-pay-up-to-unlock-their-devices-515189.shtml
Trustlook의 보고서에 따르면 현재 소비자의 약 17 %가 ransomware에 감염되어 있다. 영향을 받는 모든 소비자의 38%는 정기적으로 $100 ~ $ 500의 몸값을 지불하기로 결정했다고 한다.

 

현대 블루 링크 모바일 앱의 보안 취약점으로 인해 해커가 차량을 훔칠 수 있음
http://securityaffairs.co/wordpress/58402/breaking-news/hyundai-blue-link-flaws.html
Hyundai Blue Link 모바일 앱의 보안 취약점은 해커가 자동차 제조업체의 차량을 찾고, 잠금을 해제하고, 시작하는 데 악용될 수 있다. 보안 회사 연구원은 2016 년 12월에 추가 된 로그 전송 기능에 영향을 줄 수 있는 두 가지 잠재적인 심각한 취약점을 발견했다. 해커는 MitM (man-in-the-middle) 공격에 전력을 공급하여 Blue Link 모바일 애플리케이션과 관련된 HTTP 트래픽을 차단하고 로그 파일에 액세스 할 수 있다. 로그 파일에 포함된 정보는 공격자가 대상 차량의 위치를 찾고, 잠금을 해제하고, 시작하는 데 사용될 수 있다.
관련 취약점: CVE-2017-6052, CVE-2017-6054

 

사이버 범죄 - 인터폴, 아시아에 있는 약 9,000개의 C&C 서버를 셧다운시킴. 이 서버들은 WordPress 플러그 악용으로 해킹됨
http://securityaffairs.co/wordpress/58396/cyber-crime/interpol-cybercrime-operation.html
인터폴에 따르면 지자체가 운영하는 수많은 서버들이 봇넷에 대한 명령 및 제어 시스템이 손상된 것을 발견했다고 한다. 흥미로운 사실은 손상된 서버의 대부분이 익명의 WordPress 플러그인 익스플로잇을 사용하여 해킹 당했다는 점이다. 분석 결과 약 270개의 웹 사이트가 웹 사이트 디자인 응용 프로그램의 취약점을 악용한 악성 코드에 감염되었다.

 

악인적인 사용자가 자동차 잠금 해제 및 시동을 걸 수 있는 현대 모바일 앱 결함
- 현대차의 블루링크 애플리케이션 소프트웨어 버전 3.9.4와 3.9.5는 공격자가 불안정한 와이파이 연결을 이용해 취약점을 공격하거나 중간자 공격(man-in-the-middle)을 할 수 있는 가능성이 있었다. 공격이 성공하면 공격자는 현대차 소유자의 이름과 비밀번호, PIN 번호 등을 파악할 수 있는 데다 해당 차량을 원격 조종 및 잠금장치 해제하고 시동을 걸 수 있다고 래피드7은 보고서에서 지적했다. Hyundai Motor America (HMA)는이 취약성을 알게 된 후 연구 결과를 검증하기 위해 조사를 시작했으며 응용 프로그램의 보안을 강화하기위한 즉각적인 조치를 취했으며, 3월 소프트웨어를 버전 3.9.6으로 업데이트하여 문제를 해결함.
https://www.infosecurity-magazine.com/news/hyundai-mobile-app-flaw-remote/


HipChat, 서버 해킹에 따른 암호 재설정 재촉
- 그룹 메시징 플랫폼 인 HipChat은 서버 중 하나와 관련된 보안 사고가 발생하여 사용자들에게 암호를 재설정하도록 요청하였다. 해당 사고는 공격자가 이름, 전자메일 주소 및 암호(salt값으로 비크립트를 사용하여 해쉬됨)와 같은 사용자 계정 정보에 엑세스 할 수 있게 하였다.
http://www.securityweek.com/hipchat-prompts-password-resets-following-server-hack


FalseGuide 멀웨어 감염 앱, 수백만명이 Google Play 스토어에서 다운로드 했을 수 있음
-보안 연구 기관인 체크 포인트 (Check Point) 는 2백만 명의 안드로이드 사용자가 FalseGuide 악성 코드에 감염된 앱을 다운로드했을 것이라고 밝혔다. 해당 악성코드는 인기있는 게임에 대한 가이드 앱 약 50개 정도를 감염시켰다. 체크 포인트는 구글에 맬웨어의 존재를 경고했고, 구글은 온라인 앱 스토어에서 감염된 앱을 제거함으로써 신속하게 대응했다. FalseGuide는 애드웨어 전송에서부터 DDoS공격 수행 및 사기성 목적으로 봇넷을 활용할 수 있기 때문에 특히 위험한 것으로 나타났다.
http://www.technewsworld.com/story/84484.html

 

삼성 스마트 TV, Wi-Fi 다이렉트 기능으로 해킹 위험 존재
 - 사용자 인증을 위해 MAC 주소만 사용하기 때문에 Sniffing, spoofing 공격에 취약
https://www.bleepingcomputer.com/news/security/samsung-smart-tv-can-be-hacked-via-wi-fi-direct-feature/

첨부파일 첨부파일이 없습니다.
태그