Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 4월 28일] 주요 보안 이슈
작성일 2017-04-28 조회 2961

[기사] 리눅스 시스템을 겨냥한 Shishiga malware
 - 4가지 다른 프로토콜(SSH, Telnet, HTTP 및 BitTorrent)을 사용
 - Lua 스크립트를 사용하여 모듈러 구현 및 Brute Force 공격
 - Shishiga 및 유사한 웜에 감염되는 것을 방지하려면 기본 텔넷 및 SSH 사용 금지
http://securityaffairs.co/wordpress/58370/malware/shishiga-malware.html

 

[기사] 랜섬웨어 및 기타 공격을 허용하는 새로운 SCADA 결함
http://www.securityweek.com/new-scada-flaws-allow-ransomware-other-attacks

 

[기사]Microsoft,  6개월만에 Office 익스플로잇 수정
- 해커가 Word 문서에 공격을 위장할 수있게 하는 결함에 대해 알게된후, Microsoft는 패치를 릴리스하는데 반년이 걸렸다. Microsoft가 2016 년 10 월에 알게된 것으로 알려진 해당 악용 사례는 .doc 파일에 악성 코드를 숨기고, 피해자가 .doc 파일을 열면 자동으로 서버에 연결되어 해커가 장치를 완전히 제어 할 수있는 HTML 응용 프로그램을 다운로드한다.
https://www.cnet.com/news/microsoft-office-exploit-six-months-patch/

 

[기사] Hajime 봇넷이 300,000개의 봇으로 늘어남에 따라 보안전문가 우려.
-끊임없이 증가하는 Hajime봇넷은 300,000 개의 감염된 장치로 추정되는 막대한 규모에 도달하여 보안 연구원은 걱정하기 시작했다.
-Hajime은 DDoS 공격과 같은 악의적인 행동을 수행하는데 전혀 사용되지 않았지만, 연구원은 악의적인 행위자가 원래 작성자로부터 봇넷의 작업을 인수할 수 있다고 우려한다.
https://www.bleepingcomputer.com/news/security/security-experts-worry-as-hajime-botnet-grows-to-300-000-bots/

 

[기사] xDedic 마켓 플레이스에서 판매 가능한 85,000개 이상의 해킹된 RDP 서버
- 해킹된 서버들을 판매하거나 대여하기 위한 마켓플레이스인 xDedic통해 판매 및 대여할 수 있는 85,000개 이상의 RDP서버가 있다. Kaspersky 전문가들은 해당 사이트에서 7만개 이상의 해킹된 서버에 대한 액세스를 판매했음을 밝혀냈다. 카스퍼스키의 폭로에도 불구하고 xDedic이 번성했다. 해킹 된 RDP 서버의 거의 4분의3이 교육 기관에 있었으며 대부분의 서버는 미국, 독일 및 우크라이나에 위치했다. xDedic만이 해킹된 RDP 서버에 손을 댈 수있는 유일한 곳은 아니며, 루마니아어 도메인에서 호스팅되는 최근에 출시된 Spammer라는 서비스도 유사한 서비스를 제공한다. Spammer는 RDP 외에도 이메일 스팸 목록, 해킹 된 Linux 서버에 대한 루트 액세스 및 SMTP 서버 해킹을 판매하고 있다.
https://www.bleepingcomputer.com/news/security/over-85-000-hacked-rdp-servers-still-available-for-sale-on-xdedic-marketplace/

 

[기사] 삼성 스마트TV Wi-Fi Direct 잘못된 인증
- [NESESO-2017-0313](http://neseso.com/advisories/NESESO-2017-0313.pdf), 타이젠 OS 에서 구동되는 삼성스마트TV 인증되지 않은 사용자가 Wi-Fi Direct 를통해 신뢰할 수 있는 장치로 가장하여 무제한 접근할 수 있는 취약점. UN32J5500 Firmware version 1480 에서 테스트. 다른 기기도 취약할 수 있음. [exploitalert.com](http://www.exploitalert.com/view-details.html?id=26539)

 

[기사] 유명 BitCoin 채굴장비서 백도어 발견
- 익명의 보안 연구원은 동종업계 가장 큰 벤더인 [Bitmain](https://www.bitmain.com/)이 판매중인 비트코인 채굴기에 존재하는 원격접근 백도어에 대한 내용을 발표했다. 이 내용은 Antbleed 라 명명. 이 [백도어 코드](https://pastebin.com/jREuwQ8b)는 지난 2016년 6월 11일 Bitmain 제품 펌웨어에 업데이트됐다. 이 익명의 연구원은 2016년 9월 19일 해당 벤더가 공개한 소스코드가 있는 GitHub 페이지를 통해 [이 이슈에 대한 사항을 언급](https://github.com/bitmaintech/bmminer/issues/7)했다. 최근까지 무대응으로 일관하던 제조사에 대해 백도어의 세부사항을 설명하는 [antbleed.com](http://www.antbleed.com/)을 개설하는것으로 대응. 이 백도어로 원격에서 채굴장비 종료가 가능, 여러 Bitmain 제품에서 동일 백도어가 발견, 근 70% 기기에 영향, 등의 특징이 있다. 백도어인가? DRM 인가? 에 대해 논란은 아직 있어. [기사원문](https://www.bleepingcomputer.com/news/security/backdoor-code-discovered-in-popular-bitcoin-mining-equipment/)

 

[기사] MS, Win10 Creators Update 수동 설치 지양권고
- 수동으로 Win10 Creators Update(이하 CU) 클린버전을 설치한 사용자들은 CU에 있는 버그를 피하기위해 MS가 마련한 필터와 제한사항을 우회하기 때문. [기사원문](https://www.bleepingcomputer.com/news/microsoft/microsoft-advises-against-manually-installing-windows-10-creators-update/)

 

[기사] 랜섬웨어 공격을 허용할 수 있는 신규 SCADA 취약점
- 최근 CRITIFENCE 와 조지아공대 연구원들은 ICS(Industrial Control Systems)를 공격하도록 설계된 POC 랜섬웨어에 대해 발표했다. ICS 연구원 Alexandru Ariciu 는 Scythe 라고 명명한 이 랜섬웨어 공격은 상대적으로 주의를 덜 기울이는 SCADA 장비또한 공격할 수 있다고 밝혔다. 자세한 내용은 [기사원문](http://www.securityweek.com/new-scada-flaws-allow-ransomware-other-attacks?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29)

 

[기사] 세계에서 가장 안전한 전자 메일 서비스 Nomx, 버그로 가득 차 있어 해킹하기 쉬움
http://news.softpedia.com/news/nomx-world-s-most-secure-email-service-is-full-of-bugs-easy-to-hack-515238.shtml
- Nomx 제품 전체에 대해 많은 문제를 발견했지만, 가장 위험한 것은 웹 응용 프로그램이 단순한 방문을 통해 원격으로 장치를 완전히 제어할 수 있는 취약성이 존재한다는 것이다. 이메일을 읽고, 보내고 삭제할 수 있었으며 심지어 새 이메일 주소를 만들 수도 있다. 특히 Nomx 웹 앱은 일반적인 공격 방법인 사이트 간 요청 위조 취약성에 취약하다. 악성 웹 사이트를 방문하면 해커가 Nomx에서 실행중인 이메일 계정에 액세스 할 수 있다.

 

[기사] 이란 해커들이 마이크로소프트 워드 결함을 이용해 이스라엘 공격에 이용함
https://www.cyberscoop.com/iranian-hackers-used-a-microsoft-word-flaw-in-a-campaign-against-israeli-targets/
- 이란 정부에 연계된 해커들이 250개가 넘는 이스라엘 기반 대상에 대해 이번 달 간첩 간첩 작전을 개시했다. 공식적으로 CVE-2017-0199라고 알려진 Word의 소프트웨어 결함을 이용하여 공격자가 원격 컴퓨터 침입을 통해 대상 장치를 완전히 제어할 수 있도록 한다. CVE-2017-0199는 3월에 공개된 후 국가와 사이버 범죄자들에 의해 빠르게 악용되었다. 대부분의 보안 및 바이러스 백신 보호를 우회할 수 있는 악성 코드의 변형인 Hanictor트로이 목마를 다운로드 하게 된다. 이란 작전은 다양한 이스라엘 기술 및 의료 회사를 포함하도록 빠르게 확장되었다. CVE-2017-0199를 사용하면 사용자가 악의적인 공격이 포함된 문서를 열 때마다 PowerShell명령이 포함된 Visual Basic 스크립트를 다운로드하고 실행할 수 있다. 악용 후 실행되는 맬웨어 페이로드는 모든 종류의 맬웨어 변종 군에서 나올 수 있다. 파일리스이므로 탐지하기가 매우 어렵다.

 

 

첨부파일 첨부파일이 없습니다.
태그