Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 5월 22일] 주요 보안 이슈
작성일 2017-05-22 조회 2449


1.[기사] 더 많은 해킹 그룹이 WannaCry가 SMB 결함을 악용하기 이전에 SMB 결함을 발견한 것으로 나타남
http://thehackernews.com/2017/05/eternalblue-smb-exploit.html
해킹 및 인텔리전스 커뮤니티의 여러 출처에서 Eternalblue를 다양한 동기로 적극적으로 활용하고 있는 그룹 및 개인이 많다는 사실이 확인되었다. 또한 Eternalblue SMB 익스플로잇 (MS17-010)은 해커뿐만 아니라 연구원도 쉽게 이용할 수 있는 침투 테스트 프레임 워크 인 Metasploit에 이식되었다. 정교한 해커들이 백도어, 봇넷 맬웨어를 설치하고 사용자 자격 증명을 빼내기 위해 Eternalblue를 활용하고 있기 때문에 새로 발견된 두 가지 해킹 캠페인은 WannaCry보다 훨씬 앞선 것이다. Secdo에 따르면 WannaCry를 차단하고 SMB Windows 패치를 차단하더라도 영향을 받는 시스템에 백도어가 계속 액세스하여 자격 증명을 사용하여 액세스 권한을 다시 얻을 수 있기 때문에 이러한 공격은 WannaCry보다 훨씬 큰 위험을 초래할 수 있다고 한다.
러시아 캠페인 : 자격 증명 도용 공격 / 중국 캠페인 : Rootkit 및 DDoS Botnet 설치

 

2.[기사] 테러 공격 키트, 시스템 지문 인식 기능 제공
http://www.securityweek.com/terror-exploit-kit-gets-fingerprinting-capabilities
테러 개발 키트(EK)에 대한 최근 변경으로 인해 카펫을 폭파하는 대신 피해자의 지문을 채취하고 특정 취약점을 공격 대상으로 할 수 있다고 연구원은 전한다. 이제는 위협이 더 많은 악용 사례를 추가했으며 운영 체제, 패치 수준, 브라우저 버전 및 설치된 플러그인을 기반으로 어떤 악용이 성공할지를 결정하기 위해 피해자의 시스템을 지문 채취하고 있습니다. 익스플로잇 키트 시장이 지속적인 변화를 겪고 있다.

 

3.[기사] Wannacry : 답을 안한 질문들이 너무 많기 때문에 우리가 여전히 알아야 할 모든 것
http://www.theregister.co.uk/2017/05/20/wannacry_windows_xp/
보안 연구원은 어떻게 시작했는지를 파악했다고 생각한다. 많은 사람들은 감염된 첨부 파일을 사용하여 이메일을 통해 조직에 불쾌한 코드가 전달될 것으로 추정했다. 그러나 철도, 통신 사업자, 대학, 영국의 NHS 등에 들어간 맬웨어의 첫 번째 반복은 이러한 상호 작용이 필요하지 않았다. Malwarebytes의 조사관에 따르면 이메일 첨부 파일은 사용되지 않았다. 대신 맬웨어 운영자는 공중 인터넷에서 취약한 SMB 서비스를 실행하는 시스템을 검색하고 NSA의 유출된 EternalBlue 및 DoublePulsar 사이버 무기를 사용하여 감염 시켰습니다.

 

4.[기사] SSD, 변경된 사용자 데이터에 대한 공격에 취약함(프로그램 간섭 취약점, 읽기 방해 취약점)
https://www.bleepingcomputer.com/news/hardware/ssd-drives-vulnerable-to-attacks-that-corrupt-user-data/
고체 상태 드라이브 (SSD)의 구성 요소 인 NAND 플래시 메모리 칩에는 저장된 데이터를 변경하거나 SSD의 수명을 단축하기 위해 악용될 수 있는 취약점이 존재한다. 부동 게이트 트랜지스터를 NAND 플래시 메모리 칩에 통합 할 수 있다.이 기술은 두 비트의 정보를 충전 전압 범위 00, 01, 10 및 11의 이진수를 나타내는 값이다.이 새로운 기술은 MLC (Multi-Level Cell)라고하며 MLC에 영향을주는 프로그래밍 로직은 적어도 두 가지 유형의 공격에 취약하다. 첫 번째는 공격자가 특정 패턴의 데이터를 대상의 SSD에 기록할 때 "프로그램 간섭"이라고 명명된 공격이다. 공격자가 반복적인 간섭을 일으킬 경우 로컬 데이터를 손상시키거나 SSD의 수명을 단축 할 수 있다. 공격자는 반복적인 읽기-쓰기 작업에서 RAM 메모리 셀의 행을 폭격하여 근처의 셀 비트를 뒤집는 전기 간섭을 일으킨다. 두 번째 취약점은 읽기 방해이다. 이 공격 시나리오에서 공격자의 악용 코드는 SSD가 매우 짧은 시간 내에 많은 수의 읽기 작업을 수행하게 하여 "읽기 방해 오류"현상을 일으킨다. 연구원들은 이러한 판독 방해 오류가 "부분적으로 프로그래밍된 워드 라인 및 아직 작성되지 않은 페이지에 이미 쓰여진 페이지를 모두 손상시켜" 향후 SSD의 안정적인 방식으로 데이터를 저장하는 기능을 망칠 것이라고 말한다.

 

5.[기사] Google은 Android 사용자를 보호하는 기계 학습 시스템 Google Play Protect 출시
http://securityaffairs.co/wordpress/59309/mobile-2/google-play-protect.html
앱이 Play 스토어에 업로드되고 기기에 설치되면 Google은 이미 앱 확인 및 Bouncer 서비스와 같이 스마트 폰을 보호하기 위해 여러 가지 보안 수단을 사용한다. Google은 앱의 동작을 모니터링 할 수 없었다. Google Play Protect는 기기 학습 및 앱 사용 분석을 구현하여 휴대 기기의 악성 활동을 식별한다. Google Play Protect for는 다음 기능을 구현한다. 앱 검색, 도난 방지 대책, 브라우저 보호 기능이 그것이다. Google의 보호 시스템에서 구현되는 기계 학습 알고리즘은 앱 동작을 비교하고 악의적인 패턴과 일치하는 행동을 식별할 수 있다. Google에서 구현한 또 다른 흥미로운 기능은 Chrome의 세이프 브라우징 기능이다. Google Play Protect는 탐색하는 동안 사용자를 보호합니다. 이 기능은 모바일 장치에 악성 코드를 제공하도록 설계된 악성 웹 사이트를 차단한다.

 

6.[기사] 미국 병원의 의료 기기, WannaCry Ransomware에 감염됨
http://securityaffairs.co/wordpress/59299/breaking-news/wannacry-ransomware-hospitals.html
MRI 스캔을 돕기 위해 인체 내부에 조영제를 주입하는 데 사용되는 바이어 Medrad 방사선 장비가 감염된 의료 기기였다. 포브스는 환자에게 조영제를 전달하는 데 도움이 되는 파워 인젝터로서 업계에서 알려진 것을 모니터링하는데 사용되는 장치라고 전했다 . Windows Embedded 운영 체제 버전에서 실행 중이며 SMBv1 프로토콜을 지원하기 때문에 의료 장치가 감염되었다. Siemens는 Healthineers 제품이 WannaCry에 취약하다는 사실을 인정했다.

 

7.[기사]WannaCrypt 이전에 NSA 익스플로잇을 악용한 스텔스 백도어
http://www.securityweek.com/stealth-backdoor-abused-nsa-exploit-wannacrypt

 

8.Google, 모든 Android 기기에 새로운 행동 기반 멀웨어 스캐너 추가
 -Google은 Android 기기에 대한 또 다른 보안 방어 수단 인 Google Play Protect 를 도입했다. 백그라운드에서 자동 실행되는 Google Play Protect는 실제로 Play 스토어에 표시되기 전에 앱을 분석 할뿐만 아니라 기기에 설치된 후에도 앱을 분석한다.이를 위해 Google은 자동으로 앱 동작을 비교하고 비정상적으로 동작하는 것을 구별하는 기계 학습 알고리즘을 사용하며,악성 앱을 발견하면 경고 메시지를 표시하거나 더 이상의 피해를 막기 위해 앱을 사용 중지한다. Google Play Protect가 도입됨에 따라 Android 기기 관리자가 내 기기 찾기 기능 으로 대체되어 분실하거나 잘못 배치 된 기기를 찾는 데 사용되며,브라우저 나 다른 기기를 사용하여 Android 기기를 원격으로 호출, 위치 지정 및 잠금하거나 데이터를 지우고 민감한 정보를 원격으로 보호 할 수 있다. Chrome에 있는 안전 브라우징 기능으로 Play Protect는 사용자가 인터넷 검색을 하는 동안에 안전한 상태를 만들어준다. 의심스러운 행동을하는 웹 사이트를 방문하면 안전 브라우징 기능이 사용자에게 경고하고 스케치가 느껴지거나 안전하지 않은 것으로 보이는 웹 사이트를 차단한다.
http://thehackernews.com/2017/05/google-play-protect-android.html


9.[기사]WikiLeaks, 모든 버전의 Windows를 대상으로하는 'Athena'CIA 스파이 프로그램 발표
 - WikiLeaks는 스파이웨어 프레임워크에 대해 자세히 설명하는 Vault7 누수의 새로운 배치를 발표했다. 스파이웨어 프레임워크는 대상 컴퓨터에 원격 신호 및 로더 기능을 제공하며, Windows XP 부터 Windows 10까지의 Microsoft Windows 운영체제의 모든 버전에 대해 작동하고, CIA에 의하여 사용되어지는 것으로 보인다. Athena/Hera라고 불리는 스파이웨어는 데이터를 삭제하거나 악성 소프트웨어를 업로드하고, 기관으로 하여금 도둑질을 포함한 대상 시스템에 모든 일을 수행하는것을 가능하게 하며, 원격으로 감염된 윈도우 PC를 완벽하게 제어 할 수 있도록 설계되었으며,데이터를 수집하여 CIA서버에 보낸다.
http://thehackernews.com/2017/05/athena-cia-windows-hacking.html


10.[기사] 사용자 데이터를 변형시키는 공격에 취약한 SSD장치
 - SSD의 구성 요소 인 NAND 플래시 메모리 칩에는 저장된 데이터를 변경하거나 SSD의 수명을 단축하기 위해 악용 될 수있는 프로그래밍 취약점이 포함되어 있다. MLC(Multi-Level Cell)에 영향을주는 프로그래밍 로직은 적어도 두 가지 유형의 공격에 취약하다. 첫 번째는 공격자가 특정 패턴의 데이터를 대상의 SSD에 기록 할 때 "프로그램 간섭"이라고 명명 된 공격이다. 익스플로잇의 데이터 패턴은 MLC의 프로그래밍 로직이 이웃 NAND 플래시 메모리 셀에서 간섭을 일으키는 부작용과 함께 평소보다 더 많은 에러를 발생시킨다. 해당 공격은 공격자가 반복적인 간섭을 일으킬 수 있는 경우 로컬 데이터를 손상 시키거나 SSD의 수명을 단축 할 수 있다. 두 번째 취약점은 "읽기 방해"라고 불리는 것이다. 이 공격 시나리오에서 공격자는 SSD가 매우 짧은 시간 내에 많은 수의 읽기 작업을 수행하게하여 "읽기 방해 오류"현상을 일으킨다. 연구원들은 이러한 판독 방해 오류가 "부분적으로 프로그래밍된 워드라인으로 이미 쓰여진 페이지 및 아직 작성되지 않은 페이지를 모두 손상시켜 "향후 SSD의 안정적인 방식으로 데이터를 저장하는 기능을 망칠 것이라고 말한다.
https://www.bleepingcomputer.com/news/hardware/ssd-drives-vulnerable-to-attacks-that-corrupt-user-data/


11.[기사]아직 끝나지 않은 랜섬웨어 사태! 토플 시험 취소에다 변종 우려까지
 - 토플 시험장 PC 랜섬웨어로 시험 취소 사태
 - CGV, 랜섬웨어 감염 여파로 비상대피도 영상 상영 못해
 - 변종 재 반격 가능성으로 2차 피해 우려까지
http://www.boannews.com/media/view.asp?idx=54858


12.[기사][긴급] 온라인 모임 앱, ‘밴드(BAND)’ 계정 도용 당했다!
 - 19일 오전 피해사례 올라와...계정 도용해 성인 광고 글 올려
 - 밴드 측, 해킹이 아닌 계정 도용 주장...지난 주 CJ ONE 피해 등 계정 도용사례 증가
http://www.boannews.com/media/view.asp?idx=54832&kind=1

첨부파일 첨부파일이 없습니다.
태그