Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 6월 22일] 주요 보안 이슈
작성일 2017-06-22 조회 1998

 

 

 

1. [기사]차기 윈도우즈10, 빌트인 EMET Anti-Exploit 도구 구축 계획 중
http://thehackernews.com/2017/06/windows10-built-in-emet.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29
Microsoft는 Windows 10 Creator Update (RedStone 3이라고도 함) 커널에 EMET anti-exploit 도구를 구축할 계획 인 것으로 보이며 2017 년 9 월/10 월에 릴리스될 예정이다. 사실이라면, 이것은 사용자 보안을 향상시키기 위해 SMBv1 을 제거 할 계획을 세우고 Microsoft가 Windows 10 가을 업데이트에서 두 번째로 큰 변화가 될 것이다. 현재 선택 사항인 EMET 또는 Enhanced Mitigation Experience Toolkit은 제로 데이 취약점과 같은 복잡한 위협으로부터 컴퓨터의 보안을 강화하도록 설계된 Microsoft의 Windows 운영 체제 용 무료 안티 익스플로잇 툴킷이다. EMET은 알려진 보안 취약성 및 취약점에 대한 내부 운영 체제 작업을 관찰하고 OS 및 타사 응용 프로그램에서 공격을 차단함으로써 작동하는 시스템 차원 및 응용 프로그램 별 보호 기능을 제공한다. 이 외에도 맬웨어가 운영 체제와 상호 작용하는데 사용하는 스택 및 버퍼 오버플로 공격에 취약 할 수있는 응용 프로그램에 버퍼 오버플로우 보호 기능을 제공한다.

 

2. [기사] NSA, 자체개발 32개의 프로젝트가 있는 Github 계정 공개
http://thehackernews.com/2017/06/nsa-github-projects.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29
비밀리에 알려져 있고 어둠 속에서 일하는 미국 정보 기관인 NSA (National Security Agency)는 마침내 GitHub에 가입하여 공식 GitHub 페이지를 시작했다. GitHub는 프로그래머들과 오픈 소스 커뮤니티 사이에서 코드를 공유하기 위해 고안된 온라인 서비스이다. 지금까지 NSA는 NSA기술 이전 프로그램의 일환으로 32개의 서로 다른 프로젝트를 공유하고 있으며, 일부는 곧 출시 될 예정이다.

 

3. [기사]Honda 자동차 생산공장 WannaCry 로 일시 중단
http://news.softpedia.com/news/honda-shuts-down-car-production-plant-due-to-wannacry-infection-516583.shtml
https://www.bleepingcomputer.com/news/security/one-month-later-wannacry-ransomware-is-still-shutting-down-factories/
https://www.reuters.com/article/us-honda-cyberattack-idUSKBN19C0EI
https://threatpost.com/honda-shut-down-plant-impacted-by-wannacry/126429/
Reuters 의 보고서에 따르면 WannaCry는 ransomware 발발이 시작된 지 약 1 개월 만인 지난 주 Honda의 시스템에 처음으로 도달했으며, 회사의 IT부서는 여러 보호 시스템을 구축했지만 결국 효과가 없는 것으로 판명했다. Honda의 엔지니어가 네트워크에 속한 시스템에 어떤 보호 시스템을 설치했는지는 알려지지 않았지만 WannaCry가 여전히 컴퓨터를 손상시킬 수 있다는 점을 감안할 때 Microsoft의 최신 패치를 실행하지는 않은것으로 보인다.  Honda는 일요일 네트워크에서 WannaCry 감염을 처음으로 발견 했고, 다음날 자동차 제조 회사는 도쿄 북서부의 Sayama 공장에서 ransomware를 제거하고 다른 시스템으로 확산되는 것을 방지하기 위해 생산을 중단하기로 결정했다. onda에 따르면 북미, 유럽, 중국 및 기타 지역의 네트워크도 손상되었지만 다른 모든 시설의 생산에는 영향을 미치지 않았다고 한다.

 

4. [기사]확인 버튼을 누르지 않아도 정보를 수집하는 웹사이트들
http://thehackernews.com/2017/06/online-form-privacy.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29
기즈모 (Gizmodo)는 NaviStone의 코드가 수백 개의 웹 사이트에서 사용된다는 사실을 발견 했는데, 이는 '보내기'또는 '제출'을 누르기 전에 웹 양식으로 정보를 채울 때 자바 스크립트를 사용하여 백그라운드로 해당 정보를 자동 캡쳐한다. Gizmodo가 수십 개의 웹 사이트를 테스트한 결과 대부분의 사이트에서 방문자의 이메일 주소만 캡처했지만 일부 웹 사이트는 집 주소 및 기타 입력되거나 자동 채워진 정보와 같은 개인 정보도 캡처 한 것으로 나타났다. 귀하의 동의없이 귀하의 데이터를 수집하는 그러한 웹 사이트로부터 자신을 보호하기 위해 브라우저, 암호 관리자 또는 확장 설정에서 기본적으로 사용되는 자동 완성 양식 기능을 비활성화하는 것을 고려해야 한다.

 

5. [기사] DVR에서 악성코드는 여전히 위험
https://securityintelligence.com/news/dvrs-prove-iot-malware-is-still-dangerous/
펜 테스트 파트너 (Pen Test Partners) 연구원인 켄 먼로 (Ken Munro)는 30개 이상의 DVR 하드웨어 브랜드를 조사했는데, 그 중 포트 80에 악용 가능한 버퍼 오버 플로우가 발생하여 100 만 개 이상의 장치로 구성된 새로운 DVR 봇넷이 생길 수 있다는 것을 밝혔다. 장치의 웹 서버에 있는 GET 요청은 원격 코드 실행을 허용하도록 만들 수 있으며, 이 웹 서버는 기본적으로 사용자가 원격으로 DVR을 관리 할 수 있도록 활성화되어 있다. 원격 코드 실행 중에 최소 153자를 추가하면 주요 소피아 프로세스가 중단되고 다시 부팅된다. DVR의 모든 프로세스가 루트로 실행되기 때문에 공격하는 동안 주입되는 명령은 모두 동일하게 수행된다. 흥미롭게도, Bleeping Computer 는 Pen Test Partners가 표준 Mirai 봇넷을 원격으로 파쇄 할 수있는 방법을 발견했다고 설명했다. 그러나이 방법을 사용하면 일반적으로 공격 코드를 지우는 전원 끄기 재부팅 이외에도 미이라를 영구적으로 유지할 수 있다.

 

6. [기사] 해커들 "비트코인 내놔라"…시중은행 7곳에 '디도스' 협박
http://news.naver.com/main/read.nhn?mode=LSD&mid=shm&sid1=105&oid=015&aid=0003785282
국제해킹그룹 아르마다컬렉티브가 국내 시중은행 7곳에 오는 26일까지 비트코인을 내놓지 않으면 디도스(DDoS·분산서비스거부) 공격을 하겠다고 협박한 것으로 알려졌다. 협박을 받은 은행은 국민, 우리, 신한, KEB하나, 농협 등이다. 해킹그룹은 이메일을 보내 10~15비트코인을 자신들의 계좌로 보내지 않으면 디도스 공격을 가하겠다고 했다.한 시중은행 관계자는 “디도스 공격에 대비해 비상근무 체제에 돌입해 24시간 모니터링을 강화하고 있다”며 “금융당국과 통신사 등 유관기관과 적극 협조해 대응할 예정”이라고 말했다.

 

7. [기사] "알고도 당했다" 보안백신까지 뚫은 '랜섬웨어'
http://news.naver.com/main/read.nhn?mode=LSD&mid=shm&sid1=105&oid=421&aid=0002799366
올 2월 발견된 변종 랜섬웨어가 최신 버전으로 업데이트된 국산 백신 프로그램까지 뚫었다. 해당 백신 프로그램은 이 랜섬웨어를 방어하는 기능을 적용하고도 PC 감염을 막지 못한 것으로 확인됐다. 22일 보안업계에 따르면 국산 백신 프로그램을 사용하는 A사의 PC 수십여대가 '세이지 2.2 랜섬웨어'에 감염됐다. 세이지 2.2 랜섬웨어는 바탕화면 이미지가 바뀌면서 PC 내 중요 파일들이 암호화되는 랜섬웨어다. 보통 이메일의 첨부파일이나 P2P를 통해 감염된다.안랩과 이스트소프트 등 국내 백신업체들 모두 이 랜섬웨어뿐만 아니라 변종까지 방어하는 기능을 자사의 백신 프로그램에 적용했다.  그러나 이 백신 프로그램을 사용한 A사가 랜섬웨어에 감염된 것이다. 랜섬웨어 공격을 가하는 해커는 1.5 이상의 비트코인을 요구하고 있지만 A사는 이에 응하지 않은 것으로 알려졌다. 이에 대해 보안업계에선 "백신 프로그램을 최신 버전으로 업데이트해도 랜섬웨어를 100% 막는 것은 불가능하다"는 입장이다. 침투방식을 바꾸면 백신 프로그램을 충분히 무력화시킬 수 있다는 것이다.

 

8. [기사] TeslaWare 러시아어 룰렛을 재생해
https://www.bleepingcomputer.com/news/security/teslaware-plays-russian-roulette-with-your-files/
 테슬라웨어가 블랙햇 사이트에서 사용자 정의에 따라 35-70유로에 판매 되고 있다. 테슬라웨어는 .NET 랜섬웨어이므로 랜섬웨어가 어떻게 작동하는지 완벽하게 볼 수 있다.테슬라웨어 시작시 AES-256 암호화를 사용하여 파일을 암호화하며, 특정 파일 확장명을 대상으로하는 대부분의 랜섬웨어와 달리 .Tesla, .lnk, .exe, .dll 및 .sys로 끝나는 모든 파일을 암호화 한다.파일 암호화 시, TeslaCrypt는 .Tesla 확장자를 암호화된 파일에 추가한다.

 

9. [기사] 오래된 트릭을 사용하는 새로운 악성코드, UPnP을 사용하지 않도록 설정
https://nakedsecurity.sophos.com/2017/06/21/new-malware-uses-old-trick-and-is-a-reminder-to-disable-upnp/
Pinkslipbot은 감염된 시스템을 HTTPS 기반 제어 서버로 사용하는 최초의 맬웨어이다. 문제는 UPnP가 Naked Security가 이전에 작성한 위험 요소인 게이트웨이의 방화벽을 통해 포트를 유용하게 열어서 이 작업을 수행한다는 것이다. 초기 감염으로부터 빠른 미국 기반 연결을 확인한 후, Pinkslipbot은 27 개의 다른 내부 및 외부 포트에서 이러한 단축키 중 하나 이상을 설정하여 제어 서버가 성공할 때 알릴 수 있다. 이런 식으로 UPnP를 납치하는 것은 드문 일이다. Pinkslipbot은 UPnP와 같은 간단한 것을 악용하여 정교한 작업을 수행하는 방법에 대한 개념 증명의 역할을 한다. 게이트웨이 라우터의 WAN 설정을 방문하고 UPnP를 완전히 비활성화하는것을 권장한다.

첨부파일 첨부파일이 없습니다.
태그 Pinkslipbot  TeslaWare  세이지 2.2 랜섬웨어