Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 6월 27일] 주요 보안 이슈
작성일 2017-06-27 조회 2492

 

1. [기사]FBI, 2016년 사이버범죄로 인한 추산 피해 14억 달러에 이를것이라 발표
http://www.securityweek.com/fbi-145-billion-losses-internet-crime-reported-2016?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29
FIB는 최근 Internet Crime Report 2016 를 발표했다. 이 리포트는 Internet Crime Complaint Center (IC3) 의 자료를 기반해 제작됐다. 이 자료에 따르면 지난해 10억 달러의 누적 피해액에 이어 올해는 14억 달러를 기록했다고한다. 그러나 이 수치는 전체 그림의 일부일뿐이다. FBI는 미국 사기 피해자의 15 %만이 자신의 범죄를 법 집행 기관에 신고했다고 추정했다. 이 보고서에서 분석하고 상세히 기술한 가장 많은 범죄는 BEC(Business email compromise)와 개인정보 문제, EAC(Email Account Compromise), 랜섬웨어, 기술 지원 스캠, 그리고 강탈이다. 2016년에는 합법적인 비즈니스 e-메일 계정의 타협과 개인 정보( PII)또는 임금 계산서( W-2)양식에 대한 요구 사항을 포함하도록 신용 사기가 진화하였다. 지난 해 IC3는 BEC / EAC에 대한 12,000 건의 불만을 접수했으며 3 억 6 천만 달러 이상의 손실을 기록했다.

 

2. [기사] URL 하이픈(-)을 이용한 모바일 피싱 주의
https://www.krcert.or.kr/data/trendView.do?bulletin_writing_sequence=25966
PhishLabs이 페이스북 사용자를 겨냥한 새로운 피싱 트렌드 발견했다. PC와 비교하여 상대적으로 URL 입력창이 작은 모바일 브라우저의 허점을 악용하였다. 유명 웹페이지와 유사한 페이지 제작 후 URL 앞단에 하이픈을 두어 실제 도메인을 숨긴다. Apple, Comcast, Craigslist 등을 사칭한 URL이 발견되었지만 그 중에서도 Facebook이 가장 큰 비중을 차지하며, 직접적인 금전/정보 탈취 보다는 탈취된 Facebook 사용자의 상태 업데이트 및 비공개 메시지를 통해 더 많은 피싱 메시지를 보내려는 것이 목적이다. SMS, 모바일 메신저, 이메일 등을 통한 로그인 유도 링크 클릭 시 주의가 필요하며, 페이지 이동 시 링크 클릭보다는 URL 입력창의 직접 입력을 통한 페이지 접속 권고한다.

 

3. [기사] 유닉스 기반 운영체제, 관리자 권한 상승 취약점 발견
https://www.krcert.or.kr/data/trendView.do?bulletin_writing_sequence=25965
美 보안 업체 Qualys의 연구원, 유닉스 기반 운영체제에서 권한 상승 취약점(CVE-2017-1000364) 발견했다. 해당 취약점은 “스택 크래시(Stack Clash)”라고 불리며, 스택 메모리 영역에서 고의적으로 큰 값을 할당하여 힙 영역과 충돌하여 시스템의 비정상적인 동작을 유발하는 오버플로우 취약점이다. 지난 2005년과 2010년에도 스택과 관련된 오버플로우 취약점 이슈가 있었으나, 이번 취약점은 메모리 보호 기법까지 우회한 익스플로잇 코드가 공개되었다. 다수 운영체제에서 해당 취약점을 해결한 패치 버전을 발표했으므로, 이용자들은 최신 버전의 운영체제로 업데이트 할 것을 권고하며, 보안 패치가 발표되지 않은 운영체제의 경우, “ulimit –s” 명령어를 사용하여 로컬 사용자 및 원격 서비스에서 할당할 수 있는 스택 크기를 작은 값으로 설정한다.

 

4. [기사] Adobe Flash로 감염되는 Android Marcher Malware
https://www.zscaler.com/blogs/research/new-android-marcher-variant-posing-adobe-flash-player-update
Marcher는 온라인 뱅킹 자격 증명 및 신용 카드 세부 정보와 같은 사용자의 금융 정보를 도용하는 정교한 금융 악성 프로그램이다. 이 저자들은 음란물이나 새로운 게임에 대한 과대 광고와 같은 감염을 퍼뜨리기 위해 새로운 기술을 사용하고 있다. 최근의 파동에서, AdobeFlash플레이어로 위장한 멀웨어 페이로드를 목격하였다. dropper URL을 열면 디바이스의 플래시 플레이어가 최신 버전이 아니라는 메시지가 표시되고 사용자의 디바이스에서 멀웨어"Adobe_Flash_2016.apk"가 삭제된다.  또한 악성 코드는 사용자가 보안을 비활성화하고 타사 앱을 설치할 수 있도록 안내한다. Marcher 제품군의 잦은 변경으로 인해 악성 코드가 여전히 Android 기기에 대한 적극적이고 널리 퍼진 위협으로 남아 있다. 이러한 멀웨어의 피해자가되지 않도록하려면 Google Play와 같은 신뢰할 수있는 앱 스토어에서만 앱을 다운로드 해야 하며, 장치의 "보안"설정에서 " 알 수 없는 소스"옵션을 선택 해제하면 의심스러운 출처에서 의도하지 않은 다운로드를 방지할 수 있다.

 

5. [기사] google, Windows Defender의 바이러스 백신 툴 우회 취약점 발견
http://securityaffairs.co/wordpress/60434/hacking/microsoft-windows-defender-flaw.html
Google Project Zero 해커 인 Tavis Ormandy는 Windows Defender의 새로운 버그를 발견하여 공격자가 Microsoft 바이러스 백신 도구를 우회 할 수 있게 했다. Ormandy는 6 월 9 일에 Microsoft에 대한 취약점을 보고했다. 해당 취약점은 Windows Defender가 사용하는 sandbox가 아닌 x86 에뮬레이터에 있다. 전문가는 "apicall"명령은 시스템 권한으로 실행되는 내부 에뮬레이터 API를 호출 할 수 있다고 설명했지만 불행히도 기본적으로 원격 공격에 노출되어 있다. 또한,  KERNEL32.DLL! VFS_Write API 에서 힙 손상 문제를 발견했다. 버그 공개 후 Ormandy는 버그를 악용하기 위해 최소한의 테스트 사례를 발표했다.

 

6. [기사] 영국 의회, 사이버 공격에 의해 90Mps의 전자 메일 계정 해킹 당해
http://thehackernews.com/2017/06/uk-parliament-emails-hacked.html
http://www.securityweek.com/uk-parliament-cuts-email-access-after-cyberattack?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner
https://www.bleepingcomputer.com/news/security/uk-govt-wants-encryption-backdoors-but-cant-even-protect-its-email-servers-from-a-brute-force-attack/
금요일 아침 사이버 공격은 영국 의회의 이메일 시스템을 강타하여 하원 의원, 입법자 및 기타 국회의원들의 취약한 암호로 보호된 적어도 90건의 이메일 계정을 해킹했다.  한편,  보안 서비스는 이메일 계정을 보호하기 위해 일시적으로 웨스트 민스터 외부의 원격 접속망을 폐쇄했다. 전문가들은 이메일에 성공적으로 접근했다면 정치인들이 협박이나 테러 공격의 위험에 처해 있다고 경고했다. 이번 디도스 공격은 누구의 소행인지 불분명하지만 영국 내각 장관과 관리들의 암호가 해커들에 의해 온라인으로 유포되고 있다고 보도된 지 이틀 만에 발생한 것이다. 그러나 대부분의 영국 당국자들은 러시아와 북한이 영국 의회의 사이버 공격을 의심 하고 있다.

 

7. [기사] 러시아, 암호화된 통신 반대 텔레그램은 사용자 데이터 공개하지 않는다.
https://hotforsecurity.bitdefender.com/blog/russia-declares-war-on-encryption-telegram-doesnt-release-user-data-18274.html
http://thehackernews.com/2017/06/russia-telegram-data-law.html
러시아 연방 통신위원회(FSB) 정보 기관은 지난 4월 상트 페테르부르크에서 15명을 살해한 테러자들이 텔레 그램 암호화 메시징 서비스를 이용해 공격을 계획했다고 밝혔다. 러시아의 새로운 데이터 보호법에 따르면 1월 1일부터 모든 외국인 기술 기업들은 지난 6개월 동안 시민들의 개인 데이터와 암호화 키를 국가 내에 저장하도록 하며, 회사는 요구에 따라 당국과 공유해야 한다. 러시아는 암호화된 메시징 응용 프로그램이 러시아 내에서 활동하는 테러 조직들 사이에서 널리 보급 되면서 Telegram이 사용자의 채팅 및 암호 키를 공유하기를 원사용자들의 채팅과 암호화 키를 공유하길 원한다. 지금까지 Telegram은 600 만 명이 넘는 러시아 사용자의 개인 정보를 보호하기 위해 요구 사항을 준수하기를 거부했다. 작년 11 월, 세계 최대의 온라인 전문 네트워크인 LinkedIn 도 러시아 의 데이터 보호법을 준수하지 않았기 때문에 러시아에서 금지되었다.

 


8. [기사] Pro-ISIS 그룹, 3 개 주에서 미국 정부 웹 사이트 파손
http://securityaffairs.co/wordpress/60442/terrorism/pro-isis-group-defacement.html
오하이오 주지사 John Kasich를 포함하여 팀 시스템 DZ라고하는 프로 ISIS 그룹이 여러 정부 웹 사이트를 해킹했다. 해커들은 Team System DZ 라고 불리는 그룹에 속해 있으며, 이 그룹은 도널드 트럼프 미국 대통령의 정치에 대한 보복으로 웹 사이트를 목표로 삼았다. 해커들은 검은 색 바탕에 금색 글씨를 쓰고 있으며, 또한 아랍어로 쓰여진 이슬람 신앙의 기본 진술을 발표했다. 오하이오 행정 법원의 대변인 Tom Hoyt는 영향을 받은 모든 서버를 오프라인으로 옮겼고, 법 집행 기관이 사이버 공격을 조사하고 있다고 전했다. 해커들은 또한 메릴랜드 주의 하워드 카운티의 웹 사이트를 목표로 삼았다. 하워드 카운티 행정관 Allan H. Kittleman은 성명서를 통해 "데이터 유출은 없었으며 개인 정보가 유출되지 않았다. 하워드 카운티 정부는 법 집행 기관과 협력 중이며 수사가 진행 중이다."고 밝혔다.

 

9. [기사] 금융권 디도스? 아르마다 콜렉티브의 새로운 ‘공격 예고’일 뿐!

http://www.boannews.com/media/view.asp?idx=55458&mkind=1&kind=1
http://www.dailysecu.com/?mod=news&act=articleView&idxno=21274
지난 주 본지에서 보도했던 해킹그룹 아르마다 콜렉티브(Armada Collective)의 공격 예고가 오늘 또 벌어졌다. 금융감독원에 따르면 금융결제원, 수협은행, 대구은행, 전북은행 등 4개 금융기관이 아르마다 콜렉티브로부터 1Gbps 남짓의 디도스 공격과 함께 다음 주 월요일(7월 3일)까지 비트코인을 내놓지 않으면 본격적인 공격을 가할 것이라는 협박 메일을 받은 것으로 알려졌다. 아르마다 콜렉티브는 지난 주 수요일에 7개 금융기관·기업에 협박 메일과 과시용 공격을 가했으며, 오늘 또 4개의 금융기관·기업에 협박 메일을 보내고 과시용 공격을 한 것이다.한편, 오늘 공격받은 4개의 금융기관·기업은 최대 1Gbps 수준의 디도스 공격을 받았지만, 홈페이지 접속이 조금 느려진 수준이었으며, 공격받은 것으로 알려진 KDB생명은 단순 장비이상으로 홈페이지가 잠깐 접속이 안됐을 뿐 이번 공격과는 무관한 것으로 확인됐다.

 

10. [기사] [긴급] 문서파일로 위장한 C&C 악성코드 유표 중
http://www.boannews.com/media/view.asp?idx=55459&mkind=1&kind=1
http://www.dailysecu.com/?mod=news&act=articleView&idxno=21262
최근 이력서 및 경고장 등 문서 파일로 위장한 악성코드 유포 사례가 발견되어 사용자의 주의가 필요하다고 안랩이 밝혔다. 안랩에 따르면, 하반기 취업시즌을 앞두고 특정인의 이름을 붙인 이력서로 위장한 PDF 파일이 유포중이다. 하지만 아이콘의 모습은 PDF 문서지만 실제로는 악성코드가 포함된 실행파일(.exe)이다. 피해자가 무심코 이 파일을 실행하면 악성코드 설치와 함께 이력서 형태의 정상 PDF 파일도 실행되기 때문에 사용자가 감염여부를 의심하기 어렵다.경고장을 사칭한 악성코드도 발견됐다. ‘광고표시의무위반내역’이라는 이름으로 유포된 이 악성코드는 엑셀파일의 아이콘으로 위장했다. 악성 문서파일도 실제로는 악성코드가 포함된 실행파일(.exe)이며, 실행 시 악성코드 설치와 동시에 문자 광고의 의무표시위반내역처럼 보이는 엑셀파일을 사용자에게 보여준다. 안랩 ASEC대응팀 박태환 팀장은 “공격자들은 사용자의 의심을 피하기 위해 PDF나 엑셀 등 문서파일을 위장하는 경우가 많다”며, “출처가 불분명하거나 파일 확장자명이 아이콘과 다르다면 실행을 자제하는 것이 좋다”고 말했다.

 

11. [기사] 어나니머스 공격조직, “한국은행 영문사이트에 SQL인젝션 공격” 주장
http://www.dailysecu.com/?mod=news&act=articleView&idxno=21291
어나니머스 공격조직으로 활동하고 있는 트위터 계정 @Scode404(MINION GHOST)가 26일 오전 8시경 트위터에 “한국은행 영문사이트에 SQL인젝션 공격을 진행했다”고 밝혔다.이들이 게시한 글을 보면, SQL인젝션 공격을 실행한 웹사이트는 한국은행 영문홈페이지로 확인됐다. 그들은 6일 동안 해당 사이트를 공격했다고 밝히고 있다.이들의 한국은행 영문사이트 SQL인젝션 공격에 대해 한국은행 관계자는 “이미 이들이 트위터에 올린 내용을 알고 있다. 크고 작은 공격은 항상 발생하고 있지만 SQL인젝션 같은 공격은 보안장비에서 차단하고 있다. 그리고 한국은행 웹사이트 특히 영문 웹사이트는 어떠한 금융정보도 포함돼 있지 않다. 즉 그들이 SQL인젝션 공격으로 DB에서 가져갈 금융정보는 없다. 또한 SQL인젝션 공격과 같은 특이 사항이 보고된 바도 없다”고 밝혔다.

첨부파일 첨부파일이 없습니다.
태그 문서파일로 위장한 C&C 악성코드  아르마다 콜렉티브  Pro-ISIS 그룹  Android Marcher Malware  URL 하이픈(-)을 이용한 모바일 피싱