Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 6월 30일] 주요 보안 이슈
작성일 2017-06-30 조회 2188

1. [기사] 미국의 핵 시설을 겨냥한 사이버 공격 발생, 조사중
https://www.eenews.net/stories/1060056628
미국 당국은 올해 여러 개의 원자력 발전소에 영향을 미치는 사이버 침입을 조사하고 있다고 E & E News는 전했다. 원자력 산업의 규제가 엄격한 안전 시스템이 훼손되었다는 증거는 없지만, 신중하게 보호되고 있는 미국의 원자로에 대한 보안 침해는 미국의 중요한 기반 시설에 대한 해커들에 대한 조사 확대를 나타낸다. 미국 에너지 회사는 NERC의 전기 정보 공유 및 분석 센터를 통해 최신 해킹 위협 및 취약성에 대한 정보를 전달한다. NERC 대변인 인 Kimberly Mielcarek는 이메일 성명서에서 "이 사건이 전기 산업에 미칠 수있는 영향을 더 잘 이해하기 위해 정부와 긴밀히 협력하고있다"고 밝혔다.

 

2. [기사] 8tracks의 사용자 계정 탈취 1800만개, 전자메일 주소 및 암호화된 암호
https://www.scmagazine.com/8tracks-breach-yields-data-on-18m-accounts/article/672233/
해커는 8tracks의 사용자 데이터베이스에 액세스했고 이메일을 사용하여 인터넷 라디오 서비스에 가입된 최소 1800개의 계정에서 이메일주소 및 암호화된 패스워드를 포함한 정보를 빼돌렸다. "구글이나 페이스북의 인증을 통해 가입했다면 영향을받지 않는다"고 화요일 블로그 포스트의 웹 사이트에서 밝혔다. 8tracks는 암호를 일반 텍스트 형식으로 저장하지 않고 단방향 해시를 사용하여 액세스하기 어려운 상태로 유지한다. 이러한 암호 해시는 무차별 공격을 사용하여야만 암호를 해독 할 수 있으며 이는 값 비싸고 시간이 많이 걸린다. 이 회사는 "2 단계 인증을 적용하지 않은 직원의 Github 계정"을 통해 공격 방법을 밝혀냈으며 "데이터베이스가 안전하도록 예방 조치를 취했다"고 전했다. 또한 "우리는 모든 보안 관행을 감사하고 이미 Github에서 2 단계 인증을 시행하고 저장소에 대한 액세스를 제한하며 암호 암호화를 개선하기위한 조치를 취했다" 라고  8tracks은 말했다.

 

3. [기사] Microsoft, Crypto-Ransomware 방어 기능 발표
https://www.bleepingcomputer.com/news/microsoft/microsoft-announces-controlled-folder-access-to-fend-off-crypto-ransomware/
올 가을 Microsoft는 권한이 부여되지 않은 응용 프로그램을 특수하게 지정된 폴더에있는 파일을 변경하지 못하도록 차단하고 블랙리스트에 올리는 Controlled Folder Access라는 새로운 Windows Defender 기능을 릴리스 할 계획이다. 응용 프로그램에서 파일을 수정하면 Windows Defender는 해당 문서를 편집 할 수 있는 허용된 응용 프로그램 목록과 비교하여 응용 프로그램을 확인한다. 응용 프로그램이 목록에 없으면 Windows Defender는 실행을 차단하고 블랙리스트에 응용 프로그램을 추가하며 바탕 화면 알림을 통해 사용자에게 알린다. 이 회사는이 새로운 Windows Defender 기능이 ransomware가 파일을 암호화하지 못하도록 막음을 자랑한다. 하지만, Office에서 Microsoft의 자동 매크로 스크립트 실행을 금지하는 맬웨어 저자들과 마찬가지로, 시간이 지나면 Controlled Folder Access에 적응할 수 있다. Controlled Folder Access는 운영 체제의 주요 업데이트 패키지, 코드 네임 레드 스톤 3 또는 Fall Creators Update의 일부로 모든 사용자를 공개할 계획이다.

 

4. [기사] 인터넷나야나 랜섬웨어 피해기업 홈피 복구됐지만...감염 흔적 '줄줄'
http://www.boannews.com/media/view.asp?idx=55529&mkind=1&kind=1
웹호스팅 업체인 ‘인터넷나야나’의 랜섬웨어 감염사태가 수습 국면에 접어들면서 랜섬웨어 감염으로 마비됐던 피해 기업들의 홈페이지도 속속 재오픈되고 있는 상황이다. 하지만 피해기업이 홈페이지를 오픈하는 과정에서 랜섬노트 피해 흔적이 서버에 그대로 남아있거나 에레버스(Erebus) 랜섬노트 페이지를 그대로 방치하는 등 데이터 복구 이후의 대응 미흡으로 여러 가지 문제를 노출하고 있는 것으로 드러났다. 페이스북 모의침투연구회에 따르면 정의당 심상정 의원의 공식 홈페이지를 비롯해 피해를 당한 업체들의 리스트를 약 20여 일간 매일 재접속하면서 ‘Erebus의 흔적 찾기’란 이름으로 구글 검색을 해보니 랜섬노트 피해 흔적을 서버에 그대로 남겨놓고 홈페이지를 재오픈한 업체부터 심지어 에레버스 랜섬노트 페이지와 쇼핑몰 주문 페이지가 공존하면서 물건을 팔고 있는 개인사업자의 온라인 쇼핑몰까지 있는 것으로 분석됐다. 이와 함께 구글 검색 중 나타난 인터넷나야나 감염서버 가운데 이미지업로드 서버 5대의 경우 문제의 소지가 크다는 지적이다. 특히, ‘img5’ 서버와 관련해서 ‘phpinfo()’라는 중요 정보를 알려주는 노출 페이지를 발견했지만, 해당 php는 랜섬웨어에 감염되어 이미 정상 동작을 못하는 상태로 드러난 바 있다.

 

5. [기사] 텔레그램이 러시아의 정보 제공 요구에 결국 굴복했다
http://www.boannews.com/media/view.asp?idx=55527&mkind=1&kind=1
프라이버시 보호를 위해 고객 정보 제공을 완강히 거부해오던 텔레그램이 러시아 규제당국의 요구에 끝내 굴복했다. 텔레그램은 러시아 정부 서버에 자사 사용자의 정보를 저장하는 데 동의했다고 로이터 통신이 보도했다. 러시아는 지난 4월 러시아 생페테르부르그에서 발생한 자살 폭탄 테러의 범죄자들이 텔레그램을 사용했다는 것을 주요 명분으로 텔레그램 측에 사용자 정보를 넘기라고 압박했던 것으로 나타났다. 이에 텔레그램 CEO 파벨 두로프(Pavel Durov)는 고객 프라이버시가 우선이라며 명확하게 거부 의사를 밝혀왔다. 러시아는 “이번 결정으로 마침내 텔레그램이 러시아 연방의 법적 테두리 안에서 활동할 수 있게 됐다”고 밝혔다. 이후 두로프는 소셜 미디어를 통해 “텔레그램이 러시아에 공식적으로 등록됐다는 것에 대해 행복하다”며 “회사에 대한 기본적인 정보를 제공하겠으나 사용자 프라이버시를 해치는 그 어떤 것도 제공하지 않을 것”이라고 강조했다.

 

6. [기사] 멀웨어로 인한 TNT Express 서비스 중지
https://www.theregister.co.uk/2017/06/28/fedex_tnt_express_virus_attack/
FedEx는 자사의 자회사인 TNT Express가 "정보 시스템 바이러스"에 시달렸음을 인정하고 뉴욕 증권 거래소에서 자사 주식의 거래를 중지했다. TNT 익스프레스 국내 및 지역 네트워크 서비스는 대부분 운영되지만 속도가 느리며 현재 TNT 익스프레스 대륙간 서비스가 지연되고 있다고 밝히며, FedEx Express 서비스를 대안으로 제공 할 것이라고 말했다. 이러한 기업들이 타격을 받는 이유 중 하나는 아마도 그들이 컴퓨팅 자원을 공유하는 글로벌 네트워크 망을 갖고 있기 때문일 것이다.  NotPetya 맬웨어는 주로 네트워크 공유를 통해 전파되며, 개별 사무소가 폐쇄되지 않고 방화벽으로 연결되어 있지 않으면 멀웨어가 우크라이나에서 네트워크로 확산될 수 있다. 다른 가능성은 TNT Express가 MeDocs 재무 소프트웨어를 사용한다는 것이다. NotPetya malware는  MeDocs의 소프트웨어 업데이트 시스템을 캡처한 후에 푸시 되었기 때문에 문제가 발생했을 수도 있다. FedEx는 "현재로서는 이 서비스 중단으로 인한 재정적 영향을 측정 할 수는 없지만 상당한 규모가 될 수있다"고 말하면서 악성 코드를 정리하는 데 많은 시간이 걸릴 수 있다고 지적했다.

 

7. [기사] CRBR Encryptor로 이름 바꾼 Cerber
https://www.bleepingcomputer.com/news/security/cerber-renames-itself-as-crbr-encryptor-to-be-a-pita/
Cerber Ransomware가 갑자기 그들의 이름을 CRBR Encryptor로 바꾸었다. 궁극적으로 이름이 어떻든, 이것은 Cerber Ransomware이며, 새로운 ransomware가 아니다. Cerber의 현재 라운드는 몇 가지 다른 방식으로 배포된다. Cerber가 MagnitudeEK 익스플로잇 킷을 통해 배포되고 있다는 보고가 있다. 악성 코드 제공 업체는 악용을 통해 MagnitudeEK 악용 키트가 삽입된 사이트를 방문 할 때 취약한 희생자 컴퓨터에 Cerber를 설치할 수 있다. 보안 연구원 인 크리스 캠벨 (Chris Campbell )이 발견 한 두 번째 방법 은 Microsoft 보안 팀으로 가장한 스팸 전자 메일을 사용하는 것이다. 이 전자 메일에는 대상의 Microsoft 계정에서 비정상적인 로그인 활동이 감지 된 후 첨부 파일을 열어 지침을 묻는 메시지가 표시된다. 이 첨부 파일은 JS첨부 파일을 포함한 zip파일이며, 열려 있는 실행 파일을%temp%로 다운로드하여 실행한다. VirusTotal에 제출한 내용을 토대로, 현재 Cerber를 배포하는 데 사용되는 방법은 위 방법뿐 아니다. 따라서 이상한 이메일을주의 깊게 살펴보고 첨부 파일을 열지 않는것을 권고한다.

 

8. [기사] 리눅스 머신, 악성DNS 응답 값만으로도 원격 해킹 가능해
https://www.bleepingcomputer.com/news/security/systemd-bug-lets-attackers-hack-linux-boxes-via-malicious-dns-packets/
http://securityaffairs.co/wordpress/60520/hacking/linux-hacking-dns-response.html
http://thehackernews.com/2017/06/linux-buffer-overflow-code.html
https://threatpost.com/linux-systemd-bug-could-have-led-to-crash-code-execution/126605/
Linux 운영 체제 용 서비스 시스템 관리자인 Systemd에서 원격 공격자가 잠재적으로 버퍼 오버 플로우를 유발하여 DNS 응답을 통해 대상 시스템에서 악의적인 코드를 실행할 수있는 심각한 취약점이 발견되었다. CVE-2017-9445로 지정된이 취약점은 실제로 로컬 응용 프로그램에 네트워크 이름 확인을 제공하는 DNS 응답 처리기 구성요소인 'systemd-resolved' 의 ' dns_packet_new '기능에 있다. 화요일 발표된 권고에 따르면 시스템이 공격자가 제어하는 DNS 서비스에서 호스트 이름을 검색하려고 할 때 특수하게 조작된 악의적인 DNS 응답이 원격으로 '시스템 해결 된' 프로그램을 중단시킬 수 있다. 즉, 공격자는 악의적 인 DNS 서비스를 통해 대상 시스템이나 서버에서 멀웨어를 원격으로 실행할 수 있다. 이 취약점은 223과 233 사이의 systemd 버전을 제공하는 모든 Linux 배포판에 영향을 미친다. 이 문제를 해결하기 위해 보안 패치가 발표되었으므로 사용자와 시스템 관리자는 가능한 한 빨리 설치하고 Linux 배포판을 업데이트하는 것이 좋다.

 

9. [기사] Petya Ransomware 개발자, Notpetya 감염자를 도우려 한다.
http://thehackernews.com/2017/06/petya-ransomware-decryption-key.html
악명 높은 Petya ransomware의 저자는 희생자가 새로운 버전의 Petya ( NotPetya 라고도 함)로 암호화 된 파일의 잠금을 해제하는 것을 돕기위해 트위터에 나타났다. 그는 "우리 개인 키로 무너질 수도 있습니다. 감염된 장치의 처음 1MB를 업로드하면 도움이 될 것이다."라고 말했다. Petya 저자가 작성한 이 진술서는 아마도 그가 마스터 암호 해독 열쇠를 가지고 있을지도 모른다는 것을 암시한다. 하지만, 제작자가 마스터키로 피해자 PC를 복호화 한들, 그리 큰 도움은 되지 않을 전망이다. 왜냐하면 NotPetya 는 복사본을 남기지 않고 MBR 까지 파괴하기 떄문이다. 파일을 복호화 한 들 MBR 복구의 과제가 남아있다.

 

10. [기사] Shadow Brokers는 가입자에게 1차 악용사례를 보냈고, 해커들은 NSA 해커를 위협
http://securityaffairs.co/wordpress/60525/hacking/shadow-brokers-june-dump.html
5 월 악명 높은 섀도우 브로커 (Shadow Brokers) 그룹은 데이터 덤프를 위한 월간 구독 모델 출시를 발표했으며 , 제로데이 악용 구독은 월 21,000 달러에 판매된다. 이제 Shadow Brokers 는 서비스 가입자에게 첫 번째 악용 사례를 보냈고 해커는 다수의 가입자를 보유하고 있다고 주장한다. Shadow Brokers는 특정 조직의 특정 취약성이나 정보에 관심이있는 가입자를 대상으로 "VIP Service"를 발표했다. 또한, ShadowBrokers는 "doctor"라는 별명으로 온라인에 접속한 누군가에게 특별한 메시지를 보냈고, 해커들은 Twitter에서 그를 만났으며 NSA가 연결된Equation Group의 전 멤버라고 생각한다. 그림자 그룹은 다음 달 덤프에 가입하라며 "doctor"를 위협하고 있다.

첨부파일 첨부파일이 없습니다.
태그 8tracks