Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 8월 17일] 주요 보안 이슈
작성일 2017-08-17 조회 1819

1. [기사] 파일 확장자 명을 바꾸는 랜섬웨어 Locky
[https://www.bleepingcomputer.com/news/security/locky-ransomware-switches-to-the-lukitus-extension-for-

encrypted-files/]
암호화 된 파일의 확장자를 .lukitus 확장자로 바꾸는 새로운 Locky 랜섬웨어 변종이 발견되었다. 몇몇 웹사이트에서 현재 이 랜섬웨어를 Lukitus 랜섬웨어라고 부르고 있지만 암호화된 파일의 확장자가 .lukitus로 바뀐다면 사실은 실제로 Lukitus 랜섬웨어에 감염된것이다. 전문가에 따르면, 이 랜섬웨어 변종은  현재 JS파일과 함께 zip 또는 rar 첨부 파일이 포함된 또는 전자 메일 - CSI-034183_MB_S_7727518b6bab2 의 제목으로 배포되고 있다고 전해진다. 첨부되어진 JS파일을 사용자가 실행한다면 원격 사이트에서 Locky 실행 파일을 다운로드 하여 랜섬웨어가 감염되는 원리이다. 현재까지 이 랜섬웨어 변종의 해결책은 존재하지 않으며, 유일한 예방법은 올바른 컴퓨터 습관과 보안 소프트웨어 설치 및 백업 일상화로 주의가 요구되어지고 있다.

 

2. [기사] 4,000개의 기업조직 해킹시도한 나홀로 나이지리아 해커
[https://www.bleepingcomputer.com/news/security/lone-nigerian-hacker-behind-attempted-hacks-at-4-000-

organizations/]
Check Point의 연구자들의 조사에 따르면, 나이지리아 라고스의 한 해커가 전 세계의 4,000개 기업 조직을 해킹시도 하고 있다고 발표했다. 공격자의 공격방법은 보안 전문가의 관점에서 볼 때 매우 간단하지만 현재까지 최소 14 차례 성공적으로 수행된것이 확인되었다. 보안 연구원 Malware Hunter는 보안 웹 사이트 Bleeping Computer와의 인터뷰에서 이와 같은 나홀로 해커는 요즘 많이 존재하는 사람들 중 한명이며, 이 해커의 가장 큰 목표는 크로아티아의 해상 및 에너지 솔루션 회사, 아부 다비의 운송회사, 이집트의 광산 회사, 두바이의 건설 회사, 쿠웨이트의 석유 및 가스 회사, 독일에서의 건설회사 등이다. 하지만 다른 나이지리아 해커들이 부주의한것 처럼 이 나홀로 해커 또한 보안에 부주의하여 전문가들은 이 해커가 20대 중반이며, 해커의 소셜미디어 프로필의 일부를 확인하여 추적하고 있다고 전하고 있다.

 

3. [기사] 수백 개의 회사에서 사용되는 인기있는 서버 관리 소프트웨어, NetSarang 에서 셰도우패드(ShadowPad) 

백도어 발견 돼
[http://thehackernews.com/2017/08/netsarang-server-management.html]
[http://www.securityweek.com/backdoors-found-tools-used-hundreds-organizations?

utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS

+Feed%29&utm_content=FeedBurner]
[https://www.bleepingcomputer.com/news/security/backdoor-found-in-enterprise-software-used-by-banks-

tech-and-energy-companies/]
[http://www.boannews.com/media/view.asp?idx=56381&mkind=1&kind=1]
전 세계 수백 개 기업이 사용하는 윈도우 서버 관리 소프트웨어 소스코드에 악성 백도어가 끼워져 있었던 것으로 드러났다. 일명 ‘셰도우패드(ShadowPad)’라 불리는 이 백도어는 지난 8월 4일 보안 업체 카스퍼스키 랩이 한 금융기관의 사건 대응 조사를 진행하면서 발견했다. 셰도우패드는 사이버 스파이 멀웨어의 일종으로 넷사랑컴퓨터가 2017년 7월 18일 배포한 소프트웨어 빌드 내 소스코드 라이브러리 중 하나에 삽입돼 있었다. 카스퍼스키 랩은 이런 사실을 발견하고 넷사랑컴퓨터 측에 바로 고지했으며, 다음 날인 8월 5일 넷사랑컴퓨터 고객들이 다운로드 받을 수있도록 업데이트가 배포됐다. 넷사랑컴퓨터의 소프트웨어는 금융, 교육, 통신, 제조, 에너지, 교통기관 등 다수의 기관에서 윈도우, 유닉스, 리눅스 서버를 관리하는 데 사용되고 있다.

 

4. [기사] 아마존 머신 러닝 보안 서비스 출시
[http://www.securityweek.com/amazon-launches-aws-data-protection-service?

utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS

+Feed%29&utm_content=FeedBurner]
아마존은 이번 주 아마존 웹 서비스 사용자가 민감한 테이터를 보호할수 있도록 돕는 새로운 보안 서비스인 Macie를 발표했다. 아마존 Macie는 기계 학습을 사용하여 개인 식별 정보 (PII), 지적 재산 및 기타 중요한 데이터를 자동으로 식별 및 보호하고 대시 보드 및 경고를 통해 데이터 액세스 또는 이동 방법을 사용자에게 알려준다. 아마존 Macie가 적용되면 기준선을 생성 한 다음 행동 분석 엔진을 사용하여 위험하거나 의심스러운 활동을 탐지한다. 아마존 Macie의 가격은 분류, 캡처, 분석되는 데이터의 양을 기반으로하며, 이미 Edmunds, Netflix 그리고 Autodesk와 같은 기업에서 활용되어지고 있어 많은 기업에서 사용될 것으로 예상되어진다.

 

5. [기사] 다수의 크롬 확장 프로그램 하이재킹 당해
[http://thehackernews.com/2017/08/chrome-extension-hacking.html]
[http://www.securityweek.com/hijacked-extensions-put-47-million-chrome-users-risk?

utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS

+Feed%29&utm_content=FeedBurner]
[https://www.bleepingcomputer.com/news/security/eight-chrome-extensions-hijacked-to-deliver-malicious-code-

to-4-8-million-users/]
지난 1개월 이내 일련의 개발자가 해킹당하면서 구글 크롬 웹 브라우저 확장 프로그램이 공격을 받고 있다.
거의 2주 전, 알 수 없는 공격자가 개발자 팀의 크롬 웹 스토어 계정을 손상시키고, Copyfish 확장 프로그램을 하이재킹했으며, 그 뒤 스팸 서신을 사용자에게 배포하도록 수정했다. 이 사건이 발생한 지 이틀 만에 알려지지 않은 일부 공격자들은 또 다른 인기있는 확장 프로그램인 'Web Developer'를 하이재킹했으며, 백만명이 넘는 사용자의 웹 브라우저에 직접 광고를 삽입하도록 업데이트 했다. Proofpoint의 연구자들에 의해 조사된 최근 리포트에 따르면, 취약한 크롬 확장 프로그램은 다음과 같다.

•Chrometana (1.1.3)
•Infinity New Tab (3.12.3)
•CopyFish (2.8.5)
•Web Paint (1.2.1)
•Social Fixer (20.1.1)
현재까지 크롬 웹 확장자 프로그램 도용은 누가 했는지 확실하지 않으며, 이러한 공격으로부터 보호할 수 있는 가장 최선의 방법은 의심스러운 전자 메일과 링크를 클릭하지 않는 것이다.

 

6. [기사] jpg 파일로 위장한 SyncCrypt 랜섬웨어
[https://www.bleepingcomputer.com/news/security/synccrypt-ransomware-hides-inside-jpg-files-appends-kk-

extension/]
SyncCrypt라 불리는 새로운 랜섬웨어가 이번주 Emsisoft 보안 연구자 xXToffeeXx(https://twitter.com/PolarToffee)에 의해 발견되었으며, 해당 랜섬웨어는 WSF 파일을 첨부한 스팸 메일에 의해 감염되고 있는 것으로 전해진다. 이 스팸으로 부터 랜섬웨어가 설치되었을 때 특정 파일이 암호화 되고 이때 암호화된 파일의 확장자가 .kk로 바뀌는 것이 특징이다. 또한 WSF 파일이 악성코드 배포에 사용되는건 상대적으로 드문 일 이며, 이 랜섬웨어는 내부의 ZIP 압축파일이 포함된 이미지를 다운로드 및 그로부터 암호화에 필요한 파일을 압축해제 하는식으로 동작한다. 이로인해 VirusTotal의 대부분 벤더에서 이를 진단하지 않는것으로 보인다. 이 랜섬웨어에 대한 대응책은 좋은 컴퓨터 사용 습관을 가지는 것과 보안 소프트웨어를 사용하는 것이다.

첨부파일 첨부파일이 없습니다.
태그