Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 10월 25일] 주요 보안 이슈
작성일 2017-10-25 조회 2761

1. [기사] Bad Rabbit Ransomware, 우크라이나 공공기관 및 동유럽 감염
[https://nakedsecurity.sophos.com/2017/10/24/bad-rabbit-ransomware-outbreak/]
[https://blog.malwarebytes.com/threat-analysis/2017/10/badrabbit-closer-look-new-version-petyanotpetya/]
[https://www.bleepingcomputer.com/news/security/bad-rabbit-ransomware-outbreak-hits-eastern-europe/]
[https://thehackernews.com/2017/10/bad-rabbit-ransomware-attack.html]
[http://www.zdnet.com/article/bad-rabbit-ransomware-a-new-variant-of-petya-is-spreading-warn-researchers/]
[http://www.securityweek.com/bad-rabbit-ransomware-attack-hits-russia-ukraine?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
[https://gizmodo.com/bad-rabbit-ransomware-strikes-russia-and-ukraine-1819814538]

Bad Rabbit이라는 새로운 ransomware가 많은 동유럽 국가에서 큰 혼란을 빚고 있으며 정부 기관과 개인 기업 모두에 영향을 미치고 있다. 현재까지의 피해 대상은 우크라이나의 오데사 공항, 우크라이나의 키예프 지하철 시스템, 우크라이나의 인프라 자원부, 러시아 통신사가 있다. 이에따라 우크라이나의 CERT팀은 경보를 발령하고 우크라이나 기업에 랜섬웨어에 대한 경고를 하고 있다. Bad Rabbit 랜섬웨어가 감염되는 속도는 WannaCry 및 NotPetya의 속도와 비슷하다. ESET와 Proofpoint의 연구원은 Bad Rabbit이 처음에는 가짜 플래시 업데이트 패키지를 통해 확산되었다고 밝혔다. 다시말해 ransomware는 drive-by 공격을 통해 퍼졌으며 희생자는 뉴스 웹 사이트에서 가짜 플래시 업데이트 패키지를 팔고있는 사이트로 리디렉션된다. Bad Rabbit이 감염 작업을 마치면 사용자 PC를 재부팅한다. 그러면 사용자 PC에는 MBR Ransomnote가 나타나며 감염 사실을 알린다. 해커가 요구하는 몸값은 6월에 발생한 NotPetya와 거의 동일하고, 실제 코드는 NotPetya와 13%가량 일치하는 것으로 보인다.


2. [기사] LokiBot 안드로이드 뱅킹 트로이 목마, 제거하려고하면 Ransomware로 돌변
[https://www.bleepingcomputer.com/news/security/lokibot-android-banking-trojan-turns-into-ransomware-when-you-try-to-remove-it/]

LokiBot이라는 이름의 새로운 안드로이드 뱅킹 트로이 목마가 발견되었다. 이 트로이 목마는 ransomware로 변하고 관리자 권한을 제거하려고 시도할 때 사용자의 전화를 잠근다. 비슷한 Android 트로이 목마와 마찬가지로 LokiBot은 인기있는 앱 위에 위조된 로그인 화면을 표시한다. LokiBot은 모바일 뱅킹 응용 프로그램을 대상으로하지만 Skype, Outlook 및 WhatsApp와 같은 인기있는 비은행 응용 프로그램도 대상으로 하고있다. 다른 최신 Android 멀웨어 제품군과 마찬가지로, LokiBot은 해킹 포럼에서도 온라인으로 판매되고 있다. LokiBot 라이센스의 가격은 Bitcoin으로 2,000 달러로 밝혀졌다. LokiBot은 다른 안드로이드 뱅킹 트로이 목마와 비교하여 고유한 기능을 가지고 있는데, 처음에는 모바일 브라우저의 URL을 로드하고 SOCKS5 Proxy를 설치하여 발신 트래픽을 리디렉션 할 수 있다. 또한 자동으로 SMS 메시지에 응답하고 피해자의 모든 연락처 (SMS 스팸을 보내고 새 사용자를 감염시키는 데 가장 많이 사용되는 기능)에 SMS 메시지를 보낼 수 있다. 마지막으로, LokiBot은 다른 앱에서 온 것으로 위조된 알림을 표시할 수도 있다. 멀웨어는 이 기능을 사용하여 사용자가 자신의 은행 계좌에서 거래했다고 착각하도록 사용자를 속인다. 만약 사용자가 알림을 탭하면 Lokibot은 실제 앱 대신 피싱 오버레이를 표시하는 방식으로 공격한다. 이때, 사용자가 맬웨어에 대해 뭔가를 감지하고 관리자 권한을 제거하려고하면 LokiBot은 ransomware 동작을 트리거한다. 하지만 ransomware 루틴이 올바르게 구현되지 않아 사용자의 파일을 암호화하지 못하는 것으로 밝혀졌다.


3. [기사] SSH 개인키에 대한 스캐닝 증가
[http://www.businesswire.com/news/home/20171017005080/en/Study-61-Percent-Organizations-Minimal-Control-SSH]

해커는 SSH키를 악용하여 중요한 비즈니스 기능에 접근할 수 있다. Venafi의 조사에 따르면 SSH 키가 최고 수준의 관리 액세스를 제공하더라도 규칙적으로 추적할 수 없고 관리되지 않으며 보안에 취약하다고 한다. 예를 들어 많은 기업의 관리자가 조직을 떠난 경우에도 키를 변경시키지 않으므로 중요한 시스템에 지속적으로 권한있는 액세스 권한을 부여할 수 있다. 사이버 범죄자들은 원격지의 시스템에 액세스하고 보안 도구를 회피하기 위해 이를 악용할 수 있다. 대부분의 조직에서는 SSH 보안 정책을 구현하지 않고 SSH 액세스 구성을 제한하기 때문에 SSH의 위험과 보안 상태에 미치는 영향을 매우 크다.


4. [기사] DUHK 공격으로 해커가 VPN 및 웹 세션에 사용되는 암호화 키 복구
[https://thehackernews.com/2017/10/crack-prng-encryption-keys.html]
[http://www.securityweek.com/vpn-web-sessions-exposed-duhk-crypto-attack?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
[https://threatpost.com/duhk-attack-exposes-gaps-in-fips-certification/128582/]
[https://www.bleepingcomputer.com/news/security/duhk-crypto-attack-recovers-encryption-keys-exposes-vpn-connections-more/]

암호 공격기법 중 하나인 DUHK 가 알려졌다. DUHK 는 Don't Use Hard-coded Keys 의 약자를 의미한다. 이 공격의 핵심은 두 가지 주요 요소에 기반한다. 첫 번째 요소는 ANSI X9.31 RNG(Random Number Generator)를 사용한다는 것이다. 이 알고리즘은 랜덤 데이터를 받아 VPN 접속에 사용되는 암호화 키를 생성하는 알고리즘이다. 두 번째 요소는 하드웨어 벤더들이 하드코딩된 ANSI X9.31 seed key(시드값, 보통 RNG 에 사용되는 초기 설정값을 이르는 말, seed로 생성된 랜덤값을 다음 랜덤값 생성에 사용해, seed가 같으면 RNG 한 결과도 같다)를 사용한다는 것이다. seed 값은 반드시 랜덤 값을 사용해야 하지만 실제로는 랜덤 값을 사용하지 않는 취약점을 가진다. 따라서 만약 하드웨어 벤더사에서 ANSI X9.31 알고리즘과 하드코딩된 시드 값을 사용한다면, 공격자는 통신을 중간에 가로채고 복호화 할 수 있다. 이는 VPN 장비에도 해당되는 것으로 밝혀졌고 대표적으로 Fortinet FortiGate 장비의 FortiOS 4.3.0 ~ FortiOS 4.3.18 가 영향받는다.


5.[기사] Necurs 봇넷, 랜섬웨어와 뱅킹 악성코드 배포 위해 MS DDE 공격 사용중
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=25104]

마이크로소프트의 내장 기능을 악용하는 패치 되지 않은 공격 방식이 현재 광범위한 악성코드 공격 캠페인에 사용 되고 있는 것으로 나타났다. DDE 프로토콜은 마이크로소프트가 두 개의 실행 중인 프로그램들이 동일한 데이터를 공유할 수 있도록 하는 여러 방법들 중 하나다. 이 프로토콜은 엑셀, 워드, Quattro Pro, Visual Basic을 포함한 수 천 개의 프로그램들에서 1회성 데이터 전송 및 지속적인 업데이트 교환 등을 위해 사용하고 있다. DDE의 익스플로잇 기술은 피해자에게 해당 응용 프로그램을 실행할지 묻는 것 이외에는 어떠한 보안경고도 표시하지 않는다. 하지만 이 팝업 마저 적절한 구문 수정을 통해 제거할 수 있다. 연구원들은 DDE 공격 테크닉이 공개 된 직후 이 공격을 활발히 악용하고 있는 공격 캠페인에 대한 보고서를 공개했다. 이는 파일이 없는 원격 접속 트로이목마(RAT)인 DNSMessenger를 통해 여러 조직들을 공격하고 있는 것으로 조사됐다. 해커들이 전 세계 600만대 이상의 감염 된 컴퓨터들을 제어하고 수 백만통의 이메일을 보내는 Necurs 봇넷을 이용해 Locky 랜섬웨어와 TrickBot 뱅킹 악성코드를 배포하고 있는 것으로 나타났다. 이 공격에는 새로이 발견 된 DDE 공격 기술을 사용하는 워드 문서를 사용한다. Locky 랜섬웨어 해커들은 기존에는 매크로 기반의 마이크로소프트 오피스 문서를 사용했지만, 지금은 DDE 익스플로잇을 사용하도록 Necurs 봇넷을 업데이트해 악성코드를 배포하고 피해자의 데스크탑 스크린샷을 촬영할 수 있는 기능을 추가했다. 연구원들은 “이 새로운 공격의 흥미로운 점은, 피해자를 원격으로 조작할 수 있다는데 있다. 이는 스크린샷을 찍어 원격 서버로 보낼 수 있다. 또한 실행 도중 다운로더에 발생하는 모든 에러의 세부 사항들도 보낼 수 있다”고 밝혔다. 이 공격에 예방하기 위해서 워드 프로그램을 열고 파일 > 옵션 > 고급 > 일반으로 이동해 "문서를 열 때 자동 연결 업데이트"옵션의 체크를 해제해야 한다.


6.[기사] 시스코, 취약점 대거 발견...신속한 패치 필요
[http://www.boannews.com/media/view.asp?idx=57661&mkind=1&kind=1]

시스코는 자사 제품에 대해 다수의 취약점을 해결한 보안 업데이트를 공지했다. 이번에 발견된 취약점은 공격자가 악용해 피해를 발생시킬 수 있어 해당 시스코 제품 이용자들은 최신 버전으로 업데이트해야 한다. 패치된 취약점으로는 △Cisco IOS XE 웹 프레임 워크에서 서버에 전달되는 매개변수 값에 대한 검증이 미흡하여 발생하는 XSS 취약점(CVE-2017-12272) △Cisco IOS XE에서 로그파일을 기록할 때 디버그 오류로 인해 발생하는 정보 노출 취약점(CVE-2017-12289) △Cisco Expressway Series 및 Cisco TelePresence Video Communication Server의 잘못된 클러스터 DB 인증 구성으로 인해 REST API 서비스 거부 취약점(CVE-2017-12287) 등을 포함한 18개 취약점이다. 따라서 영향을 받는 제품 및 버전은 관련 사이트에 명시되어 있는 ‘Affected Products’을 통해 취약점을 확인하고, 운영자는 신속하게 패치를 적용해야 한다.

첨부파일 첨부파일이 없습니다.
태그 Bad Rabbit  LokiBot  SSH  DUHK  Necurs