Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 11월 17일] 주요 보안 이슈
작성일 2017-11-17 조회 2685

1.[기사] OnePlus 폰에 사전 설치된, 시스템 로그를 수집하는 비밀 앱 "OnePlusLogKit"
[https://thehackernews.com/2017/11/oneplus-logkit-app.html]

보안 연구원은 부트 로더를 잠금 해제하지 않고 OnePlus 장치를 루트하는 데 사용할 수있는 "EngineerMode" 진단 테스트 응용 프로그램을 발견했다. OnePlusLogKit은  OnePlus 스마트 폰에서 다양한 기능을 캡처할 수 있는 시스템 수준의 응용 프로그램이다. HTC, Samsung, LG, Sony, Huawei 및 Motorola를 포함한 여러 제조업체의 기기에서 발견된 EngineerMode와 달리 OnePlusLogKit 애플리케이션(디 컴파일 APK)은 OnePlus 장치에만 존재한다. OnePlusLogKit은 기본적으로 사용되지 않으므로 공격자는 피해자의 스마트 폰에 액세스하여 이를 활성화 해야 한다. 설정이 변경되어 앱을 사용하도록 하면, 장치에 설치된 다른 응용 프로그램이 사용자 상호 작용없이 원격으로 기록된 정보를 수집 할 수 있다. OnePlus는 이 문제점에 대해 아직 입장 발표를 하지 않았다. 중국 지사 또한 향후 OxygenOS 업데이트에서 adb 루트 기능을 제거하겠다고 약속했지만 이전의 EngineerMode 진단 도구를 주요 보안 문제로 보지는 않았다.


2.[기사] ‘IoT 보안인증 서비스’ 도입, IP 카메라 해킹 예방에 도움될까
[http://www.boannews.com/media/view.asp?idx=58076&mkind=1&kind=2]

과학기술정보통신부와 한국인터넷진흥원(KISA)이 ‘사물인터넷(IoT) 보안인증 서비스’ 시행을 앞두고 이를 설명하는 시간을 마련했다. 보안인증 서비스는 최근 불거진 IP 카메라 해킹사건 등 IoT 기기의 보안문제를 해결하기 위한 대책 가운데 하나로, 이전에 발표했던 ‘IoT 공통보안가이드(2016년 9월)’, ‘홈·가전 IoT 보안가이드(2017년 7월)’ 등 주요 보안 가이드에서 제시했던 보안요구사항을 평가하는 제도다. 이번 보안인증 서비스는 정부가 아닌 KISA에서 직접 시험하고 평가한 후 인증서를 발행한다. 때문에 ‘민간 자율의 임의인증’인 KISA 발행 인증서가 발행되며, 공식적으로 공공분야 등에서의 특별한 혜택은 없다. 다만 과기정통부가 관여하는 만큼 추후 ‘공공 인증서’가 될 가능성도 배제할 수는 없다. 보안인증 서비스의 대상은 ‘IoT 기기’와 기기와 연동되는 ‘앱’ 두 가지다. 또한,인증 서비스의 종류는 ‘스탠더드(Standard)’와 ‘라이트(Lite)’ 두 종류이며, 스탠다드는 5개 영역 41개 항목을, 라이트는 5개 영역 23개 항목을 각각 테스트한다. 라이트는 스탠다드보다 테스트 항목이 적지만, 보안이 덜하다고 생각하는 것 보다는 IoT 제품이 41개 항목을 다 지원하지 않을 경우로 보는 것이 바람직하다고 KISA 측은 설명했다. 한편, 이번 IoT 보안 인증 서비스는 올해 안에 시행할 예정이지만 시행일은 아직 명확하게 정해지지 않았다. 


3. [기사] 보안 전문가들의 마음을 사로 잡는 Catphishing 공격주의
[https://www.scmagazine.com/catphishing-attack-target-security-pros-to-get-to-company-secrets/article/708000/]

Malwarebytes 보안 연구원들은 자신의 연인을 온라인에서 찾는 IT 관련자들에게 "CatPhishing" 스캠에 주의를 요구하고 있다. 해당 스캠 용어 'Play'의 관점에 따르면, 스캐머는 사용자를 여러가지 이유로 사랑에 빠지게 해서 해당 IT 기업 또는 사이버 보안 전문기업의 기업 시스템의 허가권을 얻는다. 한 보안업계 직원은 페이스북에서 한 여자를 만나 좋은 관계를 형성했고 이 후 여성은 그에게 특정 엑셀 파일을 전달해 해당 직원 회사의 시스템에 접근 권한을 얻는 사례가 있었다. 이 여자는 실제 OilRig 해킹 그룹에 의해 생성된 가짜 사람이었던 것이다. 이와 같은 피싱 공격을 예방하기 위해, 보안 연구원들은 이런 가짜 사람의 특징으로 직접 만나는 데이트를 꺼려하고 또다른 수단으로 연락을 하려고 하는 등의 수상한 행동을 하는 것으로 알아냈다.


4.[기사] Apache CouchDB 취약점 패치
[http://www.securityweek.com/critical-vulnerabilities-patched-apache-couchdb?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]

지난 주 Apache CouchDB가 권한 상승과 임의 코드 실행 취약점을 패치했다. CouchDB는 오픈 소스 데이터베이스 관리 시스템이다. CouchDB를 사용하는 프로젝트 중 하나는 npm, JavaScript 용 패키지 관리자 및 세계 최대의 소프트웨어 레지스트리이다. 연구원 Max Justicz는 npm 패키지를 배포하는 서버인 registry.npmjs.org에서 버그를 찾는 동안 CouchDB 취약점을 발견했다. 이 레지스트리는 매주 35억 건의 패키지 다운로드를 제공한다고 npm 웹 사이트는 전했다. CVE-2017-12635로 추적된 결함은 공격자가 관리자 권한을 획득하고 궁극적으로 임의 코드를 실행하는 데 악용될 수 있었다. CVE-2017-12635를 분석하는 동안 CouchDB 보안 팀원은 CVE-2017-12636을 발견했다. CVE-2017-12636은 서버에서 임의의 쉘 명령을 실행하기 위해 권한 에스컬레이션 버그와 함께 악용 될 수 있는 결함이다. CouchDB 관리자는 HTTP(S)를 통해 데이터베이스 서버를 구성 할 수 있다. 일부 구성 옵션에는 CouchDB에 의해 연속적으로 시작되는 운영 체제 레벨 바이너리 경로가 포함된다. 이를 통해 CouchDB 관리자는 공용 인터넷에서 스크립트를 다운로드하고 실행하는 것을 포함하여 CouchDB 사용자로 임의의 쉘 명령을 실행할 수 있다고 설명했다. 따라서 사용자들은 최신 버전으로 업데이트 해야 한다.


5.[기사] APT 공격조직 ‘OceanLotus’의 3년간 사이버 공격 분석 리포트 공개
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=25932]

2012년부터, 해외 해커조직으로부터 중국의 정부기관, 연구기관, 해양관련 기관, 항공기업 등 중요 기업들이 조직적이고 계획적인 공격을 받았다. 이 공격조직을 Ocean Lotus라 명명한다. 이 조직에 대한 상세 분석 리포트가 공개됐다. 리포트는 중국어로 돼 있으며 자료는 데일리시큐 자료실에서 다운로드 가능하다. 이 조직은 스피어피싱, 워터링공격 등의 방법과 여러가지 사회공학적 기법을 통해 공격을 시도했으며, 중국의 공격 대상자들에게 특정 악성코드를 유포하여 일부 정부부처의 사람들을 몰래 모니터링했을 뿐만 아니라 아웃소싱 업체 및 업계 전문가들의 컴퓨터 시스템에서 관련자료 및 기밀문서들을 탈취했다. 현재까지 수집된 OceanLotus의 악성코드 샘플은 100여개가 넘으며 감염자 분포는 중국 내 29개 성 및 행정구역이며 중국 외 지역은 36개 국으로 확인되었다. 악성코드 감염자 중 92.3%가 중국에 있는 사용자 들 이였으며 북경과 천진이 감염자가 제일 많았다. 이 악성코드는 자신을 숨기기 위해 최소 6개의 국가에 C&C 서버를 등록하였으며, 35개의 서버 도메인 네임을 사용하였으며, 관련 서버의 IP주소는 19개를 갖고 있었으며, 서버는 총 13개 이상의 각기 다른 국가에 설치했다. 2014년 2월 이후에, OceanLotus의 공격은 활발히 이루어졌으며, 2014년 5월 대규모의 스피어 피싱 공격을 감행하였다. 그결과 대량의 감염자가 발생했다. 그리고 5월, 9월 및 2015년 1월에도 이 조직은 중국의 여러 정부기관, 연구기관 및 외교기업의 홈페이지를 변조하거나 악성코드를 심어 목표성이 명확한 워터링 홀 공격을 진행했다. OceanLotus는 4개의 각기 다른 악성코드를 사용한 것으로 조사됐다.


6.[기사] 구글 플레이 스토어 탐지 우회를 한 다단계 멀웨어(Android / TrojanDropper.Agent.BKY)
[http://securityaffairs.co/wordpress/65608/malware/trojandropper-android-malware.html]

ESET의 보안 전문가는 공식 Google Play 스토어에서 다운로드할 수 있고 Android / TrojanDropper.Agent.BKY로 추적되는 다단계 Android 악성 코드를 발견했다. 이 애플리케이션은 합법적인 어플로 위장하고 있으며 악성 활동이 지연되는 새로운 다단계 Android 멀웨어 제품군을 구성하고 있다. ESET에서 분석 한 Android / TrojanDropper.Agent.BKY 샘플은 암호화와 함께 다단계 아키텍처를 사용한다. 다운로드 및 설치가 완료되면 악의적인 앱은 의심스러운 사용 권한을 요청하지 않으며 심지어 예상했던 활동을 모방한다. 백그라운드에서 앱은 Google Play에서 다운로드 한 앱의 저작물에서 1단계 페이로드를 해독하고 실행한다. 그 후 2단계 페이로드가 실행되는 데, 2단계 페이로드는 하드 코딩된 URL에서 악의적인 응용 프로그램을 다운로드한다. 잠시후 사용자에게 Adobe Flash Player 또는 다른 인기있는 응용 프로그램으로 가장하는 세 번째 페이로드를 설치하도록 요청한다. 2단계 페이로드로 다운로드 한 응용 프로그램은 Adobe Flash Player와 같은 잘 알려진 소프트웨어로 또는 합법적으로 들리는 사운드로 완전히 위장되어 있다. 어쨌든 이 응용 프로그램의 목적은 최종 페이로드를 삭제하고 페이로드가 악성 활동에 필요한 모든 권한을 얻는 것이다. 보안 전문가들은 이 멀웨어에 대해 계속 분석을 진행하고 있다.

첨부파일 첨부파일이 없습니다.
태그 OnePlusLogKit  IP 카메라