Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 11월 29일] 주요 보안 이슈
작성일 2017-11-29 조회 2507

1.[기사] 안드로이드 플레이스토어에 침투한 Tizi 백도어
[http://securityaffairs.co/wordpress/66116/malware/android-tizi-spyware.html]
[https://thehackernews.com/2017/11/android-spying-app.html]
[https://threatpost.com/google-detects-and-boots-tizi-spyware-off-google-play/129012/]
[https://www.bleepingcomputer.com/news/security/google-discovers-new-tizi-android-spyware/]

Google은 Google Play Protect를 사용하여 Tizi 스파이웨어라는 새로운 Android 맬웨어 제품군을 확인했다. Google은 Android 기기를 보호하기 위해 Google Play Protect라는 방어 시스템을 도입했으며 기기 학습 및 앱 사용 분석을 통해 휴대 기기의 악성 활동을 식별해왔다. 그 결과, 최근에 Google은 Tizi 스파이웨어라고 불리는 새로운 Android 맬웨어 제품군을 확인했다. Tizi는 이미 아프리카 국가, 특히 케냐, 나이지리아 및 탄자니아에서 취약한 장치를 감염시켰다. Tizi는 Facebook, Twitter, WhatsApp 등의 인기있는 소셜 미디어 애플리케이션의 중요한 데이터를 도용하기 위해 스파이웨어를 설치하는 Android 백도어이다. 일단 대상 장치에 설치되면 악의적인 응용 프로그램은 스파이웨어를 설치하기 위한 루트 액세스 권한을 얻게 되고, 악성 코드는 감염된 장치의 GPS 좌표가있는 SMS 문자 메시지를 특정 번호로 전송하여 명령 및 제어 서버에 접속한다. 현재 Google은 Tizi에 감염된 1,300 개의 Android 장치를 확인하고 제거했으며 감염 가능성을 줄이기 위한 방안을 모색하고 있다.


2. [기사] 네이버 메일로 갈아탄 ‘평양·주체’ 해커, 랜섬웨어 또 유포
[http://www.boannews.com/media/view.asp?idx=58278&page=1&kind=1]

매트릭스(Matrix) 랜섬웨어를 유포하는 해커가 이번엔 네이버 메일 계정을 사용한 정황이 포착됐다. 지난 11월 1일까지 활동하다가 잠잠하던 매트릭스 랜섬웨어 유포 해커가 최근 다시 활동을 시작한 것이다. 해커는 당시 감염자를 대상으로 암호화된 파일을 복호화하려면 juche001@yahoo.com로 메일을 보내라고 협박했으며, 이후 juche001@Tutanota.com로 메일 계정을 갈아타 협박을 이어갔다. 최근에는 네이버 메일 계정을 또 다시 추가해 랜섬웨어를 유포하고 있다. 보안 파워 블로거인 벌새에 따르면 이번에 발견된 매트릭스 랜섬웨어의 경우에는 이메일을 통한 유포가 아니라 웹사이트 접속시 보안 패치가 최신이 아닌 경우 취약점을 통해 웹사이트에 심어진 랜섬웨어에 자동 감염되는 드라이브 바이 다운로드(Drive-By-Download) 형태인 것으로 분석됐다. 보안업계 역시 한 동안 주춤했던 매트릭스 랜섬웨어가 지난 22일부터 다시 발견되고 있다며 주의를 당부했다. 더욱이 해커가 국내 최대 포털인 네이버에서도 메일 계정을 만들어 활동하고 있다는 사실도 확인했다. 이처럼 매트릭스 랜섬웨어가 또 다시 등장함에 따라 감염 피해 역시 확산되는 양상이다. 지난 26일에는 랜섬웨어 감염 피해사례가 인터넷에 올라왔다. 한 네티즌은 “네이버 이메일을 복호화 요청 메일 주소로 사용하는 매트릭스 랜섬웨어에 감염됐다”며 밝혔다. 해커는 매트릭스 랜섬웨어 복구비용으로 400만원을 요구한 것으로 알려졌다. 따라서 이용자는 매트릭스 랜섬웨어에 감염되지 않도록 랜섬웨어 감염예방 수칙을 숙지해 실천하는 것이 바람직하다. 


3. [기사] MacOS 버그, 환결 설정 패널의 버튼을 반복적으로 눌러 암호없이 루트 계정 만들 수 있어
[https://www.bleepingcomputer.com/news/apple/macos-bug-lets-you-create-a-root-account-by-repeatedly-pressing-a-button/]
[https://krebsonsecurity.com/2017/11/macos-high-sierra-users-change-root-password-now/]
[https://www.macrumors.com/2017/11/28/macos-high-sierra-bug-admin-access/]

MacOS High Sierra 최신 버전의 버그로 인해 사용자는 환경 설정 패널의 버튼을 반복적으로 눌러 암호없이 루트 계정을 만들 수 있다. 몇 번의 클릭만으로 취약한 장치에 액세스 할 수있는 루트 계정을 만들 수 있기 때문에 공격의 대상이 될 수 있다. 루트 계정은 또한 취약한 시스템에 원격으로 로그인하는 데 사용될 수 있다. 이 취약점은 macOS High Sierra 10.13.1 및 10.13.2 Beta에 영향을 주는 것으로 보인다. 사용자는 "루트"계정을 직접 만들고 사용자 지정 암호를 제공하여 공격자가 버그를 악용하는 것을 방지할 수 있다. 이에 대해 Apple은 버그를 인식하고 패치 작업을 하고 있다.


4. [기사] 새 버전으로 나타난 ‘뱅크봇’, 계좌이체까지 가능
[http://www.boannews.com/media/view.asp?idx=58281&page=1&kind=1]

모바일 뱅킹 트로이목마 ‘뱅크봇(BankBot)’의 새 버전이 구글 플레이에 등장했다. 이번 뱅크봇은 외부 소스에서 페이로드를 다운로드 받는 방식으로 탐지를 피한 것으로 나타났다. 보안 업체 어베스트(Avast), 스파이랩스(SfyLabs), 이셋(ESET) 연구진이 발표했다. 뱅크봇은 설치되고 나면 이용자의 기기에 깔려있는 원래 뱅킹 애플리케이션이 시작될 때까지 기다리는데, 해당 애플리케이션이 시작되면 이를 모방한 버전을 덮어씌운다. 이용자들이 가짜 애플리케이션에 로그인하면 뱅크봇은 뱅킹 크리덴셜을 훔쳐갈뿐더러, 문자 송수신도 가로채는 것으로 밝혀졌다. 이셋의 멀웨어 연구자인 루카스 스테판코(Lukas Stefanko)는 뱅크봇이 모바일 트랙잭션 인증번호(TAN: Transaction Authentication Number)도 훔친다고 덧붙이면서, “공격자들이 뱅크봇을 이용해 피해자의 은행 계좌이체도 할 수 있다”고 경고했다. 


5. [기사] 아르헨티나에서 ZyXEL 장치를 목표로 한 새로운 미라이 봇넷 변종 발견
[https://thehackernews.com/2017/11/mirai-botnet-zyxel.html]
[http://www.boannews.com/media/view.asp?idx=58279&mkind=1&kind=1]
[http://blog.netlab.360.com/early-warning-a-new-mirai-variant-is-spreading-quickly-on-port-23-and-2323-2/]

중국의 보안 업체 치후 360(Qihoo 360) 사물인터넷 봇넷 멀웨어인 미라이(Mirai)의 변종을 발견했다. 이번에 발견된 변종 역시 지난 번 미라이처럼 사물인터넷 기기들의 디폴트 크리덴셜을 노리는 것으로 나타났다. 다만 자이젤(ZyXEL) 장비들을 집중적으로 겨냥하고 있다는 차이점이 존재한다. 원래 미라이는 2016년 말에 등장해 한 달 만에 세계 164개국으로 퍼져나간 멀웨어로 사물인터넷 기기들만 활용해 봇넷을 구성하고, 이를 통하여 폭발적인 트래픽을 생성해 디도스 공격을 일으킨다. 심지어 소스코드가 오픈소스처럼 공개되기도 해서 해커들의 높은 관심을 받았고, 변종이 예고된 바 있다. 그리고 올해 8월 미라이를 계속해서 연구해온 보안 업체 아카마이(Akamai)는 “미라이 봇넷이 봇들과 C&C 서버들로 구성되어 있으며, 일부는 디도스 공격 외 다른 용도로도 활용될 수 있다”고 설명했다. 즉 미라이 봇넷을 그저 디도스 공격으로만 연관 지어서는 안 된다는 것인데, 흔히 봇넷은 랜섬웨어 등의 배포나 스팸 공격에도 활용되고, 봇넷을 보유하지 못한 타 사이버 공격자들이 유료로 대여하기도 한다. 아카마이는 미라이의 서버들 중 하나가 유료로 대여된 것을 직접 발견하기도 했다. 치후 360은 지난 주부터 포트 2323과 23에을 스캐닝 하는 트래픽이 급증했다는 사실을 눈치 챘다. 보자마자 미라이라는 생각이 들었고 추적하기 시작했다. 그러면서 이번 공격이 자이젤 장비들에서만 발견된다는 것도 추가로 파악할 수 있었다. 지난 번 미라이도 사물인터넷 기기를 장악할 때 디폴트 크리덴셜을 대입했는데, 이번 미라이는 디폴트 크리덴셜을 두 개 더 추가해서 공격했다. 스캔을 실시하는 IP 주소는 대부분 아르헨티나에 집중되어 있는 것으로 나타났다. 약 3일 간 10만 개 이상의 IP 주소에서 스캔 활동이 이뤄졌다.


6. [기사] 안드로이드 앱에서 44개의 Tracker가 발견되었다
[https://www.bleepingcomputer.com/news/security/researchers-identify-44-trackers-in-more-than-300-android-apps/]

Android 애플리케이션에 내장된 수십 개의 침입 탐지기가 사용자 동의없이 사용자 활동을 기록한다. 지난 주 공개된 이 연구 결과는 타사 추적 코드를 통해 사용자 데이터를 수집하는 관행이 Android 앱 개발자들 사이에서 널리 퍼지있다는 것을 보여준다. Yale and Exodus 조사 결과 전용 웹 사이트가 생성되어 추적 코드 및 추적기 목록을 사용하는 모든 앱이 나열되고 있었다. 사이트에는 각 앱에서 사용하는 추적기 목록과 추적기의 개인 정보 취급 방침, 소유권 및 기타 관련 링크 및 정보에 대한 정보와 함께 각 추적 프로그램에서 수집하는 세부 정보가 나열되어 있다. 연구원들은 총 300 개의 안드로이드 앱에 44개의 추적 장치가 내장되어 있다고 밝혔다. 전반적으로 Exodus가 분석한 300 개 이상의 앱 중 4분의 1에는 Google의 CrashLytics 및 DoubleClick이 하나의 추적 구성 요소로 포함되어 있었다. 일부 추적 프로그램은 앱 크래시 보고서(예 : Google CrashLytics) 만 수집했지만 일부는 앱 사용 정보 및 사용자 세부 정보도 수집했다. 문제는 iOS에도 영향을 미칠 가능성이 크다. 자세한 내용은 Exodus 프로젝트 웹 사이트 및 Yale Privacy Lab의 GitHub 저장소에서 볼 수 있다.

첨부파일 첨부파일이 없습니다.
태그 Tizi  뱅크봇  ZyXEL