Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 12월 11일] 주요 보안 이슈
작성일 2017-12-11 조회 1937

1.[기사] HP 랩탑에 사전에 설치된 키로거 발견
[https://thehackernews.com/2017/12/hp-laptop-keylogger.html]
[https://www.bleepingcomputer.com/news/hardware/keylogger-found-in-hp-notebook-keyboard-driver/]
[https://zwclose.github.io/HP-keylogger/]

HP는 공격자가 키로거 구성 요소로 악용할 수 있는 디버깅 코드를 제거하기 위해 수백 가지 노트북 모델에 대한 드라이버 업데이트를 발표했다. keylogging 코드는 일부 HP 노트북 모델과 함께 제공되는 Synaptics Touchpad 드라이버의 일부인 SynTP.sys 파일에 있다. 결함을 발견한 보안 연구원인 Michael Myng은 "로깅은 기본적으로 비활성화 되었지만 레지스트리 값을 설정하여 활성화할 수 있었다"고 말했다. 맬웨어 개발자는 이 레지스트리 키를 사용하여 보안 제품에서 감지할 수 없는 네이티브 커널 서명 도구를 사용하여 키로깅 동작 및 스파이를 가능하게 할 수 있다. 현재 사용 가능한 UAC 프롬프트를 우회하는 수십 가지 방법이 있다. "키로거는 스캔 코드를 WPP 추적 기능에 저장했다."Myng가 말했다. WPP 소프트웨어 추적은 앱 개발자가 사용하는 기술이며 개발 중에 코드를 디버깅하기 위한 것이다. 따라서 해당 제품 사용자는 최신버전으로 업데이트 해야 한다.


2.[기사] 비트코인 투자자를 공격 대상으로 삼은 Orcus RAT
[http://www.securityweek.com/orcus-rat-campaign-targets-bitcoin-investors?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]

최근 비트코인의 가치 상승으로, 원격 액세스 트로이 목마 개발자들은 비트코인 투자자를 악성 소프트웨어 감염 공격의 타깃으로 삼고 있다. 이 공격은 GuntherLab이나 Gunthy가 개발한 "Gunbot"이라는 비교적 새로운 Bitcoin 거래 봇 애플리케이션을 마케팅하는 피싱 이메일로 시작된다. 그러나 이 이메일은 실제로 Bitcoin 투자자에게 Orcus RAT를 전달한다. 피싱 전자 메일에는 JPEG 이미지 파일로 위장한 바이너리를 다운로드 하도록 설계된 .ZIP 첨부 파일이 포함되어 있다. 다운로드 된 실행 파일은 TTJ-Inventory System이라는 오픈 소스 인벤토리 시스템 도구의 트로이 목마 버전이다. 하드 코딩된 키는 다른 .NET PE 실행 파일로 해독하는 데 사용된다. 멀웨어는 "dgonfUsV"라는 뮤텍스가 있는지 확인하여 감염된 시스템에서 실행되는 유일한 인스턴스임을 확인힌다. Fortinet은 RunPE 모듈이 모듈을 시스템에 쓰지 않고도 모듈을 실행할 수 있으며, 응용 프로그램을 일시 중지 모드로 실행한 다음 프로세스의 메모리를 악의적인 코드로 바꾸어 정상적인 실행 파일로 실행할 수 있음을 발견했다. 지속성 감시 장치는 반복적으로 실행하여 악성 프로그램을 실행 상태로 유지한다.


3.[기사] 안드로이드 취약점, 합법적인 어플리케이션에 악의적인 버전 몰래 덮어 쓸 수 있어
[https://thehackernews.com/2017/12/android-malware-signature.html]
[https://threatpost.com/android-flaw-poisons-signed-apps-with-malicious-code/129118/]
[https://www.bleepingcomputer.com/news/security/android-vulnerability-lets-malware-bypass-app-signatures/]

Google의 2017년 12월 안드로이드 보안 게시판에는 악의적인 행위자가 앱 서명을 우회하여 악성 코드를 Android 앱에 삽입하는 취약점에 대한 수정 사항이 포함되어 있다. 모바일 보안 업체인 GuardSquare의 연구팀이 발견한 이 취약점은 Android OS가 애플리케이션 서명을 읽는 데 사용하는 메커니즘에 존재한다. 가드스퀘어(GuardSquare)연구원은 안드로이드 OS가 파일의 무결성을 검증하기 위해 여러 위치에서 바이트를 점검한다고 말한다. 이 바이트의 위치는 APK 및 DEX 파일에 따라 다르며, 연구원은 APK 내부에 DEX 파일을 삽입 할 수 있음을 발견했다. DEX 삽입 프로세스가 Android에서 무결성 검사를 수행하는 바이트를 변경하지 않고 파일의 서명이 변경되지 않기 때문에 안드로이드 OS에서는 합법적인 어플리케이션이라고 간주하게 된다. 공격자는 안드로이드가 아닌 타사 앱 스토어 사용자를 속여 합법적인 앱에 대한 업데이트 설치를 유도하는 방법으로 공격할 수 있다.


4.[기사] 새로운 미라이 악성코드 변종 ‘사토리’ 발견…225만개 디바이스 위험
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=26770]

신종 '사토리(Satori)' 악성코드가 발견되었다. 이스트시큐리티 측에 따르면 “사토리 악성코드는 최근 12시간동안 이미 28만개의 각기 다른 IP로 활성화 되어 있는 것을 확인했다. 이는 미라이(Mirai) 악성코드의 변종이기도 하다”고 밝혔다. 한편 미라이 봇넷의 사토리 변종은 지금까지 발견되었던 모든 미라이 악성코드들과 다르다. 지금까지 발견된 미라이 악성코드들은 IoT 디바이스들을 감염 시킨 후 텔넷 스캐너 모듈을 내려받아 다른 미라이에 감염된 호스트를 스캔한다. 하지만 사토리는 이러한 스캐너를 사용하지 않으며 두개의 exp를 사용해 37215와 52869번 포트로 원격 접속을 시도한다. 이러한 기능을 통해 사토리는 IoT 네트워크에서 웜처럼 자신이 스스로 자신을 전파시킬 수 있다. 관찰 결과, 12시간 동안 26만3천250개의 IP가 37215번 포트를 스캔했고 1만9천403개의 IP가 52869번 포트를 스캔했다고 밝혔다. 이스트시큐리티 측은 “이정도 규모의 봇넷은 매우 보기 드물며 사토리 악성코드가 이렇게 급속도로 유포될 수 있었던 것은 자가전파가 가능한 특징 때문이다. 이 자가전파 기능은 제로데이 취약점을 이용했을 것이라고 추측된다”며 “이러한 봇넷은 화웨이의 가정용 라우터 제로데이 취약점을 이용하며 이는 체크포인트가 지난 11월 말에 발견한 원격코드실행 취약점이다”라고 밝혔다.


5.[기사] RSA 인증 SDK에서 심각한 인증우회 취약점 2건 발견돼
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=26769]

RSA 인증 SDK에서 CVE-2017-14377, CVE-2017-14378 취약점이 발견됐다. 최신 버전으로 업데이트를 적용해야 안전할 수 있다. CVE-2017-14377 취약점은 RSA 인증 프록시 for Web for Apache Web Serber의 인증우회 취약점이다. 만약 RSA 인증프록시가 UDP 모드로 구성된 경우, 해당 취약점에 영향을 받지 않는다. 하지만 만약 TCP 모드로 설정되어 있는 경우, 원격에서 인증받지 않은 공격자가 특별히 조작된 패킷을 이용해 인증오류 로직을 발생시켜 불법적으로 자산에 접근이 가능하게 된다. 사용자들은 각별한 주의가 요구된다. 또 CVE-2017-14378은 취약점은 RSA 인증프록시의 SDK for C(버전 8.5 및 8.6)에 존재하며, 해당 SDK를 사용하는 모든 시스템이 영향을 받는다. RSA 인증 프록시 API/SDK버전 8.5/8.6 for C가 에러를 처리하는 과정에 취약점이 존재한다. TCP 비동기 모드를 사용할 때, 에러에 대해 잘못된 처리로 반환되는 코드를 애플리케이션에서 처리를 제대로 하지 못해 발생하는 인증우회취약점이다. 사용자들은 반드시 최신 버전으로 업데이트를 진행해야 한다.


6.[기사] 크리스마스 시즌, DDoS 공격과 POS 단말기 공격 주의
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=26763]

카스퍼스키랩 측은 지난 12개월 동안 77% 이상의 기업이 사이버 공격으로 피해를 입었으며 특히 DDoS 및 POS 시스템을 주요 벡터로 삼는 공격이 증가해 상황은 더욱 악화되고 있다고 전했다. 특히 평소보다 매장에 쇼핑객이 많이 몰리고 판매도 증가하는 크리스마스 기간에 소매업체가 거두어들이는 수익은 사이버 범죄자에게 매력적인 공격 대상으로 비친다고 밝혔다. 연구에 따르면, 지난 한 해 동안 DDoS 공격과 POS 시스템의 취약성을 이용한 공격, 두 가지가 폭발적으로 증가했다. 이런 추세로 볼 때 크리스마스 시즌을 맞아 사이버 범죄자들이 DDoS 공격 또는 일반 소매업체 POS 단말기의 취약점을 악용한 공격 가능성이 상당히 높다. 따라서 다가오는 연말 성수기를 맞아 사이버 공격에 대비하기 위해 소매업체 및 인터넷 쇼핑몰 업체는 각 업체의 특정 요구 사항에 맞추어 제공되는 다양한 보안 솔루션을 사용해 스스로를 보호할 수 있다. 카스퍼스키랩에서는 소매업체가 다음과 같은 사항을 따를 것을 적극 권장하고 있다.

첨부파일 첨부파일이 없습니다.
태그 Orcus RAT  Satori