Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 12월 26일] 주요 보안 이슈
작성일 2017-12-26 조회 2742

1.[기사] 기업을 상대로 백도어를 설치하는 프린터 스푸핑 캠페인
[https://www.infosecurity-magazine.com/news/printerspoofing-campaign-installs/]

많은 조직에서 기업 프린터 및 스캐너의 전자 메일은 보편적으로 사용되고 있다. 최근, 이러한 기기들을 활용한 공격들이 발견되었다. 바라쿠다 네트웍스는 Canon, HP, Epson 프린터 및 스캐너 전자 메일 첨부 파일을 통해 공격을 가속화했다. 사이버 범죄자들은 악성 코드가 포함된 전자 메일을 보내서 의심하지 않는 사용자를 감염 시키려는 시도를 했다. 기업 프린터 및 스캐너는 일반적으로 페이지를 스캔하고 복사하는 데 사용되며 문서의 PDF 버전을 쉽게 받을 수 있는 방법으로 스캔 전자 메일을 사용하고 있다. 공격자는 수정된 파일 이름과 확장명을 사용하여 악성 코드를 숨기고 전자 메일 바이러스 백신 시스템과 같은 보안 조치를 우회할 수 있다. 수신자가 첨부파일의 압축을 풀면 맬웨어는 시스템에 백도어를 설치하여 피해 PC에 대한 무단 액세스와 사이버 공격 기능을 제공한다. 여기에는 사용자 행동을 모니터링하고, 컴퓨터 설정을 변경하고, 파일을 찾아보고 복사하고, 범죄 활동을 위해 대역폭을 활용하고, 연결된 시스템에 액세스하는 등의 기능이 포함된다. 또한 워크 스테이션의 사용자 권한을 갖는 것에서 로컬 관리자 권한을 갖는 것으로 확대하기 위해 연결을 검색한다. 따라서 근로자는 공격을 예방하기 위해 스캔한 문서를 수신할 경우, 보낸 사람과 첨부파일을 검토해야 한다. 또한 의심스러운 첨부파일은 클릭하지 않는 것이 좋다.


2.[기사] KMSPico 인증 툴에서 가상화폐 채굴 기능 발견
[http://www.boannews.com/media/view.asp?idx=65717&mkind=1&kind=1]

KMSPico 정품 인증 툴에서 가상화폐 채굴 기능이 발견돼 이용자들의 각별한 주의가 필요하다. 2017년 12월 초에 등록된 Windows, Microsoft Office 프로그램의 정품 인증 툴로 유명한 KMSPico 10.2.2 버전에서 가상화폐 채굴 기능을 가진 악성코드가 추가된 정황이 포착된 것이다. 보안전문 파워블로거 울지않는벌새는 “KMSPico 정품 인증 툴에서 가상화폐 채굴 기능이 필수적으로 설치된다”며 “채굴 기능이 있는 악성파일은 KMSPico 정품 인증툴 설치 창이 생성된 후 ‘C:Program Files (x86)KMSPico 10.2.2 Final’ 폴더를 생성하며, 가상화폐 채굴 기능을 수행하는 win32.exe 악성파일이 생성된다”고 분석했다. 특히, 사용자가 작업 관리자(Taskmgr.exe)를 실행해 CPU 사용을 확인할 경우 notepad.exe 프로세스를 자동 종료 처리해 자신의 행위를 숨기며, 작업 관리자가 종료될 경우 재실행해 지속적인 작업을 수행한다. 이에 대해 벌새는 “KMSPico 정품 인증 툴을 확인하는 과정에서 필수적으로 가상화폐 채굴 기능과 특정 시간 단위로 추가적인 악성 프로그램 설치를 유도하는 웹사이트 접속 행위가 수행될 수 있다”며 “KMSPico 정품 인증 툴은 되도록 사용하지 않는 것이 바람직하며, 백신에서 탐지한다고 해도 정품 인증 툴 특성 때문에 진단한 것으로 무시하는 경향이 있어 더욱 주의해야 한다”고 당부했다. 


3.[기사] 정부 지원 받는 해커가 내 페이스북 계정 노린다고?
[http://www.boannews.com/media/view.asp?idx=65716&mkind=1&kind=1]

최근 페이스북에서 한국 사용자들에게 해커의 위협을 받고 있으니 보안기능을 추가하라는 경보를 자주 발송하면서 주목을 받고 있다. 이 경보는 잘 알려지지 않아서 일부 사용자들은 해당 경보 자체를 피싱 등의 사이버 공격이 아닌지 오해하는 경우도 있다. 결론부터 말하자면, 이 경보는 페이스북에서 발송하는 실제 서비스다. 많은 사용자들은 잘 모르지만, 페이스북에는 해커로부터 위협을 받을 경우 사용자에게 경고를 보내는 기능이 있다. 그것도 일반적인 해커가 아닌 ‘정부 지원을 받는 해커’에게 공격을 받았거나 받을 가능성이 있는 경우에 경고문을 발송하고, 패스워드를 다시 설정할 것을 권고하고 있다. 주목할 점은 이 경보가 일반 해커가 아닌 ‘정부 지원을 받는 해커’로부터의 공격을 경고하고 있다는 점이다. 일반적으로 정부 지원을 받는 해커는 중국과 러시아, 그리고 북한의 해커들이 대표적이다. 우리나라 페이스북 사용자가 이 경보를 받는 일이 늘었다는 사실은 중국과 러시아, 그리고 북한의 해커로부터 사이버 공격을 받는 일이 늘고 있다는 것을 의미한다. 그렇다면 페이스북은 공격의 주체가 국가의 지원을 받는 해커인지 어떻게 아는 것일까? 페이스북 코리아에 문의했지만, ‘서비스의 세부사항은 말해줄 수 없다’는 답변만 들을 수 있었다. 이에 대해 한 보안전문가는 “페이스북의 고유 기술이기 때문에 자세하게 알 수는 없지만, 아마도 IP 주소를 통해 특정 국가를 추정하는 것 같다”고 설명했다. 한편, 페이스북 코리아 측은 최근 국내 사용자에게 해당 경보가 많이 발송되고 있는 것은 사실이라면서 패스워드 관리 등 계정 보호 및 보안에 좀 더 유의해줄 것을 당부했다. 


4.[기사] Satori IoT 봇넷, Huawei 라우터 좀피화 하기 위해 0-day 취약점 이용 (CVE-2017-17215)
[http://www.securityweek.com/mirai-variant-satori-targets-huawei-routers?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
[https://thehackernews.com/2017/12/satori-mirai-iot-botnet.html]
[https://threatpost.com/huawei-router-vulnerability-used-to-spread-mirai-variant/129238/]
[http://securityaffairs.co/wordpress/67040/malware/satori-botnet-mirai-variant.html]

악명 높은 IoT 멀웨어 Mirai의 원래 제작자가 이미 체포되어 감옥에 보내졌지만, 인터넷에서 소스 코드가 사용 가능하기 때문에 여전히 변종이 활동하고 있다. 해커들은 악성 코드를 널리 사용하여 DDoS 공격에 사용할 수 있는 인터넷용 장치를 조용히 모으고 있다. Mirai의 또 다른 변종은 Huawei 가정용 라우터 모델의 제로데이 취약점을 악용하여 빠르게 확산되고 있다. Check Point 보안 연구원은 라우터 모델의 취약점을 악용하려는 수십만 건의 시도를 추적했다고 말하면서 Satori(Okiku라고도 함)라고 불리는 Mirai 변종은 Huawei의 라우터 모델 HG532를 목표로 삼고있다고 발표했다. 체크 포인트 (Check Point)에 의해 새롭게 발표된 보고서에 따르면, Mirai 변종은 화웨이 HG532 장치의 제로 데이 취약점 (CVE-2017-17215)을 이용하여 12시간 만에 200,000개 이상의 IP 주소를 감염시키는 것으로 밝혀졌다. 이 취약점은 Huawei 장치에서 원격 관리용 응용 프로그램 계층 프로토콜인 TR-064 (기술 보고서 표준)의 구현이 UPnP (Universal Plug and Play) 프로토콜을 통해 공용 인터넷에 노출되었기 때문에 발생한다. "TR-064는 로컬 네트워크 구성을 위해 설계된 것"이라고 이 보고서는 설명한다. 예를 들어 엔지니어는 내부 네트워크에서 기본 장치 구성, 펌웨어 업그레이드 등을 구현할 수 있다. 이 취약점으로 인해 원격 공격자가 장치에 임의의 명령을 실행할 수 있었고, 이를 악용하여 화웨이 라우터에서 악의적인 페이로드를 다운로드하여 Satori 봇넷을 업로드하는 것으로 나타났다. 이에 따라 화웨이는 취약점을 확인하고 고객에게 업데이트된 보안 공지를 발표했다.


5.[기사] ‘빗썸’ 사칭한 카톡 플러스친구 기승...비밀번호 싹쓸이
[http://www.boannews.com/media/view.asp?idx=65706&mkind=1&kind=1]

암호화폐 거래소 ‘빗썸’을 사칭한 카카오톡 플러스 친구가 기승을 부리고 있어 이용자들의 주의가 요구된다. 22일 빗썸 측은 “최근 빗썸을 사칭한 카카오톡 플러스 친구를 통해 비밀번호를 탈취 당한 피해사례가 확인됐다”며 “피해가 발생하지 않도록 주의할 것”을 당부했다. 빗썸을 사칭한 가짜 카카오톡 플러스친구 예시를 살펴보면 ‘빗썸프로그램’이란 제목으로 @bithumbprogram·24시간 빗썸 프로그램 등 내용과 함께 ‘공식카페’가 표기돼 있다. 하지만 실제 빗썸의 카카오톡 플러스 친구는 ‘빗썸’ 제목으로 @빗썸·믿을 수 있는 암호화폐 거래소, 24시간 등 내용과 함께 ‘전화걸기’ 표기가 돼 있다. 이에 대해 빗썸은 ‘빗썸 사칭 플러스친구 주의’란 제목으로 ‘빗썸이 제공하는 카카오톡 상담서비스는 플러스친구 검색 시 최상단에 있는 ‘빗썸’(@빗썸)이 유일하다’고 공지했다. 빗썸을 사칭한 경우는 이 뿐만 아니다. 빗썸 운영자를 사칭하거나 계정정보를 탈취하기 위해 해커가 만든 빗썸 피싱 사이트도 잇따라 발견되고 있다. 이와 관련 빗썸 측은 “어떠한 경우에도 OTP 인증번호, 보안비밀번호 등을 요구하지 않는다”며 “이러한 요구를 받은 경우, 상대방에게 절대로 정보를 전달하지 말고, 즉시 빗썸 고객센터로 제보할 것”을 당부했다. 


6.[기사] 라자루스 해킹그룹, 한국 POS시스템 타깃 공격으로 활동 재기
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=27337]

최근 보안회사 프루프포인트(Proofpoint) 연구원이 암호화된 화폐에서 Lazarus(라자루스) APT 그룹 활동의 중요한 증거를 발견했다. 북한과 관련된 것으로 알려진 이 해킹그룹은 암호화폐와 관련된 유인물을 통해 사용자를 악성코드에 감염시키는 여러 단계의 공격을 수행했다. 악성코드는 암호화폐 지갑과 환전에 대한 기밀 문서를 훔치는 것을 목표로 했지만 그 이상의 것을 얻을 수도 있다. 이들은 또한 최근 한국의 POS기를 타깃으로 한 공격의 배후로 여겨지고도 있다. 해당 보고서는 국가 후원을 받는 해커 그룹이 POS를 대상으로 공격한 첫번째 사례라고 언급했다. 해커들은 공격을 통해 사용자의 카드 결제시 사용하는 POC 데이터를 도용해 필요한 금융 정보를 얻을 수 있다. 또한 해커들은 크리스마스 쇼핑 시즌에 맞추어 공격을 강화하고 있다. 전문가들이 발표한 연구 보고서는 오리지널 Ratankba 악성코드와 매우 유사한PowerRatankba라고 명명된 파워셀 기반 멀웨어에 대해 상세히 설명하고 있으며 한국 POS 시스템을 타깃으로 한 RatankbaPOS에 대해서도 설명하고 있다. 프루프포인트 위협 정보 책임자인 Patrick Wheeler는 “라자루스 그룹은 매우 정교하고, 정부가 후원하는 APT 그룹이다. 전세계를 타깃으로 하고 파괴적인 공격의 오랜 역사를 가지고 있다. 정부의 후원을 받는 그룹들은 보통 간첩과 분열을 목적으로 한다. 그러나 이 그룹의 최근 활동들을 보면 이들이 경제적 동기를 가지고 있음을 알 수 있고 이는 북한 그룹의 특성과 비슷하다”고 언급했다.

첨부파일 첨부파일이 없습니다.
태그 CVE-2017-17215  Lazarus