Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 2월 9일] 주요 보안 이슈
작성일 2018-02-09 조회 1200

1. [기사] 영수증으로 위장한 Malspam을 통해 배포되는 GandCrab 랜섬웨어
[https://www.bleepingcomputer.com/news/security/gandcrab-ransomware-being-distributed-via-malspam-disguised-as-receipts/]
새로운 악성메일 캠페인은 PDF 영수증인 척하지만 사용자의 컴퓨터에 GandCrab 랜섬웨어를 설치합니다. 이는 PowerShell 스크립트를 통해 랜섬웨어를 설치하는 일련의 악의적인 문서로부터 수행됩니다. GandCrab의 설치로 이어지는 사건의 시작은 사용자가 "Receipt Feb-078122" 제목의 이메일을 받을 때입니다. 이 메일에는 PDF 첨부 파일이 포함되어 있습니다. 사용자가 이 PDF를 열면 사용자에게 자신이 인간임을 확인할 수 있는 캡차인 것처럼 보이는 프롬프트가 표시됩니다. 사용자가 캡차를 클릭하면 PDF 파일은 악성 단어 문서를 다운로드합니다. 문서를 열면 사용자가 콘텐츠 사용 버튼을 클릭하여 매크로를 사용하도록 유도하는 텍스트가 보이고, 사용자가 그 버튼을 클릭하면 악성 매크로가 수행됩니다. 이 매크로는 원격 사이트에서 PowerShell 스크립트를 다운로드하고 실행하는 PowerShell 명령을 실행합니다. PowerShell 스크립트가 실행되면 내장된 GandCrab 실행 파일을 디코딩하여 실행하고, 원격 Command & Control 서버에 연결되어 피해자의 컴퓨터를 암호화하기 시작합니다.

 

2. [기사] 자기장을 통한 데이터 탈취
[http://www.securityweek.com/stealthy-data-exfiltration-possible-magnetic-fields]
이스라엘의 Ben-Gurion 대학교 연구팀은 한 장치의 CPU에서 생성된 자기장을 사용하여 데이터를 전송하는 두 가지 유형의 PoC(proof of concept) 악성코드를 만들었습니다. 자기장은 전하(예 : 전선에 흐르는 전류)와 자기 쌍극자를 움직여 생성된 힘의 필드이며 다른 근처의 이동하는 전하 및 자기 쌍극자에 힘을 가합니다. 최신 컴퓨터에 있는 CPU는 저주파의 자기 신호를 생성하여 에어 갭을 통해 데이터를 전송하도록 조작할 수 있습니다. 연구자들은 에어 갭이 있는 장치에서 데이터를 추출하기 위해 자기장에 의존하는 악성코드 두 가지를 개발했습니다. 그 중 하나는 ODINI라고 하며 이 방법을 사용하여 데이터를 근처의 자기 센서에 전송합니다. 두 번째 악성코드는 MAGNETO이며 일반적으로 장치의 방향을 결정하기 위해 자력계가 있는 스마트 폰으로 데이터를 보냅니다. MAGNETO의 경우, 스마트 폰을 패러데이 가방에 넣거나 전화가 비행기 모드로 설정된 경우에도 악성코드가 데이터를 전송할 수 있었습니다.

 

3. [기사] 인텔, Skylake 프로세서를 위한 새로운 Spectre 패치 업데이트 출시
[https://thehackernews.com/2018/02/intel-processor-update.html]
인텔은 Spectre 취약점 CVE-2017-5715를 해결하기 위해 Skylake 프로세서에 국한된 새로운 펌웨어 업데이트를 발표했으며, 다른 플랫폼 용 패치도 곧 출시될 예정입니다. Spectre 취약점은 코드를 통해 자체 프로세스에서 정보를 추출하는 데 악용될 수 있습니다. 예를 들어, 브라우저의 메모리에서 다른 사이트의 로그인 쿠키를 추출하는 악의적인 JavaScript를 사용할 수 있습니다. 따라서, 인텔은 가능한 한 빨리 이 업데이트를 설치할 것을 강력히 촉구했습니다. 패치하지 않으면 프로세서 취약점들로 인해 공격자가 메모리 격리 메커니즘을 우회하여 패스워드, 암호화 키, 다른 개인 정보들과 같은 중요한 데이터들이 들어있는 커널에 할당된 메모리를 비롯하여 모든 것에 접근할 수 있게 됩니다.

 

4. [기사] 애플의 iBoot 소스 코드, GitHub에서 유출
[https://www.bleepingcomputer.com/news/apple/apple-iboot-source-code-leaked-on-github/]
애플 아이폰 운영체제의 핵심 구성 요소인 iBoot 소스 코드가 GitHub에서 유출되었습니다. 사본을 얻거나 분석할 기회가 있는 iOS 전문가는 코드가 2016년 3월에 출시된 iOS 9.3에서 나온 것이라고 말했습니다. 거의 2년이 지났음에도 불구하고, iBoot 코드는 대개 버전별로 버전을 거의 수정하지 않고 코드의 상당 부분이 최신 iBoot 버전에서 계속 사용됩니다. 따라서 유출된 iBoot 코드는 심각한 보안 위험을 야기할 수 있습니다. 해커와 보안 연구원은 공개되지 않은 취약점을 찾아내고 루트킷과 부트킷과 같은 영구적인 악성코드 공격을 작성할 수 있습니다.

 

5. [기사] 새로운 PoS 멀웨어 제품군 발견
[http://www.securityweek.com/new-pos-malware-family-discovered]
연구원은 새로운 Point of Sale (POS) 악성코드를 발견했습니다. 이 악성코드는 UDP 기반 DNS 트래픽의 과도한 사용으로 인해 발생하며 "UDPoS"라 불리는 새로운 형태입니다. PoS 악성코드는 Hyatt Hotels, Chipotle Mexican Grill, Sonic Drive-In 등을 포함하여 지난 몇 년 동안 여러 가지 중요한 데이터 침해의 원인이 되었습니다. 연구원들은 시스템 관리자에게 비정상적인 활동 패턴(DNS 트래픽)을 모니터링할 것을 촉구합니다. 이러한 패턴을 확인하고 대응함으로써 PoS 단말기 소유자와 공급 업체는 POS 공격을 더 빨리 종결시킬 수 있습니다.

 

6. [기사] PinME 앱, GPS가 꺼진 상태에서 스마트 폰 추적
[http://securityaffairs.co/wordpress/68800/hacking/pinme-track-smartphones.html]
GPS를 사용하지 않고 스마트 폰을 찾고 추적할 수 있는 PinME라는 앱이 개발되었습니다. 이 애플리케이션은 센서의 데이터와 결합된 전화 IP 주소 및 시간대와 같은 정보를 사용하여 누군가를 찾고 추적하는 일련의 알고리즘을 사용합니다. 또한, 사용자가 여행하는 방법을 결정하기 위해 응용 프로그램은 속도, 이동 방향, 이동과 고도 사이의 지연과 같은 휴대폰 센서에서 데이터를 수집하여 걷기, 운전, 비행의 다른 패턴을 인식하는 기계 학습 알고리즘을 사용합니다.

첨부파일 첨부파일이 없습니다.
태그 Ransomware  GandCrab  Malspam  CVE-2017-5715  iBoot