Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 2월 26일] 주요 보안 이슈
작성일 2018-02-26 조회 1352

1. [기사] 이란과 연결된 그룹 OilRig은 최근 OopsIE라는 새로운 트로이 목마를 사용
[http://securityaffairs.co/wordpress/69470/malware/oilrig-oopsie-trojan.html]

 Palo alto Networks의 맬웨어 연구원에 따르면, 이란과 연결된 OilRig APT 그룹은 현재 OopsIE라는 

새로운 트로이 목마를 중동의 회사와 금융 기관에 공격으로 사용하고 있음을 발견했습니다. 공격 중 

하나는 ThreeDollars 전달 문서의 변형에 의존 했으며 ISIMnjector 트로이를 전달하기 위해 위협 행

위자가 UAE 정부에 보낸 것과 동일한 악의적인 문서가 사용되었습니다. 두 번째 공격에서 OilRig 해

커는 스피어 피싱 메시지의 링크를 통해 악성 코드를 전달하려고 시도했습니다. 연구원은 악성 코드

가 SmartAssembly로 압축되어 있고 ConfuserEx로 난독화 되어있음을 발견했고 해커는 VBScript 파

일을 만들고 3분마다 실행되도록 예약 된 작업을 만들어서 지속성을 확보합니다. OopsIE 트로이 목

마는 InternetExplorer 응용 프로그램 개체를 사용하여 HTTP를 통해 C & C와 통신 합니다. 해당 공격

이 성공 시, 명령을 실행하거나 파일을 업로드하거나 지정된 파일을 다운로드 할 수 있습니다.

 

2. [기사] 트렌드 마이크로, 이메일 암호화 게이트웨이에 발견 된 12 가지 결함
[https://www.securityweek.com/dozen-flaws-found-trend-micro-email-encryption-gateway]

 코어 시큐리티 (Core Security)는 이번주에 리눅스 기반 이메일 암호화 제품에 몇 가지 유

형의 취약점을 발견했다고 발표했습니다. 이메일 암호화 게이트웨이에서 발견 된 결함은 명령 실행

으로 이어질 수있는 임의의 파일 쓰기 문제, XSS (Cross-Site Scripting) 취약점 2 건, 임의 로그와 관

련된 명령 실행 결함 파일 위치 및 소프트웨어 업데이트에 대한 유효성 검사 메커니즘 부족이 있었습니

다. 핵심 보안 연구원이 지적한 다른 결함으로는 SQL 및 XML 외부 개체 (XXE) 주입이 있습니다. 이 

중에서 가장 심각한 보안 허점은 대상 시스템에 대한 액세스 권한을 가진 로컬 또는 원격 공격자가 

루트 권한으로 임의의 명령을 실행할 수있게 하는 것입니다. 현재 대부분의 결함은 벤더사 의해 패치

되었습니다.

 

3. [기사] 해커들은 Linux서버에 SSH무차별 공격 후 카오스 백도어 배포
[http://securityaffairs.co/wordpress/69459/hacking/chaos-backdoor.html]

 GoSecure의 보안 전문가에 따르면, 해커들은 보안이 취약한 Linux 서버에서 SSH 무차별 공격을 시작

하여 카오스 백도어로 불리는 백도어를 배포했음을을 보고서를 통해 발표했습니다. 연구원들은 공격자가 

시스템에 부여한 이름에 따라 백도어 이름을 '카오스'라고 명명했으며 더 많은 조사를 거친 후, 백도

어가 원래 2013년경에 활성화되었던 "sebd"루트킷의 일부 였음을 발견했습니다. Chaos 백도어 설치

는 공격자가 http : //xxx.xxx.xxx.29/cs/default2.jpg에서 jpg 인 파일을 다운로드하는 것으로 시작됩니

다. 이 파일은 현재 카오스(ELF 실행 가능), 클라이언트(ELF 실행 가능), initrunlevels  쉘 스크립트,  설

치 쉘 스크립트를 포함하는 .tar 아카이브입니다. tar 아카이브의 "카오스"는 피해자 시스템에 설치

된 실제 백도어이고 "클라이언트"파일은 설치된 백도어에 연결하는 클라이언트입니다. 백도어는 명

령을 수신하는 8338번 포트에 원시 소켓을 엽니다. 이로써 기존의 합법적인 서비스를 실행하는 포트에

서 백도어를 트리거 할 수 있습니다. 시스템이 감염됐는지의 여부는 'netstat -lwp' 명령을 사용함으로

써 확인할 수 있습니다. 

 

4. [기사] Data Keeper 랜섬웨어, 다크 웹 RaaS 출시 후 2일 만에 첫 번째 희생자 만들어
[https://www.bleepingcomputer.com/news/security/data-keeper-ransomware-makes-first-victims-

two-days-after-release-on-dark-web-raas/]
 사기꾼이 다크 웹에서 Data Keeper Ransomware-as-a-Service (RaaS)를 광고하기 시작한 이틀 후 이 

포털에서 생성 된 ransomware 변형은 이미 실제 사용자의 컴퓨터를 감염시킨 것이 발견되었습니다. 

분석에 따르면, Data Keeper ransomware샘플은 4개의 레이어로 구성되어 있습니다. 첫 번째 계층은 

다른 EXE를 임의의 이름과 .bin 확장자를 사용하여 % LocalAppData %에 드롭하는 EXE입니다. 그런 

다음 ProcessPriorityClass.BelowNormal 및 ProcessWindowStyle.Hidden 매개 변수를 사용하여 실행

합니다. 두 번째 EXE는 모든 파일을 암호화하는 실제 ransomware를 포함하는 다른 DLL을 로드하는 

DLL을 로드합니다. 모든 레이어에는 사용자 정의 문자열 및 리소스 보호 기능이 있고 각 레이어는 

ConfuserEx로 보호된다고 설명합니다. 또한 Data Keeper는 암호화 된 파일 끝에 특수 확장자를 추가

하지 않으므로 피해자가 파일을 열려고 시도하지 않는 한 암호화 된 파일을 알 수 없습니다. 현재 연

구원들은 희생자들의 파일을 복구하기 위해 이용 할 수있는 버그나 실수를 발견하지 못한 상태입니

다.

 

5. [기사] 올림픽 악성코드, 러시아 소행으로 밝혀져
[https://www.securityweek.com/russia-hacked-olympics-computers-turned-blame-north-korea-

report]
 워싱턴 포스트는 러시아 정보 당국이 동계 올림픽 조직위가 사용하는 수백 대의 컴퓨터를 해킹하고 

북한이 한 것 처럼 보이기위해 위장했다고 미국 정보원에 전했습니다. 포스트는 러시아의 GRU 군사 

정보 기관이 지난 2월 올림픽 조직과 연결된 300대의 컴퓨터를 통제 할 수 있었다고 보도했습니다. 

그 결과 많은 참석자들이 빈 좌석을 남겨두고 행사 티켓을 인쇄 할 수 없었습니다. 이는 러시아가 한

국의 컴퓨터 라우터를 해킹하고 데이터를 수집하고 네트워크를 마비시키는 형태의 "악성 코드"를 삽

입했음을 보여줍니다. 도핑테스트 문제로 인해 "러시아 출신의 올림픽 선수"들 중 지정된 선수만 경

쟁 할 수있었기에 일부 분석가들은 사이버 공격이 그 금지에 대한 보복으로 인해 발생했다고 생각합니다.

 

첨부파일 첨부파일이 없습니다.
태그 OopsIE  이메일암호화게이트웨이   Chaos 백도어   Data Keeper 랜섬웨어