Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 3월 5일] 주요 보안 이슈
작성일 2018-03-05 조회 1145

1. [기사] 파이썬으로 작성된 CannibalRAT, 표적 공격에서 관찰
[http://securityaffairs.co/wordpress/69742/malware/cannibalrat-rat-python.html]
Python으로 작성된 CannibalRAT라는 새 원격 액세스 트로이 목마(RAT)이 발견되었습니다. CannibalRAT은 고도로 표적화된 공격에 사용되고 있습니다. 연구원은 표적 공격에 최소한 두 가지 변종(버전 3.0 및 4.0)이 관련되어 있음을 관찰했습니다. 버전 4.0은 메모리 문자열 분석을 어렵게 만들기 위해 메모리에 임의의 문자열을 생성하는 함수가 포함되어 있습니다. 두 버전 모두 동일한 C&C 서버를 공유하지만 버전 3.0은 표준 웹 요청을 사용하는 반면, 최신 버전에서는 REST 기반 API를 사용합니다. 악성코드 모듈에는 runcmd, 지속성, 다운로드, 업로드, 스크린 샷, 마이너, DDoS, driverfind, 압축 해제, 숨김, 자격증명, 파일, zip, python, 업데이트, VM이라는 이름이 있습니다. 버전 3.0에는 모두 있지만, 버전 4.0에는 DDoS, 마이너, Python, 업데이트 모듈, Firefox에서 자격 증명을 훔치는 기능(Chrome에서만 작동)이 없습니다. 전문가들은 버전 4.0이 모듈을 사용하지 않는 대신 모든 코드가 기본 스크립트에 포함되어 있다는 것을 알게 되었습니다. 

 

2. [기사] Github, 가장 큰 DDoS 공격 당해
[https://thehackernews.com/2018/03/biggest-ddos-attack-github.html]
2018년 2월 28일 수요일, GitHub의 코드 호스팅 웹사이트는 기록적인 1.35Tbps의 최고 기록을 달성 한 DDoS(Distributed Denial of Service) 공격을 받았습니다. 공격자는 봇넷이 아닌 잘못 설정된 Memcached 서버를 DDoS 공격에 이용했습니다. Memcrashed라고 불리는 증폭 DDoS 공격은 대상 IP와 일치하는 스푸핑된 IP 주소를 사용하여 포트 11211에서 대상 Memcrashed 서버로 위조된 요청을 전송하여 작동합니다. 취약한 Memcached 서버로 전송된 몇 바이트가 대상 IP 주소에 대해 수만 배 이상의 더 큰 응답을 유발하여 이와 같은 DDoS 기록을 세우게 되었습니다. Memcached 서버가 리플렉터로 남용되는 것을 방지하려면 관리자는 소스 포트 11211에서 방화벽, 차단, 또는 속도 제한 UDP를 사용하거나 UDP 원을 완전히 사용하지 않도록 설정해야 합니다.

 

3. [기사] 보급형 Android 스마트폰 40개 이상의 모델에서 Triada 뱅킹 트로이목마 발견
[https://www.bleepingcomputer.com/news/security/banking-trojan-found-in-over-40-models-of-low-cost-android-smartphones/]
저가형의 안드로이드 스마트폰 40개 모델이 이미 Triada 뱅킹 트로이목마에 감염되어 판매되고 있습니다. Triada는 2016년 초에 발견된 매우 강력한 안드로이드 뱅킹 트로이목마입니다. 장치를 루트화한 다음 안드로이드 운영 체제 프로세스의 핵심인 Zygote를 감염시킬 수 있습니다. Zygote는 전체 장치를 지우고 OS를 재설치하지 않고는 제거하는 것이 거의 불가능합니다. 이 악성코드는 Leogoo, Doogee, Vertex, Advan, Cherry Mobile와 같이 거의 중국에 기반을 둔 덜 알려진 브랜드의 새로 배송된 장치에서 발견되었습니다. 보안 업체 Dr.Web의 대변인은 "악성코드는 러시아 뿐만 아니라 폴란드, 인도네시아, 중국, Checz 공화국, 멕시코, 카자흐스탄, 세르비아와 같은 전 세계에서 판매되는 장치에 존재합니다."라고 전했습니다.

 

4. [기사] 캐나다 전역 Tim Hortons 매장의 금전 등록기, 바이러스에 감염
[https://www.bleepingcomputer.com/news/security/virus-knocks-out-cash-registers-at-tim-hortons-franchisees/]
캐나다 전역의 수백 개가 넘는 Tim Hortons 프랜차이즈 매장은 일부 매장 영업을 중단하게 만든 컴퓨터 악성코드에 의해 공격을 받았습니다. 일부 매장은 Point of Sale(PoS) 시스템을 수정하려고 시도하는 동안 소량의 시간 동안 영업을 중단했지만 다른 매장은 영업을 아예 중단해야 했습니다. Tim Hortons 매장의 시스템에 감염된 악성코드 유형에 대한 세부 정보는 아직 없습니다. Tim Hortons 대변인은 충돌을 일으키는 바이러스 문제를 해결하기 위해 외부 공급 업체와 협력하고 있다고 말했습니다. 사건 이전에 Tim Hortons는 최저 임금 인상률 20%를 의무적으로 적용한 후 직원 특권을 깎아내린 것에 대해 많은 비판을 받고 있었습니다.

 

5. [기사] 사서함 업그레이드로 위장한 계정 탈취용 악성 메일 유포중...주의
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=30949]
사서함 업그레이드로 위장한 피싱 메일이 국내에 지속적으로 유포되고 있어 이용자들의 각별한 주의가 요구됩니다. 이번에 발견된 피싱 메일은 사서함 할당량 초과로 인해 사서함을 업그레이드 해야 한다는 내용으로 링크 클릭을 유도하고 있습니다. 메일 본문에 '업그레이드하려면 여기를 클릭하십시오'를 클릭하게 될 경우 계정 비밀번호 입력을 유도하는 사이트로 연결됩니다. 만약 이용자가 패스워드를 입력하고 '지금 업그레이드' 버튼을 누를 경우 페이지에서 '기다려주십시오' 등의 문구가 보이지만, 이는 이용자를 안심시키기 위한 것으로 분석되며 실제로는 입력 폼에 기입한 패스워드가 공격자 서버로 전송되는 것입니다.

첨부파일 첨부파일이 없습니다.
태그 CannibalRAT  DDoS  Github  Triada Banking Trojan  악성 메일