Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 3월 12일] 주요 보안 이슈
작성일 2018-03-12 조회 1119

1. [기사] 국내 기관 및 조직 대상 APT 공격에 이용...파워쉘 ‘엠파이어’ 공격 급증
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=31258]

 최근 파워쉘 ‘엠파이어’를 이용한 APT 타깃 공격이 증가하고 있어 국내 기관 및 조직 보안 담당자들의 각별한 주의가 필요합니다. 엠파이어(Empire)는 파워쉘로 제작된 오픈소스형 악성코드 공격 프레임워크로 키로거를 비롯하여 계정 정보를 탈취하는 미미카츠(Mimikatz) 등 다양한 공격 모듈을 포함하고 있습니다. 암호화된 통신을 사용하며 파일을 생성하지 않는 파일리스(Fileless)형태로 공격을 수행할 수 있어 탐지 또한 쉽지 않아 공격자들은 APT 타깃 공격을 수행하는데 적극 활용하고 있습니다. 주로 문서 파일에 삽입된 매크로를 이용하여 악성스크립트를 실행해 특정 서버와 통신을 통해 파워쉘 ‘엠파이어’ 스크립트를 메모리에 로드하고 실행합니다. 실행된 파워쉘 스크립트를 통해 명령제어(C&C)서버로부터 해커의 명령을 받아 PC정보를 탈취하고, 추가 파일을 다운로드, 명령 실행 등 악성행위를 수행합니다. 최근 평창 올림픽을 주제로 한 타깃 공격에도 '엠파이어' 프레임워크가 사용되었으며 이러한 공격이 더욱 증가할 것으로 예상되므로 보안담당자는 많은 관심과 주의가 필요합니다.

 

2. [기사] 북한 Hidden Cobra APT 그룹, 새로운 Bankshot 멀웨어로 터키 금융 산업을 목표로 삼아
[http://securityaffairs.co/wordpress/70052/apt/hidden-cobra-targets-turkish.html]

 McAfee연구원들은 북한의 Lazarus 그룹으로 알려진 Hidden Cobra APT 그룹이 터키의 금융 기관을 목표로 삼고 사이버 공격을 하고있음을 발견했습니다. 터키의 금융 기관에 Bankshot 임플란트를 사용하는 해커가 관찰 됐으며, 이 공격은 Hidden Cobra가 글로벌 지불 네트워크 SWIFT에 대해 수행했던 이전 공격과 유사합니다. Bankshot 임플란트는 암호 해독성 대출 플랫폼인 팔콘 코인 (Falcon Coin)과 비슷한 이름의 도메인(falcancoin.io)에서 배포되지만 유사하게 명명 된 도메인은 합법적인 개체와 관련이 없습니다. 이러한 임플란트는 희생자의 시스템에서 공격자에게 완전한 기능을 제공하는 원격 액세스 도구인 Bankshot의 초기 형태 변형입니다. 공격자들은 1월 말에 공개 된 플래시 취약점인 CVE-2018-4878을 유발하는 플래시 공격이 포함 된 Word 문서와 함께 스피어 피싱 메시지를 사용했습니다. Word문서의 파일명은 Agreement.docx이고 Bitcoin 배포 용 템플릿으로 나타납니다. 파일을 열면 falcancoin.io도메인에서 악성 DLL을 다운로드 합니다. 이 임플란트(DLL)는 ZIP파일로 위장되어 있으며 세 개의 제어서버와 통신합니다. 이러한 URL은 임플란트 코드에서 하드 코드된 것입니다. 악의적인 코드는 파일 삭제, 프로세스 삽입, 명령, 채널에 대한 필터 제거를 포함하여 여러 악의적인 작업을 수행할 수 있습니다.

 

3. [기사] Qwerty Ransomware는 GnuPG를 사용하여 피해자 파일을 암호화
[https://www.bleepingcomputer.com/news/security/qwerty-ransomware-utilizes-gnupg-to-encrypt-a-victims-files/]

 새로운 ransomware가 합법적인 GnuPG 또는 GPG 암호화 프로그램을 사용하여 피해자의 파일을 암호화하는 것을 발견했습니다. 현재 해당 랜섬웨어는 Qwerty Ransomware라고 불리며 희생자 파일을 암호화하고 원본을 덮어 쓰며 암호화 된 파일 이름에 .qwerty 확장자를 추가합니다. 해당 랜섬웨어가 어떻게 배포되고 있는지는 확실하지 않지만, 원격 데스크톱 서비스를 실행하는 컴퓨터를 해킹 할 때 공격자가 수동으로 설치하는 것으로 보입니다. Qwerty Ransomware는 컴퓨터를 암호화하기 위해 함께 실행되는 개별 파일 패키지로 구성됩니다. 이 패키지는 GnuPG gpg.exe 실행 파일, gnuwin32 shred.exe 파일, 키를 로드하고 JS파일을 시작하는 배치 파일 및 find.exe 프로그램을 시작하는데 사용되는 JS파일로 구성됩니다. 안타깝게도 파일을 복호화 할 수 있는 개인키는 공격자가 갖고있어서 무료로 파일을 복호화할 수 있는 방법은 없습니다. 하지만 암호화하기위해 사용되는 구성요소들로 인해 프로세스가 너무 느린 덕분에 모든 파일이 암호화되기 전에 컴퓨터가 작동 중인지 확인하고 컴퓨터를 종료할 수 있습니다. Qwerty Ransomware에서 자신을 보호하기 위해서는 신뢰할 수 있고 검증 된 데이터 백업을 가지고 있어야합니다. 또한 Qwerty는 해킹 된 원격 데스크톱 서비스를 통해 설치되는 것처럼 보이므로 제대로 잠겨 있는지 확인하는 것이 매우 중요합니다. 마지막으로 시그니처 탐지 또는 추론뿐만 아니라 행동 탐지를 통합하여 랜섬웨어를 막을 수 있는 보안 소프트웨어를 갖고있을 필요가 있습니다. 

 

4. [기사] 한화 테크윈 Security Camera ... 보안 결함 다수 발견
[https://threatpost.com/security-camera-found-riddled-with-bugs/130335/]

 한화 테크윈의 인기 스마트캠 보안 카메라에서 13개의 중요한 보안 결함일 발견됐습니다. 결함은 안전하지 않은 HTTP 통신 프로토콜 사용에서부터 약한 자격 증명 보호까지 다양합니다. 그  중 가장 치명적인 결함은 장치 소유자가 카메라와 상호 작용할 수있게 해주는 타사 클라우드 기반 서비스인 Cisco Jabber와 함께 잘못 구성된 Hanwha 통신 프로토콜입니다. 클라우드 아키텍처와 관련된 주요 문제 중 하나는 XMPP(Jabber) 프로토콜을 기반으로한다는 것입니다. 모든 한화 스마트 카메라 클라우드는 재버 (Jabber) 서버입니다. 그것은 소위 방이라고 불리며 각 방에 한 종류의 카메라가 있습니다. 공격자는 Jabber 서버에 임의의 계정을 등록하고 해당 서버의 모든 객실에 액세스 할 수 있게 됩니다. 13개의 버그 중 4개는 이처럼 카메라 플랫폼의 클라우드 기능과 관련이 있으며 나머지는 장치 자체에 관련되어 있습니다. 카스퍼스키랩의 연구원들은 목요일에이 취약점을 공개했으며 제조업체와 협력하여 한화 모델 SNH-V6410PN / PNW SmartCam 보안 카메라에 사용되는 펌웨어를 수정하기위한 패치를 배포하는 중이라고 말했습니다.

 

5. [기사] 고도몰 제작 웹 솔루션, SQL 인젝션 취약점 발견
[http://www.boannews.com/media/view.asp?idx=67425&page=1&mkind=1&kind=]

 고도몰에서 제작한 쇼핑몰 웹 솔루션에서 SQL Injection 취약점이 발견됐습니다. SQL Injection 취약점은 응용 프로그램의 보안 취약점을 이용해 악의적인 SQL문을 실행하게 함으로써 데이터베이스를 조회하는 인젝션 공격 방법입니다. 따라서 이용자는 고도몰 홈페이지에 로그인 한 후 ‘마이고도->쇼핑몰 관리’ 메뉴에서 패치&업그레이드 게시판을 클릭하고, ‘PC&Mobile 쇼핑몰 파라미터 유효성 검증’ 보안 패치 게시 글을 확인해 업데이트를 적용해야 합니다.

 

6. [기사] BIND DNS와 DHCP 보안 취약점 발견...업데이트 필수
[http://www.boannews.com/media/view.asp?idx=67424&page=1&mkind=1&kind=1]

 BIND DNS와 DHCP에서 원격 서비스 거부 취약점이 발견돼 이용자들의 각별한 주의가 필요합니다. ISC(Internet Systems Consortium)는 BIND DNS와 DHCP에서 원격 서비스 거부 취약점이 발견됐다며 사용 버전의 업그레이드를 당부했습니다. DHCP에서 발생하는 취약점은 DHCP 옵션을 처리하는 과정에서 버퍼 값에 대한 길이 검증 미흡으로 발생하는 버퍼 오버플로우 취약점(CVE-2018-5732)입니다. 그리고 BIND DNS에서 발생하는 취약점은 악의적으로 조작된 패킷에 의해 발생하는 서비스 거부 취약점(CVE-2018-5734)입니다. 따라서 영향 받는 소프트웨어의 버전을 확인하고 반드시 업그레이드를 해야합니다. 

첨부파일 첨부파일이 없습니다.
태그 Empire  Hidden Cobra  Qwerty Ransomware  고도몰