Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 3월 14일] 주요 보안 이슈
작성일 2018-03-14 조회 1219

1. [기사] 원격 데스크톱 프로토콜 CredSSP 취약점, 모든 윈도우 버전에 영향 미쳐 (CVE-2018-0886)
[https://thehackernews.com/2018/03/credssp-rdp-exploit.html]

 현재까지 모든 Windows 버전에 영향을주고 원격 공격자가 RDP 및 WinRM을 악용하여 데이터를 도용하고 악의적인 코드를 실행할 수있는 자격 증명 보안 지원 공급자 프로토콜(CredSSP)에서 치명적인 취약점이 발견되었습니다. CredSSP 프로토콜은 원격 인증을 위해 Windows 클라이언트에서 대상 서버로 암호화 된 자격 증명을 안전하게 전달하는 것을 담당하는 RDP (원격 데스크톱 프로토콜) 및 Windows 원격 관리 (WinRM)에서 사용하도록 설계되었습니다. 이번에 연구원이 발견 한 이슈 (CVE-2018-0886)는 CredSSP의 논리적인 암호화 결함으로, 중간자 공격자가 Wi-Fi 또는 네트워크에 물리적으로 액세스하여 악용 될 수 있습니다. 또한 세션 인증 데이터를 훔치고 원격 프로 시저 호출 공격을 수행할 수 있습니다. RDP는 원격 로그인을 수행하는 데 가장 널리 사용되는 응용 프로그램이기때문에 거의 모든 기업 고객이 RDP를 사용하므로 대부분의 네트워크가 이 보안 문제에 취약 해집니다. 연구자들에 따르면 패치만으로는 이 공격을 완전히 막지 못할 것이라고 경고 했지만 CredSSP 공격으로부터 자신과 조직을 보호하기 위해 사용자는 Microsoft의 사용 가능한 업데이트를 사용하여 워크 스테이션과 서버를 패치하여 보호 되도록 일부 구성해야합니다. 네트워크를 보다 잘 보호하기 위해서는 가능한 한 권한 있는 계정의 사용을 줄이고 가능한 경우 권한이 없는 계정을 사용하는 것이 가장 좋습니다.

 

2. [기사] 여러 국가 정탐하는 머디워터 캠페인, 작년에 이어 활동 재개
[http://www.boannews.com/media/view.asp?idx=67481&mkind=1&kind=1]

 악명 높은 머디워터(MuddyWater) 캠페인이 다시 한 번 출현하기 시작했습니다. 보안 업체 트렌드 마이크로에 의해 발견된 이 캠페인은 지난 해 발견된 것과 다른 점도 있었지만 대체로 비슷했습니다. 과거와 현재의 머디워터 공격 모두 정부 기관에서 보낸 것과 같은 허위 문서로 위장하고 있었고 미국, 사우디아라비아, 이스라엘, 터키 등 세계 여러 나라들을 겨냥한 공격이었습니다. 또한 그 외 난독화 기술과 감염 방법 등도 흡사합니다. 주로 활용되는 공격 수법은 허위문서와 워터링홀 입니다. 문건을 열면 매크로가 실행되면서 악성 페이로드가 실시되는 형태입니다. 문서 내에 임베드된 페이로드도 있고, 원격에서 다운로드 되는 경우도 있습니다. 어떤 경우든간에 다운로드 되는 파일은 난독화된 비주얼 베이직 스크립트와 난독화된 파워셸 스크립트 두 가지 입니다. 이 멀웨어가 설치 되면 공격자는 이를 통해 명령을 전달하는 것 뿐만 아니라 운영 체제 정보, 아키텍처, 네트워크 어댑터 환경설정, 사용자 이름, 스크린 샷 등의 정보가 전송 됩니다. 트래픽 모니터링도 가능하고 어떤 분석 행위나 다른 공격자의 흔적이 탐지되면 "Stop! I Kill You Researcher"라는 메시지도 전달합니다. 아직 머디워터의 배후에 누가 있는지 밝혀지지 않고 있지만 문장 구성하는 신택스나 문법의 상태로 보아 중국의 해커들로 의심되고 있습니다. 

 

3. [기사] 국내 공유기 해킹해 페이스북 위장 악성앱 유포
[http://www.boannews.com/media/view.asp?idx=67476&mkind=1&kind=1]

 한 보안전문가에 따르면 “2월 말경부터 국내 공유기들이 카페부터 펜션, 일반 가정집에 이르기까지 다방면으로 광범위하게 해킹되어 악성앱을 유포하기 시작한 사례가 급증하고 있다”고 밝혔습니다. 이번에 발견된 악성앱은 이용자들의 의심을 피하기 위해 페이스북으로 위장하고 있습니다. 악성앱 설치 과정은 해킹된 공유기를 통해 인터넷에 접속할 경우 ‘페이스북 보안확장 및 사용을 유창하기위해 설치하시길바랍니다’라는 팝업창이 뜨며 팝업창에 뜬 ‘확인’을 클릭할 경우 페이스북을 위장한 정보 탈취용 ‘facebook.apk’라는 악성앱이 설치되는 것입니다. 최근 IoT 기기들이 늘어나면서 일반 가정집이나 카페와 같은 공공장소에서도 공유기 설치가 증가하고 있는데, 공유기에 설정되어 있는 관리자 패스워드 변경, 주기적인 공유기 펌웨어 업데이트를 해야 외부에서의 공격 피해를 예방할 수 있습니다. 휴대폰 사용자도 공식 앱스토어를 통해서만 앱을 다운로드, 업데이트하는 습관을 들여야 합니다. 

 

4. [기사] "OceanLotus"스파이, 최근 공격에서 새로운 백도어를 사용
[https://www.securityweek.com/oceanlotus-spies-use-new-backdoor-recent-attacks]

 베트남에서 운영되고 있는 것으로 의심되는 사이버 스파이 활동 단체인 OceanLotus는 최근에 발견 된 공격에서 새로운 백도어를 사용하며 이전 전술을 이용하고 있다고 ESET는 밝혔습니다. APT32와 APT-C-00으로 알려진 APT (advanced persistent threats) 는 동남아시아, 특히 베트남, 필리핀, 라오스, 캄보디아의 유명 기업 및 정부 기관을 대상으로하고 있습니다. 이 그룹은 자원이 풍부하고 결정력이 뛰어나며 오랫동안 성공한 것으로 알려진 기술과 함께 맞춤형 악성 코드를 사용합니다. 그룹에 의해 사용 된 최신 맬웨어 제품군 중 하나는 운영자가 손상된 시스템에 원격으로 액세스 할 수있게 해주는 본격적인 백도어와 파일, 레지스트리 및 프로세스를 조작하는 기능은 물론 필요한 경우 추가 구성 요소를 로드 할 수있는 옵션입니다. 디지털 서명 된 시만텍 실행 파일 (rastlsc.exe)도 rastls.dll 이라는 악성 DLL과 함께 삭제 됩니다. 서명 된 실행 파일은 이전 기술의 악의적인 동작을 합법적으로 보이게하는 악의적인 DLL을로드합니다. OceanLotus는 팀이 활발히 활동하고 있으며 툴 세트를 지속적으로 업데이트하고 있음을 보여줍니다. 또한 목표를 선택하고 맬웨어의 배포를 제한하며 단일 도메인이나 IP 주소에 주의를 끌지 않도록 여러 개의 다른 서버를 사용하여 탐지를 어렵게 하고 있습니다. 

 

5. [기사] 파워셸 활용한 멀웨어, 2017년에 432% 폭증
[http://www.boannews.com/media/view.asp?idx=67480&page=1&mkind=1&kind=]

 지난해 사이버 범죄자들의 파워셸(PowerShell) 멀웨어 활용이 대폭 늘어난 것으로 나타났습니다. 파워셸 멀웨어가 그만큼 잘 먹히고 있는 뜻이라고 전문가들은 지적합니다. 맥아피에 따르면 파워셸 스크립트 언어가 공격자들이 마이크로소프트 오피스 파일 내에서 광범위하게 움직이려고 할 때 매우 매력적인 수단이 된다고 설명합니다. 대개 파워셸 스크립트 언어는 보다 넓은 범위의 공격에서 최초 단계 감행 시 활용됩니다. 평창 동계올림픽을 겨냥한 골든 드래곤의 작전이 파워셸 멀웨어가 포함된 공격이 어떻게 성공하는지를 잘 설명해 주는 사례입니다. 골든 드래곤 캠페인에서 공격자들은 파워셸 임플란트를 활용하여 시스템 정보를 보내는 원격 서버와 암호화된 통신 채널을 구축했습니다. 파워셸 멀웨어는 파워셸 스크립트 툴의 원래 기능을 활용해 악성 활동을 수행합니다. 관리자들은 반복적인 업무를 자동화하고, 프로세스를 식별 및 종료하며, 시스템에서 돌아가고 있는 서비스들을 확인하는데 이용합니다. 또한 파워셸이 시스템 메모리 내에서 운영된다는 점은 사실상 시스템에 멀웨어를 설치할 필요 없이 악성 코드를 실행시킬 수 있으므로 멀웨어를 탐지 또한 어렵게 만드는 것이므로 공격자들에게 인기가 많습니다. 

첨부파일 첨부파일이 없습니다.
태그 CredSSP 취약점  MuddyWater  OceanLotus  파워셸