Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 3월 20일] 주요 보안 이슈
작성일 2018-03-20 조회 1176

1. [기사] 트럼프 폭로 서적 위장 파일, 알고 보니 ‘원격제어’ 악성코드
[http://www.boannews.com/media/view.asp?idx=67613&page=1&mkind=1&kind=1]

 지난 1월말부터 온라인상에서 ‘Fire & Fury’(화염과 분노) 서적 PDF 파일로 가장한 악성코드가 유포되고 있습니다. 이 서적은 미국 트럼프 대통령의 백악관 내막을 공개한 것으로 미국 온,오프라인 상에서 화제작으로 알려져있을 뿐만 아니라 영화화로도 예정되어 있었을 정도로 인기있는 서적입니다. 이러한 이유로 공격자는 PDF문서파일에 악성코드를 심어 유포했을 것으로 추정됩니다. SCH사이버보안연구센터에서 ‘Fire & Fury’ 서적으로 위장한 악성코드를 입수하여 분석한 결과, 해당 악성코드는 감염된 사용자를 원격제어하는 악성코드이며 만약 감염될 경우, 백도어(Backdoor) 기능을 통해 다른 수많은 악성행위를 가능케 하는 것으로 분석됐습니다. 해당 악성코드는 EXE 형식의 압축파일로 유포되며, 아이콘이 PDF 아이콘과 유사하기 때문에 사용자가 인지하지 못한 채 실행했을 가능성이 큽니다. 실제로 실행하게되면 겉으로는 정상적으로 PDF파일만 실행되는 것처럼 보이지만 내부에서는 악성 스크립트 코드도 동시에 실행되고 있습니다. 또한 다양한 경로에 숨어 자가 복제를 시도하여 제거하기도 어렵고, 강제 종료 시 블루스크린을 유발시킬 수 있습니다. 이처럼 유명 서적을 가장한 악성코드가 존재하고 있으므로 검색엔진을 통한 서적이 아닌 공식적인 곳에서 구매할 것을 권장합니다. 

 

2. [기사] 스마트폰 500만대에 악성앱 미리 심어...11만5천달러 수익
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=31770]

 RottenSys라 불리는 이 악성 앱은 'System Wi-Fi Service'앱으로 위장하고 있으며 Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung, GIONE 등에서 생산 된 새 스마트폰 수 백만 대에 공급 망 어딘가에서 선 탑재 되어 출고되고 있었습니다. 분석에 따르면 해당 앱은 어떠한 안전한 와이파이 관련 서비스를 제공하지 않으며 악성 행동을 위해 거의 모든 중요 안드로이드 권한들을 사용하는 고급 악성앱입니다. 심지어 탐지를 피하기 위해 초기에는 악성 컴포넌트를 포함하고 있지 않으며 즉시 악성행동을 시작하지도 않습니다. 대신 실제 악성코드가 포함된 컴포넌트 목록을 받아 오기 위해 C&C 서버와 통신을 합니다. 이후 "DOWNLOAD_WITHOUT_NOTIFICATION" 권한을 이용해 사용자와 아무런 상호작용 없이 모든 컴포넌트를 다운로드 및 설치합니다. 이렇게 감연된 기기에 푸시해 홈 화면, 팝업 윈도우 등에 광고를 발생시키면서 엄청난 수익을 벌고 있습니다. 공격자들은 이에 그치지 않고 더 큰 파괴력을 주는 공격을 준비중이라고 밝혔습니다. 추가적인 피해를 막기 위해서는 안드로이드 시스템 설정에 들어가 악성앱을 삭제해야합니다.

 

3. [기사] MikroTik RouterOS에서 원격으로 악용 가능한 버퍼 오버플로우 취약점 발견
[http://securityaffairs.co/wordpress/70436/hacking/mikrotik-routeros-flaw.html]

 Core Security의 보안 전문가는 최신 6.41.3 이전 버전에서 MikroTik RouterOS에 영향을주는 버퍼 오버 플로우 취약점에 대한 세부 사항을 공개했습니다. CVE-2018-7445로 추적 된 이 취약점은 원격 공격자가 서비스에 액세스하여 시스템에서 임의 코드를 실행할 때 악용 될 수 있습니다. NetBIOS 세션 요청 메시지를 처리 할 때 MikroTik RouterOS SMB 서비스에서 버퍼 오버 플로우가 발견되고, 이 서비스에 액세스 할 수있는 원격 공격자는 이 취약점을 악용하여 시스템에서 코드 실행할 권한을 얻을 수 있는 것입니다. 인증이 수행되기 전에 오버플로우가 발생되므로 인증되지 않은 공격자가 이를 사용할 수 있습니다. 현재 결함 수정한 새로운 버전이 나왔으며 이용자 중에서 업데이트를 할 수 없는 경우 MikroTik에서 SMB를 비활성화 할 것을 제안합니다.

 

4. [기사] 9년째 수정이 되지 않고 있는 파이어폭스 버그
[https://www.infosecurity-magazine.com/news/firefox-bug-goes-unfixed-for-nine/]

 소프트웨어 개발자가 파이어 폭스와 썬더 버드의 패스워드 관리자의 결함을 발견했습니다. 그 개발자는 임의의 Salt와 실제 마스터 암호로 구성된 문자열에 SHA-1 해시를 적용하여 암호를 암호화 키로 변환하는 sftkdb_passwordToKey () 함수를 발견했습니다. SHA-1 (Secure Hash Algorithm 1)은 입력을 받아 메시지 다이제스트라고하는 160비트 해시 값을 생성하는 암호 해시 함수입니다. SHA-1의 해시를 빠르고 쉽게 계산할 수 있어 암호를 알아내기 쉽기 때문에 2005년부터 SHA-1은 보안으로 간주되지 않았으며, 2010년 이후로 많은 조직이 SHA-2 또는 SHA-3으로 대체하도록 권장하고 있습니다. 그럼에도 불구하고 파이어폭스는 여전히 SHA-1해시를 적용하고 있으며 9년 동안 계속되어 왔습니다. Mozilla가 버그를 수정했는지 여부는 아직도 확실하지 않습니다.

 

5. [기사] 많은 텍스트 에디터의 플러그인이 권한 상승을 유발
[https://thehackernews.com/2018/03/text-editors-extensibility.html]

 SafeBreach 연구원인 Dor Azouri는 Sublime, Vim, Emacs, Gedit 및 pico / nano를 포함하여 Unix 및 Linux 시스템 용으로 널리 사용되는 확장 가능한 텍스트 편집기를 몇 가지 분석한 결과, pico / nano 를 제외하고 모두 중요한 권한 상승 문제에 취약 하다는 사실을 발견 했습니다. 피해자의 컴퓨터에서 악의적인 코드를 실행하기 위해 공격자는 이를 악용 할 수 있습니다. 문제의 원인은 이러한 텍스트 편집기가 플러그인을로드하는 방식에 있습니다. 연구원에 따르면, 이러한 편집자를 위해 플러그인을로드 할 때 정규 모드와 상승 모드가 부적절하게 분리되어 있습니다. 폴더 사용 권한의 무결성이 올바르게 유지되지 않아 공격자가 권한을 높이고 사용자 컴퓨터에서 임의 코드를 실행하는 일반 사용자가 권한을 얻게 되는 것입니다. 간단한 조작 캠페인을 통해 공격자가 취약한 텍스트 편집기의 악의적인 확장을 확산시켜 높은 권한으로 악의적 인 코드를 실행하고 멀웨어를 설치하고 대상 컴퓨터를 원격으로 제어 할 수 있습니다. 이에 대응하기 위해 권한이 상승될 때 타사 플러그인을 로드하지 말고 승격되지 않은 사용자에 대해서는 쓰기 권한을 거부하도록 해야합니다.

첨부파일 첨부파일이 없습니다.
태그 RottenSys  MikroTik RouterOS  텍스트에디터  firefox