Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향 [2018년 3월 26일] 주요 보안 이슈
작성일 2018-03-26 조회 1379

1. [기사] [긴급] 26만대 이상 기기 감염...대규모 미라이 봇넷 발견
[http://www.boannews.com/media/view.asp?idx=67810&mkind=1&kind=1]
 미라이 봇넷(Mirai botnet) C&C(명령제어) 서버를 분석한 결과, 26만대 이상 기기가 감염된 것으로 확인됐습니다. 더군다나 현재도 차단되지 않아 감염이 확산되고 있어 이용자들의 각별한 주의가 필요합니다. 네덜란드에 위치한 미라이 봇넷 C&C를 분석한 결과, 196개 이상 국가의 26만개 이상 기기들이 감염된 것으로 조사됐으며, 60만개 이상의 로그인 계정정보가 함께 발견됐습니다. 발견된 감염 기기 수와 확인하지 못한 C&C를 추정해 볼 때 DDoS 트래픽 규모가 상당할 것으로 추정됩니다. 감염 기기 대수가 가장 많은 국가 Top10은 중국(40,859), 브라질(19,301), 타이완(13,172), 파키스탄(10,254), 미국(9,686), 러시아(9,615), 인도(8,384), 한국(7,642), 일본(4,489), 네덜란드(3,453) 순으로 나타났습니다. 이 가운데 한국이 7,642개 기기가 봇넷으로 이용되고 있는 만큼 감염 여부를 살펴봐야 한다는 지적이 있습니다. 인터넷에 연결된 기기들 중 Telnet(TCP/23), SSH(TCP/22), TCP/2323 포트가 오픈되어 있다면 미라이 봇넷 감염 유무를 확인해야 하고, 디도스 공격 대비에 만전을 기해야 한다고 당부합니다. 기기의 비밀번호를 반드시 복잡도가 높은 패스워드로 변경하고, 서비스를 시작해야 감염 피해를 예방할 수 있다고 강조합니다.

 

2. [기사] 페이스북 메신저 앱이 안드로이드 전화 기록과 SMS 데이터를 수집합니다.
[https://thehackernews.com/2018/03/facebook-android-data.html]
 Android 기기에 Facebook Messenger 앱을 설치 한 경우 작년 말까지 연락처, SMS 및 통화 내역 데이터를 수집했을 가능성이 있는 것으로 밝혀졌습니다. 이전 버전의 Android에서 권한이 훨씬 덜 엄격했던 때, 페이스북 앱은 설치 시 연락처 권한을 뺏음으로써 다른 사용자의 액세스가 허용되어 자동으로 데이터를 호출하고 메시지를 보낼 수있었습니다. 결국 Google은 API 버전 16에서 Android 권한이 작동하는 방식을 변경하여 앱이 권한을 실행하려고 할 때마다 사용자에게 이를 알려줌으로써 더욱 명확하고 세분화되었습니다. 그러나 개발자는 이 변경 사항을 무시할 수 있었고 Facebook은 작년 10월에 Android API의 버전 4.0을 사용을 중단 할 때까지 통화 및 SMS 데이터에 계속 액세스 해왔습니다. 지금까지 소셜 네트워크에서 수집한 데이터는 Facebook의 Settings (설정) → Facebook 데이터 복사본 다운로드 → My Archive 시작으로 이동하여 확인할 수도 있습니다. Facebook이 연락처를 서버에 저장하거나 지속적으로 업로드하는 것을 원하지 않는 경우 Messenger 앱에서 연속 업로드 설정을 해제 할 수 있습니다. 이 변경으로 이전에 업로드 한 모든 연락처도 삭제할 수 있습니다. iOS의 경우 자동 데이터 액세스를 허용하지 않았기 때문에 Apple 기기의 Facebook 사용자는 안전합니다. 이번 사건에 대해  페이스북 대변인은 거의 모든 소셜네트워킹 사이트에서 사용자가 자신의 친구 및 가족과 더 쉽게 연결할 수 있도록 설계 되었기 때문에 페이스북은 사용자의 연락처를 업로드하여 동일하게 제공한다고 반론했습니다.

 

3. [기사] IETF, 인터넷 표준으로 TLS 1.3 승인
[https://www.bleepingcomputer.com/news/security/ietf-approves-tls-13-as-internet-standard/]
 인터넷 표준 및 프로토콜을 승인하는 조직인 IETF(Internet Engineering Task Force)는 TLS(Transport Layer Security) 프로토콜의 다음 주요 버전으로 TLS 1.3을 정식으로 승인했습니다. TLS 1.3은 이제 클라이언트와 서버가 HTTPS로 인터넷 연결을 통해 암호화 된 통신 채널을 설정하는 표준 방법이 될 것으로 기대됩니다. 이 프로토콜은 이전 버전에 비해 더 나은 암호화 및 해싱 알고리즘을 사용한다는 특징을 갖고 있습니다. 그리고 훨씬 빠른 초기 3way 핸드셰이크 과정으로 연결 지연 시간을 줄여줍니다. 이에 더하여 TLS False Start 및 o Round Trip Time(o-RTT)와 같은 기능을 지원하기 때문에 클라이언트가 이전에 연결한 호스트와의 암호화 핸드셰이크 설정하는데 필요한 시간을 줄여줍니다. 또한 다운그레이드 공격에 대한 보호 기능을 제공하므로 공격자가 서버를 속여서 이전 버전의 프로토콜을 사용한 공격을 할 수가 없습니다. 하지만 해당 프로토콜은 아직 백도어 삽입 공격에 취약할 수 있으며 middlebox 문제가 있습니다. 브라우저가 TLS 1.3을 가장 빨리 구현할 것이지만 주요 문제는 새로운 프로토콜을 지원하기 위해 오래된 인터넷 middlebox 장비는 펌웨어 업데이트를 받아야 합니다. 


4. [기사] 오래된 결함을 이용하여 Linux서버를 목표로 공격하는 새로운 캠페인 등장(CVE-2013-2618)
[http://securityaffairs.co/wordpress/70622/hacking/linux-servers-cryptomining.html]
 트렌드 마이크로(Trend Micro)는 취약한 리눅스 서버에 Monero 광부를 설치하여 사이버 범죄 집단이 거의 $75,000를 벌어 들인 새로운 암호 마이닝 캠페인을 발견했습니다. 해커들은 시스템 관리자가 네트워크 활동을 시각화하기 위해 사용하는 Cacti의 Network Weathermap 플러그 인의 5년 된 취약점을 악용했습니다. 해당 취약점으로 인해 공격자는 피해자 pc에서 임의의 코드를 실행할 수 있습니다. 지속적인 공격을 위해 해커는 로컬의 cron 작업을 수정하여 3 분마다 "watchd0g"Bash 스크립트를 실행하도록 합니다. 해당 스크립트는 Monero 광부가 여전히 활성 상태인지 확인하며, 스크립트가 중단 된 경우 다시 시작하도록 합니다. 코드는 /etc/rc.local에 기록하여 시스템이 재시작될 때마다 watchd0g.sh이 실행되도록 설계되었습니다. Trend Micro는 Cacti의 환경 데이터를 내부에 보관하고 최신 패치로 시스템을 업데이트해야한다고 전합니다.

 

5. [기사] DiskWriter 또는 UselessDisk라고 불리는 새로운 MBR 부트 로커 발견
[https://www.bleepingcomputer.com/news/security/the-diskwriter-or-uselessdisk-bootlocker-may-be-a-wiper/]
 DiskWriter 또는 UselessDisk라고 불리는 새로운 MBR 부트 로커가 발견되어 희생자 컴퓨터의 MBR을 덮어 쓰고 Windows로 부팅하는 대신 재부팅 시 몸값 화면을 표시하는 것을 볼 수 있었습니다. 해당 공격은 Windows에 다시 액세스하기 위해 몸값으로 비트 코인 300달러를 요구합니다. 보안 연구원인 Dmitry Melikov가 처음 발견한 이 감염은 DiskWriter.exe 또는 UselessDisk.exe 파일 이름으로 배포됩니다. 샘플에는 PDB문자열인 E:DebugUselessDisk.pdb도 포함되어 있습니다. 이 감염이 실행되면 MBR을 자체 부트 로더로 대체 한 다음 "shutdown -r -t 0"명령을 사용하여 컴퓨터를 재부팅합니다. 컴퓨터가 재부팅되면 몸값 화면이 표시됩니다. 부트 로커를 제거하거나 MBR 수정에도 불구하고 잘못된 파티션 테이블 오류가 표시된 것으로 보아 MFT 또는 파티션 테이블이 의도적으로 손상되거나 암호화 된 것으로 추정합니다. 현재 모든 희생자가 동일한 비트코인 지불주소를 받았고 그 외 공격자의 어떠한 연락 정보를 알 수 없습니다. 이번 감염은 엄청난 파괴적인 형태로 설계되었으며 보안 전문가들은 여전히 연구중인 것으로 보입니다.

첨부파일 첨부파일이 없습니다.
태그 미라이 봇넷  페이스북  TLS 1.3  DiskWriter  UselessDisk