Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 4월 4일] 주요 보안 이슈
작성일 2018-04-04 조회 1217

1. [기사] 일부 Chrome VPN 확장 프로그램, DNS 쿼리 유출
[https://www.bleepingcomputer.com/news/security/some-chrome-vpn-extensions-leak-dns-queries/]
Chrome의 브라우저 VPN 확장 프로그램은 DNS 프리페칭(prefetching)이라는 Chrome 기능 때문에 외부 사용자에게 DNS 쿼리를 유출합니다. DNS 프리페칭이라는 기능은 사용자가 링크를 따라가기 전에 도메인 이름을 확인하려는 시도이며, 웹 사이트의 도메인을 미리 확인하여 사용자가 주로 방문할 웹 사이트를 예측하여 DNS 확인 시간 지연을 줄이는 솔루션입니다. DNS 프리페칭은 사용자가 링크를 클릭하기 전에 Chrome이 DNS 요청을 할 때 작동합니다. 예를 들어 사용자가 링크를 클릭하면 Chrome이 도메인에 대해 DNS 요청을 하고 Chrome 주소 창의 드롭다운 자동 완성을 채우는 도메인에 대해 DNS 쿼리를 실행합니다. DNS 프리페칭의 페이지 로딩 시간을 단축시키는 이점 때문에 Chrome 브라우저는 기본적으로 표준 구성에서 DNS 프리페칭을 활성화시킵니다. 정상적인 상황에서 VPN 클라이언트는 사용자 지정 DNS 설정을 사용하여 사용자의 DNS 쿼리를 숨기지만, John Mason은 Chrome VPN 확장 프로그램이 Chrome의 DNS 프리페칭 시스템을 통한 쿼리를 가리는 데 실패했다고 말합니다. Mason이 실시한 조사에 따르면 인기 있는 15개의 Chrome VPN 확장 프로그램 중 10개가 DNS 프리페칭 쿼리 때문에 사용자의 잠재적 검색 유형에 대한 세부 정보를 유출합니다. DNS 프리페칭 유출을 피하는 가장 간단한 방법은 Chrome VPN 확장 프로그램만 사용하는 대신 VPN 클라이언트 앱 자체를 켜거나, 사용자가 Chrome에서 DNS 프리페칭 사용을 중지하는 것입니다.

 

2. [기사] 북한 관련자들 노린 ‘레드 아이즈’의 사이버공격 일지
[http://www.boannews.com/media/view.asp?idx=68091&page=1&mkind=1&kind=1]
탈북자, 북한 인권운동가, 북한 연구가, 언론인, 군 등 주로 북한과 관련된 사람들을 타깃으로 한 사이버 공격 그룹인 레드 아이즈의 실체가 드러나 관심을 모으고 있습니다. 3일 안랩이 발표한 분석보고서에 따르면 레드 아이즈(Red Eyes)는 금성121, 그룹 123, ScarCrurf, APT37, Reaper 등으로도 알려져 있습니다. 레드 아이즈 그룹은 2016년에 가을에 처음 확인됐으며, 목표 대상에 메일이나 모바일 메신저로 악성코드가 포함된 문서를 보내는 방식을 주로 사용합니다. 한국에서 널리 사용되는 한글 파일(HWP)의 EPS 취약점을 이용하거나 실행 가능한 VBS, EXE 등의 파일을 삽입하는 방식을 이용하며, 한글 파일 뿐 아니라 MS 오피스 문서도 공격합니다. 악성코드 내에는 First, Happy, Work 등의 특징적 문자열을 담고 있습니다. 2016년 가을에 발견된 한글 문서에서 최초의 EPS를 이용한 문서가 발견되었는데, 주로 북한학술대회, 북한소식, 탈북자 내용을 담고 있으며, 2017년 1월에는 북한신년사 내용을 담고 있는 한글 파일이 발견되었습니다. 2017년 2월 이력서를 가장한 한글 문서에서 해당 그룹의 새로운 백도어인 Dogcall을 발견했으며, 2017년 10월 말과 11월에는 DDE(Dynamic Data Exchange)를 이용한 공격이, 2018년 2월에는 엑셀 문서에 플래시 제로데이(CVE-2018-4878) 파일을 첨부한 공격도 확인되었습니다. 특히, 레드 아이즈 그룹은 2015년 Operation ProgamsByMe을 일으킨 공격 그룹과 동일 그룹이거나 연관되었을 가능성이 높다는 게 안랩의 분석입니다.

 

3. [기사] 새로운 KevDroid Android 백도어 발견
[https://www.securityweek.com/new-kevdroid-android-backdoor-discovered]
감염된 장치로부터 많은 양의 정보를 훔칠 수 있는 새로운 안드로이드 원격 액세스 트로이목마(RAT)가 발견되었습니다. KevDroid라고 불리는 이 모바일 위협은 연락처, 메시지, 전화 기록을 훔칠 수 있으며 전화 통화도 녹음할 수 있다고 합니다. 지금까지 총 두 가지 변종이 발견되었습니다. 변형 중 하나는 루트 액세스를 얻기 위해 CVE-2015-3636을 이용하지만 GitHub의 오픈 소스 프로젝트에서 가져온 동일한 통화 녹음 기능을 구현합니다. 일단 장치에 감염되면 첫 번째 KevDroid 변형은 설치된 애플리케이션, 전화 번호, 전화 고유 ID, 위치, 저장된 연락처 정보, 저장된 SMS, 통화 기록, 저장된 이메일, 사진과 같은 정보를 수집하고 사이펀을 생성할 수 있습니다. 크기가 큰 두 번째 변종은 2월에 동일한 URL에서 호스팅되었으며, SQLite 데이터베이스를 사용하여 데이터를 저장하는 것으로 확인되었습니다. 여기에는 카메라 기록, 오디오 녹음, 웹 기록 도용, 파일 도용, 장치의 루트 권한 획득 기능과 동일한 데이터 수집 기능이 포함됩니다. APK에 포함된 ELF 파일은 루트 권한을 얻기 위해 GitHub에서 사용할 수 있는 코드를 사용하여 CVE-2015-3636 취약점을 악용하려고 시도합니다. 악성코드는 높은 권한을 획득하여 다른 응용 프로그램의 파일을 도용하는 등 심층적인 작업을 수행할 수 있습니다. 또한 공격자는 이미지 또는 정보를 사용하여 희생자를 협박할 수 있습니다.

 

4. [기사] 악마의 컴백? 돌아온 사탄 랜섬웨어 감염 주의
[http://www.boannews.com/media/view.asp?idx=68089&page=1&mkind=1&kind=1]
최근 국내 웹 서버를 통해 사탄 랜섬웨어가 유포된 정황이 발견되었습니다. 보안 전문 기업 하우리에 따르면 이번에 발견된 '사탄(Satan)' 랜섬웨어는 2.1 버전으로 한국어 지원이 추가되며 기존에 국내에 유포됐던 랜섬웨어보다 버전업이 된 것으로 분석되었습니다. 사탄 랜섬웨어는 누구나 손쉽게 랜섬웨어를 제작 및 유포할 수 있도록 해주는 '서비스형 랜섬웨어(RaaS)'로 이번에 유포된 랜섬웨어는 한국을 주요 타깃으로 겨냥하여 제작된 것으로 추정됩니다. 과거 2017년 11월에 국내에 유포되었던 사탄 랜섬웨어는 2017년 추석 연휴에 특정 프로그램의 업데이트 파일을 변조해 국내 사용자 수백여 명을 감염시켰던 '올크라이(Allcry)' 랜섬웨어와도 관련이 있었습니다. 두 랜섬노트의 문구가 오탈자까지 100% 일치하는 등 동일한 제작자에 의해 제작된 것으로 추정된 바 있으며, 이번에 발견된 최신 사탄 랜섬웨어 또한 그들과 동일한 제작자로 추정됩니다. 해당 랜섬웨어에 감염될 경우 사용자 PC의 주요 파일들을 암호화하고 '.satan'이라는 확장자를 추가합니다. 모든 암호화 작업을 완료하면 'ReadMe_@.TXT'라는 랜섬웨어 감염노트와 'Notice.exe'라는 복호화 프로그램을 함께 생성합니다. 몸값으로 0.3 비트코인(한화 약 220만원)을 보내면 복호화 프로그램에 입력할 수 있는 키를 준다고 요구하며 3일이 지나면 파일을 복구할 수 없다고 협박합니다.

 

5. [기사] 일부 버전의 Magniber 랜섬웨어 해독기 출시
[https://www.bleepingcomputer.com/news/security/decrypters-for-some-versions-of-magniber-ransomware-released/]
한국에 기반을 둔 사이버 보안 회사인 안철수 연구소의 보안 연구원들은 Magniber 랜섬웨어의 일부 버전에 대한 해독기를 만들었습니다. 해독기는 AhnLab 웹사이트에서 다운로드 가능합니다. 사용 지침 페이지에는 영어 버전이 없으므로 희생자는 온라인 번역 서비스를 사용하여 읽어야 하지만, 많은 영어 사용자가 감염되었는지는 확실하지 않습니다. Magniber 랜섬웨어는 2017년 10월 중순에 처음 나타났습니다. 랜섬웨어는 Magnitude 익스플로잇 킷을 통해 배포된 기본 랜섬웨어 페이로드로써 Cerber 랜섬웨어를 대체했습니다. 보안 연구원들이 Magniber 감염을 추적하기 시작한 이래, 이 랜섬웨어 운영은 한국 사용자를 감염시키는 데에만 집중되어 왔습니다. 작년 10월에 여러 보안 연구원들이 랜섬웨어가 해독 가능해진 것으로 보인다고 Bleeping Computer에 전했습니다. 마침내 안철수 연구소 팀도 Magniber에서 틈새를 발견할 수 있었습니다. 안철수 연구소의 보안 연구원 차민석은 어제 Bleeping Computer와의 인터뷰에서 "암호화 버그로부터 복구 도구를 만들 수 있다는 것을 알고있었습니다."라고 말했습니다. 다음은 안철수 연구소 AhnLab에서 제공하는 Magniber 랜섬웨어 해독기 다운로드 링크입니다. [http://asec.ahnlab.com/1125]

첨부파일 첨부파일이 없습니다.
태그 DNS prefetching  Red Eyes  KevDroid  Satan ransomware  Decrypter