Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 4월 19일] 주요 보안 이슈
작성일 2018-04-19 조회 693

1. [기사] 이케아가 운영하는 외국판 알바몬 태스크래빗에서 보안 사고
[http://www.boannews.com/media/view.asp?idx=68572&page=1&kind=1]
한국에서는 다이소몰에서 해킹 사고가 발생한 가운데 이케아가 운영하는 단기 아르바이트 중개 서비스인 태스크래빗(Task Rabbit)에서도 보안 사고가 발생해 앱과 웹사이트가 잠시 중단되는 일이 발생했습니다. 태스크래빗 측은 고객들에게 "태스크래빗에서 사용하는 비밀번호를 다른 웹사이트에서도 그대로 사용한다면, 비밀번호를 바꾸라"고 권고했으며, "사이버 보안 전문 업체와 함께 수사를 진행 중에 있으며 사법 기관에도 보고했다"고 당사 트위터를 통해 밝혔습니다. 하지만 아직 정확한 피해 규모에 대해서는 조사 중이라고만 전달했습니다. 공격자들이 어떤 방식으로 태스크래빗에 침투했는지도 아직 정확히 밝혀지지 않았지만, 보안 업체 Tripwire의 총괄은 외신과의 인터뷰를 통해 "피싱 공격이 왜 해커들 사이에서 인기가 높은지 보여주는 사건"이라며 피싱 공격 가능성을 언급했습니다.  실제로 많은 사이버 범죄자들은 독특한 기능의 멀웨어를 기술적으로 개발하는 것보다 사용자들을 더 그럴듯하게 속이는 방법을 고안하는 데에 많은 노력을 기울이고 있기 때문에 사이버 범죄는 일반적인 사기 행각을 많이 닮아가고 있고, 이는 능동적이고 선제적인 대응으로 막아야 한다는 것이 중론입니다. 또한 "성공적인 스타트업을 매입하는 대기업들의 행태 역시 계속될 텐데, 보안이 중요한 고려 및 점검 사항이 되어야 한다."고 덧붙였습니다.

 

2. [기사] LG NAS 장치에서 발견된 패치되지 않은 RCE 취약점
[https://thehackernews.com/2018/04/hacking-nas-devices.html]
LG 전자에서 제조한 NAS(Network-attached storage) 장치는 공격자가 장치를 완벽하게 제어하기 위해 악용할 수 있는 원격 코드 실행 취약점의 영향을 받습니다. 보안 회사인 VPN Mentor의 전문가들은 LG NAS 장치 모델의 대다수에 영향을 미치는 사전 인증 원격 명령 주입 취약점을 발견했습니다. "사전 인증된 원격 명령 주입 취약점을 사용하여 시스템을 해킹할 수 있는 방법을 찾았습니다. 그러면 사용자가 데이터에 액세스하고, 사용자 데이터 및 내용을 변조하는 것을 포함한 모든 작업을 수행할 수 있습니다." 라고 전했습니다. 이 취약점은 원격 관리를 위해 사용자 로그인 페이지의 "패스워드" 파라미터의 부적절한 유효성 검사로 인해 발생합니다. 즉, 원격 공격자가 이 필드를 통해 임의의 시스템 명령을 전달할 수 있습니다. 전문가들은 모든 데이터베이스 데이터를 덤프하고 새 사용자를 추가하는 것은 매우 간단하다고 설명했습니다. 또한, LG가 암호를 보호하기 위해 MD5 해시 알고리즘을 사용한다는 것을 알아냈습니다. 이는 쉽게 깨뜨릴 수 있음을 의미합니다. LG 전자는 아직 이 취약점을 해결할 보안 업데이트를 공개하지 않았기 때문에 LG NAS 장치를 사용하고 있다면 인터넷에 노출시키지 않고 공인 IP와의 연결만 허용하는 방화벽으로 보호해야 합니다. 또한 사용자는 장치에 등록된 모든 사용자 이름과 패스워드를 확인하여 의심스러운 활동이 있는지 주기적으로 확인하는 것이 좋습니다.

 

3. [기사] 드라이브 바이 크립토재킹? 암호화폐 채굴 얼마나 많나
[http://www.boannews.com/media/view.asp?idx=68562&mkind=1&kind=1]
지난해 말부터 올해 초 전국에 열풍을 일으켰던 암호화폐 투자 바람은 정부의 각종 규제 조치로 한풀 꺾였지만, 웹사이트 상에서 이용자의 컴퓨팅 자원을 이용해 암호화폐를 채굴하는 '크립토재킹(Cryptojacking)'은 최근 이용자들의 가장 큰 보안위협으로 부상하고 있습니다. 특히, 웹사이트를 방문하기만 해도 암호화폐 채굴기가 작동하는 '드라이브 바이 크립토재킹(Drive by Cryptojacking)' 방식이 유행처럼 급속하게 퍼지고 있는 상태입니다. 이는 웹사이트를 방문만 해도 악성코드에 자동 감염되는 드라이브 바이 다운로드 방식과 유사한 형태라고 보면 됩니다. PC에 암호화폐 채굴기를 별도로 설치할 필요 없이 브라우저를 이용해 채굴하는 방식입니다. '드라이브 바이 크립토재킹' 방식으로 암호화폐 채굴 피해를 입는 국가 가운데 1위가 우리나라로 조사되었으며, 2위는 미국, 3위는 중국 순이었습니다. 무엇보다 해당 공격을 예방하려면 이용자들이 암호화폐를 채굴하는 사이트 접속을 금지해야 하는데, 문제는 채굴 여부를 사전에 파악하기가 쉽지 않다는 점입니다. 그나마 최근 크롬 브라우저의 경우 암호화폐 채굴기를 차단하는 플러그인이 다수 존재하고, 또 다른 브라우저인 오페라(Opera) 베타 버전 브라우저의 경우 채굴 금지 기능이 탑재돼 있어 해당 브라우저를 활용할 경우 어느 정도 도움이 될 수 있습니다. 

 

4. [기사] MS, 피싱 방지 기술을 포팅하는 "Windows Defender Browser Protection" 크롬 확장 프로그램 출시
[https://www.bleepingcomputer.com/news/security/microsoft-ports-anti-phishing-technology-to-google-chrome-extension/]
Microsoft는 피싱 방지 기술을 포팅하는 "Windows Defender Browser Protection" 이라는 Chrome 확장 프로그램을 출시했습니다. 해당 확장 프로그램은 사용자가 속여서 악의적인 링크에 액세스 할 때마다 밝은 빨간색 페이지를 표시합니다. 이 경고는 Chrome이 기본적으로 안전한 브라우징 API를 통해 보여주는 것과 비슷하지만, SmartScreen API라고 하는 악의적인 링크로 이루어진 Microsoft 데이터베이스를 기반으로 합니다. Chrome 사용자는 이제 두 API를 모두 사용하여 피싱 및 악성코드 호스팅 URL을 탐지할 수 있게 되어 좋을 것입니다. SmartScreen API는 구글의 더 유명한 Safe Browsing API로 알려져 있지는 않지만 동일한 방식으로 작동합니다. SmartScreen API를 추가한 Edge는 작년 테스트 기간 동안 모든 피싱 URL의 99%를 잡은 것으로 나타난 반면, 구글 Chrome은 오직 87%를 감지한 것으로 나타났습니다. 그러나 Microsoft는 2015년에 Edge를 미완성 상태로 출시하는 실수를 저질렀습니다. 지금은 특히 보안 기능과 관련하여 좋은 브라우저로 변모했으며, SmartScreen API는 신뢰할 수 있는 기술입니다. Microsoft가 SmartScreen을 Chrome에 포팅하기로 결정한 이유는 확실하지 않습니다.

 

5. [기사] Drupalgeddon 2 취약점, 백도어 / 암호화폐 마이너 / 기타 악성코드 유포에 악용
[https://www.securityweek.com/drupal-sites-targeted-backdoors-miners-drupalgeddon2-attacks]
최근에 패치된 Drupal 취약점은 CVE-2018-7600으로 추적되었으며 Drupalgeddon 2는 백도어, 암호화폐 마이너, 기타 유형의 악성코드를 제공하기 위해 악용되었습니다. CVE-2018-7600을 목표로 하는 온라인 활동이 여전히 스캐닝(즉, 취약한 시스템을 찾기 위한 시도)을 나타내는 것처럼 보이지만 공격자는 이 취약점을 악용하여 악성코드를 설치하기 시작했습니다. SANS Internet Storm Center는 공격자가 대상 서버에 더 많은 파일을 업로드 할 수 있게 하는 간단한 PHP 백도어와 암호화폐 마이너, Perl로 작성된 IRC 봇을 제공하려는 시도를 발견했습니다. SANS가 관찰한 공격 중 하나가 XMRig Monero 마이너인데, 같은 공격에서 해커는 침입한 시스템에서 경쟁하는 마이너를 죽이는 스크립트를 다운로드했습니다. Drupalgeddon 2 취약점은 원격 코드 실행을 위해 악용될 수 있으며, 웹사이트를 완전히 제어할 수 있습니다. 취약점은 Drupal 6, 7, 8에 영향을 미치며 3월 말에 릴리즈된 업데이트로 패치되었습니다. 전문가들은 거의 즉각적으로 악용 사례를 볼 것으로 예상했지만, 기술적 분석과 PoC(proof-of-concept) 악용 사례가 공개된 지 2주 만에 첫 번째 공격이 있었습니다.

첨부파일 첨부파일이 없습니다.
태그 Task Rabbit  LG NAS  RCE  Drive by Cryptojacking  CVE-2018-7600