Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 5월 4일] 주요 보안 이슈
작성일 2018-05-04 조회 1148

1. [기사] “시스템 붕괴됐다” 성공적인 평창올림픽 무대 뒤 긴박했던 12시간
[http://www.ddaily.co.kr/news/article.html?no=168483]
 지난 2월 9일 평창동계올림픽 개막식 당일, 12시간동안 무대 뒤에서 긴장감이 맴돌았던 상황이 공개되었습니다. 개막식을 기다렸다는 듯이 사이버공격이 시작됐고 과거 올림픽 사례에서는 볼 수 없을만큼 악의적인 공격들이 많았습니다. 공격자들은 시스템 구조를 사전에 상당한 수준으로 파악하였고 오로지 시스템 파괴를 위해 300여개의 서버 공격과 41종의 악성코드 감염으로 사실상 거의 모든 서비스가 차단될 정도였다고 전했습니다. 이에 대해 평창올림픽 CERT는 우선순위를 정해 3단계에 걸친 대응을 실시하여 필요 서비스를 우선적으로 복구하는 방향으로 진행했습니다. 긴장감을 놓지않고 추가공격에 대비하며 백업시스템까지 복구를 완료하고 언제든지 백업이 가능하도록 하는 등 철저한 대응과 대비를 통해 정상적인 서비스를 이용할 수 있도록 했습니다. 이번 공격의 배후로 동계올림픽 출전 금지 처분에 따른 보복행위로 북한으로 위장한 러시아의 소행이 아니냐는 말이 많았지만 확실한 것은 북한은 아니며 계속적인 수사를 진행하여 정확한 배후를 찾고있다고 전했습니다.

 

2. [기사] 세계 최대 DDoS 서비스 사이트가 폐쇄된 이후, 유럽 DDoS 공격 60% 감소
[http://blog.alyac.co.kr/1662?category=750247]
 세계 최대 DDoS 서비스 사이트인 WebStresser를 통해 누구든지 가입하고 결제만하면 원하는 사이트에 DDoS공격을 할 수 있었습니다. 약 136,000명의 이용자가 해당 서비스를 사용하고 있었고 4달 사이에 해당 서비스를 통해서 400만건 이상의 DDoS공격이 수행됐다고 밝혔습니다. 이처럼 Google에 검색하면 가장 상단에 노출될 정도로 인기있는 사이트였습니다. 그런데 지난 4월 해당 사이트가 폐쇄가 되면서 실질적으로 유럽에서 DDoS 공격이 약 60%가 감소하였습니다. 보안업체 측은 이는 해당 사이트의 폐쇄로 인한 일시적인 현상이며 또 다시 새로운 DDoS 봇넷이 증가하여 공격이 시작될 것이라고 전했습니다.

 

3. [기사] 갠드크랩 랜섬웨어, 새 버전 등장해 바탕화면 변경
[http://www.boannews.com/media/view.asp?idx=69057&page=1&kind=1]
 갠드크랩 랜섬웨어의 새로운 버전 등장으로 이용자들을 위협하고 있습니다. 입사 지원서와 이미지 도용을 사칭하여 공격함으로써 사회공학적기법을 사용해 이용자들의 각별한 주의가 필요합니다. 공격자는 기업의 채용공고를 보고 지원자로 위장하거나, 이미지 도용했다는 저작권 위반을 사칭해 첨부파일을 열도록 유도함으로써 공격합니다. 최근 등장한 새로운 버전에서는 바탕화면까지 바꿔버려 피해자들에게 감염사실을 노출시키고 가상화폐를 요구하는 것이 특징입니다. 보안전문가에 따르면 이번에 발견된 갠드크랩 랜섬웨어는 이전에 비너스락커 랜섬웨어를 유포한 조직이 뿌리고 있으며 심지어 발신 이메일 도메인을 하루 전 날 등록하는 치밀함까지 보이고 있습니다. 

 

4. [기사] 트위터, 내부 로그에 평문으로 패스워드 저장
[https://www.bleepingcomputer.com/news/security/twitter-admits-recording-plaintext-passwords-in-internal-logs-just-like-github/]
 트위터 측은 패스워드 저장 메커니즘의 버그로 인해 일부 사용자의 비밀번호가 내부로그에 저장된 것에 대해 인정했습니다. GitHub 사건과 마찬가지로 암호는 일반 텍스트 형식으로 Twitter의 내부 서버 로그에 기록되었습니다. 트위터 측에 따르면 bcrypt해싱 기능을 통해 패스워드를 통과시킴으로써 공개되지 않도록 하는데, 버그로 인해 해시 프로세스를 완료하기 전에 내부 로그에 암호가 기록된 것입니다. 이 오류를 발견하고 즉시 암호를 제거했으며 버그가 다시 발생하지 않도록 계획을 구현하고 있다고 전했습니다. 트위터는 이 사실을 큰 보안 문제로 보지 않으며 시스템이 침해 당하지 않았고 소수의 직원만 노출 된 암호를 보았을 수도 있다고 주장합니다.

 

5. [기사] 보안프로그램인 LoJack 에이전트가 Fancy bear APT 그룹의 C2에 접근
[https://securityaffairs.co/wordpress/72072/apt/fancy-bear-abuses-lojack.html]
 LoJack은 도난당한 랩톱의 위치를 ​찾거나 잠그거나 내용을 지우는데 사용할 수 있습니다. 이 기능은 자산을 추가로 보호하려는 기업에게 중요한 응용 프로그램입니다. 그런데 이 응용 프로그램이 이론적으로는 장치의 합법적인 소유자를 감시할 수 있다는 것이 밝혀졌습니다. 전문가에 따르면 여러 LoJack 대행자 (rpcnetp.exe)가 러시아에 연결된 유명한 Fancy Bear APT 그룹이 관리하는 서버에 연결되어있다고 전했습니다. 전문가들이 발견한 5개의 LoJack 에이전트는 4대의 C&C 서버를 가리키고 있으며 그 중 3대는 Fancy Bear APT 그룹이 수행 한 과거 캠페인과 관련이 있습니다. 이 상황을 미루어보아 전문가들은 해커들이 LoJack의 특정 복사본에 백도어를 설치하여 그것을 감시 도구로 사용할 가능성이 있다고 주장합니다. 

첨부파일 첨부파일이 없습니다.
태그 WebStresser  갠드크랩v3  LoJack