Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향 [2018년 5월 15일] 주요 보안 이슈
작성일 2018-05-15 조회 692

1. [기사] 전자메일 암호화 도구의 심각한 취약점에 대한 경고
[https://www.bleepingcomputer.com/news/security/users-warned-of-critical-email-encryption-security-flaw/]
 보안 연구원들은 OpenPGP 및 S/MIME 전자 메일 암호화 도구의 심각한 취약점을 발견하고 전 세계에 경고하고 있습니다. EFAIL공격으로 불리며, OpenPGP 및 S/MIME 표준의 취약점을 악용하여 암호화 된 전자 메일로 부터 일반 텍스트를 추출해냅니다. 다시 말해, EFAIL은 외부에서 로드 된 이미지나 스타일과 같은 HTML 전자 메일의 액티브 콘텐츠를 악용하여 요청 된 URL을 통해 일반 텍스트를 추출합니다. 이러한 exfiltration 채널을 만들려면 공격자는 먼저 네트워크 트래픽을 도청하거나 전자 메일 계정, 전자 메일 서버, 백업 시스템 또는 클라이언트 컴퓨터를 손상시키는 등의 방법으로 암호화 된 전자 메일에 액세스해야합니다. 액세스 한 후 공격자는 암호화 된 전자 메일을 특정 방식으로 변경하고 이를 다시 암호화 하여 피해자에게 보냅니다. 피해자의 전자 메일 클라이언트는 전자 메일을 암호 해독하고 외부 컨텐트를 로드하여 일반 텍스트를 공격자에게 넘깁니다. 현재 이 취약점에 대한 안전정적인 수정 사항이 없으므로 그동안 사용을 중단할 것을 권고하고 있고 과거의 암호화 된 전자 메일을 복구하는 공격자를 피하기 위해 전자 메일 암호화 플러그인을 비활성화하는 것이 좋습니다.

 

2. [기사] NTP에서의 서비스 거부 취약점 주의! (CVE-2018-7184, CVE-2018-7185)
[http://www.boannews.com/media/view.asp?idx=69373&page=1&mkind=1&kind=1]
 NTP(Network Time Protocol)에서 2개의 서비스 거부 취약점이 발견돼 이용자들의 각별한 주의가 필요합니다. NTP는 패킷 교환, 가변 레이턴시 데이터 네트워크를 통해 컴퓨터 시스템 간 시간 동기화를 위한 네트워크 프로토콜입니다. 해당 프로토콜에서 취약점으로 악용하여 특수하게 조작된 패킷을 지속적으로 전송함으로써 서비스 거부 공격이 발생합니다. 영향을 받는 버전은 △CVE-2018-7184 - ntp-4.2.8p4 이상 ntp-4.2.8p11 미만 버전 △CVE-2018-7185 - ntp-4.2.6 이상 ntp-4.2.8p11 미만 버전입니다. 공격자는 해당 취약점을 악용해 더 큰 피해를 발생시킬 수 있으므로 이용자들은 공식 업데이트 사이트에 방문하여 취약점 패치를 적용해야 합니다.

 

3. [기사] 악명 높은 멀웨어의 후계자, 베가 스틸러 등장
[http://www.boannews.com/media/view.asp?idx=69375&page=1&mkind=1&kind=1]
 보안업체 프로푸포인트는 베가 스틸러라는 멀웨어를 발견했습니다. 베가 스틸러는 스팸 이메일 제목에 특정 부류의 사람들만 관심을 가질만한 제목을 사용함으로써 특정 대상을 노리는 표적형 공격을 하는 것으로 보고있습니다. 스팸 이메일에는 brief.doc라는 이름의 첨부파일이 있고 해당 파일은 베가 스틸러를 다운로드하는 악성 매크로를 가지고 있습니다. 해당 멀웨어는 저장된 크리덴셜, 신용카드 정보, 프로파일 정보 등을 크롬과 파이어폭스 브라우저에서 훔치는 기능을 가지고 있고 그밖에 다른 민감한 정보를 훔치는 기능도 가지고 있습니다. 공격의 동기는 아직 불명확하며 기능적으로도 고급화되어있지 않고 확실한 것은 정보 탈취 멀웨어라는 것입니다. 하지만 우려하는 부분은 어즈니프(Ursnif)라는 악명 높은 뱅킹 트로이목마를 이용했던 오거스트 스틸러의 후속 멀웨어로 보인다는 것입니다. 예방하기 위해서는 조직들은 C&C 통신과 데이터 추출, 엔드포인트 보호 등을 위한 이메일 게이트웨이 보안, 네트워크 보안 솔루션 조치 등 기본적인 보안 조치 사항을 잘 지켜내는 것이 필요합니다.

 

4. [기사] 글로벌 기업 ‘삼성’으로 위장한 악성메일의 정체 
[http://www.boannews.com/media/view.asp?idx=69377&page=1&mkind=1&kind=1]
 글로벌 기업 삼성을 사칭하여 악성메일이 유포되고 있는 것이 발견되었습니다. 다음의 한메일 계정을 통해 유포되었으며 보안업계로 부터 탐지됐습니다. 특히 이번 악성 메일에는 수신자와 발신자가 동일하다는 특징이 있습니다. 이는 공격자가 자신을 숨기고 특정인을 타깃으로 하여 유포되고 있는 것으로 보이며 겉보이기에는 수신인을 삼성으로 똑같이 넣어 위장하고 있지만 실제로는 '숨김'이나 '참조'에 어떤 특정 타깃의 메일 주소를 넣어 발송했을 수도 있다고 예측했습니다. 발견된 악성메일은 429.16KB 파일 크기의 ‘SAMSUNG SDI’ 파일명으로 .zip 형태의 압축파일이 첨부되어 있고, 해당 악성파일은 30일간 보관이 가능하며, 100회 다운로드가 가능한 것으로 표기돼 있어 감염 확대가 우려되는 상황입니다. 해당 악성 메일은 제목엔 영문으로 삼성을 위장하고 있지만 실제 첨부파일엔 영문으로 삼성SDI로 표기돼 있는 것을 봐선 한국이나 삼성에 대해 자세히 알고 있는 공격자는 아닌 것 같다고 예측합니다. 자세한 사항에 대해서는 한국인터넷진흥원에서 현재 분석 중에 있으며 첨부파일 확인에 주의를 기울어야하고 백신과 소프트웨어 프로그램 모두 최신 버전으로 업데이트해야한다고 당부합니다.

 

5. [기사] 새로운 파워쉘 백도어 발견
[https://www.securityweek.com/new-powershell-backdoor-discovered]
최근에 발견 된 PowerShell 백도어는 정보를 훔쳐 감염된 시스템에서 다양한 명령을 실행할 수 있습니다. PRB-Backdoor라는 악성 코드는 악성 매크로가 포함 된 Word 문서를 통해 배포되었습니다. 이 문서의 이름은 "Egyptairplus.doc"이었으며, 문서의 매크로를 분석하면 문서에 포함 된 여러 다른 함수를 호출하여 궁극적으로 PowerShell 명령을 실행하도록 설계된 Worker () 라는 함수가 나타났습니다. 이 명령은 문서 내에서 Base64로 인코딩되고 디코딩 된 임베디드 데이터 조각을 보고 결과적으로 난독화 된 PowerShell 스크립트가 실행됩니다. PRB 백도어 코드를 살펴보면, 초기 통신 및 C&C서버 등록과 관련된 기능을 찾았으며 크롬, 인터넷 익스플로러, Firefox 등 다양한 브라우저에서 인터넷 사용 기록을 검색 할 수있는 기능을 발견했습니다. 또한 암호를 훔치고, 파일을 디스크에 쓰고, 파일을 읽고, 자체적으로 업데이트하고, 쉘을 실행하고, 키 입력을 기록하고, 스크린 샷을 찍고, 시스템 정보를 얻는 백도어 기능도 가지고 있습니다. 

첨부파일 첨부파일이 없습니다.
태그 OpenPGP  S/MIME  NTP  베가 스틸러  PRB-Backdoor