1. [기사] Petrwrap(NotPetya)과 같은 글로벌 랜섬웨어 기승
http://www.bbc.com/news/technology-40416611
전 세계의 기업들은 주요 ransomware 사이버 공격에 시달렸음을 보고하였다. 아직 알려지지 않은 이 바이러스는 추적 할 수없는 Bitcoin의 몸값이 지불 될 때까지 사용자의 컴퓨터를 정지시켰다. 국영 전력 회사와 키예프의 주요 공항을 포함한 우크라이나 기업이 처음으로 문제를 보고했다. 미 국토 안보부는 희생자들에게 파일에 대한 접근이 복구 될 것이라는 보장이 없다고 말하면서 몸값을 지불하지 말 것을 권고했다. 러시아의 안티 바이러스 회사 인 카스퍼 스키 랩 (Kaspersky Lab)은 분석 결과 2,000 건의 공격이 있었으며 대부분 우크라이나, 러시아, 폴란드에서 발생 했다고 밝혔다 . 전문가들은 지난 달 Wannacry 공격에 사용 된 약점을 악성 프로그램이 활용하고 있다고 제안한다.
2. [기사] petya 랜섬웨어 변종 전세계적으로 확산중
https://securingtomorrow.mcafee.com/mcafee-labs/new-variant-petya-ransomware-spreading-like-wildfire/
https://blog.comae.io/byata-enhanced-wannacry-a3ddd6c8dabb
https://cxsecurity.com/issue/WLB-2017060206
http://thehackernews.com/2017/06/petya-ransomware-attack.html
오늘날 세계는 또 다른 랜섬웨어로 인해 회사의 네트워크 전체에 걸쳐 대혼란을 일으키고 있다. 이번에는, Ransomware Petya 변종으로 파일을 암호화하고 컴퓨터의 마스터 부트 레코드(MBR)를 암호화하여 기계를 사용할 수 없게 만든다. 해당 랜섬웨어는 적어도 2016 년 3 월부터 사용되어 왔으며 파일 암호화 외에도 시스템의 MBR을 암호화하기 때문에 일반 ransomware 계열과는 다르다. 이 더블 스트로크는 디스크에 액세스 할 수 없게 만들며 대부분의 사용자가 이 디스크에 대해 아무것도 복구하지 못하게 한다. 새로운 변종은 몇 주 전에 WannaCry에서 보았던 것과 유사한 확산 메커니즘을 추가함으로써 더욱 강화되었다. Petya는 이름이 지정되지 않은 내보내기만 하는 윈도우즈 DLL로 제공되며, 원격 시스템을 감염시키려고 시도할 때 동일한 Eternal Blue 익스플로잇을 사용한다. 악용이 성공하면 C : Windows에서 원격 시스템으로 자신을 복사하고 rundll32.exe를 사용하여 자체를 시작한다. 이 프로세스는 lsass.exe에서 실행되며, lsass.exe는 Eternal Blue 익스플로잇에 의해 주입 된 Windows 프로세스이다.
3. [기사] Petya 랜섬웨어 예방 대책
https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/
Cybereason 보안 연구원 Amit Serper는 Petya가 컴퓨터를 감염시키는 것을 방지할 수 있는 방법을 찾아냈다. 해당 랜섬웨어는 하드 드라이브 MFT와 MBR섹션을 잠그고 컴퓨터가 부팅되지 않도록 하여 오늘날 전 세계에 혼란을 야기시키고 있다. 희생자들이 몸값을 지불하지 않기로 결정한 것이 아니라면, 이제는 그들의 시스템을 복구할 방법이 없다. Serper는 ransomware의 내부 동작을 분석하는 동안 NotPetya가 로컬 파일을 검색하고 해당 파일이 디스크에 이미 존재하는 경우 암호화 루틴을 종료한다는 것을 발견했다. 이는 피해자가 PC에서 파일을 만들고 읽기 전용으로 설정하고 NotPetya ransomware가 실행되지 못하도록 차단할 수 있음을 의미한다. 이것이 ransomeware가 실행되는것을 막을 수 있지만, 해당 방법은 백신 보다는 킬스위치에 가깝다. NotPetya/Petya/Petna의 현재 변종에 감염될 수 없게 하기 위해 컴퓨터에 백신을 접종하려면 C:Windows 폴더에 perfc라는 파일을 생성하고 읽기 전용으로 설정하면된다.
4. [기사] Petya 랜섬웨어 복구를 위한 E-mail 삭제 예정
https://www.bleepingcomputer.com/news/security/email-provider-shuts-down-petya-inbox-preventing-victims-from-recovering-files/
Posteo는 Petya 개발자의 전자 메일 계정( wowsmith123456@posteo.net)을 종료한다고 발표했다. 복구하기 위해 몸값을 지불하려는 경우 Petya 작성자에게 이메일을 보낼 수 없기 때문에 Petya 피해자에게 치명적이다. 이 이메일 주소는 Petya 저자에게 연락 할 수있는 유일한 방법으로 Petya의 랜섬노트에 표시된다. Posteo는 No More Ransom FAQ 섹션 에 설명 된 절차를 따랐다고 전했다 . 정상적인 상황에서 법 집행 기관은 ransomware 운영에 사용되는 서버 및 전자 메일 주소를 삭제하지 않으며 데이터를 지불하고 복구하려는 피해자를 해치지 않을것이다. 이러한 서버와 이메일을 종료하면 일부 피해자가 귀중한 파일을 복구할 수 없기 때문에 여러번의 감염을 악화시킬 수 있다. 전체 상황은 보안 제품이 WannaCry killswitch 도메인에 대한 액세스를 차단 한 WannaCry 발생과 비슷하다. 따라서 삭제한 후에도 ransomware가 더 확산 될 수 있다.
5. [기사] [MOSEC 2017] 애플 iOS 미래 보안 전략 연구기반으로 해킹 방법 제시해
http://www.dailysecu.com/?mod=news&act=articleView&idxno=21317
이탈리아의 20살 해커 ‘루카 토데스코(Luca Todesco)’는 올해 iOS 10.2 버전에 대한 Yalu 탈옥(jailbreak)과 iOS 커널 패치 보호를 완전 우회할 수 있는 방법을 공개한 해커로 유명하다. 이외에도 그는 최신버전의 플레이스테이션(PS4) 및 닌텐도 스위치(Nintendo Switch) 등과 같은 게임 디바이스 해킹으로도 이름이 높다. MOSEC 2017 발표자로 초청받은 그는 ‘A Look at Modern iOS Exploit Mitigation Techniques’라는 주제로 발표를 진행했다. 이번 발표에서는 이전 버전 iOS의 보호기법들을 살펴보고, 공격자 입장에서 해당 보호기법들의 효율성과 상세 구현 기술들을 설명했다. 또 Control Flow Integrity와 같은 미래의 보호 기법과 iOS의 구체적인 취약성에 대해서도 언급해 큰 호응을 얻었다. 루카는 애플의 지금까지 보안전략을 분석해 미래 애플의 전략을 예측하고 미리 해킹 방법을 구상해 놓았다. 그는 애플의 보안 전략이 자신이 예측한 범위에서 크게 벗어나지 않을 것이며 그 범주에서 가능한 해킹 방법을 이미 구상해 놓았다고 강조했다.
6. [기사] [MOSEC 2017] 항공기 해킹할 수 있는 다양한 공격방법들 공개돼
http://www.dailysecu.com/?mod=news&act=articleView&idxno=21303
한국 POC시큐리티와 중국 판구(PANGU)팀이 주최하는 제3회 국제 모바일 해킹보안 컨퍼런스 MOSEC 2017에서 중국 치후360(Qihoo360) 유니콘팀 소속 완키아오 창(Wanqiao Zhang)은 항공기 해킹과 관련된 연구내용을 공개해 참관객들의 큰 호응을 얻었다. 항공기 해킹은 기내 설치돼 있는 엔터테인먼트 장비 해킹과 항공기에서 사용되는 라디오 시그널 공격이 가능하다는 내용이다. 창은 “승객들의 앞 면에 설치된 엔터테인먼트 시스템을 해킹 프로그램을 통해 장악할 수 있고 실제로 기내 다른 승객들이 엔터테인먼트 장비에 USB 포트를 통해 디바이스를 연결하고 있다면 그 디바이스에서 정보도 빼내 올 수 있다. 또 엔터테인먼트 시스템을 장악한 이후 기내 에어컨이나 전등도 제어할 수 있다”고 설명했다. 마지막으로 창은 “항공기 네트워크 공격보다 오늘 공개한 라디오(radio) 시그널을 이용한 공격이 더 위협적이다. 이에 대한 보안대책 마련이 시급하다. 특히 오늘 공개한 항공기 엔터테인먼트 시스템 공격, TCAS 공격, ADS-B 공격, 네비게이션 시스템 공격, GPS 공격, ILS 공격, ACARS 공격, 무선 통신 인젝션 공격 등이 복합적으로 이루어진다면 항공기 내부에 눈에 보이지 않는 폭탄이 될 수 있다”고 경고했다.
7. [기사]Google 27억 달러 벌금, 기록경신
http://thehackernews.com/2017/06/google-search-antitrust-fine.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29
Google은 2008 년 이후 검색 결과를 부당하게 조작 한 유럽 반독점 공무원이 기록적으로 27 억 달러 (22 억 2 천만 유로)의 벌금을 부과했다. 여러 경쟁 업체의 불만이 제기 된 후 2010 년에 시작된 7 년의 긴 조사 이후, 유럽 연합 집행 위원회는 화요일 EU경쟁 법 위반 혐의로 인터넷 업계 거물들에게 '가장 큰 벌금'을 부과했다. 그는 "소비자들은 구글 검색 결과에서 더 높은 결과를 보이는 등 더 눈에 잘 띄는 결과에 대해 소비자들이 훨씬 더 자주 클릭하는 것으로 나타 났으며, 트래픽 증가는 클릭 수 증가와 수익 창출로 이어졌다"고 밝혔다. 유럽 집행위원회 (European Commission)는 유럽의 비교 쇼핑 서비스로 벌어 들인 구글의 소득으로 벌금액을 계산했다고 밝혔고, 2016 년 Google의 총 수익은 거의 9 백억 달러였다. 이제 Google은 검색 순위 알고리즘을 변경해야한다. 그러나 회사는 EU 법원에서이 결정을 항소하여 수년간 결의안을 연기 할 수 있다.
8. [기사] Dark Web의 RaaS를 통해 배포되는 Shifr 랜섬웨어
https://www.bleepingcomputer.com/news/security/new-shifr-raas-lets-any-dummy-enter-the-ransomware-business/
여러 보안 연구원이 주말에 새로운 Ransomware-as-a-Service (RaaS) 포털을 발견하여 세 가지 양식 필드를 채우고 버튼을 눌러서 자신의 ransomware 실행 파일을 생성 할 수있게했다. 이 새로운 ransomware의 엔트리 레벨은 우리가 과거에 본 비슷한 RaaS 포털과 비교할 때 매우 낮다. 이 서비스를 통해 생성 된 ransomware는 Go에 기록된다. 암호화 된 파일에 추가 된 확장을 기반으로 Shifr라고 불렀지 만 G 데이터 보안 연구원 Karsten Hahn은 Bleeping Computer에이 새로운 위협에 대한 초기 분석을 통해 Shifr이 Dr.Web 보안 연구원이 지난해 발견한 Trojan.Encoder.6491과 관련이 있다는 단서를 발견했다고 전했다.
9. [기사] 지난해 비해 모바일 랜섬웨어 공격은 하락, PC 랜섬웨어 공격은 상승
https://threatpost.com/svpeng-behind-a-spike-in-mobile-ransomware/126533/
지난해 같은 기간에 비해 1 분기에 무려 3.5 배의 공격이 증가하면서 2017 년에는 모바일 ransomware가 더욱 고통스러워졌다. 이 공격들 뒤에는 희생자들로부터 100 달러에서 500 달러 사이의 돈을 모으기 위해 안드로이드 기기를 겨냥한 1 천 4 백만 건의 트로이 설치 패키지가 있었다. 2017 년 1 사분기의 공격이 급증한 것은 Svpeng 계열의 ransomware가 2016 년 12 월에 정점에 올랐기 때문이다. 연구원들은 공격이 3 배 이상 증가했다고 말했다. 분석에서 카스퍼 스키 랩은 Svpeng와 Fusob이라는 두 가지 멀웨어 제품군을 모바일 ransomware 영역을 지배하는 것으로 선정했다. ransomware 활동의 대부분을 차지한 것은 Fusob 멀웨어였다. Kaspersky 연구소는 또한 ransomware-as-a-service의 확산 추세만큼이나 표적 지향 공격의 증가가 증가하고 있다는 것을 발견했다.
