1. [기사] Petya 랜섬웨어의 주요 공격 대상 운영체제는 윈도우 7
http://blog.avastkorea.com/1204
Petya 랜섬웨어는 전세계에 급속하게 퍼질 것으로 예상되고 있다. Petya는 윈도우 운영체제의 EternalBlue 취약점을 익스플로잇 공격을 통해 감염시키는 것으로 알려져 있다. 어베스트 바이러스랩에 따르면 오늘 하루 약 12,000개의 공격 시도가 감지되어 차단하였고 Wi-Fi를 통한 공격도 확인되었다. 약 3천 8백만 대의 PC가 아직 시스템 운영체제와 취약점이 패치되지 않은 것으로 확인되는데 공격에 취약점이 그대로 존재하고 있는 것으로 이는 매우 위험한 상황이다. Petya가 노리고 있는 4개의 목표 운영체제는 윈도우 7 (78%), 윈도우 XP (14%), 윈도우 10 (6%), 윈도우 8.1 (2%)로 단연코 윈도우 7에 대한 공격이 대부분이다. Petya 랜섬웨어 개발자는 사회공학적 기법과 빠르고 광범위한 랜섬웨어 유포를 위해 몸값의 15%만을 직접 챙기고 유포자에게 85%의 이익을 제공하는 것으로 확산을 유도하고 있다. 윈도우 운영체제 사용자들이 조속히 기업과 개인 관계없이 가능한 모든 패치와 최신 업데이트 백신 사용을 권고한다.
2. [기사] Petya 는 랜섬웨어가 아닌, 확장성 와이퍼 악성코드
https://www.bleepingcomputer.com/news/security/surprise-notpetya-is-a-cyber-weapon-its-not-ransomware/
http://thehackernews.com/2017/06/petya-ransomware-wiper-malware.html
전 세계의 수천대의 컴퓨터를 암호화하고 잠근 NotPetya 랜섬웨어는 실제로는 랜섬웨어가 아니라 컴퓨터를 파괴하는 디스크 와이퍼이다. 전문가들은 Petya, Petna, ExPetr라고도하는 NotPetya가 랜섬웨어처럼 작동하지만 소스 코드에 숨겨진 단서를 통해 사용자가 파일을 복구 할 수 없다는 것을 알 수 있다고 한다. 이것은 독일의 이메일 제공 업체가 NotPetya 운영자의 전자 메일 계정을 종료한 사실과 아무런 관련이 없으며, 희생자가 NotPetya 작성자와 연락 할 수 있다고해도 파일을 복구 할 기회는 없다. 카스퍼 스키 전문가 Anton Ivanov에 따르면 이는 NotPetya가 특정 ID에 대해 임의의 데이터를 생성하기 때문에 해독 프로세스가 불가능하다고 한다. NotPetya는 돈을 벌기 위해 설계된 것이 아니다. 이것은 'ransomware'의 그럴듯하게 위장하여 빠르게 퍼져 손상을 입히기 위해 설계되었다. 지난 가을과 겨울에 디스크 와이퍼가 "ransomware 구성요소"를 얻어 ransomware 감염으로 전달할 수 있고 사건 대응 자의 정밀 조사를 피할 수 있었다는 것을 보고한 적이 있다. 이것은 Shamoon 및 KillDisk 멀웨어 제품군에서 발생했으며 두 도구 모두 디스크 지우기 기능으로 유명하다. NotPetya가 디스크 와이퍼로 재 분류 됨으로써 전문가는 사이버 무기 범주에 악성 프로그램을 쉽게 넣을 수 있고 다른 관점에서 그 효과를 분석 할 수 있다.
3. [기사] Microsoft, 이번 가을부터 Windows 10에 EMET을 내장
https://www.bleepingcomputer.com/news/microsoft/microsoft-will-embed-emet-into-windows-10-starting-this-fall/
이전에 MS가 2018 년 7 월에 EMET에 대한 지원을 중단한다고 발표 한 후, Microsoft는 운영 체제의 주요 업데이트 기간 동안 2017 년 10 월 ~ 11 월에 예정된 Windows 10 커널에 자사의 EMET 보안 툴킷을 포함시킬 예정이다. EMET은 사용자가 Windows 운영 체제의 방어 기능을 설치하고 강화할 수있는 독립 실행형 응용 프로그램이다. 오늘 발표된 두 개의 블로그 게시물에서 Microsoft는 올 가을부터 EMET에서 정확히 어떻게 될지 자세히 설명했다. OS 제조사에 따르면 EMET의 기능은 Windows Defender Exploit Guard라는 새로운 보안 시스템으로 그룹화된다. 이 시스템에는 모든 Windows 10 버전이 포함되어 있지만 Windows Defener ATP (고급 위협 방지) 플랫폼을 사용하는 고객은 Exploit Guard의 작동 방식을 제어 할 수있는 많은 권한을 갖게된다. 이달 초 Microsoft는 Fall Creators Update Windows 10을 시작으로 SMBv1이 비활성화된 상태로 출시 될 것임을 확인했다.
4. [기사] Vault7: Wifi 네트워크를 통해 윈도우 디바이스를 추적하는 CIA 악성코드
https://www.bleepingcomputer.com/news/security/vault-7-cia-malware-for-tracking-windows-devices-via-wifi-networks/
WikiLeaks는 인근 WiFi 네트워크의 ESS (Extended Service Set) 데이터를 기반으로 WiFi 지원 Windows 장치 사용자를 추적 할 수있는 CIA 도구에 대한 설명서를 발행했다. 해당 도구의 이름은 ELSA이다. 사용자가 WiFi 네트워크에 연결되어 있지 않아도 데이터 수집이 가능하다. ELSA는 주변 네트워크를 검색하고 각 네트워크마다 고유 한 ESS 정보를 수집하여 작동하며, ESS 데이터에는 MAC 주소, SSID 및 신호 강도가 포함된다. 이 정보는 128 비트 AES 암호화 키로 암호화된 로컬 로그 파일에 저장된다. 운영자는 로그를 해독하고 대상에 대한 추가 분석을 수행한다. 선택적으로 수집 된 WiFi 데이터를 사용하여 더 나은 정확도를 제공한다고 판단되면 대체 EES 위치 정보 데이터베이스를 쿼리 할 수 있다.
5. [기사] 해커가 원격으로 악의적인 코드를 실행할 수 있도록하는 중요한 Skype 버그
http://thehackernews.com/2017/06/skype-crash-bug.html
http://www.dailysecu.com/?mod=news&act=articleView&idxno=21347
http://www.boannews.com/media/view.asp?idx=55504&mkind=1&kind=1
독일의 보안 업체인 Vulnerability Lab의 보안 연구원 Benjamin Kunz-Mejri는 팀 회의 통화 중에 Skype Web의 메시징 및 통화 서비스에서 CVE-2017-9948에 설명되어있는 이전에 알려지지 않은 스택 버퍼 오버플로 취약점을 발견했다. 이 취약점은 7.2 CVSS 점수로 높은 보안 위험으로 간주되며 Windows XP, Windows 7 및 Windows 8의 Skype 버전 7.2, 7.35 및 7.36에 영향을 미쳤다. 이 문제는 세션이나 로컬 상호 작용을 통해 원격으로 악용 될 수 있다. 스택 버퍼 오버 플로우 취약점은 사용자 상호 작용을 필요로하지 않으며 낮은 권한의 Skype 사용자 계정만 필요로한다. 따라서 공격자는 예기치 않은 예외 오류, 활성 프로세스 레지스터 덮어 쓰기 또는 취약한 Skype 버전을 실행하는 대상 시스템에서 악의적인 코드 실행과 같은 응용 프로그램을 원격으로 크래시 할 수 있다. 취약성 보고서에 따르면 공격자는 악의적인 이미지 파일을 만들어 컴퓨터 시스템의 클립 보드에서 Skype 응용 프로그램의 대화 창으로 복사하여 붙여 넣을 수 있다. 이 이미지가 원격 시스템과 로컬 시스템의 클립 보드에서 호스팅되면 Skype는 스택 버퍼 오버플로를 야기하여 오류를 유발하고 응용 프로그램을 중단 시키므로 더 많은 악용을 가능하게 한다.
6. [기사] 파워블로거 계정 탈취한 20대 해커, 10년간 독학
http://www.ddaily.co.kr/news/article.html?no=157546
http://www.boannews.com/media/view.asp?idx=55512&page=1&kind=1
본지에서 보도한 바 있는 파워블로거를 노린 악성코드 유포자가 경찰에 검거됐다. 경찰에 따르면 피의자는 10년간 독학으로 정보기술을 공부한 웹 프로그래머이자 여성 의류 등을 판매하는 쇼핑몰을 운영하는 업자로서 자신의 쇼핑몰을 홍보할 목적으로 파워블로거 계정을 탈취할 계획을 짰다. 피의자는 원격에서 감염 컴퓨터를 완전히 제어할 수 있고 백신 등 보안제품을 우회할 수 있는 악성프로그램을 구입하고 포털사이트 및 사회관계망 서비스(SNS) 가짜 로그인 사이트 서버를 직접 제작·구축했다. 그 후, 2017년 1월부터 2017년 2월 중순경까지 국내 포털사이트 유명 파워블로거 400여명을 상대로 사진파일로 위장한 악성프로그램을 첨부한 전자우편을 유포한 후, 150여명을 감염시키고 그 중 125명의 블로거 아이디와 비밀번호 등 계정 정보를 탈취했다. 또한, 계속해서 다수의 블로거 및 사회 관계망 서비스(SNS) 사용자 상대로 화장품 사용 후 리뷰를 권유하는 내용과 함께 가짜 접속 사이트로 연결되는 링크를 삽입한 메일을 발송했다. 이후 클릭을 유도해 아이디와 비밀번호를 입력하게 하는 방법으로 300여개 아이디와 비밀번호 등 계정 정보를 탈취했다. 그리고 이와 같은 탈취한 블로그 계정 등을 이용해 자신의 사업을 홍보하는 제품사용후기 및 댓글을 조작했다. 경찰은 악성프로그램을 입수·분석해 아이피(IP)를 우회해 접속하는 피의자를 특정한 후 검거·구속하고, 악성프로그램은 보안업체를 통해 백신에 반영하고 유명 블로거를 상대로 예방교육을 실시해 추가 피해를 차단했다.
7. [기사] IT 제품에 백도어 강제 설치? 파이브아이즈, 빅브라더 되나
http://www.boannews.com/media/view.asp?idx=55490&page=1&kind=1
5개국 첩보 파트너십을 일컫는 ‘파이브아이즈(Five Eyes)’가 IT 기업의 제품에 백도어를 삽입하는 방법을 논의하기 위해 이달 26일에서 27일(현지시간) 캐나다 오타와에서 회동을 가진 것으로 알려졌다. 이는 인터넷 사용자 전체의 사이버 보안 및 권리를 침해할 수 있는 사안으로, 향후 첨예한 논란이 따를 것으로 예상된다. 파이브아이즈는 미국, 영국, 캐나다, 호주, 뉴질랜드 등 비슷한 관습법을 공유하는 5개 국가의 첩보 파트너십을 가리킨다. 이번 회동에서 파이브아이즈는 IT 기업이 제품에 백도어를 삽입하도록 강요할 방법을 찾는 데 주력한 것으로 알려졌다. 이번 회동과 관련한 성명서를 통해 호주의 법무장관 조지 브랜디스(George Brandis)는 “암호를 사용하는 테러리스트와 범죄자에 의해 지속적으로 어려움이 가중되는 상황을 해결”해야 한다며 이것이 호주의 최우선 과제라고 밝혔다. 국제적 인권 단체인 ‘휴먼라이츠워치(Human Rights Watch)’는 지난 26일 보도자료를 발행해, “파이브아이즈는 디지털 보안을 위협할 것이 아니라 지지해야 한다”며 파이브아이즈의 이런 조치가 테러리스트의 활동을 억제하는 데 아무런 도움이 되지 못한다고 지적했다.
8. [기사] NotPetya 이전에, 지난주 우크라이나를 공격 대상으로 한 다른 랜섬웨어
https://www.bleepingcomputer.com/news/security/before-notpetya-there-was-another-ransomware-that-targeted-ukraine-last-week/
지난 주, Petya / NotPetya ransomware가 발발하기 전에 우크라이나 사용자를 대상으로한 또 다른 ransomware 캠페인이 있었다. ransomware의 이름은 PSCrypt였고, 지난 달에 XData와 NotPetya 이후 우크라이나 사용자들을 공격한 세번째 ransomware이다. 세 가지 모두 우크라이나 사용자를 겨냥하는 것 외에 모두 다른 유형이며 공통점이 거의 없다. PSCrypt에 대해 현재 알고있는 내용은 제한적이다. 전문가의 분석에 따르면 PSCrypt는 GlobeImposter 2.0을 기반으로한 랜섬웨어이고, Globe ransomware의 변형이다. ID-Ransomware 서비스의 데이터를 기반으로 한 PSCrypt 캠페인은 우크라이나에만 집중되어 있다. 우크라이나의 회계 소프트웨어 공급 업체 인 MEDOC에 속한 서버를 통해 오염된 소프트웨어 업데이트 패키지로 푸시된 XData 및 NotPetya와 달리 PSCrypt는 보안되지 않은 RDP 연결을 통해 확산된다. 침입자는 안전하지 않은 시스템에 대한 액세스 권한을 얻고 피해자의 PC에 " wmodule.exe "또는 " wmodule.zip " 이라는 파일을 드롭 하고 실행에 옮겨 ransomware를 설치한다.
9. [기사] 중국 출신으로 추정되는 해커그룹 Bronze Union이 터키 고위직을 겨냥하여 공격
https://www.secureworks.com/blog/chinese-threat-group-targeted-turkish-organizations
CTU ™ 연구원은 2013 년에 BRONZE UNION을 추적하기 시작했으며 항공 우주, 방위, 기술 및 에너지 분야의 조직뿐만 아니라 국제 관계에 중점을 둔 조직을 목표로하는 위협 주체를 관찰했다. 2015 년 7 월과 9 월에 OwaAuth 웹 쉘 (OwaAuth.dll) 인 파일이 위험에 노출된 웹 사이트에서 검색된 다음 다른 공격을 받은 환경에 배포되었다. 2015 년 7 월 말에서 2016 년 11 월 중순까지 CTU 연구원은 미국과 영국의 항공 우주 기관, 중국의 학술 및 미디어 조직, 캐나다의 기술 및 미디어 네트워크에 영향을 미치는 javaws.exe 멀웨어를 관찰했으며. 건강 관리, 정부 및 공공 시설 분야의 글로벌 조직들도 영향을 받았다. 2016 년 11 월 14 일에서 21 일 사이에 전환되었으며, CTU 연구원은 손상된 웹 사이트에서 호스팅되는 맬웨어가 터키 정부, 금융 서비스 및 학술 단체에서 주로 다운로드되었음을 발견했다. 이 기간 동안 활동의 빈도와 일관성은 BRONZE UNION이 터키 기업에 초점을 두었다는 것을 암시한다. BRONZE UNION은 전략적 웹 손상 및 웹 셸 (특히 Exchange 서버)과 빠르게 진행되는 작업을 특징으로하는 매우 유능한 위협 그룹이다. 그룹은 2015 년의 타협안에서 사용 된 유사한 SWC 기술과 동일한 javaws.exe 맬웨어를 계속 사용한다. CTU 연구원은 데이터, 위치 또는 연결이 BRONZE UNION 위협 그룹에 가치가있는 조직은 지속적인 멀웨어 및 엔드 포인트 위협 탐지 도구는 물론 지능형 네트워크 모니터링을 완화 전략의 일부로 구현할 것을 권장한다.
