Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 8월 10일] 주요 보안 이슈
작성일 2018-08-10 조회 393

1. [기사] Researchers Developed Artificial Intelligence-Powered Stealthy Malware
[https://thehackernews.com/2018/08/artificial-intelligence-malware.html]
AI 기술은 현재까지 멀웨어를 자동으로 탐지 및 차단하고 사이버 공격이 모든 조직에 영향을 주기 전에 차단하는 잠재적인 솔루션으로 여겨졌다. 하지만 이러한 기술을 위협을 주는 무기로 활용하는 경우, 새로운 세대의 악성코드가 등장할 수 있다. 최근, IBM 연구원의 보안 연구원은 특히 카메라 등으로 표적의 얼굴을 감지하여 공격을 시작하는 악성 코드를 제안하였다. 이는 특정 피해자에게 도달할 때까지 악의적인 의도를 은폐하는 새로운 유형의 '고도로 표적화되고 검사 회피적인' 공격 도구로, DeepLocker라 명명하였다. IBM 연구원에 의하면, DeepLocker는 탐지되지 않고 AI 모델이 표적의 얼굴을 인식하고, GPS 및 음성 인식과 같은 지표를 통해 목표를 식별하자마자 악성 코드의 행동을 유도하게 된다. 이러한 방식의 공격에 대해 연구원은 이 악성 코드는 탐지되지 않고 수백만 개의 시스템을 감염시킬 수 있기 때문에 인공지능을 이용하는 악성 코드가 특히 위험하다고 강조하였다.
연구원은 DeepLocker의 독특한 점은 AI 기술을 사용함으로서 공격의 잠금을 해제하는 'trigger 조건'을 만든다는 것이며, 의도된 목표에 도달했을 때 악성 페이로드의 잠금이 해제된다는 것을 강조했다. 연구원은 여러 백신 프로그램에 잘 알려져 있는 워너크라이 랜섬웨어를 DeepLocker를 이용해 보냄으로써 보안 도구들에서 워너크라이 랜섬웨어가 탐지되지 않았다는 것을 증명했다. 피해자가 컴퓨터 앞에 앉아서 어플리케이션을 실행하면 카메라가 얼굴을 앱에 넘겨주고, 피해자의 얼굴을 확인하면 악성 페이로드가 실행되는 구조로, 얼굴 사진은 어플의 기능을 잠금해제 하기 위해 미리 프로그래밍 된 키가 된다. 따라서 DeepLocker는 다양한 SNS 서피스의 프로필에서 쉽게 찾을 수 있는 사용자의 사진을 필요로 한다. 여기에서 Social Mapper라는 얼굴 인식 도구가 오픈 소스로 제공되어 있어 구현하는 데에 사용할 수 있었다고 밝혀졌다. IBM 리서치 그룹은 지난 수요일 라스베이거스에서 개최된 블랙햇 USA 보안 컨퍼런스에서 DeepLocker의 구현에 대한 자세한 내용과 실제 데모를 공개했다.

 


2. [기사] BIND DNS software includes a security feature that could be abused to cause DoS condition
[https://securityaffairs.co/wordpress/75200/security/bind-dns-software-dos.html]
CVE-2018-5740으로 알려진 이 취약점은 Cambridge의 Tony Finch가 발견하였다. 이 결함은 "deny-answer-aliases" 기능이 활성화 된 서버에만 영향을 미치며, 해당 기능은 기본적으로 비활성화 되어 있다. DNS rebinding 공격을 방어하기 위해 제공되는 해당 기능을 악용하여 로컬 네트워크의 호스트와 직접 연결하고 해당 시스템의 결함을 악용하게 만들 수 있다. 재귀 서버 운영자가 DNS 리바인딩 공격으로부터 사용자를 보호하는 데에 쓰이는 기능이 INSIST assertion 오류를 발생시키는 것이다. 이를 통해 공격자는 프로세스의 실행을 중지시키고 클라이언트에 DoS를 발생시킬 수 있다. 그에 따라 연구원들은 'deny-answer-aliases' 기능을 사용하지 않을 것을 권장하였다. 또한 해당 기능을 사용할 경우 현재 버전의 BIND와 가장 밀접하게 관련된 버전으로 업데이트할 것을 권고하였다.

 


3. [기사] The PGA Possibly Infected With the BitPaymer Ransomware
[https://www.bleepingcomputer.com/news/security/the-pga-possibly-infected-with-the-bitpaymer-ransomware/]
여러 기업들, 미국 정부 기관 및 병원을 공격한 후 현재 랜섬웨어 개발자는 골프를 공격하고 있다. 골프 위크의 한 보고서에 따르면, 미국 PGA 사무실의 컴퓨터가 랜섬웨어가 감염되었다고 한다. 피해자들은 화요일에 랜섬웨어 감염 화면이 나타났을 때가 되어서야 감염되었다는 사실을 알게 되었다. 감염된 후 나타나는 화면의 문자들과 알고리즘의 철자 오류를 기반으로 추측해본 결과, PGA는 BitPaymer 랜섬웨어에 감염되었을 가능성이 가장 크다는 것이 드러났다. SamSam 랜섬웨어와 마찬가지로, BitPaymer 랜섬웨어는 인터넷에 연결된 원격 데스크톱 서비스를 해킹하여 조직을 대상으로 하는 경향이 있다. 네트워크 내부로 들어가 액세스할 수 있는 모든 컴퓨터를 암호화 하는 과정을 거치는 것이다. BitPaymer는 컴퓨터를 해독하기 위해 매우 큰 몸값을 청구하는 것으로 알려져 있다. 예를 들어, 이전에 한 BitPaymer 감염은 전체 네트워크를 해독하는 데에 53 비트 코인을 요청하기도 했다.

 


4. [기사] New Actor DarkHydrus Targets Middle East with Open-Source Phishing
[https://threatpost.com/new-actor-darkhydrus-targets-middle-east-with-open-source-phishing/134871/]
중동의 정부기관 및 교육기관은 DarkHydrus라고 명명된 새로운 해커 그룹에 의해 진행되는 credential-harvesting 캠페인에 의해 공격받고 있다. 이 단체는 오픈소스 피싱 도구를 활용하여 공격하고 있는 것으로 밝혀졌다. Palo Alto의 그룹에 의하면 공격은 악의적인 마이크로소프트 오피스 문서가 첨부된 스피어 피싱 이메일이 원격 서버에서 템플릿을 로드한 것이었다. 이 원격 서식 파일을 로드하려 시도할 때, 마이크로소프트 오피스는 사용자에게 로그인 자격 증명을 제공할 것인지를 묻는 인증 대화 상자를 표시하며, 이에 확인을 누르면 DarkHydrus가 사용자 계정 자격 증명을 수집할 수 있게 되는 것이다. 이 피싱 도구는 원격 서식 파일 URL을 삽입하여 악성 Word 문서를 만들어내고, 인증 대화 상자에 입력된 자격 증명을 수집하기 위해 C2 서버를 호스팅한다.
또한 지난 주, Palo Alto의 연구원들은 중동 정부 기관에 또 다른 스피어 피싱 공격이 있었음을 발견했다. 해당 공격에서는 RogueRobin이라는 PowerShell 페이로드를 이용하였다. 해당 캠페인은 Excel 웹 쿼리 파일을 사용하며, 이전에 Threatpost에 개재된 적이 있는 방법이었다. 이에 따라 Palo Alto 측은 DarkHydrus가 오픈소스 도구에 의존하여 작업을 착수중임을 알아내었다. 또 다른 공격에서는 대화 상자에 인용된 하위 도메인 이름을 Outlook과 비슷한 0utl00k.net으로 만들어 입력하였으며, 이를 통해 사용자가 의심하지 않고 자격 증명을 입력하도록 유도하였다. 관련 Word 문서는 피싱 캠페인에서 2017년 9월 과 11월에 사용된 것으로 관찰되었다. 이러한 분석에 따르면 DarkHydrus는 거의 1년동안 해당 캠페인을 수행한 셈이 되는 것이다. 이 해커 그룹 자체는 이번에 새롭게 명명되었지만, 조직화되어 있는 상당히 오래된 그룹인 것으로 밝혀졌다.

 


5. [기사] Linux vulnerability could lead to DDoS attacks
[https://www.scmagazine.com/linux-vulnerability-could-lead-to-ddos-attacks/article/786713/]
카네기 멜론 대학 소프트웨어 엔지니어링 연구소의 CERT 코디네이션 센트에서 발표한 보안 권고에 따르면, 버전 4.9 이상의 Linux에 영향을 주는 Linux 커널 취약점으로 인해 개방형 포트가 있는 시스템에서 서비스 거부 공격이 수행될 수 있다. 이들은 Linux 커널 버전 4.9 이상에서 서비스 거부를 유발할 수 있는 모든 들어오는 패킷에 대해 tcp_collapse_ofo_queue() 및 tcp_prune_ofo_queue()를 통한 리소스를 크게 소모하는 함수 콜이 들어올 수 있음을 발표하였다. 이에 다라 공격자는 진행중인 TCP 세션에서 악의적으로 조작된 패킷을 전송해 서비스 거부 조건을 유발할 수 있는 것이다.
악의적인 공격자는 열려 있는 포트에 대해 지속적으로 양방향 TCP 세션을 사용하여 공격을 유지할 수 있고, 이는 스푸핑 된 IP 주소를 사용하여 공격할 수 없다는 것을 명시하였다. 해당 취약점에 대한 패치는 발표되었으며, 이들은 가능한 빨리 사용자가 시스템을 업데이트 할 것을 권장하였다.

첨부파일 첨부파일이 없습니다.
태그 DoS  취약점  AI 해킹