Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 9월 5일] 주요 보안 이슈
작성일 2018-09-05 조회 598

1. [기사] Tor 사이트의 공공 아이피 주소가 SSL 인증을 통해 유출

[https://www.bleepingcomputer.com/news/security/public-ip-addresses-of-tor-sites-exposed-via-ssl-certificates/]

확인되지않은 웹 서버의 공공 IP 주소를 쉽게 알아낼 수 있는 방법이 밝혀졌다. SSL 인증서를 활용하고 인터넷을 통해 액세스할 수 있도록 숨겨진 서비스를 잘못 구성하는 Tor 사이트가 많다는 사실을 발견했다. Tor에 어두운 웹 사이트를 개설하는 주된 목적 중 하나는 사이트의 소유자를 식별하기 어렵게 만드는 것이다. 그러나 어두운 웹 사이트를 적절히 익명화하기 위해서는 관리자가 웹 서버가 인터넷에 공개적으로 노출된 IP 주소가 아닌 로컬 호스트(127.0.0.1)에서만 수신하도록 올바로 구성해야 한다. 모든 IP주소를 수용하는 로컬 아파치 혹은 Nginx 서버로 인해 발생하는데, 방화벽을 사용하지 않으면 특히 취약하다. 
SSL 인증은 공용 IP주소를 식별하는데 도움을 준다. Tor에 서비스 운영자가 SSL 인증서를 추가할 때, .onion 도메인을 인증서와 연결한다. 이를 통해 .onion 인증서를 쉽게 검색하고 매핑된 공용 IP 주소를 확인할 수 있다. 

 

 

2. [기사] 새로운 뱅킹 트로이목마 CamuBot

[https://latesthackingnews.com/2018/09/01/android-exposing-data-via-internal-system-broadcasts/] 

새로 발견된 뱅킹 트로이목마는 기존의 공격 방법에서 벗어나 눈에 보이는 설치와 사회공학적방법을 이용한다. 이 악성코드는 은행의 로고와 브랜드 이미지로 표시된 보안 애플리케이션으로 위장한다. 공격하기 위해, 특정 금융 기관에 거래하는 업체를 찾기 위해 몇 가지 기본적인 정찰을 시작한다. 그리고 나서 그들은 회사의 은행 계좌 자격 증명을 가질 가능성이 있는 사람에게 전화를 시작한다. 그후에는 대상 금융기관의 직원인 척 하면서, 운영자는 피해자에게 소프트웨어가 구식임을 쉽게 보여주는 웹사이트를 설치하도록 요구한다. 관리자 권한으로 온라인 뱅킹 작업을 위한 새 모듈을 다운로드하고 설치하도록 하는 것이다. 이 과정에서 장치에 SSH 기반 SOCKS 프록시를 설정하고 포트 전달을 활성화하는 작업이 포함되는데, 이 작업의 목적은 공격자가 손상된 은행 계정에 액세스할 때 피해자의 IP를 사용할 수 있도록 장치와 양방향 통신 터널을 설정하는 것이다. 
온라인 뱅킹 계정에 대한 로그인 자격 증명 취득은 피싱으로 가능하다. CamuBot은 설치 후 대상 은행에 가짜 웹사이트를 개설하여 피해자에게 로그인을 유도해 공격자에게 정보를 보낸다. 두 번째 인증 시도에 감염된 컴퓨터에 연결하는 장치가 필요한 경우 CamuBot은 이를 인식하고 올바른 드라이버를 설치할 수 있다. CamuBot은 브라질의 기업을 노리고 있다고 밝혔다.

 

 

3. [기사] 60%의 BEC 공격이 레이더에 포착됨

[https://threatpost.com/threatlist-60-of-bec-attacks-fly-under-the-radar/137156/]

중요 부서만 보호하는 것은 BEC를 막는데 충분하지 않다. BEC(비즈니스 e-메일 손상) 공격의 최대 60%는 악의적인 링크가 포함되어 있지 않아 직원과 e-메일 보안 시스템이 무언가 잘못되었다는 사실을 발견하기가 더 어렵다. 
BEC 공격에 대한 새로운 연구에서 대부분의 e-메일은 일반 텍스트를 사용하며 수신자와 대화를 시도하고, 결국 대상을 설득하여 유선 전송 또는 중요한 정보를 전송하도록 했다. 조사에 따르면, 46%의 공격은 무선 전송을 시도했고, 40%의 메일만이 악성 링크를 클릭하라고 강요했다. 12%는 사회공학적 방법을 통해 요청에 대한 응답을 받고, 응답시 유선 전송을 요청한다. 마지막으로 12%의 이메일은 개인 식별 정보(PII)를 훔치려고 시도했다. 
공격 대상은 절반 이상이 임원, 재무 또는 HR과 같은 '중요한' 직책이 아니다. 따라서 중요 부서 이외에도 모든 부서를 대상으로 탐지를 확대해야한다.

 

 

4. [기사] 400k의 웹 사이트에 해킹, 공개 .git repospace를 통한 데이터 도난 위험 존재

[https://www.zdnet.com/article/almost-400k-websites-risk-hacking-data-theft-via-open-git-repos-researcher-warns/]

거의 400k의 웹 사이트가 해킹, 공개 .git repospace를 통한 데이터 도난 위험이 있다고 밝혀졌다. 최근 한 달 동안 전 세계적으로 2억 3천만 개의 주요 사이트를 검색한 결과 39만 개의 웹 페이지가 open.git 디렉토리를 사용했다. 이것은 권한이 없는 외부인이 웹사이트 구조에 대한 정보 또는 데이터베이스 비밀번호, API 키 등과 같은 매우 민감한 데이터로 현재 및 과거의 파일에 접근할 수 있다. 공격자는 이 액세스 권한을 사용하여 사이트의 Git 저장소를 재구성하거나 어떤 라이브러리가 사용되는지 자세히 살펴볼 수 있으며, 여기에서 잠재적인 취약성을 발견할 수 있다. 일반적으로 /.git/HEAD 는 접근불가능하나, 취약한 사이트에서는 가능하며 그 디렉토리는 이메일 주소를 포함한 정보들이 포함되어 있다. 이 경고 알람을 보낸 후, 874개의 사이트만 .git 폴더가 접근가능한 것으로 발견되었다. 

 

 

 

5. [기사] 구글 검색 통해 안랩 V3 제거 유도하는 갠드크랩 랜섬웨어 발견

[https://www.boannews.com/media/view.asp?idx=72715&mkind=1&kind=1]

구글 검색을 통해 안랩의 V3 백신 제거를 유도하는 갠드크랩 랜섬웨어 변형이 발견됐다. 특정 키워드를 갖고 검색을 하면 해커가 올린 블로그 게시글이 보이는데, 노출된 글에는 다운로드 링크가 포함돼 있다. 다운로드 링크를 클릭하면 백신 제거를 유도하고 갠드크랩 랜섬웨어가 실행된다. 백신 등에 차단될 경우 외부 DLL을 호출해 파일리스(Fileless) 형태로 랜섬웨어가 실행된다.
안랩 ASEC 측은 V3 Lite 제품만을 타깃으로 하는 갠드크랩 유포 스크립트를 발견했다고 밝혔다. 유포 스크립트에는 난독화된 자바스크립트가 포함돼 있으며, 복호화된 자바스크립트는 두 가지 방법을 통해 갠드크랩 랜섬웨어를 실행하는 것으로 분석됐다. 첫째는 내부 인코딩된 갠드크랩 실행파일을 사용자 시스템에 생성 및 실행하는 방법이며, 둘째는 파워쉘 스크립트를 이용해 갠드크랩을 다운로드해 실행하는 방법이다. 특히, 해당 유포 스크립트에서는 추가로 V3 프로그램 삭제를 유도하는 기능이 발견됐다. 유포스크립트는 정상 문서 및 프로그램 이름으로 위장돼 유포되고 있어 첨부 파일로 전송받은 문서 실행 시 주의할 것을 당부했다. 

 

첨부파일 첨부파일이 없습니다.
태그 BEC  CamuBot