Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2018년 12월 6일] 주요 보안 이슈
작성일 2018-12-06 조회 52

1. [기사] SNDBOX - an AI Powered Malware Analysis Site is Launched
[https://www.bleepingcomputer.com/news/security/sndbox-an-ai-powered-malware-analysis-site-is-launched/]

SNDBOX라고 불리는 악성코드 분석 서비스가 시작되었다. 이 유틸리티는 인공지능과 가상 환경을 사용해 정적, 동적 분석을 수행한다. 해당 서비스는 www.sndbox.com에서 무료로 이용가능하며 악성코드 샘플을 제출하면 분석을 수행한다. 샘플 제출 시, 사이트 공개 혹은 비공개 등의 다양한 옵션을 설정할 수 있다. 분석 완료 시, 세 개의 구역으로 나눈 보고서가 제공된다. 이 섹션은 정적 분석, 동적 분석, 그리고 네트워크 구역이다. 
정적 분석 섹션에서는 파일 메타데이터, 섹션 테이블, 임포트, 익스포트 테이블에 대한 정보를 볼 수 있다. 동적 분석 섹션에서는 파일과 프로세스를 추적한다. 샘플 파일의 실행 패턴과 코드를 분석하기 위해 인공지능이 실행된다. 네트워크 섹션에서는 파일 실행 시 동작되는 모든 네트워크 트래픽을 볼 수 있다. 해당 정보를 사용하여, 인공지능은 어떤 이상 정보를 찾고 네트워크 지표 아래 리스트화한다. 따라서 빠르게 의심가는 트래픽을 볼 수 있다. 또한 Suricata IDS를 사용하여 알려진 악성 트래픽 지표 및 패턴을 탐지할 수 있다. SNDBOX는 정기적으로 악성코드를 분석하거나 의심 파일을 발견하는 사람들에게 훌륭한 도구이다. 

 

2. [기사] Ransomware Infects 100K PCs in China, Demands WeChat Payment
[https://www.bleepingcomputer.com/news/security/ransomware-infects-100k-pcs-in-china-demands-wechat-payment/]

중국에서 수준 낮은 랜섬웨어로 인해 파일이 암호화되고 크레덴셜이 탈취당했다. 해당 랜섬웨어에 감염되면 UNNAMED1989라는 제목이 표시되며 110 위안(한화 약 1만 8천원)의 몸값을 위쳇의 QR코드 지불 서비스로 요구했다. 중국 보안 회사에 따르면, 이번 달 1일에 발견되어 4일에는 100,000개가 넘는 시스템을 감염시켰다. 하루에만 20,000개를 감염시키기도 하였다. 해당 랜섬웨어는 중국 소셜 네트워크 서비스 Douban을 통해 명령을 전송하였다. 악성코드 분석 결과, 정보를 저장하기 위해 두개의 서버를 사용하였고 한 서버에는 2만개 이상의 비밀번호가 있었다. 공격 받은 사이트는 Taobao, Alipay, Tmall, QQ 등이 존재한다. 해당 랜섬웨어는 복잡하지 않아 쉽게 막을 수 있고 파일 암호화 또한 간단하여 복호화 툴이 사용가능하다. Tencent는 12월 1일에 위쳇 QR코드를 막았으며 Douban은 악성코드가 C&C 서버로 사용하는 페이지를 삭제했다. 

 

3. [기사] Kubernetes Flaw is a “Huge Deal,” Lays Open Cloud Deployments
[https://threatpost.com/kubernetes-flaw-is-a-huge-deal-lays-open-cloud-deployments/139636/]

Kubernetes 오픈 소스 컨테이너 소프트웨어에 권한 상승 취약점(CVE-2018-1002105)가 발견되었다. 해당 취약점은 공격자가 원격으로 접근하여 데이터를 훔치고 제품 앱 충돌을 일으킬 수 있다. CVSS 점수 9.8점을 받은 가장 위험한 수준의 취약점이며 공격자는 악의적으로 조작된 요청을 전송하여 Kubernetes API 서버에 연결을 성립할 수 있다. 연결이 성공하면, 서버의 TLS 크레덴셜을 사용하여 요청이 자동적으로 인증되어 검사를 제대로 하지 않는다. 
Kubernetes는 리눅스 컨테이너 집합체의 표준으로, 클라우드에서 컨테이너형 애플리케이션을 함께 조작할 수 있어 수백 또는 심지어 수천 개의 복합 서비스를 가능하게 한다. 해당 업데이트(v1.10.11, v1.11.5, v1.12.3)이 출시되었다. 이러한 컨테이너 결함은 충분히 발생 가능하며 취약한 API 측면 또한 보안 업계가 따라잡지 못하고 있는 상황이다. 따라서 보안을 최우선 과제로 삼고 2019년 까지 모든 조직의 초점이 되어야 한다고 말했다. 

 

4. [기사] The CoAP protocol is the next big thing for DDoS attacks
[https://www.zdnet.com/article/the-coap-protocol-is-the-next-big-thing-for-ddos-attacks/]

Constrained Application Protocol (CoAP)라고 알려진 RFC 7252는 DDoS 공격 측면에서 가장 남용되는 프로토콜 중 하나가 될 것이라고 말했다. CoAP는 메모리와 컴퓨팅 리소스가 부족한 스마트 장치에서 실행할 수 있는 경량 M2M(Machine-to-Machine) 프로토콜로 설계되었다. CoAP는 HTTP와 매우 유사하지만, TCP 패킷 위에서 작업하는 대신에 TCP 대안으로 생성된 더 가벼운 데이터 전송 형식인 UDP 위에서 작동한다. HTTP가 클라이언트와 서버 간에 데이터와 명령어(GET, POST, CONNECT 등)를 전송하는 데 사용되는 것과 마찬가지로, CoAP도 동일한 양의 자원을 필요로 하지 않고 동일한 멀티캐스트와 명령 전송 기능을 허용하므로, 오늘날 증가하는 사물 인터넷(IoT) 장치에 이상적이다. 그러나 다른 UDP 기반 프로토콜과 마찬가지로 CoAP도 DDoS 공격의 확대를 가능하게 하는 두 가지 주요 요소인 IP 주소 스푸핑과 패킷 증폭에 본질적으로 취약하다. 공격자는 작은 UDP 패킷을 CoAP 클라이언트(IoT 장치)로 보낼 수 있으며 클라이언트는 훨씬 더 큰 패킷으로 응답할 수 있다. CoAP 장치 수가 2017년 11월 최저 6,500대에서 다음 달에는 2만 6천대를 넘어섰는데, 중국 전역에서 이용 가능한 WiFi 노드를 사용하여 분산형 블록체인 기반 모바일 네트워크를 구축하기 위한 프로젝트인 QLC 체인(이전의 QLink)의 일부로 사용되었기 때문이라고 말한다. DDoS 공격은 지난 몇 달 동안 빈번하게 발생했으며 평균 55Gbps에 달했으며 가장 큰 것은 320Gbps라고 말했다. 공격 중 대부분은 중국의 다양한 온라인 서비스뿐만 아니라 중국 본토 밖의 일부 MMORPG 플랫폼을 목표로 하고 있다.

 

5. [기사] 2019년 주목해야 할 7대 사이버 공격 전망
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=42540]

한국인터넷진흥원에서 2019년 주목해야 할 7대 사이버 공격 전망을 5일(수) 발표했다. 모바일 기기 공격 크립토재킹, SNS를 이용한 표적공격 ,보안에 취약한 인터넷 단말기를 겨냥한 공격, 지능화된 스피어피싱과 APT 공격, 사물인터넷을 겨냥한 신종 사이버 위협, 소프트웨어 공급망 대상 사이버 공격 증가, 악성 행위 탐지를 우회하는 공격 기법 등 7대 사이버 공격 유형이 심화될 것으로 전망했다. 특히, 타인의 PC를 좀비 PC로 만들어 가상화폐를 채굴하도록 하는 크립토재킹이 모바일 기기, 사물인터넷(IoT) 등 다양한 경로로 확산될 전망이다. IoT는 항상 인터넷에 연결되어 있기 때문에 기기를 좀비화한 후 가상화폐 네트워크를 공격할 수 있을 뿐 아니라 악성코드 유포의 숙주로 악용되는 경우가 늘어날 것이라고 말했다. 또한, 소셜 네트워크 서비스(SNS)에서 유명인 계정을 해킹해 악성코드를 유포하거나 지인을 가장하여 메신저로 연락하는 맞춤형 표적공격이 많이 발생할 것라고 전망했다. 사물인터넷(IoT) 뿐만 아니라 민감한 사회 이슈를 이용한 스피어피싱과 지능형 지속 공격(APT), 소프트웨어 공격망을 악용한 해킹 시도 또한 내년에도 여전히 활개를 칠 것으로 전망했다. 소셜 네트워크 서비스(SNS), IP카메라 등 사물인터넷(IoT) 기기에 안전한 초기 비밀번호 설정, 최신 보안 업데이트, 취약점 점검 등 기본적인 보안 관리를 더욱 철저히 해야한다고 당부했다.

첨부파일 첨부파일이 없습니다.
태그 Sjava:;NDBOX  Ransomware  CoAP   2019