Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 7월 8일] 주요 보안 이슈
작성일 2020-07-08 조회 354

1. [기사] 최신 영화 ‘결백’ 토렌트로 다운 받으려다... 백도어 악성코드 감염된다
[https://www.boannews.com/media/view.asp?idx=89597&page=1&mkind=1&kind=]
최근 자료 토렌트를 통해 현재 개봉 중인 영화 ‘결백’ 파일로 위장한 악성코드가 발견됐다. 악성코드는 압축 파일 형태로 다운로드되며 영화 파일 ‘결백.Innocence.2019.WEBRip.1080p.x264.AAC.LOCK’는 확장자만 MP4로 변경해 주면 정상적으로 재생되지만, 다른 영화가 재생된다. 해당 파일을 다운로드 하게 되면 안티바이러스 제품군이 실행 중인지 확인하여 2가지 그룹 이상 탐지되면 악성 행위를 수행하지 않는 것으로 드러났다. 또한, 악성코드 분석 도구가 실행 중인지 확인해 프로그램을 종료시키고, 기존에 임시 파일이 존재하지 않는 경우 임시 파일을 생성한 뒤에 설치파일을 생성 및 실행하게 된다. 이어 백도어 기능의 실행파일을 설치한 다음, 명령제어(C&C) 서버에 접속을 시도하고 백도어 행위를 수행하는 것으로 조사됐다. 자료 공유 웹사이트를 이용할 때에는 사용자의 특별한 주의가 필요하며, 불법 다운로드는 지양해야 한다.


2. [기사] 퍼플폭스 익스플로잇 키트, 두 가지 취약점 익스플로잇 추가해
[https://www.boannews.com/media/view.asp?idx=89596&page=1&mkind=1&kind=]
퍼플폭스(Purple Fox)라는 익스플로잇 키트에 새로운 익스플로잇 두 가지가 추가됐다. 퍼플폭스는 지난 9월에 처음으로 분석된 익스플로잇 도구로, 리그(RIG) 잇스플로잇 키트를 대체하고 있다. 새롭게 추가된 익스플로잇은 CVE-2019-1458과 CVE-2020-0674 취약점이다. CVE-2020-0674는 스크립팅 엔진 메모리 변형 취약점으로, 성공적으로 익스플로잇 될 경우 공격자가 현재 사용자와 같은 권한을 가지고 임의의 코드를 실행할 수 있게 된다. CVE-2019-1458은 Win32k에서 발견된 권한 상승 취약점이다. 한편 익스플로잇 키트는 몇 년 전만 해도 해커들 사이에서 가장 인기가 높은 해킹 도구였지만 지금은 그 인기가 상당히 식은 상태다.


3. [기사] USB 통해 퍼지는 새 랜섬웨어, 트라이투크라이, 아직 멀어
[https://www.boannews.com/media/view.asp?idx=89591&page=1&mkind=1&kind=1]
보안 업체 지데이터(G Data)의 연구원들이 USB를 통해 전파되는 새로운 랜섬웨어 트라이투크라이(Try2Cry)를 발견했다. 이 랜섬웨어는 3년 전 등장했던 스포라(Spora) 랜섬웨어의 기능을 대부분 차용하고 있다고 한다. 닷넷(.NET)으로 만들어졌으며, 엔제이랫(njRAT)이 선보였던 증식 기능이 탑재되어 있기도 하다. 지데이터는 암호화 비밀번호가 하드코드 되어 있으며, 키는 SHA512 해시를 계산함으로써 생성된다고 설명했다. 트라이투크라이는 자신을 복사한 후, 그 사본들에 여러 가지 아라비아 이름을 붙여 사용자들이 실행하도록 유도한다. 그러나 USB를 통한 랜섬웨어 증식은 탐지가 꽤나 쉬운 것으로 알려져 있다. 따라서 지데이터는 이것은 최근 사이버 범죄자들이 너도 나도 랜섬웨어를 만들고 있다는 사실을 확인시켜 주는 랜섬웨어라고 결론을 내렸다.


4. [기사] OS 메모리 스냅샷에서 멀웨어를 찾을 수 있는 무료 서비스 Project Feta
[https://securityaffairs.co/wordpress/105625/hacking/freta-project.html]
Microsoft는 운영체제 메모리 스냅숏에서 악성 코드를 발견하기 위해 Project Freta 라는 새로운 프로젝트를 공개했다. Project Freta는 루트킷 등 정교한 악성코드와 관련된 아티팩트를 포함해 리눅스 시스템에 대한 공격의 증거를 수집할 수 있는 클라우드 기반 서비스다. 이 프로젝트는 프로세스, 전역 값 및 주소, 인 메모리 파일, 디버깅 된 프로세스, 커널 구성요소, 네트워크, ARP 테이블, 오픈 파일, 오픈 소켓, 유닉스 소켓 등을 분석한다. MS는 Windows 지원 추가 외에 분석 기능을 확장하고 새로운 위협 탐지를 위한 AI 기반 의사결정을 구현할 계획이라 한다.


5. [기사] Google Play에서 해제된 Cerberus Banking 트로이 목마
[https://threatpost.com/cerberus-banking-trojan-unleashed-google-play/157218/]
Google Play Store에 Cerberus 뱅킹 트로이목마를 배포하고 있는 악성 안드로이드 앱이 적발됐다. 해당 앱의 다운로드 수가 1만 건 이상이라고 한다. 연구진은 트로이 목마가 지난 3월부터 스페인 안드로이드 사용자가 이용할 수 있는 스페인 통화 변환기 앱(Calculadora de Moneda)을 통해 전파돼 최근 며칠 사이에 발견됐다고 밝혔다. 초기에는 탐지를 피하고자 앱은 첫 몇 주 동안 합법적인 변환기로 정상 작동하며 악의적인 의도를 숨겼었다고 한다. 일단 악성코드가 실행되면 피해자의 은행 계좌 자격 증명을 도용하고 2단계 인증(2FA)을 포함한 보안 조치를 우회하는 기능을 갖는다.

첨부파일 첨부파일이 없습니다.
태그 Purple Fox  Try2Cry  Project Feta  Cerberus