Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2017년 2월 16일] 주요 보안 이슈
작성일 2017-02-16 조회 378

1. [기사] 러시아 해커 Rasputin에 의해 60개 이상의 대학 및 정부기관 침해
[https://www.bleepingcomputer.com/news/security/hacker-rasputin-breaches-over-60-universities-and-government-agencies/]
[http://securityaffairs.co/wordpress/56312/hacking/russian-hacker-rasputin-attacks.html]
[http://www.securityweek.com/russian-black-hat-hacks-60-universities-government-agencies]
Rasputin으로 알려진 러시아 해커는 미국과 영국의 대학, 연방, 주 및 지방의 미국 정부 기관의 데이터를 위반하고 도난했다. 해커는 지난 해 12월 이후 미국의 선거 지원위원회(EAC) 서버에 침입한 후 총 60개의 기관을 대상으로 공격하였고, 도용된 계정에 대한 액세스권을 판매하고있다. 이 해커는 다른 대부분의 해커와 달리 자신의 개인용 SQLi 스캐너를 만들어 공격한다.


2. [기사] Cerber 랜섬웨어 변종, 보안 제품에 속한 파일은 암호화 하지 않는 기법 추가
[https://www.bleepingcomputer.com/news/security/cerber-ransomware-doesnt-encrypt-files-belonging-to-security-products/]
[http://news.softpedia.com/news/new-cerber-variant-spares-files-of-security-programs-from-encryption-512968.shtml]
지난 달에 발견된 Cerber 랜섬웨어의 변종에는 로컬로 설치된 보안 제품을 검색하고 파일 암호화를 피하는 기능이 포함되어 있어, Cerber가 컴퓨터를 잠근 후에도 방화벽, 바이러스 백신 또는 스파이웨어 방지 제품이 계속 작동할 수 있다. 해당 랜섬웨어는 감염된 컴퓨터에 FirewallProduct, AntiVirusProduct, AntiSpywareProduct의 세 가지 소프트웨어 클래스를 쿼리하여 이 클래스에 포함된 모든 소프트웨어 제품을 나열하고 이를 화이트리스트에 추가한다. 즉, 랜섬웨어가 화이트리스트에 포함된 파일을 암호화하지 않으므로 Cerber 감염이 발생한 후에도 프로그램을 작동 상태로 유지할 수 있다.


3. [기사] Intel, AMD 포함한 22개의 CPU 아키텍처에서 JavaScript AnC 공격으로 ASLR 중단
[https://www.bleepingcomputer.com/news/security/javascript-attack-breaks-aslr-on-22-cpu-architectures/]
[http://www.securityweek.com/researchers-break-aslr-protection-javascript-attack]
새롭게 발표된 연구 보고서에서 ASLR (Address Space Layout Randomization) 보호는 특정 지침이나 소프트웨어 기능없이 Javascript를 사용하는 실제 공격을 통해 뚫릴 수 있다고 주장한다. ASLR은 메모리 손상 공격에 대한 방어선의 주선으로 사용되지만, 근본적으로 현대의 캐시 기반 아키텍처에서는 안전하지 못하다는 입장이다.


4. [기사] 한글 이어 이번엔 ‘워드 파일’? 세이지 랜섬웨어 피해 증가
[http://www.boannews.com/media/view.asp?idx=53468&page=1&kind=1]
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=18528]

[분석보고서] Sage 랜섬웨어 분석보고서
[http://erteam.nprotect.com/927]
[https://www.cert.pl/en/news/single/sage-2-0-analysis/]


5. [기사] MS, 윈도 SMB 버그에 대한 보안패치 아직 발표 못하고 있어…주의
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=18536&sc_code=1435901200&page=&total=]
[기사] 2017년 2월 Microsoft 정기 보안 업데이트 연기 (2017.2.15)
[http://hummingbird.tistory.com/6562]

-> 어제자 관련 기사
[http://www.zdnet.com/article/microsoft-delays-its-usual-patch-tuesday-updates/]
[http://www.securityweek.com/last-minute-issue-delays-microsoft-security-updates?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
[https://www.bleepingcomputer.com/news/microsoft/microsoft-delays-february-2017-security-updates-due-to-last-minute-issue-/]
[https://arstechnica.com/information-technology/2017/02/microsoft-delays-patch-tuesday-as-world-awaits-fix-for-smb-flaw/]
Microsoft는 오늘 블로그를 통하여 2017년 2월 보안 업데이트의 출시 연기를 발표했다. 패치가 언제 공개되는지 여부는 밝히지 않았다. 이번달 마지막에, 일부 고객에게 심각한 문제를 줄 수 있는 취약점을 발견했으나 아직 해결점을 찾지 못했다는 입장이다.


6. [기사] 안드로이드 트로이 목마, 플래시 보안 업데이트를 가장한 추가 악성코드 다운로드
[http://www.zdnet.com/article/this-android-trojan-pretends-to-be-flash-security-update-but-downloads-additional-malware/]


7. [기사] Mac 악성코드, 암호 및 아이폰 백업을 도용하려고 함
[http://www.zdnet.com/article/this-mac-malware-wants-to-steal-passwords-and-iphone-backups/]


8. [기사] 사용이 간편한 Remcos RAT,  실제 공격에서 사용중
[http://www.securityweek.com/easy-use-remcos-rat-spotted-live-attacks?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29&utm_content=FeedBurner]
2016 하반기부터 58$ ~ 389$ 가격대에 판매중인 Remcos RAT 은 1.7.3 버전까지 출시. Quotation.xls, Quotation.doc 등의 이름을 한 오피스 문서가 포함된 이메일을 통해 유포. UAC를 우회하는 악성 매크로가 포함되있다.


9. [기사] 피싱메일과 결합한 한국형 랜섬웨어(비너스 락커) 최초 유포
[https://blockchain.info/address/16jvWspVfvhjRgJhGCDETf29cjQAyNmx9G]
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=18525]
최근 북 랜섬웨어(비너스락커) 공격이 민간쪽으로 확산하고 있다. 비트코인 수익도 증가하고 있다. 기존 영문 전자우편이나 취약한 누리집에서 랜섬웨어가 유포됐던 것과 달리, 랜섬웨어가 자연스러운 한글 전자우편 형태로 배포된 것은 이번이 최초이다.

첨부파일 첨부파일이 없습니다.
태그